GB/T 24364-2023信息安全技術(shù) 信息安全風(fēng)險(xiǎn)管理實(shí)施指南【附下載】

中科至善 2023-12-22

一、GB/T 24364-2023標(biāo)準(zhǔn)概述

標(biāo)準(zhǔn)號(hào)：GB/T 24364-2023
中文名稱(chēng)：信息技術(shù) 信息安全風(fēng)險(xiǎn)管理實(shí)施指南
英文名稱(chēng)：Information security technology—Implementation guide for information security risk management
標(biāo)準(zhǔn)狀態(tài)：現(xiàn)行
發(fā)布日期：2023-05-23
實(shí)施日期：2023-12-01
全部代替標(biāo)準(zhǔn)：GB/Z 24364-2009
主管部門(mén)：國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)
發(fā)布單位：國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

文件下載：關(guān)注公眾號(hào)“信安客”，首頁(yè)對(duì)話框回復(fù)關(guān)鍵詞：20231222，即可免費(fèi)獲取和下載標(biāo)準(zhǔn)原文《GB/T 24364-2023信息安全技術(shù) 信息安全風(fēng)險(xiǎn)管理實(shí)施指南》，更多資料微信找 anjie067。

二、標(biāo)準(zhǔn)概覽

GB/T 24364-2023是對(duì)已廢止GB/Z 24364-2009的修訂，他確立了信息安全風(fēng)險(xiǎn)管理的框架，描述了信息安全風(fēng)險(xiǎn)管理的目標(biāo)、原則、保障機(jī)制、保障范疇、保障措施和保障能力，提供了風(fēng)險(xiǎn)管理全過(guò)程的實(shí)施要點(diǎn)和工作形式。

GB/T 24364-2023為各類(lèi)組織開(kāi)展信息安全風(fēng)險(xiǎn)管理工作提供了參考，為支撐國(guó)家網(wǎng)絡(luò)安全主管部門(mén)掌控安全風(fēng)險(xiǎn)狀況提供了抓手和途徑，為各級(jí)風(fēng)險(xiǎn)管理部門(mén)提升安全風(fēng)險(xiǎn)管控能力提供了工具和參考，為風(fēng)險(xiǎn)管理評(píng)估機(jī)構(gòu)開(kāi)展風(fēng)險(xiǎn)管理工作提供了規(guī)范和指導(dǎo)，為全社會(huì)進(jìn)一步筑牢網(wǎng)絡(luò)安全防線提供了有力保障。

三、信息安全風(fēng)險(xiǎn)管理實(shí)施框架

信息安全風(fēng)險(xiǎn)管理的目標(biāo)是在確保安全合規(guī)的前提下，平衡組織發(fā)展與信息安全之間的關(guān)系。通過(guò)全面識(shí)別風(fēng)險(xiǎn)、科學(xué)評(píng)價(jià)風(fēng)險(xiǎn)、合理處置風(fēng)險(xiǎn)和持續(xù)監(jiān)視風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制到可接受程度。促進(jìn)業(yè)務(wù)安全、持續(xù)、穩(wěn)定運(yùn)行，提升組織數(shù)字化應(yīng)用水平，增強(qiáng)可持續(xù)發(fā)展能力。遵循分級(jí)管理、全面管理、動(dòng)態(tài)調(diào)整、科學(xué)合理等管理原則,建立健全信息安全風(fēng)險(xiǎn)管理保障機(jī)制、保障措施,并在資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、已有措施有效性評(píng)價(jià)、風(fēng)險(xiǎn)分析與評(píng)價(jià)、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警和風(fēng)險(xiǎn)信息共享等風(fēng)險(xiǎn)管理能力的基礎(chǔ)上，執(zhí)行語(yǔ)境建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處置、批準(zhǔn)留存、監(jiān)視與評(píng)審和溝通與咨詢(xún)等風(fēng)險(xiǎn)管理過(guò)程，以實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)管理目標(biāo)。圖1給出了組織開(kāi)展信息安全風(fēng)險(xiǎn)管理工作的實(shí)施框架。

信息安全風(fēng)險(xiǎn)管理實(shí)施框架

四、信息安全風(fēng)險(xiǎn)管理過(guò)程

信息安全風(fēng)險(xiǎn)管理包括語(yǔ)境建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處置、批準(zhǔn)留存、監(jiān)視與評(píng)審和溝通與咨詢(xún)6個(gè)方面的內(nèi)容。語(yǔ)境建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處置和批準(zhǔn)留存是信息安全風(fēng)險(xiǎn)管理的4個(gè)基本步驟，監(jiān)視與評(píng)審和溝通與咨詢(xún)則貫穿于這4個(gè)基本步驟中，見(jiàn)圖2。

信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程

五、信息安全風(fēng)險(xiǎn)管理的四大步驟

第一步：語(yǔ)境建立，確定風(fēng)險(xiǎn)管理的對(duì)象和范圍,實(shí)施風(fēng)險(xiǎn)管理準(zhǔn)備，進(jìn)行相關(guān)信息的調(diào)查和分析，明確風(fēng)險(xiǎn)管理對(duì)象的安全要求。語(yǔ)境建立的過(guò)程包括風(fēng)險(xiǎn)管理準(zhǔn)備、風(fēng)險(xiǎn)管理對(duì)象調(diào)查與分析、信息安全要求分析3個(gè)工作階段。

第二步：風(fēng)險(xiǎn)評(píng)估，針對(duì)確立的風(fēng)險(xiǎn)管理對(duì)象所面臨的風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析和評(píng)價(jià)。風(fēng)險(xiǎn)評(píng)估的過(guò)程包括風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、風(fēng)險(xiǎn)要素識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)4個(gè)階段。

