GB/T 31722-2025 网络安全技术 信息安全风险管理指导

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T31722—2025/ISO/IEC270052022

:

代替GB/T31722—2015

网络安全技术信息安全风险管理指导

Cybersecuritytechnology—Guidanceonmanaginginformationsecurityrisks

ISO/IEC270052022Informationsecuritcbersecuritandrivac

(:,y,yypy

rotection—GuidanceonmanaininformationsecuritrisksIDT

pggy,)

2025-08-01发布2026-02-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T31722—2025/ISO/IEC270052022

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

信息安全风险相关术语

3.1……………1

信息安全风险管理相关术语

3.2………………………4

文件结构

4…………………5

信息安全风险管理

5………………………6

信息安全风险管理过程

5.1……………6

信息安全风险管理循环

5.2……………7

环境建立

6…………………7

组织需考虑的事项

6.1…………………7

识别相关方的基本要求

6.2……………8

应用风险评估

6.3………………………8

建立和维护信息安全风险准则

6.4……………………8

选择适当的方法

6.5……………………12

信息安全风险评估过程

7…………………12

概述

7.1…………………12

信息安全风险识别

7.2…………………13

信息安全风险分析

7.3…………………14

信息安全风险评价

7.4…………………16

信息安全风险处置过程

8…………………17

概述

8.1…………………17

选择适合的信息安全风险处置选项

8.2………………17

确定实现信息安全风险处置选项所需的所有控制

8.3………………18

比较确定的控制与中附录中的控制

8.4GB/T22080—2025A……20

制定适用性声明

8.5……………………20

信息安全风险处置计划

8.6……………21

运行

9………………………23

执行信息安全风险评估过程

9.1………………………23

执行信息安全风险处置过程

9.2………………………23

利用相关过程

10ISMS…………………23

Ⅰ

GB/T31722—2025/ISO/IEC270052022

:

组织环境

10.1…………………………23

领导和承诺

10.2………………………24

沟通和咨询

10.3………………………24

文件化信息

10.4………………………25

监视和评审

10.5………………………27

管理评审

10.6…………………………28

纠正措施

10.7…………………………28

持续改进

10.8…………………………28

附录资料性支持风险评估过程的技术示例

A()………30

信息安全风险准则

A.1………………30

实践技术

A.2…………………………34

参考文献

……………………48

图信息安全风险管理过程

1………………6

图信息安全风险评估组成部分

A.1……………………34

图资产依赖关系图的示例

A.2…………35

图生态系统中相关方的识别

A.3………………………38

图基于风险场景的风险评估

A.4………………………45

图模型应用的示例

A.5SFDT…………47

表后果标度示例

A.1……………………30

表可能性标度示例

A.2…………………31

表风险准则的定性方法示例

A.3………………………32

表对数型可能性标度示例

A.4…………33

表对数型后果标度示例

A.5……………33

表使用三色风险矩阵的评价标度示例

A.6……………34

表风险源示例及常用攻击方法

A.7……………………36

表用预期最终状态表述动机分类的示例

A.8…………37

表攻击目标的示例

A.9…………………37

表典型威胁示例

A.10……………………39

表典型脆弱性示例

A.11…………………41

表两种方法中风险场景示例

………………………

A.1245

表风险场景和监视风险相关事态关系的示例

A.13……………………46

Ⅱ

GB/T31722—2025/ISO/IEC270052022

:

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件代替信息技术安全技术信息安全风险管理与

GB/T31722—2015《》,GB/T31722—

相比除结构调整和编辑性改动外主要技术变化如下

2015,,:

删除了影响信息安全风险风险规避风险估算等术语及其定义见年版的第章

a)“”“”“”“”(20153);

增加了风险场景控制等术语及其定义见第章

b)“”“”(3);

删除了背景见年版的第章

c)“”(20155);

增加了信息安全风险管理循环见

d)“”(5.2);

更改了信息安全风险评估过程增加了基于事态的方法基于资产的方法见第章

e)“”,“”“”(7,

年版的第章

20158);

增加了运行见第章

f)“”(9);

增加了利用相关过程见第章

g)“ISMS”(10)。

本文件等同采用信息安全网络安全和隐私保护信息安全风险管理指导

ISO/IEC27005:2022《》。

本文件做了下列最小限度的编辑性改动

:

为与我国技术标准体系协调将标准名称改为网络安全技术信息安全风险管理指导

———,《》。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国电子技术标准化研究院北京安信天行科技有限公司中国网络安全审查认

