ICS35.030 CCS L 80 GE 中华人民共和国国家标准 GB/T24364—2023 代替GB/Z24364—2009 信息安全技术 信息安全风险管理实施指南 Information security technology- Implementation guide for information security risk management 2023-05-23发布 2023-12-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T24364—2023 目 次 前言 III 引言 IV 1范围 规范性引用文件 3术语和定义、缩略语 3.1术语和定义 3.2 缩略语 信息安全风险管理实施框架 4 5信息安全风险管理原则 5.1 分级管理 5.2 全面管理 5.3 动态调整 5.4 科学合理 6信息安全风险管理保障机制 6.1 领导负责制 统筹协调机制 6.2 6.3 专家咨询机制 6.4 重大风险会商机制 信息安全风险管理保障措施 7 7.1 人员保障 7.2 制度保障 7.3 经费保障 7.4 工具保障 信息安全风险管理能力 8 8.1 资产识别能力 8.2 威胁识别能力 8.3 脆弱性识别能力 8.4 已有措施有效性评价能力 8.5 风险分析与评价能力 8.6 风险处置能力 8.7 风险监测预警能力 8.8 风险信息共享能力 9信息安全风险管理过程 GB/T24364—2023 9.1 概述 9.2 语境建立 9.3 风险评估· 14 9.4 风险处置 9.5 批准留存· 23 9.6 监视与评审 27 9.7 沟通与咨询 30 附录A（资料性） 文档输出 35 A.1 语境建立文档 35 A.2 风险评估文档 35 A.3 风险处置文档 36 A.4 批准留存文档 37 37 A.5 监视与评审文档 A.6 沟通与咨询文档 附录B（资料性） 风险处置实践示例 39 B.1 示例 39 B.2 风险处置准备 B.3 风险处置实施· 42 风险处置评价 B.4 48 参考文献 51 Ⅱ GB/T24364—2023 前言 起草。 本文件代替GB/Z24364—2009《信息安全技术信息安全风险管理指南》，与GB/Z24364—2009 相比，除结构调整和编辑性改动外，主要技术变化如下： a）标准对象和范围由面向信息系统修改为风险管理对象（见第1章）； b) 3.4、3.5、3.7); c) 增加了信息安全风险管理框架，增加了风险管理原则、保障机制、保障措施、管理能力等内容 （见第4章）； d) 更改了信息安全风险管理的内容和过程（见9.1，2009年版的4.2）； 更改了语境建立流程，引入基本准则确定内容等（见9.2，2009年版的第5章）； 更改了风险评估相关内容（见9.3，2009年版的第6章）； 将监控审查改为监视与评审，并将相关内容更改（见9.6，2009年版的第9章）； g) h) 更改了沟通与咨询相关内容（见9.7，2009年版的第10章）； 章)； j) 更改了风险处置相关内容（见9.2、9.4，2009版的第7章）。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：国家信息中心、中国电子科技集团公司第十五研究所、北京安信天行科技有限公 司、北京天融信网络安全技术有限公司、中国信息安全测评中心、中国网络安全审查技术与认证中心、深 信服科技股份有限公司、北京信息安全测评中心、公安部第一研究所、公安部第三研究所、北京国信京宁 信息安全科技有限公司、上海观安信息技术股份有限公司、郑州轻工业大学、河南农业天学、深圳市信息 安全管理中心、广州市信息安全测评中心、深圳市龙华区政务服务数据管理局、深圳华晟九思科技有限 公司。 本文件主要起草人：禄凯、陈永刚、赵增振、葛晓因、陈青民、杨剑、刘润一、杜宇鸽、陈杨国、刘德林、 程瑜琦、李媛、马江涛、李秋香、陈盼、陈一博、张益、刘健、刘丰、任金强、王焱、张锐卿、董安波、刘永杰、 朱润酥、高杰、汤志强、朱建兴、李尚号。 本文件及其所代替文件的历次版本发布情况为： ——2009年首次发布为GB/Z24364—2009； 一本次为第一次修订。 I GB/T24364—2023 引 目前，信息安全风险管理标准主要包括： GB/T24364—2023《信息安全技术 信息安全风险管理指南》； GB/T26333—2010《工业控制网络安全风险评估规范》； GB/T31722—2015《信息技术安全技术信息安全风险管理》（ISO/IEC27005：2008，IDT）； GB/T31509一2015《信息安全技术信息安全风险评估实施指南》； GB/T33132—2016《信息安全技术信息安全风险处理实施指南》； GB/T36637一2018《信息安全技术ICT供应链安全风险管理指南》； GB/T20984—2022《信息安全技术信息安全风险评估方法》； ISO31000：2018《风险管理指南》； ISO/IEC27005：2018《信息技术安全技术信息安全风险管理》。 