【国家标准(GB)】 信息安全技术 信息安全风险管理指南

ICS35.040
中华人民共和国国家标准化指导性技术文件，GB/Z24364—2009
信息安全技术
信息安全风险管理指南
Information security technologyGuidelines for information security risk management2009-09-30发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会　
2009-12-01实施
1范围
2规范性引用文件
3术语和定义
4信息安全风险管理概述
4.1信息安全风险管理的范围和对象4.2信息安全风险管理的内容和过程目
4.3信息安全风险管理与信息系统生命周期和信息安全目标的关系4.4信息安全风险管理相关人员的角色和责任5背景建立
5.1背景建立概述
5.2背景建立过程
5.3背景建立文档
6风险评估
6.1风险评估概述
风险评估过程
风险评估文档·
风险处理
7.1风险处理概述
7.2风险处理过程
7.3风险处理文档
8批准监督·
8.1批准监督概述
8.2批准监督过程
8.3批准监督文档..
9监控审查…
监控审查概述·
监控审查过程
监控审查文档·
沟通咨询
沟通咨询概述
沟通咨询过程
10.3沟通咨询文档
11信息系统规划阶段的信息安全风险管理11.1安全目标和安全需求
11.2风险管理的过程与活动
12信息系统设计阶段的信息安全风险管理GB/Z24364—2009
GB/Z24364—2009
安全目标和安全需求
风险管理的过程与活动
13信息系统实施阶段的信息安全风险管理13.1安全目标和安全需求
13.2风险管理的过程与活动
14信息系统运行维护阶段的信息安全风险管理14.1安全目标和安全需求
14.2风险管理的过程与活动
15信息系统废弃阶段的信息安全风险管理15.1安全目标和安全需求：
15.2风险管理的过程与活动
附录A（资料性附录）风险处理参考模型及其需求和措施A.1风险处理参考模型
A.2风险处理的需求和措施
参考文献
本指导性技术文件的附录A为资料性附录。本指导性技术文件由全国信息安全标准化技术委员会提出并归口。GB/Z24364—2009
本指导性技术文件起草单位：国家信息中心信息安全研究与服务中心、中国电信股份有限公司北京研究院。
本指导性技术文件主要起草人：吴亚非、张鉴、范红、刘蓓、赵阳。GB/Z24364--2009
一个机构要利用其拥有的资源来完成其使命。在信息时代，信息成为第一战略资源，更是起着至关重要的作用。因此，信息资产的安全是关系到该机构能否完成其使命的大事。资产与风险是天生的一对矛盾，资产价值越高，面临的风险就越大。信息资产有着与传统资产不同的特性，面临着新型风险信息安全风险管理的目的就是要缓解并平衡这一对矛盾，将风险控制到可接受的程度，保护信息及其相关资产，最终保证机构能够完成其使命。信息安全风险管理是信息安全保障工作中的一项基础性工作，主要表现在以下几方面：信息安全风险管理的思想和错施应体现在信息安全保障体系的技术、组织和管理等全方位。由于在信息安全保障体系的技术
和管理等方面都存在着相关风险，因此，在信息安全保障体系中，技术、组织、管理中均应引人风险管理的思想，准确地评估风险并合理地处理风险，共同实现信息安全保障的目标。
信息安全风险管理的恩想和措施应贯穿于信息系统生命周期的全部过程。信息系统生命周期包括规划、设计、实施、运维和废弃五个阶段。每个阶段都存在着相关风险同样需要采用信息安全风险管理的思想加以应对，采用风险管理的措施加以控制。信息安全风险管理的思想和措施是贯彻信息安全等级保护制度的有力支撑。信息安全风险管理依据信息安全等级保的嗯想和原则，区分主次,平衡成本与效益，合理部署和利用信息全的保护机制、信任体系、监控体原
和应急处理等重要的基础设施，选择并确定合适的安全控制播施，从而保证机构具有完成其使命所需要
为落实国家加
的信息安全保障能力。
信息安全保障工作的要求，为实施信息安全等级保护制度的需要，制定本指导性技术文件。本指导性技术文件可与GB/T20984结合使用，并可作为机构建立信息安全管理体系（ISMS)的参考。
本指导性技术
生参考了ISOIEC 27005等国际信息安全风险管理的相券标准,并经过国家有关行业和地区的试点验证
