GB/T 24364-2023 信息安全技术 信息安全风险管理实施指南

ICS35.030

CCSL80

中华人民共和国国家标准

/—

GBT243642023

代替/—

GBZ243642009

信息安全技术

信息安全风险管理实施指南

Informationsecurittechnolo—

ygy

Imlementationuideforinformationsecuritriskmanaement

pgyg

2023-05-23发布2023-12-01实施

国家市场监督管理总局

发布

国家标准化管理委员会

/—

GBT243642023

目次

前言…………………………Ⅲ

引言…………………………Ⅳ

1范围………………………1

2规范性引用文件…………………………1

、………………………

3术语和定义缩略语1

3.1术语和定义…………………………1

3.2缩略语………………2

4信息安全风险管理实施框架……………2

5信息安全风险管理原则…………………3

5.1分级管理……………3

5.2全面管理……………3

5.3动态调整……………3

5.4科学合理……………3

6信息安全风险管理保障机制……………4

6.1领导负责制…………………………4

6.2统筹协调机制………………………4

6.3专家咨询机制………………………4

6.4重大风险会商机制…………………4

7信息安全风险管理保障措施……………5

7.1人员保障……………5

7.2制度保障……………5

7.3经费保障……………5

7.4工具保障……………5

8信息安全风险管理能力…………………6

8.1资产识别能力………………………6

8.2威胁识别能力………………………6

8.3脆弱性识别能力……………………6

8.4已有措施有效性评价能力…………6

8.5风险分析与评价能力………………7

8.6风险处置能力………………………7

8.7风险监测预警能力…………………7

8.8风险信息共享能力…………………8

9信息安全风险管理过程…………………8

Ⅰ

/—

GBT243642023

9.1概述…………………8

9.2语境建立……………10

9.3风险评估……………14

9.4风险处置……………18

9.5批准留存……………23

9.6监视与评审…………………………27

9.7沟通与咨询…………………………30

()………………

附录资料性文档输出

A35

A.1语境建立文档……………………35

A.2风险评估文档……………………35

A.3风险处置文档……………………36

A.4批准留存文档……………………37

A.5监视与评审文档…………………37

A.6沟通与咨询文档…………………37