- 现行
- 正在执行有效
- 2015-06-02 颁布
- 2016-02-01 实施
下载本文档
文档简介
ICS35040
L80.
中华人民共和国国家标准
GB/T31722—2015/ISO/IEC270052008
:
信息技术安全技术
信息安全风险管理
Informationtechnology—Securitytechniques—
Informationsecurityriskmanagement
(ISO/IEC27005:2008,IDT)
2015-06-02发布2016-02-01实施
中华人民共和国国家质量监督检验检疫总局发布
中国国家标准化管理委员会
GB/T31722—2015/ISO/IEC270052008
:
目次
前言
…………………………Ⅰ
引言
…………………………Ⅱ
范围
1………………………1
规范性引用文件
2…………………………1
术语和定义
3………………1
本标准结构
4………………2
背景
5………………………3
信息安全风险管理过程概述
6……………3
语境建立
7…………………5
信息安全风险评估
8………………………7
信息安全风险处置
9………………………13
信息安全风险接受
10……………………16
信息安全风险沟通
11……………………16
信息安全风险监视和评审
12……………17
附录资料性附录确定信息安全风险管理过程的范围和边界
A()……19
附录资料性附录资产识别和估价以及影响评估
B()…………………22
附录资料性附录典型威胁示例
C()……………………28
附录资料性附录脆弱性和脆弱性评估方法
D()………31
附录资料性附录信息安全评估方法
E()………………35
附录资料性附录风险降低的约束
F()…………………40
参考文献
……………………42
GB/T31722—2015/ISO/IEC270052008
:
前言
本标准按照给出的规则起草
GB/T1.1—2009。
请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任
。。
本标准使用翻译法等同采用信息技术安全技术信息安全风险管理英
ISO/IEC27005:2008《》(
文版
)。
本标准做了以下修改
:
对引言做了一些编辑性修改
———。
本标准由全国信息安全标准化技术委员会提出并归口
(SAC/TC260)。
本标准起草单位中国电子技术标准化研究院上海三零卫士信息安全有限公司中电长城网际系
:、、
统应用有限公司山东省计算中心北京信息安全测评中心
、、。
本标准主要起草人许玉娜闵京华上官晓丽董火民赵章界李刚周鸣乐
:、、、、、、。
Ⅰ
GB/T31722—2015/ISO/IEC270052008
:
引言
信息安全管理体系标准族简称标准族是国际
(InformationSecurityManagementSystem,ISMS)
信息安全技术标准化组织制定的信息安全管理体系系列国际标准标准
(ISO/IECJTC1SC27)。ISMS
族旨在帮助各种类型和规模的组织开发和实施管理其信息资产安全的框架并为保护组织信息诸如
,,(,
财务信息知识产权员工详细资料或者受客户或第三方委托的信息的的独立评估做准备
、、,)ISMS。
标准族包括的标准定义了的要求及其认证机构的要求提供了对整个规划实施检
ISMS:a)ISMS;b)“--
查处置过程和要求的直接支持详细指南和或解释阐述了特定行业的指南阐
-”(PDCA)、();c)ISMS;d)
述了的一致性评估
ISMS。
目前标准族由下列标准组成
,ISMS:
信息技术安全技术信息安全管理体系概述和词汇
———GB/T29246—2012
(ISO/IEC27000:2009)
信息技术安全技术信息安全管理体系要求
———GB/T22080—2008(ISO/IEC27001:
2005)
信息技术安全技术信息安全管理实用规则
———GB/T22081—2008(ISO/IEC27002:2005)
信息技术安全技术信息安全管理体系实施指南
———GB/T31496—2015(ISO/IEC27003:
2010)
信息技术安全技术信息安全管理测量
———GB/T31497—2015(ISO/IEC27004:2009)
信息技术安全技术信息安全风险管理
———GB/T31722—2015(ISO/IEC27005:2008)
信息技术安全技术信息安全管理体系审核认证机构的要求
———GB/T25067—2010(ISO/
IEC27006:2007)
信息技术安全技术信息安全管理体系审核指南
———ISO/IEC27007:2011
信息技术安全技术信息安全控制措施审核员指南
———ISO/IECTR27008:2011
信息技术安全技术行业间及组织间通信的信息安全管理
———ISO/IEC27010:2012
信息技术安全技术基于的电信行业组织的信息
———ISO/IEC27011:2008ISO/IEC27002
安全管理指南
信息技术安全技术和集成实施
———ISO/IEC27013:2012ISO/IEC27001ISO/IEC20000-1
指南
信息技术安全技术信息安全治理
———ISO/IEC27014:2013
信息技术安全技术金融服务信息安全管理指南
———ISO/IECTR27015:2012
本标准作为标准族之一为组织内的信息安全风险管理提供指南特别是支持按照
ISMS,,
的要求然而本标准不提供信息安全风险管理的任何特定方法由组织来确定
GB/T22080ISMS。,。
其风险管理方法这取决于诸如组织的范围风险管理语境或所处行业一些现有的方法可在本
,ISMS、。
标准描述的框架下使用以实现的要求
,ISMS。
本标准的相关方包括关心组织内信息安全风险的管理者和员工以及在适当情况下支持这种活动
()
的外部方
。
Ⅱ
GB/T31722—2015/ISO/IEC270052008
:
信息技术安全技术
信息安全风险管理
1范围
本标准为信息安全风险管理提供指南
。
本标准支持所规约的一般概念旨在为基于风险管理方法来符合要求地实现信息安
GB/T22080,
全提供帮助
。
知晓和中所描述的概念模型过程和术语对于完整地理解本标准是
GB/T22080GB/T22081、、,
重要的
。
本标准适用于各种类型的组织例如商务企业政府机构非盈利性组织这些组织期望管理可能
(,、、),
危及其信息安全的风险
。
2规范性引用文件
下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文
。,
件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件
。,()。
信息技术安全技术信息安全管理体系要求
GB/T22080—2008
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 2024年环保型增塑剂项目融资计划书
- 2024年布展装修项目融资计划书
- 2024年磁性载体材料市场分析及竞争策略报告
- 2024年安全员理论考试题库ab卷
- 大型防汛应急演练方案范本
- 2024年安全员考试题库附答案(模拟题)
- 2024安全员保安服务考核题库附参考答案(达标题)
- 2024安全员保安服务考核题库及答案一套
- 2024年安全员(初级)考试题库附参考答案(培优)
- 2024年安全员考试题加答案解析
- 工程项目消防、保卫、健康体系及措施
- 施工现场消防安全方案
- 动物源性食品中211种农药及相关化学品的保留时间、定量离子对、定性离子对
- 蛋白质印迹法中免染技术和总蛋白定量方法的研究进展
- 高一数学题库
- 标志用公共信息图形符号 第一部分:通用符号
- 焊工理论知识考试题库
- GB∕T 39750-2021 光伏发电系统直流电弧保护技术要求
- 中国大蒜食品冷链物流中心产业分析
- EPC工程总承包项目职业健康管理要点(完整版)
- 钻井(石油天然气)工程施工承包合同
评论
0/150
提交评论