标准针对信息安全风险管理所涉及的背景建立、风险评做风险处理、批准监督、监控审查、沟通咨询等
述,对信息安全风险管理在信息系统生命周期各阶同过程进行了综合性描送
段的应用作了系统阐述,
渐指的“风险管理”,其含义均为“信息安全风险管理”。本指导性技术文件条款中
本指导性技术文件中列出的带名号的文档是示范性的，其格式和详细两容未作规范。I
1范围
信息安全技术
信息安全风险管理指南
GB/Z24364—2009
本指导性技术文件规定了信息安全风险管理的内容和过程，为信息系统生命周期不同阶段的信息安全风险管理提供指导。
本指导性技术文件适用于指导组织进行信息安全风险管理工作。2规范性引用文件
下列文件中的条款通过本指导性技术文件的引用而成为本指导性技术文件的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本指导性技术文件，然而，鼓励根据本指导性技术文件达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本指导性技术文件。GB17859一1999计算机信息系统安全保护等级划分准则GB/T18336.2一2008信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求（ISO/IEC15408-2：2005，IDT)GB/T20984—2007信息安全技术信息安全风险评估规范GB/T22081—2008
3信息技术安全技术信息安全管理实用规则（ISO/IEC27002：2005，IDT）3术语和定义
下列术语和定义适用于本指导性技术文件。3.1
可用性availability
数据或资源的特性，被授权实体按要求能访问和使用数据或资源。[GB/T20984]
保密性confidentiality
数据所具有的特性，即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的程度。
[GB/T20984]
informationsecurityrisk
信息安全风险
人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
[GB/T20984]
完整性integrity
保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。[GB/T20984]
GB/Z24364—2009
风险risk
事态的概率及其结果的组合。
[GB/T22081]
风险管理1
risk management
识别、控制、消除或最小化可能影响系统资源的不确定因素的过程。3.7
风险处理
risktreatment
选择并且执行措施来更改风险的过程[GB/T22081]
信息安全风险管理概述
信息安全风险管理的就
范闺和对象
信息安全的概念
盖了信息、信息载体和信息环境3个方面的安全。信息指信息系统中采集、处理、存储的数据和文件等内容；信息截体指承载信息的媒介，即用于记录、传输、积累和保存信息的实体；信息环境指信息及信息载体所处的环境，包括物理平台、系统平台、网络平台和应用乎台等硬环境和软环境。
信息安全风险管
提基于风险的信息安全管理，也就是，始终以风险为主线进行信息安全的管理。风险管理应该涉及信息安全土述-3个方面（信息、信息载体和信息环境)中包含的从概念上讲，信息露金
所有相关对象。然而对于一个具体的信息系统，信息安全风险管理能主要涉及该信息系统的关键和根据实际信息系统的不间，信息安全风险管理的侧重点，即风险管理选择的范围和对敏感部分。因此，
象重点应有所不同
4.2信息安全风险箭理的内容和过程信息安全风险管理括背景建立、风险评估、风险处理、批准监督！监控审查和沟通咨询6个方面的内容。背景建立、风
通咨询则贯穿于这4
、风险处理和批准监督是循息安全风险管理的4个基本步骤，监控审查和沟涉骤中
，如图1所示，
背景建立
风险评估
风险处理
批准监督
图1信息安全风险管理的内容和过程第一步骤是背景建立，确定风险管理的对象和范围，确立实施风险管理的准备，进行相关信息的调2
GB/Z24364—2009
