ICS 35.040 GB L 80 中华人民共和国国家标准 GB/T 33132—2016 信息安全技术 信息安全风险处理 实施指南 Information security technologyGuide of implementation for information security risk treatment 2016-10-13 发布 2017-05-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T 33132—2016 目 次 前言 引言 范围 2 规范性引用文件 3 术语和定义 4 风险处理实施概述 4.1 风险处理基本原则 风险处理的方式 4.2 4.3 风险处理的角色和职责 4.4 风险处理的基本流程 5风险处理准备 5.1 制定风险处理计划 5.2 获得管理层批准 6风险处理实施 6.1 风险处理方案制定 6.2 风险处理方案实施 7风险处理效果评价 7.1 概述 7.2 评价原则 7.3 评价方法 7.4 评价方案 7.5 评价实施 7.6 持续改进· 附录A（资料性附录） 风险处理实践示例· A.1 背景 A.2 风险处理准备 12 A.3 风险处理实施 14 A.4 风险处理评价 21 参考文献 23 GB/T 33132—2016 前言 本标准按照GB/T1.1一2009给出的规则起草 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本标准起草单位：国家信息中心、北京信息安全测评中心、中国民航大学、东软集团股份有限公司、 北京数字认证股份有限公司、西安交大捷普网络科技有限公司。 本标准主要起草人：吴亚非、禄凯、陈永刚、赵章界、马勇、席斐、陈青民、何建锋。 I GB/T 33132—2016 引言 信息安全风险管理是信息安全保障工作中的一项重要基础性工作，其核心思想是对管理对象面临 的信息安全风险进行管控。信息安全风险管理工作贯穿于信息系统生命周期（规划、设计、实施、运行维 护和废弃)的全过程，主要工作过程包括风险评估和风险处理两个基本步骤。风险评估是对风险管理对 象所面临的风险进行识别、分析和评价的过程。风险处理是依据风险评估的结果，选择和实施安全措施 的过程。 信息安 全风险评估规范》、GB/Z24364一2009《信息安全技术信息安全风险管理指南》和GB/T31509一2015 《信息安全技术信息安全风险评估实施指南》的基础上，本标准针对风险评估工作中反映出来的各类 信息安全风险，从风险处理工作的组织、管理、流程、评价等方面给出了相关描述，用于指导组织形成客 观、规范的风险处理方案，促进风险管理工作的完善。 = GB/T 33132—2016 信息安全技术信息安全风险处理 实施指南 1范围 本标准给出了信息安全风险处理的基本概念、处理原则、处理方式、处理流程以及处理结束后的效 果评价等管理过程和方法，并对处理过程中的角色和职责进行了定义。 本标准适用于指导信息系统运营使用单位和信息安全服务机构实施信息安全风险处理活动。 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单)适用于本文件。 GB/T20984—2007 7信息安全技术信息安全风险评估规范 GB/Z24364—2009 ，信息安全技术信息安全风险管理指南 3 ，术语和定义 GB/T20984一2007、GB/Z24364一2009界定的以及下列术语和定义适用于本文件， 3.1 风险处理 risk treatment 选择并且执行措施来更改风险的过程。 LISO/IECGuide73:2002/ 注：在本标准中，术语“控制措施”被用作“措施”的同义词 3.2 风险规避 riskelimination 不卷入风险处境的决定或撤离风险处境的行动。 [ISO/IEC Guide 73:2002]. 3.3 风险转移 risk mitigation 与另一方对风险带来的损失或收益的共享。 [ISO/IEC Guide 73:2002]。 注：在信息安全风险的语境下，对于风险转移仅考虑负面结果（损失）。 3.4 风险降低 riskreduction 为降低风险的可能性和(或)负面结果所采取的行动。 [ISO/IEC Guide 73:2002]. 3.5 风险接受 risk retention 对来自特定风险的损失或收益的接受。 