標準解讀

《GB/Z 24364-2009 信息安全技術 信息安全風險管理指南》是中國國家標準之一,旨在為組織提供一套系統的方法來管理信息安全風險。該標準基于國際標準ISO/IEC 17799:2005(現已被ISO/IEC 27002取代)中的風險管理原則,并結合了中國國情進行了適當調整。它涵蓋了從識別到評估再到處理信息安全風險的全過程。

首先,在風險管理過程方面,本標準定義了一個循環迭代的過程模型,包括建立背景、風險評估、風險處理以及監督與評審四個主要階段。其中,建立背景是整個風險管理工作的起點,要求明確組織的信息安全需求和目標;風險評估階段則進一步細分為資產識別、脆弱性分析、威脅分析及風險評價等步驟;風險處理階段提供了接受、規避、轉移或減輕風險的具體策略;最后通過持續監督與定期評審確保風險管理措施的有效性和適應性。

其次,對于每個階段,《GB/Z 24364-2009》都給出了詳細的指導建議和技術方法。例如,在進行資產識別時,不僅要考慮信息系統本身的價值,還需綜合考量其對業務連續性的影響程度;在執行脆弱性分析過程中,則需要利用專業工具和技術手段全面檢測系統存在的潛在弱點;至于如何制定有效的風險緩解計劃,標準中也列舉了幾種常見的實踐做法供參考。

此外,《GB/Z 24364-2009》還強調了溝通與文檔化的重要性。在整個風險管理活動中,保持與利益相關者之間的良好溝通十分關鍵,這有助于提高決策質量并獲得必要的支持。同時,所有重要的活動記錄都應該被妥善保存下來,以便于日后查閱或者作為審計依據。


如需獲取更多詳盡信息,請直接參考下方經官方授權發布的權威標準文檔。

....

查看全部

  • 被代替
  • 已被新標準代替,建議下載現行標準GB/T 24364-2023
  • 2009-09-30 頒布
  • 2009-12-01 實施
?正版授權
GB/Z 24364-2009信息安全技術信息安全風險管理指南_第1頁
GB/Z 24364-2009信息安全技術信息安全風險管理指南_第2頁
GB/Z 24364-2009信息安全技術信息安全風險管理指南_第3頁
GB/Z 24364-2009信息安全技術信息安全風險管理指南_第4頁
GB/Z 24364-2009信息安全技術信息安全風險管理指南_第5頁
已閱讀5頁,還剩43頁未讀, 繼續免費閱讀

下載本文檔

GB/Z 24364-2009信息安全技術信息安全風險管理指南-免費下載試讀頁

文檔簡介

犐犆犛35.040

犔80

中華人民共和國國家標準化指導性技術文件

犌犅/犣24364—2009

信息安全技術

信息安全風險管理指南

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犌狌犻犱犲犾犻狀犲狊犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狉犻狊犽犿犪狀犪犵犲犿犲狀狋

20090930發布20091201實施

中華人民共和國國家質量監督檢驗檢疫總局

發布

中國國家標準化管理委員會

犌犅/犣24364—2009

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4信息安全風險管理概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

4.1信息安全風險管理的范圍和對象!!!!!!!!!!!!!!!!!!!!!!!!!!2

4.2信息安全風險管理的內容和過程!!!!!!!!!!!!!!!!!!!!!!!!!!2

4.3信息安全風險管理與信息系統生命周期和信息安全目標的關系!!!!!!!!!!!!!3

4.4信息安全風險管理相關人員的角色和責任!!!!!!!!!!!!!!!!!!!!!!4

5背景建立!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.1背景建立概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.2背景建立過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.3背景建立文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

6風險評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

6.1風險評估概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

6.2風險評估過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

6.3風險評估文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

7風險處理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.1風險處理概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.2風險處理過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

7.3風險處理文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8批準監督!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8.1批準監督概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8.2批準監督過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8.3批準監督文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

