ICS35.040 L80 中华人民共和国国家标准 GB/T33132—2016 信息安全技术 信息安全风险处理 实施指南 Informationsecuritytechnology—Guideofimplementationfor informationsecurityrisktreatment 2016-10-13发布 2017-05-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅰ ………………………………………………………………………………………………………… 引言 Ⅱ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 风险处理实施概述 2 ……………………………………………………………………………………… 4.1 风险处理基本原则 2 ………………………………………………………………………………… 4.2 风险处理的方式 2 …………………………………………………………………………………… 4.3 风险处理的角色和职责 3 …………………………………………………………………………… 4.4 风险处理的基本流程 3 ……………………………………………………………………………… 5 风险处理准备 5 …………………………………………………………………………………………… 5.1 制定风险处理计划 5 ………………………………………………………………………………… 5.2 获得管理层批准 6 …………………………………………………………………………………… 6 风险处理实施 6 …………………………………………………………………………………………… 6.1 风险处理方案制定 6 ………………………………………………………………………………… 6.2 风险处理方案实施 8 ………………………………………………………………………………… 7 风险处理效果评价 8 ……………………………………………………………………………………… 7.1 概述 8 ………………………………………………………………………………………………… 7.2 评价原则 8 …………………………………………………………………………………………… 7.3 评价方法 9 …………………………………………………………………………………………… 7.4 评价方案 9 …………………………………………………………………………………………… 7.5 评价实施 9 …………………………………………………………………………………………… 7.6 持续改进 10 …………………………………………………………………………………………… 附录A(资料性附录) 风险处理实践示例 11 ……………………………………………………………… A.1 背景 11 ……………………………………………………………………………………………… A.2 风险处理准备 12 …………………………………………………………………………………… A.3 风险处理实施 14 …………………………………………………………………………………… A.4 风险处理评价 21 …………………………………………………………………………………… 参考文献 23 ……………………………………………………………………………………………………GB/T33132—2016 前 言 本标准按照GB/T1.1—2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:国家信息中心、北京信息安全测评中心、中国民航大学、东软集团股份有限公司、 北京数字认证股份有限公司、西安交大捷普网络科技有限公司。 本标准主要起草人:吴亚非、禄凯、陈永刚、赵章界、马勇、席斐、陈青民、何建锋。 ⅠGB/T33132—2016 引 言 信息安全风险管理是信息安全保障工作中的一项重要基础性工作,其核心思想是对管理对象面临 的信息安全风险进行管控。信息安全风险管理工作贯穿于信息系统生命周期(规划、设计、实施、运行维 护和废弃)的全过程,主要工作过程包括风险评估和风险处理两个基本步骤。风险评估是对风险管理对 象所面临的风险进行识别、分析和评价的过程。风险处理是依据风险评估的结果,选择和实施安全措施 的过程。 为指导各类组织规范性地开展信息安全风险处理,在GB/T20984—2007《信息安全技术 信息安 全风险评估规范》、GB/Z24364—2009《信息安全技术 信息安全风险管理指南》和GB/T31509—2015 《信息安全技术 信息安全风险评估实施指南》的基础上,本标准针对风险评估工作中反映出来的各类 信息安全风险,从风险处理工作的组织、管理、流程、评价等方面给出了相关描述,用于指导组织形成客 观、规范的风险处理方案,促进风险管理工作的完善。 ⅡGB/T33132—2016 信息安全技术 信息安全风险处理 实施指南 1 范围 本标准给出了信息安全风险处理的基本概念、处理原则、处理方式、处理流程以及处理结束后的效 果评价等管理过程和方法,并对处理过程中的角色和职责进行了定义。 本标准适用于指导信息系统运营使用单位和信息安全服务机构实施信息安全风险处理活动。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T20984—2007 信息安全技术 信息安全风险评估规范 GB/Z24364—2009 信息安全技术 信息安全风险管理指南 3 术语和定义 GB/T20984—2007、GB/Z24364—2009界定的以及下列术语和定义适用于本文件。 3.1 风险处理 risktreatment 选择并且执行措施来更改风险的过程。 [ISO/IECGuide73:2002]。 注:在本标准中,术语“控制措施”被用作“措施”的同义词。 3.2 风险规避 riskelimination 不卷入风险处境的决定或撤离风险处境的行动。 [ISO/IECGuide73:2002]。 3.3 风险转移 riskmitigation 与另一方对风险带来的损失或收益的共享。 [ISO/IECGuide73:2002]。 注:在信息安全风险的语境下,对于风险转移仅考虑负面结果(损失)。 3.4 风险降低 riskreduction 为降低风险的可能性和(或)负面结果所采取的行动。 [ISO/IECGuide73:2002]。 3.5 风险接受 riskretention 对来自特定风险的损失或收益的接受。 1GB/T33132—2016 [ISO/IECGuide73:2002]。 注:在信息安全风险的语境下,对于风险接受仅考虑负面后果(损失)。 3.6 风险处理目标 risktreatmenttarget 通过风险处理活动的实施所要达到的最终目标。 3.7 风险处理评价 risktreatmentevaluation 将风险处理措施实施后的结果与风险处理目标进行比较、分析,以确定风险处理效果的过程。 4 风险处理实施概述 4.1 风险处理基本原则 4.1.1 合规原则 风险处理目标的确立和风险处理措施的选择应符合法律、法规、政策、标准和主管部门的要求。 4.1.2 有效原则 在合规原则的前提下,风险处理的核心目的就是通过采取风险处理活动,有效地控制风险,使得处 理后的风险处于组织的可承受范围之内。 4.1.3 可控原则 明确风险处理的目标、方案、范围、需要实施的风险处理措施及风险处理措施本身可能带来的风险, 明确风险处理所需的资源,确保整个风险处理工作的可控性。 4.1.4 最佳收益原则 根据确立的风险处理目标,运用成本效益分析的方法,综合分析各种风险处理措施的成本、时间和 技术等因素,以及能够获取的收益,选择收益最佳的风险处理措施。 4.2 风险处理的方式 4.2.1 概述 风险处理的方式主要有风险降低、风险规避、风险转移和风险接受四种。这四种方式并不互相排 斥,组织可以通过多种风险处理方式的合理组合充分获益。 4.2.2 风险降低 通过对面临风险的资产采取保护措施来降低风险。保护措施可以从构成风险的5个方面(即威胁 源、威胁行为、脆弱性、资产和影响)来降低风险。比如,采用法律的手段制裁计算机犯罪(包括窃取涉密 信息,攻击关键的信息系统基础设施,传播有害信息和垃圾邮件等),发挥法律的威慑作用,从而有效遏 制威胁源的动机;采取身份认证措施,从而抵制身份假冒威胁行为的能力;及时给系统打补丁(特别是针 对安全漏洞的补丁),关闭无用的网络服务端口,从而减少系统的脆弱性,降低其被利用的可能性;采用 各种防护措施,建立资产的安全域,从而保证资产不受侵犯,其价值得到保持;采取容灾备份、应急响应 和业务连续性计划等措施,从而降低安全事件造成的影响程度。 2GB/T33132—2016 4.2.3 风险规避 通过不使用面临风险的资产来避免风险。比如,在没