ICS35.040 CCS L 80 GB 中华人民共和国国家标准 GB/T 317222025/ISO/IEC 27005:2022 代替GB/T31722-2015 信息安全技术信息安全风险管理指导 Information security technology-Guidance on managing information security risks (ISO/IEC 27005:2022,Information security,cybersecurity privacy protection Guidance on managing information security risks,IDT) 2025-08-01发布 2026-02-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T 31722-2025/ISO/IEC 27005:2022 信息安全技术信息安全风险管理指导 1范围 本文件提供了信息安全风险管理指导，以帮助组织： 一满足GB/T22080一2025有关应对信息安全风险活动的要求； 一一实施信息安全风险管理活动，特别是信息安全风险评估和处置。 本文件适用于所有组织，无论其类型、规模或领域。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 ISO/IEC2 27000信息安全技术信息安全管理体系概述和词汇(Information security managementsystems-Overviewandvocabulary) 3术语和定义 GB/T29246一2013界定的以及下列术语和定义适用于本文件。 ISO和IEC维护用于标准化的术语数据库，地址如下： -ISO在线浏览平台：http://www.iso.org/obp -IEC电子百科：http://www.electropedia.org 3.1信息安全风险相关术语 3.1.1 外部环境 external context 组织寻求其目标实现所处的外部状况。 注：外部环境包括以下内容： 一国际、国内、区域或地方的社会、文化、政治、法律、监管、金融、技术、经济、地质环境； 对组织目标有影响的关键驱动因素和趋势； 一与外部相关方的关系、看法、价值观、需求和期望 合同关系和承诺； -网络的复杂性和依赖性。 [来源：GB/T 23694—2013,4.3.3.1，有修改] 3.1.2 内部环境internal context 组织寻求其目标实现所处的内部状况。 注：内部环境包括以下内容： 一愿景、使命和价值观； GB/T31722-2025/ISO/IEC27005:2022 一治理、组织结构、职能和责任； -战略、目标和方针； 一组织文化； 组织采用的标准、指南和模型； 一一从资源和知识角度理解的能力（例如，资本、时间、人员、过程、系统和技术）； 一数据、信息系统和信息流： 一一与内部相关方的关系，考虑到他们的看法和价值观； 合同关系和承诺： 一内部相互依赖和相互联系。 [来源：GB/T 23694—2013.4.3.1.2.有修改 3.1.3 风险risk 不确定性对目标的影响。 注1：影响是指偏离预期，偏离是正面的或负面的。 注2：目标可能有不同方面（aspects） 和种类（categories)， 能应用在不同层级。 注3：不确定性是指理解或知晓事态（3.1.11）及其后果（3.1.14)或可能性（3.1.13）的相关信息不足，甚至仅 有部分信息的状态。 注4：风险通常以风险源（3.1.6）、潜在事态、后果及其可能性表示。 注5：在信息安全管理体系中，信息安全风险能表示为不确定性对信息安全目标的影响。 注6：信息安全风险通常与不确定性对信息安全目标的负面影响相关。 注7：信息安全风险可能与威胁（3.1.9）利用单个或一组信息资产的脆弱性（3.1.10），从而对组织造成伤害的可 能性相关。 [来源：GB/T 24353—2022,3.1,有修改 3.1.4 风险场景 risk scenario 由最初的起因导致不期望后果（3.1.14)的事态序列或组合（3.1.11）。 [来源：ISO 17666:2016,3.1.13,有修改 3.1.5 风险责任人risk owner 具有管理风险(3.1.3)的责任和权限的个人或实体。 ［来源：GB/T 236942013,4.5.1.5] 3.1.6 风险源 risk source 可能单独或共同引发风险（3.1.3）的要素。 注1：风险源可能是以下三种类型之一： 一人为的； 一环境的； 一技术的。 