GB/T 24364-2023信息安全技術(shù) 信息安全風(fēng)險管理實施指南【附下載】

中科至善 2023-12-22

一、GB/T 24364-2023標(biāo)準(zhǔn)概述

標(biāo)準(zhǔn)號：GB/T 24364-2023
中文名稱：信息技術(shù) 信息安全風(fēng)險管理實施指南
英文名稱：Information security technology—Implementation guide for information security risk management
標(biāo)準(zhǔn)狀態(tài)：現(xiàn)行
發(fā)布日期：2023-05-23
實施日期：2023-12-01
全部代替標(biāo)準(zhǔn)：GB/Z 24364-2009
主管部門：國家標(biāo)準(zhǔn)化管理委員會
發(fā)布單位：國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會

文件下載：關(guān)注公眾號“信安客”，首頁對話框回復(fù)關(guān)鍵詞：20231222，即可免費獲取和下載標(biāo)準(zhǔn)原文《GB/T 24364-2023信息安全技術(shù) 信息安全風(fēng)險管理實施指南》，更多資料微信找 anjie067。

二、標(biāo)準(zhǔn)概覽

GB/T 24364-2023是對已廢止GB/Z 24364-2009的修訂，他確立了信息安全風(fēng)險管理的框架，描述了信息安全風(fēng)險管理的目標(biāo)、原則、保障機(jī)制、保障范疇、保障措施和保障能力，提供了風(fēng)險管理全過程的實施要點和工作形式。

GB/T 24364-2023為各類組織開展信息安全風(fēng)險管理工作提供了參考，為支撐國家網(wǎng)絡(luò)安全主管部門掌控安全風(fēng)險狀況提供了抓手和途徑，為各級風(fēng)險管理部門提升安全風(fēng)險管控能力提供了工具和參考，為風(fēng)險管理評估機(jī)構(gòu)開展風(fēng)險管理工作提供了規(guī)范和指導(dǎo)，為全社會進(jìn)一步筑牢網(wǎng)絡(luò)安全防線提供了有力保障。

三、信息安全風(fēng)險管理實施框架

信息安全風(fēng)險管理的目標(biāo)是在確保安全合規(guī)的前提下，平衡組織發(fā)展與信息安全之間的關(guān)系。通過全面識別風(fēng)險、科學(xué)評價風(fēng)險、合理處置風(fēng)險和持續(xù)監(jiān)視風(fēng)險，將風(fēng)險控制到可接受程度。促進(jìn)業(yè)務(wù)安全、持續(xù)、穩(wěn)定運行，提升組織數(shù)字化應(yīng)用水平，增強可持續(xù)發(fā)展能力。遵循分級管理、全面管理、動態(tài)調(diào)整、科學(xué)合理等管理原則,建立健全信息安全風(fēng)險管理保障機(jī)制、保障措施,并在資產(chǎn)識別、威脅識別、脆弱性識別、已有措施有效性評價、風(fēng)險分析與評價、風(fēng)險處置、風(fēng)險監(jiān)測預(yù)警和風(fēng)險信息共享等風(fēng)險管理能力的基礎(chǔ)上，執(zhí)行語境建立、風(fēng)險評估、風(fēng)險處置、批準(zhǔn)留存、監(jiān)視與評審和溝通與咨詢等風(fēng)險管理過程，以實現(xiàn)信息安全風(fēng)險管理目標(biāo)。圖1給出了組織開展信息安全風(fēng)險管理工作的實施框架。

信息安全風(fēng)險管理實施框架

四、信息安全風(fēng)險管理過程

信息安全風(fēng)險管理包括語境建立、風(fēng)險評估、風(fēng)險處置、批準(zhǔn)留存、監(jiān)視與評審和溝通與咨詢6個方面的內(nèi)容。語境建立、風(fēng)險評估、風(fēng)險處置和批準(zhǔn)留存是信息安全風(fēng)險管理的4個基本步驟，監(jiān)視與評審和溝通與咨詢則貫穿于這4個基本步驟中，見圖2。

信息安全風(fēng)險管理的內(nèi)容和過程

五、信息安全風(fēng)險管理的四大步驟

第一步：語境建立，確定風(fēng)險管理的對象和范圍,實施風(fēng)險管理準(zhǔn)備，進(jìn)行相關(guān)信息的調(diào)查和分析，明確風(fēng)險管理對象的安全要求。語境建立的過程包括風(fēng)險管理準(zhǔn)備、風(fēng)險管理對象調(diào)查與分析、信息安全要求分析3個工作階段。

第二步：風(fēng)險評估，針對確立的風(fēng)險管理對象所面臨的風(fēng)險進(jìn)行識別、分析和評價。風(fēng)險評估的過程包括風(fēng)險評估準(zhǔn)備、風(fēng)險要素識別、風(fēng)險分析和風(fēng)險評價4個階段。