9監控審查!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

9.1監控審查概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

9.2監控審查過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

9.3監控審查文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

10溝通咨詢!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

10.1溝通咨詢概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

10.2溝通咨詢過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

10.3溝通咨詢文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

11信息系統規劃階段的信息安全風險管理!!!!!!!!!!!!!!!!!!!!!!!27

11.1安全目標和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

11.2風險管理的過程與活動!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

12信息系統設計階段的信息安全風險管理!!!!!!!!!!!!!!!!!!!!!!!29

犌犅/犣24364—2009

12.1安全目標和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!29

12.2風險管理的過程與活動!!!!!!!!!!!!!!!!!!!!!!!!!!!!!29

13信息系統實施階段的信息安全風險管理!!!!!!!!!!!!!!!!!!!!!!!31

13.1安全目標和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31

13.2風險管理的過程與活動!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31

14信息系統運行維護階段的信息安全風險管理!!!!!!!!!!!!!!!!!!!!!32

14.1安全目標和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!32

14.2風險管理的過程與活動!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

15信息系統廢棄階段的信息安全風險管理!!!!!!!!!!!!!!!!!!!!!!!34

15.1安全目標和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!34

15.2風險管理的過程與活動!!!!!!!!!!!!!!!!!!!!!!!!!!!!!34

附錄A(資料性附錄)風險處理參考模型及其需求和措施!!!!!!!!!!!!!!!!!36

A.1風險處理參考模型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36

A.2風險處理的需求和措施!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36

參考文獻!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!39

犌犅/犣24364—2009

前言

本指導性技術文件的附錄A為資料性附錄。

本指導性技術文件由全國信息安全標準化技術委員會提出并歸口。

本指導性技術文件起草單位:國家信息中心信息安全研究與服務中心、中國電信股份有限公司北京

研究院。

本指導性技術文件主要起草人:吳亞非、張鑒、范紅、劉蓓、趙陽。

犌犅/犣24364—2009

引言

一個機構要利用其擁有的資源來完成其使命。在信息時代,信息成為第一戰略資源,更是起著至關

重要的作用。因此,信息資產的安全是關系到該機構能否完成其使命的大事。資產與風險是天生的一

對矛盾,資產價值越高,面臨的風險就越大。信息資產有著與傳統資產不同的特性,面臨著新型風險。

信息安全風險管理的目的就是要緩解并平衡這一對矛盾,將風險控制到可接受的程度,保護信息及其相

關資產,最終保證機構能夠完成其使命。

信息安全風險管理是信息安全保障工作中的一項基礎性工作,主要表現在以下幾方面:

信息安全風險管理的思想和措施應體現在信息安全保障體系的技術、組織和管理等全方位。由于

在信息安全保障體系的技術、組織和管理等方面都存在著相關風險,因此,在信息安全保障體系中,技

術、組織、管理中均應引入風險管理的思想,準確地評估風險并合理地處理風險,共同實現信息安全保障

的目標。

信息安全風險管理的思想和措施應貫穿于信息系統生命周期的全部過程。信息系統生命周期包括

規劃、設計、實施、運維和廢棄五個階段。每個階段都存在著相關風險,同樣需要采用信息安全風險管理

的思想加以應對,采用風險管理的措施加以控制。

信息安全風險管理的思想和措施是貫徹信息安全等級保護制度的有力支撐。信息安全風險管理依

據信息安全等級保護的思想和原則,區分主次,平衡成本與效益,合理部署和利用信息安全的保護機制、

信任體系、監控體系和應急處理等重要的基礎設施,選擇并確定合適的安全控制措施,從而保證機構具

有完成其使命所需要的信息安全保障能力。

為落實國家加強信息安全保障工作的要求,為實施信息安全等級保護制度的需要,制定本指導性技

術文件。本指導性技術文件可與GB/T20984結合使用,并可作為機構建立信息安全管理體系(ISMS)

的參考。

本指導性技術文件參考了ISO/IEC27005等國際信息安全風險管理的相關標準,并經過國家有關

行業和地區的試點驗證。標準針對信息安全風險管理所涉及的背景建立、風險評估、風險處理、批準監

督、監控審查、溝通咨詢等不同過程進行了綜合性描述,對信息安全風險管理在信息系統生命周期各階

段的應用作了系統闡述。

本指導性技術文件條款中所指的“風險管理”,其含義均為“信息安全風險管理”。

本指導性技術文件中列出的帶書名號的文檔是示范性的,其格式和詳細內容未作規范。

犌犅/犣24364—2009

信息安全技術

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。驍底稚唐返奶厥庑裕唤浭鄢觯惶峁┩藫Q貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論