查和分析。第二步骤是风险评估，针对确立的风险管理对象所面临的风险进行识别、分析和评价。第三步骤是风险处理，依据风险评估的结果，选择和实施合适的安全措施。第四步骤是批准监督，机构的决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求，做出是否认可风险管理活动的决定。当受保护系统的业务目标和特性发生变化或面临新的风险时，需要再次进人上述4个步骤，形成新的一次循环。监控审查对上述4个步骤进行监控和审查。监控是监视和控制上述4个步骤的过程有效性和成本有效性；审查是跟踪受保护系统自身或所处环境的变化，以保证上述4个步骤的结果有效性和符合性。沟通咨询为上述4个步骤的相关人员提供沟通和咨询。沟通是为上述过程参与人员提供交流途径，以保持相关人员之间的协调一致，共同实现安全目标。咨询是为上述过程所有相关人员提供学习途径，以提高人员的风险意识和知识，配合实现安全目标。背景建立、风险评估、风险处理、批准监督、监控审查、沟通咨询构成了一个螺旋式上升的循环，使得受保护系统在自身和环境的变化中能够不断应对新的安全需求和风险。
在本指导性技术文件的第5章到第10章，对信息安全风险管理实施过程上述6个步骤的概念、过程、工作内容、输出文档等进行了阐述。4.3信息安全风险管理与信息系统生命周期和信息安全目标的关系4.3.1信息系统生命周期
信息系统生命周期是某一信息系统从无到有，再到扬弃的整个过程，包括规划、设计、实施、运行维护和废弃5个基本阶段。
在规划阶段，确定信息系统的目的、范围和需求，分析和论证可行性，提出总体方案。在设计阶段，依据总体方案，设计信息系统的实现结构（包括功能划分、接口协议和性能指标等）和实施方案（包括实现技术、设备选型和系统集成等）。在实施阶段，按照实施方案，购买和检测设备，开发定制功能，集成、部署、配置和测试系统，培训人员等。在运行维护阶段，运行和维护系统保证信息系统在自身和所处环境的变化中始终能够正常工作和不断升级。在废弃阶段，对信息系统的整体或信息系统过时或无用部分进行报废处理。当信息系统的业务目标和需求发生变化时，或技术和管理环境发生变化时，需要再次进人上述5个阶段，形成新的一次循环。因此，规划、设计、实施、运行维护和废弃构成了一个螺旋式上升的循环，使得信息系统不断适应自身和环境的变化。4.3.2信息安全目标
信息安全目标就是要实现信息系统的基本安全特性（即信息安全基本属性），并达到所需的保障级别。信息安全基本属性包括保密性、完整性、可用性、真实性和抗抵赖性等，每一属性都有相应的保障级别作为其强度的度量，如图2所示。保密性
真实性
完整性
保障级别
可用性bzxZ.net
抗抵赖性
图2信息安全基本属性及其保障级别保密性指信息与信息系统不被非授权者所获取或利用的特性，包括数据保密和访问控制等方面。完整性指信息与信息系统真实、准确和完备，不被冒充、伪造和篡改的特性，包括身份真实、数据完整和系统完整等方面。可用性指信息与信息系统可被授权者在需要的时候访问和使用的特性。真实性指确保主体或资源的身份正是所声称的特性。抗抵赖性指一个实体不能够否认其行为的特性，可以支持责3
GB/Z24364—2009
任追究、威假作用和法律行动等。保障级别指保密性、完整性、可用性、真实性和抗抵赖性在具体实现中达到的级别或强度，可以作为安全信任度的尺度。信息系统的安全保障级别主要是通过对信息系统进行安全测评和认证来确定的。
4.3.3三者关系
信息安全风险管理与信息系统生命周期和信息安全目标之间的关系可简要表述为，信息系统生命周期的每个阶段，为了达到其信息安全目标，都需要相应的信息安全风险管理手段作为支持。信息系统生命周期各阶段的特性及其信息安全目标的保障级别随行业特点和系统特性的不同而不同，也就是说，不同行业下的不同系统在信息系统生命周期的不同阶段，对信息安全基本属性（即保密性、完整性、可用性、真实性和抗抵赖性)的要求和侧重不同。因此，可在本指导性技术文件指导下开发行业的信息安全风险管理规范。对于信息安全目标的保障级别应遵循国家信息安全等级保护制度的要求，具体可参照GB17859-1999。在本指导性技术文件的第11章到第15章，对信息系统生命周期各个阶段的安全需求和目标，以及相应的信息安全风险管理主要过程和活动进行了阐述。4.4信息安全风险管理相关人员的角色和责任信息安全风险管理是基于风险的信息系统安全管理。因此，信息安全风险管理涉及人员，既包括信息安全风险管理的直接参与人员，也包括信息系统的相关人员。表1对信息安全风险管理相关人员的角色和责任进行了归纳和分类。表1信息安全风险管理相关人员的角色和责任层面