1 GB/T33132—2016 LISO/IECGuide73:2002J。 注：在信息安全风险的语境下，对于风险接受仅考虑负面后果（损失）。 3.6 风险处理目标risk treatment target 通过风险处理活动的实施所要达到的最终目标 3.7 风险处理评价risk treatment evaluation 将风险处理措施实施后的结果与风险处理目标进行比较、分析，以确定风险处理效果的过程。 4风险处理实施概述 4.1风险处理基本原则 4.1.1合规原则 4.1.2有效原则 在合规原则的前提下，风险处理的核心目的就是通过采取风险处理活动，有效地控制风险，使得处 理后的风险处于组织的可承受范围之内 4.1.3可控原则 明确风险处理的目标、方案、范围、需要实施的风险处理措施及风险处理措施本身可能带来的风险， 明确风险处理所需的资源，确保整个风险处理工作的可控性。 4.1.4最佳收益原则 技术等因素，以及能够获取的收益，选择收益最佳的风险处理措施。 4.2J 风险处理的方式 4.2.1概述 风险处理的方式主要有风险降低、风险规避、风险转移和风险接受四种。这四种方式并不互相排 斥，组织可以通过多种风险处理方式的合理组合充分获益。 4.2.2风险降低 通过对面临风险的资产采取保护措施来降低风险。保护措施可以从构成风险的5个方面（即威肋 源、威胁行为、脆弱性、资产和影响）来降低风险。比如，采用法律的手段制裁计算机犯罪（包括窃取涉密 信息，攻击关键的信息系统基础设施，传播有害信息和垃圾邮件等），发挥法律的威慢作用，从而有效遏 制威胁源的动机；采取身份认证措施，从而抵制身份假冒威胁行为的能力；及时给系统打补丁（特别是针 对安全漏洞的补丁），关闭无用的网络服务端口，从而减少系统的脆弱性，降低其被利用的可能性；采用 各种防护措施，建立资产的安全域，从而保证资产不受侵犯，其价值得到保持；采取容灾备份、应急响应 和业务连续性计划等措施，从而降低安全事件造成的影响程度。 2 GB/T 33132—2016 4.2.3风险规避 通过不使用面临风险的资产来避免风险。比如，在没有足够安全保障的信息系统中，不处理敏感的 信息，从而防止敏感信息的泄漏。再如，对于只处理内部业务的信息系统，不使用互联网，从而避免外部 的入侵和攻击。 4.2.4风险转移 通过将面临风险的资产或其价值进行安全转移来避免或降低风险。比如，在本机构不具备足够的 安全保障技术能力时，将信息系统的技术体系（即信息载体部分）外包给满足安全保障要求的第三方机 构，从而避免技术风险。再如，通过给昂贵的设备上保险，将设备损失的风险转移给保险公司，从而降低 资产价值的损失。 4.2.5风险接受 对风险不采取进一步的处理措施，接受风险可能带来的结果。风险接受的前提是：确定了信息系统 的风险等级，评估了风险发生的可能性以及带来的潜在破坏，分析了使用处理措施的可能性，并进行了 较全面的成本效益分析，认定某些功能、服务、信息或资产不需要进一步保护。 4.3风险处理的角色和职责 信息安全风险处理应该组建团队，分清角色，明确职责。风险处理团队可以分为管理层和执行层 其中，管理层负责审查风险处理目标、批准风险处理方案并认可风险处理结果，执行层负责确定风险处 理目标、编制风险处理方案并在风险处理方案获得批准后负责实施。必要时，可聘请相关专业的技术专 家组成专家小组，指导风险处理工作 4.4风险处理的基本流程 风险处理的基本流程包括了三个阶段的工作，分别为风险处理准备阶段、风险处理实施阶段和风险 处理效果评价阶段，如图1所示。 第一个步骤是风险处理准备，确定风险处理的范围，明确风险处理的依据，组建风险处理团队，设定 风险处理的目标和可接受准则，选择风险处理方式，明确风险处理资源，形成风险处理计划，并得到管理 层对风险处理计划的批准。第二个步骤是风险处理实施，准备风险处理备选措施，进行成本效益分析和 残余风险分析，对处理措施进行风险分析并制定应急计划，编制风险处理方案，待处理方案获得批准后， 要对风险处理措施进行测试，测试完成后，正式实施。在处理措施的实施过程中，要加强监管与审核。 第三个步骤是风险处理效果评价，制定评价原则和方案，开展评价实施工作，对没有达到处理目的的风 险，要进行持续改进。风险处理工作是持续性的活动，当受保护系统的政策环境、业务目标、安全目标和 特性发生变化时，需要再次进入上述步骤， 在本标准的第5章到第7章，对信息安全风险处理实施过程的上述3个步骤的概念、过程、工作内 容、输出文档等进行了阐述 3