:、、

证和市场监管大数据中心中国合格评定国家认可中心中国信息安全测评中心黑龙江省网络空间研

、、、

究中心中电长城网际系统应用有限公司山东省标准化研究院北京天融信网络安全技术有限公司

、、、、

广州民航信息技术有限公司陕西省网络与信息安全测评中心亚信科技成都有限公司南方电网数

、、()、

字电网集团信息通信科技有限公司新华三技术有限公司国网网安北京科技有限公司国家计算机

、、()、

网络应急技术处理协调中心中国联合网络通信集团有限公司启明星辰信息技术集团股份有限公司

、、、

北京神州绿盟科技有限公司中科信息安全共性技术国家工程研究中心有限公司杭州安恒信息技术股

、、

份有限公司公安部第一研究所北京山石网科信息技术有限公司民航成都电子信息技术有限责任公

、、、

司北京中金云网科技有限公司北京赛西认证有限责任公司上海观安信息技术股份有限公司上海三

、、、、

零卫士信息安全有限公司北京时代新威信息技术有限公司西北工业大学国家能源集团新能源技术

、、、

研究院有限公司

。

本文件主要起草人许玉娜陈青民林阳荟晨王秉政付志高尤其范科峰李琳王琰方舟

:、、、、、、、、、、

曲家兴白瑞闵京华公伟雷晓锋白旭东杨婧婧陆丽王姣朱雪峰郑耀宗李俊廖双晓王健

、、、、、、、、、、、、、、

万晓兰李祉岐崔牧凡靳蒲胡月郝少硕胡建勋陈星吕由李秋香何伊圣马勇程燕赵丽华

、、、、、、、、、、、、、、

谢江刘彪王连强王震高超张秋生李京吕方超

、、、、、、、。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为

———2015GB/T31722—2015;

本次为第一次修订

———。

Ⅲ

GB/T31722—2025/ISO/IEC270052022

:

引言

本文件就以下方面提供指导

:

实现中规定的信息安全风险管理要求应对信息安全相关风险的措施见

———GB/T22080—2025;(

中和第章

GB/T22080—20256.18);

在信息安全环境下实现中的风险管理指导

———GB/T24353—2022。

本文件包含风险管理的具体指导并对进行了补充

,GB/T31496—2023。

Ⅳ

GB/T31722—2025/ISO/IEC270052022

:

网络安全技术信息安全风险管理指导

1范围

本文件提供了指导以帮助组织

,:

满足有关应对信息安全风险活动的要求

———GB/T22080—2025;

实施信息安全风险管理活动特别是信息安全风险评估和处置

———,。

本文件适用于所有组织无论其类型规模或领域

,、。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术信息安全管理体系概述和词汇

ISO/IEC27000(Informationsecuritymanage-

mentsystems—Overviewandvocabulary)

注信息安全技术信息安全管理体系概述和词汇

:GB/T29246—2023(ISO/IEC27000:2018,IDT)

3术语和定义

界定的以及下列术语和定义适用于本文件

ISO/IEC27000。

和维护用于标准化的术语数据库地址如下

ISOIEC,:

在线浏览平台

———ISO:/obp;

电子百科平台

———IEC:。

31信息安全风险相关术语

.

311

..

外部环境externalcontext

组织寻求其目标实现所处的外部状况

。

注外部环境包括以下内容

::

国际国内区域或地方的社会文化政治法律监管金融技术经济地质环境

———、、、、、、、、、、;

对组织目标有影响的关键驱动因素和趋势

———;

与外部相关方的关系看法价值观需求和期望

———、、、;

合同关系和承诺

———;

网络的复杂性和依赖性

———。

来源有修改

[:GB/T23694—2024,3.3.4,]

312

..

内部环境internalcontext

组织寻求其目标实现所处的内部状况

。

注内部环境包括以下内容

::

愿景使命和价值观

———、;

1

GB/T31722—2025/ISO/IEC270052022

:

治理组织结构职能和责任

———、、;

战略目标和方针

———、;

组织文化

———;

组织采用的标准指南和模型

———、;

从资源和知识角度理解的能力例如资本时间人员过程系统和技术

———(,、、、、);

数据信息系统和信息流

———、;

与内部相关方的关系考虑到他们的看法和价值观

———,;

合同关系和承诺

———;

内部相互依赖和相互联系

———。

来源有修改

[:GB/T23694—2024,3.3.5,]

313

..

风险risk

不确定性对目标的影响

。

注1影响是指偏离预期偏离是正面的或负面的

:,。

注2目标可能有不同方面和种类能应用在不同层级

:,。

注3不确定性是指理解或知晓事态及其后果或可能性的相关信息不足甚至仅有部分信

:(3.1.11)(3.1.14)(3.1.13),

息的状态

。

注4风险通常以风险源潜在事态后果及其可能性表示

:(3.1.6)、、。

注5在信息安全管理体系中信息安全风险能表示为不确定性对信息安全目标的影响

:,。

注6信息安全风险通常与不确定性对信息安全目标的负面影响相关

:。

注7信息安全风险可能与威胁利用单个或一组信息资产的脆弱性从而对组织造成伤害的可能性

:(3.1.9)(3.1.10),

相关

。

来源有修改

[:GB/T24353—2022,3.1,]

314

..

风险场景riskscenario

由最初的起因导致不期望后果的事态序列或组合

(3.1.14)(3.1.11)。

来源有修改

[:ISO17666:2016,3.1.13,]

315

..

风险责任人riskowner

具有管理风险的责任和权限的个人或实体

(3.1.3)