ICS 35. 040 CCS L 80 GB 中华人民共和国国家标准 GB/T 31722—XXXX/1S0/IEC 27005:2022 代替GB/T31722-2015 信息安全技术信息安全风险管理指导 Information security technology-Guidance on managing information security risks (IS0/IEC 27005:2022, Information security, cybersecurity and privacy protection - Guidance on managing information security risks, IDT) (征求意见稿) （本稿完成日期：2023/12/12） XXXX - XX - XX 发布 XXXX -XX -XX 实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T 31722-XXXX/ISO/IEC 27005:2022 目 次 目 次 前 言 IV 引 言 信息安全技术信息安全风险管理指导 1范围 2规范性引用文件， 3术语和定义 3.1信息安全风险相关术语 3.2信息安全风险管理相关术语 4文件结构. 5信息安全风险管理. 5.1信息安全风险管理过程. 5.2信息安全风险管理循环. 6环境建立 6.1组织需考虑的事项 6.2识别相关方的基本要求 6.3应用风险评估. 6 6.4建立和维护信息安全风险准则 6.5选择适当的方法， 12 7信息安全风险评估过程 13 7.1概述， 13 7.2信息安全风险识别. 7.3信息安全风险分析， 15 7.4信息安全风险评价 17 8信息安全风险处置过程. 18 18 8.2选择适合的信息安全风险处置选项 18 8.3确定实现信息安全风险处置选项所需的所有控制 18 8.4比较确定的控制与GB/T22080—xXXx附录A中的控制 20 8.5制定适用性声明 21 8.6信息安全风险处置计划 21 9运行 23 1 GB/T31722-XXXX/ISO/IEC27005:2022 9.1执行信息安全风险评估过程 23 9.2执行信息安全风险处置过程 24 10利用相关ISMS过程 24 10.1组织环境， 24 10.2领导和承诺 24 10.3沟通和咨询.. 25 10.4文件化信息．. 10.5监视和评审. 27 10.6管理评审 28 10.7纠正措施. p 10.8持续改进 29 附 录 （资料性） 支持风险评估过程的技术示例 .30 A.1信息安全风险准则 30 表A.1 后果标度示例 30 表A.2 可能性标度示例 表A.3风险准则的定性方法示例. .31 表A.4对数型可能性标度示例. .32 表A.5对数型后果标度示例 .33 表A.6使用三色风险矩阵的评价标度示例 .33 A.2实践技术 .34 图A.1信息安全风险组成部分. .34 图A.2资产依赖关系图的示例. a) 识别风险源. .35 表A.7风险源示例及常用攻击方法， ..35 b) 描述风险源的动机- 预期最终状态。 .36 表 A.8 用预期最终状态表述动机分类的示例 .36 c) 最终目标. 36 表A.9 最终目标的示例 .37 图A.3 生态系统中相关方的识别 .38 表A.10 典型威胁示例， ..39 表A.11 典型脆弱性示例 图A.4基于风险场景的风险评估 ..44 表A.12 两种方法中风险场景示例 表A.13 风险场景和监视风险相关事态关系的示例 44 图A.5 SFDT模型应用的示例. 45 文 46 II GB/T31722-XXXX/ISO/IEC27005:2022 图A.1信息安全风险组成部分. ..34 图A.2资产依赖关系图的示例.. ..35 图A.3生态系统中相关方的识别... ..38 图A.4基于风险场景的风险评估. 图A.5SFDT模型应用的示例.. .45 表A.1 后果标度示例. .30 表A.2 可能性标度示例. .31 表A.3 风险准则的定性方法示例.. ..31 表A.4 对数型可能性标度示例. 32 表A.5 对数型后果标度示例.. 表A.6 使用三色风险矩阵评价标度的示例. 表A.7 风险源示例及常用攻击方法. .....35 表 A.8 用DES表述动机分类的示例.. ...36 表 A. 9 最终目标的示例.. 表A.10 典型威胁示例.. .39 表A.11 典型脆弱性示例 表A.12 两种方法中风险场景示例. .44 表A.13 风险场景和监视风险相关事态关系的示例. III GB/T 31722-XXXX/ISO/IEC27005:2022 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》和GB/T1.2 一2020《标准化工作导则第2部分：以IS0/IEC标准化文件为基础的标准化文件起草规则》的规定起草。 本文件代替GB/T31722—2015《信息技术安全技术信息安全风险管理》，与GB/T31722—2015 相比，除结构调整和编辑性改动外，主要技术变化如下： a）增加了“风险场景”术语和定义（见3.1.4）； b) 删除了“背景”章条及内容（见2015年版的第5章）； 更改了“信息安全风险管理过程”中迭代进行风险评估和/或风险处置的内容（见5.1，2015 年版的第6章）； d) 增加了“信息安全风险管理循环”（见5.2）； e) 9），“， 年版的第7章）； f) （见第7章，2015年版的第8章）； g) 更改了“信息安全风险处置过程”的编写，调整了风险处置计划和必要控制的制定方法（见 第8章，2015年版的第9章）； h) 增加了“运行”内容，说明执行风险评估、风险处置的过程（见第9章）； i） 第10章）； j) 将“信息安全风险沟通”和“信息安全风险监视和评审”纳入“利用相关ISMS过程”（见第 10章，2015年版的第11章和第12章）； k) 更改了附录的编写，增加了支持风险评估过程的技术示例（见附录A，2015年版的附录A、附 录B、附录C、附录D、附录E、附录F）。 本文件等同采用IS0/IEC27005：2022《信息安全、网络安全和隐私保护信息安全风险管理指导》。 本文件做了下列最小限度的编辑性改动： 为与我国技术标准体系协调，将标准名称改为《信息安全技术信息安全风险管理指导》。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：中国电子技术标准化研究院、北京安信天行科技有限公司、中国网络安全审查技 术与认证中心、中国合格评定国家认可中心、中国信息安全测评中心、黑龙江省网络空间研究中心、中 电长城网际系统应用有限公司、山东省标准化研究院、北京天融信网络安全技术有限公司、广州民航信 息技术有限公司、陕西省网络与信息安全测评中心、亚信科技（成都）有限公司、南方电网数字电网集 团信息通信科技有限公司、新华三技术有限公司、国网网安（北京）科技有限公司、国家计算机网络应 急技术处理协调中心、中国联合网络通信集团有限公司、启明星辰信息技术集团股份有限公司、北京神 州绿盟科技有限公司、中科信息安全共性技术国家工程研究中心有限公司、杭州安恒信息技术股份有限 公司、公安部第一研究所、北京山石网科信息技术有限公司、民航成都电子信息技术有限责任公司、北 京中金云网科技有限公司、北京赛西认证有限责任公司、上海观安信息技术股份有限公司、上海三零卫 士信息安全有限公司、北京时代新威信息技术有限公司。 IV GB/T31722-XXXX/ISO/IEC27005:2022 本文件主要起草人：许玉娜、陈青民、林阳荟晨、王秉政、付志高、尤其、王琰、方舟、曲家兴、 闵京华、公伟、杨剑、白旭东、杨婧婧、陆丽、王姣、朱雪峰等。 本文件及其所代替文件的历次版本发布情况为： 一一2015年首次发布为GB/T31722一2015 一一本次为第一次修订。