第三步：風(fēng)險(xiǎn)處置，依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,選擇并執(zhí)行合適的安全措施來(lái)降低風(fēng)險(xiǎn)的過(guò)程。風(fēng)險(xiǎn)處置的過(guò)程包括風(fēng)險(xiǎn)處置準(zhǔn)備、風(fēng)險(xiǎn)處置實(shí)施、風(fēng)險(xiǎn)處置效果評(píng)價(jià)3個(gè)階段。

第四步：批準(zhǔn)留存，機(jī)構(gòu)的決策層依據(jù)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置的結(jié)果是否滿(mǎn)足風(fēng)險(xiǎn)管理對(duì)象的安全要求，做出是否認(rèn)可風(fēng)險(xiǎn)管理活動(dòng)的決定，并將結(jié)果留存。批準(zhǔn)留存過(guò)程包括批準(zhǔn)申請(qǐng)、批準(zhǔn)處置和文檔留存3個(gè)階段。

當(dāng)風(fēng)險(xiǎn)管理對(duì)象的業(yè)務(wù)目標(biāo)和特性發(fā)生變化或面臨新的風(fēng)險(xiǎn)時(shí)，需要再次進(jìn)入上述4個(gè)步驟，形成一次新的循環(huán)。

監(jiān)視與評(píng)審包括對(duì)上述4個(gè)主體步驟的監(jiān)視和評(píng)審。監(jiān)視是定期或不定期對(duì)風(fēng)險(xiǎn)管理過(guò)程的運(yùn)行情況進(jìn)行查看，了解風(fēng)險(xiǎn)管理過(guò)程的執(zhí)行情況，持續(xù)監(jiān)測(cè)風(fēng)險(xiǎn)的變化，及時(shí)進(jìn)行風(fēng)險(xiǎn)預(yù)警和風(fēng)險(xiǎn)處置，評(píng)審是對(duì)監(jiān)視的結(jié)果進(jìn)行分析和評(píng)價(jià)，從而確定風(fēng)險(xiǎn)管理過(guò)程的有效性，并持續(xù)改進(jìn)。

溝通與咨詢(xún)?yōu)樯鲜?個(gè)步驟中相關(guān)方提供溝通和咨詢(xún)。溝通與咨詢(xún)是通過(guò)相關(guān)方之間交換和/或共享關(guān)于風(fēng)險(xiǎn)的信息,就如何管理風(fēng)險(xiǎn)達(dá)成一致的活動(dòng)。溝通是在相關(guān)方需要時(shí)為其提供學(xué)習(xí)途徑,以保持參與人員之間的協(xié)調(diào)一致,共同實(shí)現(xiàn)安全目標(biāo)。咨詢(xún)是為所有相關(guān)方提供學(xué)習(xí)途徑,以增強(qiáng)風(fēng)險(xiǎn)意識(shí)、知識(shí)和技能,配合實(shí)現(xiàn)安全目標(biāo)。

語(yǔ)境建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處置、批準(zhǔn)留存、監(jiān)視與評(píng)審、溝通與咨詢(xún)構(gòu)成了一個(gè)螺旋式上升的循環(huán)，使得風(fēng)險(xiǎn)管理對(duì)象在自身和環(huán)境的變化中能不斷應(yīng)對(duì)新的安全需求和風(fēng)險(xiǎn)。

六、類(lèi)似標(biāo)準(zhǔn)(計(jì)劃)

    GB/T 33132-2016 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)處理實(shí)施指南
    GB/T 31509-2015 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南
    DB21/T 1628.5-2014 信息安全第5部分:個(gè)人信息安全風(fēng)險(xiǎn)管理指南
    DB21/T 1628.6-2018 信息安全個(gè)人信息安全管理體系第6部分：安全技術(shù)實(shí)施指南
    GB/T 36637-2018 信息安全技術(shù) ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南
    DB21/T 1628.2-2018 信息安全個(gè)人信息安全管理體系第2部分：實(shí)施指南
    GB/T 31495.3-2015 信息安全技術(shù) 信息安全保障指標(biāo)體系及評(píng)價(jià)方法第3部分：實(shí)施指南
    DB21/T 1628.7-2018 信息安全個(gè)人信息安全管理體系第7部分：內(nèi)審實(shí)施指南
    GB/Z 24294.1-2018 信息安全技術(shù) 基于互聯(lián)網(wǎng)電子政務(wù)信息安全實(shí)施指南第1部分：總則
    20210995-T-469 信息安全技術(shù) 重要數(shù)據(jù)識(shí)別指南

往期標(biāo)準(zhǔn)
1、《GB/T 20986-2023 信息安全技術(shù) 網(wǎng)絡(luò)安全事件分類(lèi)分級(jí)指南》
2、《GB/T 39204-2022信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》
3、《GB/T 42926-2023金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范》
4、《GB/T 31496-2023信息技術(shù) 安全技術(shù) 信息安全管理體系指南》

以上信息由中科至善（uvsec.com）整理發(fā)布。

GB T 24364-2023 信息安全風(fēng)險(xiǎn)管理實(shí)施指南

上一篇：《網(wǎng)絡(luò)安全事件分級(jí)指南》 -國(guó)家互聯(lián)網(wǎng)信息辦公室

下一篇：我國(guó)部署推動(dòng)網(wǎng)信事業(yè)高質(zhì)量發(fā)展，闊步邁向網(wǎng)絡(luò)強(qiáng)國(guó)