第三步：風(fēng)險處置，依據(jù)風(fēng)險評估的結(jié)果,選擇并執(zhí)行合適的安全措施來降低風(fēng)險的過程。風(fēng)險處置的過程包括風(fēng)險處置準(zhǔn)備、風(fēng)險處置實施、風(fēng)險處置效果評價3個階段。

第四步：批準(zhǔn)留存，機(jī)構(gòu)的決策層依據(jù)風(fēng)險評估和風(fēng)險處置的結(jié)果是否滿足風(fēng)險管理對象的安全要求，做出是否認(rèn)可風(fēng)險管理活動的決定，并將結(jié)果留存。批準(zhǔn)留存過程包括批準(zhǔn)申請、批準(zhǔn)處置和文檔留存3個階段。

當(dāng)風(fēng)險管理對象的業(yè)務(wù)目標(biāo)和特性發(fā)生變化或面臨新的風(fēng)險時，需要再次進(jìn)入上述4個步驟，形成一次新的循環(huán)。

監(jiān)視與評審包括對上述4個主體步驟的監(jiān)視和評審。監(jiān)視是定期或不定期對風(fēng)險管理過程的運行情況進(jìn)行查看，了解風(fēng)險管理過程的執(zhí)行情況，持續(xù)監(jiān)測風(fēng)險的變化，及時進(jìn)行風(fēng)險預(yù)警和風(fēng)險處置，評審是對監(jiān)視的結(jié)果進(jìn)行分析和評價，從而確定風(fēng)險管理過程的有效性，并持續(xù)改進(jìn)。

溝通與咨詢?yōu)樯鲜?個步驟中相關(guān)方提供溝通和咨詢。溝通與咨詢是通過相關(guān)方之間交換和/或共享關(guān)于風(fēng)險的信息,就如何管理風(fēng)險達(dá)成一致的活動。溝通是在相關(guān)方需要時為其提供學(xué)習(xí)途徑,以保持參與人員之間的協(xié)調(diào)一致,共同實現(xiàn)安全目標(biāo)。咨詢是為所有相關(guān)方提供學(xué)習(xí)途徑,以增強風(fēng)險意識、知識和技能,配合實現(xiàn)安全目標(biāo)。

語境建立、風(fēng)險評估、風(fēng)險處置、批準(zhǔn)留存、監(jiān)視與評審、溝通與咨詢構(gòu)成了一個螺旋式上升的循環(huán)，使得風(fēng)險管理對象在自身和環(huán)境的變化中能不斷應(yīng)對新的安全需求和風(fēng)險。

六、類似標(biāo)準(zhǔn)(計劃)

    GB/T 33132-2016 信息安全技術(shù) 信息安全風(fēng)險處理實施指南
    GB/T 31509-2015 信息安全技術(shù) 信息安全風(fēng)險評估實施指南
    DB21/T 1628.5-2014 信息安全第5部分:個人信息安全風(fēng)險管理指南
    DB21/T 1628.6-2018 信息安全個人信息安全管理體系第6部分：安全技術(shù)實施指南
    GB/T 36637-2018 信息安全技術(shù) ICT供應(yīng)鏈安全風(fēng)險管理指南
    DB21/T 1628.2-2018 信息安全個人信息安全管理體系第2部分：實施指南
    GB/T 31495.3-2015 信息安全技術(shù) 信息安全保障指標(biāo)體系及評價方法第3部分：實施指南
    DB21/T 1628.7-2018 信息安全個人信息安全管理體系第7部分：內(nèi)審實施指南
    GB/Z 24294.1-2018 信息安全技術(shù) 基于互聯(lián)網(wǎng)電子政務(wù)信息安全實施指南第1部分：總則
    20210995-T-469 信息安全技術(shù) 重要數(shù)據(jù)識別指南

往期標(biāo)準(zhǔn)
1、《GB/T 20986-2023 信息安全技術(shù) 網(wǎng)絡(luò)安全事件分類分級指南》
2、《GB/T 39204-2022信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》
3、《GB/T 42926-2023金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險評估規(guī)范》
4、《GB/T 31496-2023信息技術(shù) 安全技術(shù) 信息安全管理體系指南》

以上信息由中科至善（uvsec.com）整理發(fā)布。

GB T 24364-2023 信息安全風(fēng)險管理實施指南

上一篇：《網(wǎng)絡(luò)安全事件分級指南》 -國家互聯(lián)網(wǎng)信息辦公室

下一篇：我國部署推動網(wǎng)信事業(yè)高質(zhì)量發(fā)展，闊步邁向網(wǎng)絡(luò)強國