本文件作为信息安全风险管理标准之一，在修订过程中依据国家信息安全风险管理相关的政策并 参考GB/T31722—2015、ISO31000：2018、ISO/IEC27005：2018等标准，为组织的信息安全风险管理 实施提供了更加具体的指导，包括信息安全风险管理的目标、原则、保障机制、保障措施、能力和过程等 内容，表1给出了本文件与ISO31000:2018、GB/T31722—2015、ISO/IEC27005：2018标准的风险管 理过程的对应关系。 然而，本文件不指定信息安全风险管理的特定实施细节，组织可根据自身风险管理范围、风险管理 语境或所处行业来确定其风险管理实施细节。其现有的方法也可在本文件描述的框架下使用，以满足 风险管理工作的要求。 表1风险管理过程对应关系表 ISO31000:2018 GB/T31722—2015 ISO/IEC27005:2018 本文件 环境创建 语境建立 范围、语境、准则 语境建立 风险评估 风险评估 风险评估 风险评估 风险处置 风险处置 风险处置 风险处置 风险接受 批准留存 沟通与咨询 沟通与咨询 风险沟通 沟通与咨询 监督与评审 监测与评审 风险监视与评审 监视与评审 记录与报告 批准留存 注：在本文件的第9章，对信息安全风险管理实施过程的概念、工作内容等进行了详细阐述， IV GB/T24364—2023 信息安全技术 信息安全风险管理实施指南 1范围 本文件确立了信息安全风险管理的实施框架，描述了信息安全风险管理的原则、保障机制、保障措 施、能力和过程，提供了每个管理过程的实施要点和工作形式， 本文件适用于各类组织开展信息安全风险管理工作。 2规范性引用文件 2 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GB/T20984—2022 信息安全技术信息安全风险评估方法 GB/T24363—2009 信息安全技术信息安全应急响应计划规范 GB/T25069—2022 信息安全技术术语 GB/T29246—2017 信息技术安全技术信息安全管理体系 概述和词汇 GB/T31509 9信息安全技术信息安全风险评估实施指南 GB/T31722—2015 信息技术安全技术信息安全风险管理 GB/T38645—2020 信息安全技术网络安全事件应急演练指南 3术语和定义、缩略语 3.1 术语和定义 GB/T25069—2022、GB/T29246—2017、GB/T31722—2015和GB/T20984—2022中界定的术 语和定义适用于本文件。 3.1.1 information security risk 信息安全风险 特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害。 注：以事态的可能性及其后果的组合来度量。 ［来源：GB/T25069—2022,3.681 3.1.2 风险管理 risk management 指导和控制组织相关风险的协调活动。 ［来源：GB/T29246—2017,2.76] 3.1.3 业务 business 组织为实现某项发展战略而开展的运营活动 1 GB/T24364—2023 注：该活动具有明确的目标，并延续一段时间。 【来源:GB/T20984—2022,3.1.4 3.1.4 语境 context 组织寻求实现其目标的内外部环境 注：内部语境可以包括如下方面： 治理、组织结构、角色和职责； 一策略、目标和要实现它们的战略； 在资源和知识方面的能力如资本、时间、人员、过程、系统和技术」；信息系统、信息流和决策过程（正式的 和非正式的)； 与内部利益相关方的关系及其认知和价值观： 一组织的文化； 组织采用的标准、指南和模型； 契约关系的形式和程度 外部语境可以包括如下方面： 一文化、社会、政治、法律、法规、金融、技术、经济、自然和竞争环境，无论是国际的、国家的、地区的或地方的； 影响组织目标的关键驱动力和趋势； 与外部利益相关方的关系及其认知和价值观 ［来源：GB/T29246—2017，2.27，2.42，有修改］ 3.2 缩略语 下列缩略语适用于本文件。 APT：高级持续性威胁（AdvancedPersistentThreat) MAC地址：物理地址（Medi