决策层
管理层
执行层
支持层
用户层
决策人员
管理人员
规划设计
建设人员
运行人员
维护人员
监控人员
支持人员
使用人员
内外部
内或外
内或外
内或外
内或外
信息系统
负责信息系统的重大决策
和总体规范
负责信息系统各方面的管
理、组织和协调
负责信息系统的规划和
负责信息系统的建设和
负责信息系统的日常运行
和操作
负责信息系统的日常维护，
包括维修和升级
负责信息系统的监视和
为信息系统提供专业技术
支持，包括咨询、培训、测评
和工具定制等服务
利用信息系统完成自身的
决策人员
管理人员
执行人员
监控人员
支持人员
使用人员
信息安全风险管理
内外部
内或外
内或外
负责信息安全风险管理的
重大决策、总体规划和批准
负责信息安全风险管理各
过程中的管理、组织和协调
负责信息安全风险管理的
具体规划、设计和实施
负责信息安全风险管理过
程、成本和结果的监视和
为信息安全风险管理提供
专业技术支持，包括咨询、
培训、测评和工具定制等
遵循信息安全风险管理的
原则和过程使用信息系统，
并反馈信息安全风险管理
的效果
GB/Z24364—-2009
5背景建立
5.1背景建立概述
5.1.1背景建立的概念
背景建立是信息安全风险管理的第一步骤，确定风险管理的对象和范围，确立实施风险管理的准备，进行相关信息的调查和分析。5.1.2背景建立的目的
背景建立是为了明确信息安全风险管理的范围和对象，以及对象的特性和安全要求，对信息安全风险管理项目进行规划和准备，保障后续的风险管理活动顺利进行。5.1.3背景建立的依据
国家、地区或行业的相关政策、法律、法规和标准以及信息系统的业务目标和特性都是背景建立的必要依据。
5.2背景建立过程
背景建立的过程包括风险管理准备、信息系统调查、信息系统分析和信息安全分析4个阶段。在信息安全风险管理过程中，背景建立过程是一次信息安全风险管理主循环的起始，为风险评估提供输人，监控审查和沟通咨询贯穿其4个阶段，如图3所示。沟通咨询
监控审查
背景建立
信息安全
信息系统
信息系统
风险管理
心系统的安全要一
拍息系统的安全环境
小统的关键要素
系统的体系结构
理特性
统的管
的技术特性
险管理团队
定风险管理对象
图3背景建立过程及其在信息安全风险管理中的位置5.2.1风险管理准备
如图4所示，风险管理准备阶段的工作过程和内容如下：a）确定风险管理对象。依据机构的使命，并遵循国家、地区或行业的相关政策、法律、法规和标准的规定，确定将要实施风险管理的对象。5
GB/Z24364--2009
组建风险管理团队。组建风险管理团队，确定团队成员、组织结构、角色、责任等内容。b)
制定风险管理计划。制定风险管理的实施计划，包括风险管理的目的、意义、范围、目标、组织c）
结构、实施方案、经费预算和进度安排等，形成风险管理计划书。d）获得支持。上述所有内容确定后，风险管理计划书应得到组织最高管理者的支持和批准；由决策层对管理层和执行层进行传达，在组织范围就风险管理相关内容进行培训，以明确有关人员在风险管理中的任务。
确定风险管理对象
机构的使命
组建风险管理团队
风险管理计划书
相关的政策、法律、
法规和标准
制定风险管理计划
获得支持
信息系统调查
图4风险管理准备阶段的过程及其输入输出5.2.2信息系统调查
如图5所示，信息系统调查阶段的工作过程和内容如下：a）调查信息系统的业务目标。了解机构的使命，包括战略背景和战略目标等，从中明确支持机构完成其使命的信息系统的业务目标。调查信息系统的业务特性。了解机构的业务，包括业务内容和业务流程等，从中明确支持机b)
构业务运营的信息系统的业务特性。调查信息系统的管理特性。了解机构的组织结构和管理制度，包括岗位设置、责任分配、规章c）
制度、操作规程和人事管理等，从中明确支持机构业务运营的信息系统的管理特性。调查信息系统的技术特性。了解信息系统的技术平台，包括物理平台、系统平台、通信平台、d)
网络平台和应用平台，从中明确支持业务运营的信息系统的技术特性。e)
汇总上述调查结果，形成信息系统的描述报告，其中包含信息系统的业务目标、业务特性、管理特性和技术特性等方面的内容。信息系统的调查方式包括问卷回答、人员访谈、现场考察、辅助工具等多种形式，可以根据实际情况灵活采用和结合使用。
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。