返回
信息技术安全技术信息安全风险管理-全国信息安全标准化技术委员会

信息技术安全技术信息安全风险管理-全国信息安全标准化技术委员会

ID:38939062

大小:492.00 KB

页数:50页

时间:2019-06-21

信息技术安全技术信息安全风险管理-全国信息安全标准化技术委员会_第1页
信息技术安全技术信息安全风险管理-全国信息安全标准化技术委员会_第2页
信息技术安全技术信息安全风险管理-全国信息安全标准化技术委员会_第3页
信息技术安全技术信息安全风险管理-全国信息安全标准化技术委员会_第4页
信息技术安全技术信息安全风险管理-全国信息安全标准化技术委员会_第5页
资源描述:

《信息技术安全技术信息安全风险管理-全国信息安全标准化技术委员会》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、ICS35.040L80中华人民共和国国家标准GB/TXXXXX—XXXX/ISO/IEC27005:2008信息技术 安全技术 信息安全风险管理Informationtechnology—Securitytechniques—Informationsecurityriskmanagement(ISO/IEC27005:2008,IDT)在提交反馈意见时,请将您知道的相关专利与支持性文件一并附上。(征求意见稿)2013-01-21XXXX-XX-XX发布XXXX-XX-XX实施GB/TXXXXX—XXXX目次前言III引言IV信息技术 安全技术 信息安全风险管理11范围12规范性引用文件1

2、3术语和定义14本标准结构25背景36信息安全风险管理过程概述37语境建立57.1总体考虑57.2基本准则67.3范围和边界77.4信息安全风险管理组织78信息安全风险评估88.1信息安全风险评估总体描述88.2风险分析88.3风险评价139信息安全风险处置139.1风险处置总体描述139.2风险降低159.3风险保留169.4风险规避169.5风险转移1610信息安全风险接受1611信息安全风险沟通1712信息安全风险监视和评审1712.1风险因素的监视和评审1712.2风险管理监视、评审和改进18附 录 A(资料性附录)确定信息安全风险管理过程的范围和边界20A.1组织的调研20A.2

3、影响组织的约束列表21A.3适用于组织的法律法规和规章制度参考列表22A.4影响到范围的约束列表22附 录 B(资料性附录)资产识别和估价以及影响评估24B.1资产识别示例2445GB/TXXXXX—XXXXB.1.1主要资产的识别24B.1.2支撑性资产清单和描述24B.2资产估价27B.3影响评估30附 录 C(资料性附录)典型威胁示例31附 录 D(资料性附录)脆弱性和脆弱性评估方法34D.1脆弱性示例34D.2技术脆弱性评估方法36附 录 E(资料性附录)信息安全评估方法38E.1高层信息安全风险评估38E.2详细信息安全风险评估39E.2.1例子1:具有预定义值的矩阵39E.2.

4、2例子2:由风险测度排列威胁41E.2.3例子3:评估风险的可能性和可能后果的值41附 录 F(资料性附录)风险降低的约束43参考文献4545GB/TXXXXX—XXXX前言GB/TXXXXX按照GB/T1.1-2009给出的规则起草。本标准使用翻译法等同采用国际标准ISO/IEC27005:2008《信息技术 安全技术 信息安全风险管理》(英文版)。根据国情和GB/T1.1的规定,做了一些编辑性修改。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国电子技术标准化研究院、上海三零卫士信息安全有限公司、中电长城网际系统应用有限公司、山东省计算中心、北

5、京信息安全测评中心本标准主要起草人:许玉娜、闵京华、上官晓丽、董火民、赵章界、李刚、周鸣乐45GB/TXXXXX—XXXX引言信息安全管理体系标准族(InformationSecurityManagementSystem,简称ISMS标准族)是国际信息安全技术标准化组织(ISO/IECJTC1SC27)制定的信息安全管理体系系列国际标准。ISMS标准族旨在帮助各种类型和规模的组织,开发和实施管理其信息资产安全的框架,并为保护组织信息(诸如,财务信息、知识产权、员工详细资料,或者受客户或第三方委托的信息)的ISMS的独立评估做准备。ISMS标准族包括的标准:a)定义了ISMS的要求及其认证机

6、构的要求;b)提供了对整个“规划-实施-检查-处置”(PDCA)过程和要求的直接支持、详细指南和(或)解释;c)阐述了特定行业的ISMS指南;d)阐述了ISMS的一致性评估。目前,ISMS标准族由下列标准组成:——GB/TAAAAA—AAAA 信息技术 安全技术 信息安全管理体系 概述和词汇(ISO/IEC27000:2009)——GB/T22080—2008 信息技术 安全技术 信息安全管理体系 要求(ISO/IEC27001:2005)——GB/T22081—2008 信息技术 安全技术 信息安全管理实用规则(ISO/IEC27002:2005)——GB/TBBBBB—BBBB 信息技

7、术 安全技术 信息安全管理体系实施指南(ISO/IEC27003:2010)——GB/TCCCCC—CCCC 信息技术 安全技术 信息安全管理测量(ISO/IEC27004:2009)——(本标准) 信息技术 安全技术 信息安全风险管理(ISO/IEC27005:2008)——GB/T25067—2010 信息技术 安全技术 信息安全管理体系审核认证机构的要求(ISO/IEC27006:2007)——ISO/IEC270

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。