注2：人为风险源类型是有意或无意的， [来源：GB/T 24353—2022,3.4,有修改 2 GB/T31722-2025/ISO/IEC27005:2022 3.1.7 风险准则risk criteria 评价风险（3.1.3）重要性的依据。 注1：风险准则是基于组织的目标、外部环境（3.1.1）和内部环境（3.1.2）。 注2：风险准则可能源自标准、法律、政策和其他要求。 ［来源：GB/T 236942013.4.3.1.3,有修改 3.1.8 风险偏好risk appetite 组织愿意追求或保留的风险（3.1.3）数量和类型。 [来源：GB/T 23694—2013,4.7.1.2,有修改 3.1.9 威胁threat 可能导致系统损坏或对组织造成危害的信息安全事件（3.1.12)的潜在因素。 3.1.10 脆弱性vulnerability 可能被利用的资产或控制的弱点（3.1.16），从而引起具有负面后果（3.1.14）的事态（3.1.11）。 3.1.11 事态event 某些特定情形的产生或变化。 注2：一个事态可能是预期会发生但没有发生的事态，也可能是预期不会发生但却发生的事态。 L来源：GB/T 24353—2022,3.5,有修改 3.1.12 信息安全事件information security incident 极有可能危害业务运行并威胁信息安全的单个或一系列不期望或意外的信息安全事态。 3.1.13 可能性 likelihood 某件事发生的概率。 注1：在风险管理术语中，无论是以客观的或主观的、定性或定量的方式来定义、度量或确定，还是用一般词汇或 数学术语来描述（如概率，或一定时间内的频率），“可能性”都用来表示某件事发生的概率。 注2：“可能性（1ikelihood)” 这一英语词汇在一些语言中没有直接与之对应的词汇，因此经常使用“概率 (probability)" 这个词替代。不过，在英语中，“概率”常常被狭义地解释为一个数学词汇。因此，在风 一词的意义。 L来源：GB/T 24353—2022,3.7] 3.1.14 后果 consequence 3 GB/T 31722-2025/ISO/IEC 27005:2022 某事态（3.1.11）对目标影响的结果。 注1：后果可能是确定，也可能是不确定的，且对目标的影响可能是正面的，也可能是负面的；可能是直接的，也 可能是间接的。 注2：后果能定性或定量表述。 注3：任何后果都可能通过连锁反应和累积效应升级。 ［来源：GB/T 24353—2022,3.6,有修改 3.1.15 风险级别levelofrisk 风险的严重程度，以后果（3.1.14)和可能性（3.1.13)的组合来表达。 [来源：GB/T 236942013,4.6.1.8.有修改」 3.1.16 控制control 保持和/或改变风险（3.1.3)的措施。 注1：控制包括但不限于保持和/或改变风险的任何流程、方针、设备、实践或其他条件和/或活动。 注2：控制不必总取得预期的改变效果。 L来源：GB/T 24353—2022,3.8,有修改 3.1.17 残余风险 residual risk 风险处置（3.2.7)之后仍然存在的风险（3.1.3）。 注1：残余风险可能包含未识别的风险。 注2：残余风险也可能包含保留的风险。 ［来源：GB/T 236942013,4.8.1.6,有修改 3.2信息安全风险管理相关术语 3.2.1 风险管理过程risk managementprocess 将管理政策、规程和操作方法系统地应用于沟通、咨询、环境建立以及识别、分析、评价、应对、 监视和评审风险（3.1.3)的活动中。 [来源：GB/T 23694—2013,4.1,有修改] 3. 2. 2 风险沟通和咨询riskcommunication and consultation 组织为提供、分享或获取信息，与相关方就风险（3.1：3）管理进行沟通的一系列持续和往复的过 程。 注1：这些信息可能涉及风险的存在、性质、形式、可能性(3.1.13)、重要性、评价、可接受性和处置。 注2：咨询对问题进行决策或确定方向之前，在组织和其相关方之间进行知情沟通的双向过程。咨询是： 通过影响力而不是权力来影响决策的过程 一一某个决策的输入，而非联合决策。 3.2.3 风险评估riskassessment 4 GB/T31722-2025/ISO/IEC27005:2022 包括风险识别（3.2.4）、风险分析（3.2.5）和风险评价（3.2.6）的全过程。 [来源：GB/T 23694—2013,4.4.1] 3. 2. 4 风险识别risk identification 发现、确认和描述风险（3.1.3）的过程 注1：风险