GB/T 24364-2023信息安全技术 信息安全风险管理实施指南【附下载】

 中科至善 2023-12-22 


一、GB/T 24364-2023标准概述

标准号:GB/T 24364-2023
中文名称:信息技术 信息安全风险管理实施指南
英文名称:Information security technology—Implementation guide for information security risk management
标准状态:现行
发布日期:2023-05-23
实施日期:2023-12-01
全部代替标准:GB/Z 24364-2009
主管部门:国家标准化管理委员会
发布单位:国家市场监督管理总局、国家标准化管理委员会

文件下载:关注公众号“信安客”,首页对话框回复关键词:20231222,即可免费获取和下载标准原文《GB/T 24364-2023信息安全技术 信息安全风险管理实施指南》,更多资料微信找 anjie067


二、标准概览

GB/T 24364-2023是对已废止GB/Z 24364-2009的修订,他确立了信息安全风险管理的框架,描述了信息安全风险管理的目标、原则、保障机制、保障范畴、保障措施和保障能力,提供了风险管理全过程的实施要点和工作形式。

GB/T 24364-2023为各类组织开展信息安全风险管理工作提供了参考,为支撑国家网络安全主管部门掌控安全风险状况提供了抓手和途径,为各级风险管理部门提升安全风险管控能力提供了工具和参考,为风险管理评估机构开展风险管理工作提供了规范和指导,为全社会进一步筑牢网络安全防线提供了有力保障。


三、信息安全风险管理实施框架

信息安全风险管理的目标是在确保安全合规的前提下,平衡组织发展与信息安全之间的关系。通过全面识别风险、科学评价风险、合理处置风险和持续监视风险,将风险控制到可接受程度。促进业务安全、持续、稳定运行,提升组织数字化应用水平,增强可持续发展能力。遵循分级管理、全面管理、动态调整、科学合理等管理原则,建立健全信息安全风险管理保障机制、保障措施,并在资产识别、威胁识别、脆弱性识别、已有措施有效性评价、风险分析与评价、风险处置、风险监测预警和风险信息共享等风险管理能力的基础上,执行语境建立、风险评估、风险处置、批准留存、监视与评审和沟通与咨询等风险管理过程,以实现信息安全风险管理目标。图1给出了组织开展信息安全风险管理工作的实施框架。

信息安全风险管理实施框架


四、信息安全风险管理过程

信息安全风险管理包括语境建立、风险评估、风险处置、批准留存、监视与评审和沟通与咨询6个方面的内容。语境建立、风险评估、风险处置和批准留存是信息安全风险管理的4个基本步骤,监视与评审和沟通与咨询则贯穿于这4个基本步骤中,见图2。

信息安全风险管理的内容和过程


五、信息安全风险管理的四大步骤

第一步:语境建立,确定风险管理的对象和范围,实施风险管理准备,进行相关信息的调查和分析,明确风险管理对象的安全要求。语境建立的过程包括风险管理准备、风险管理对象调查与分析、信息安全要求分析3个工作阶段。


第二步:风险评估,针对确立的风险管理对象所面临的风险进行识别、分析和评价。风险评估的过程包括风险评估准备、风险要素识别、风险分析和风险评价4个阶段。


第三步:风险处置,依据风险评估的结果,选择并执行合适的安全措施来降低风险的过程。风险处置的过程包括风险处置准备、风险处置实施、风险处置效果评价3个阶段。

第四步:批准留存,机构的决策层依据风险评估和风险处置的结果是否满足风险管理对象的安全要求,做出是否认可风险管理活动的决定,并将结果留存。批准留存过程包括批准申请、批准处置和文档留存3个阶段。

当风险管理对象的业务目标和特性发生变化或面临新的风险时,需要再次进入上述4个步骤,形成一次新的循环。

监视与评审包括对上述4个主体步骤的监视和评审。监视是定期或不定期对风险管理过程的运行情况进行查看,了解风险管理过程的执行情况,持续监测风险的变化,及时进行风险预警和风险处置,评审是对监视的结果进行分析和评价,从而确定风险管理过程的有效性,并持续改进。

沟通与咨询为上述4个步骤中相关方提供沟通和咨询。沟通与咨询是通过相关方之间交换和/或共享关于风险的信息,就如何管理风险达成一致的活动。沟通是在相关方需要时为其提供学习途径,以保持参与人员之间的协调一致,共同实现安全目标。咨询是为所有相关方提供学习途径,以增强风险意识、知识和技能,配合实现安全目标。

语境建立、风险评估、风险处置、批准留存、监视与评审、沟通与咨询构成了一个螺旋式上升的循环,使得风险管理对象在自身和环境的变化中能不断应对新的安全需求和风险。


六、类似标准(计划)

    GB/T 33132-2016  信息安全技术 信息安全风险处理实施指南
    GB/T 31509-2015  信息安全技术 信息安全风险评估实施指南
    DB21/T 1628.5-2014  信息安全 第5部分:个人信息安全风险管理指南
    DB21/T 1628.6-2018  信息安全 个人信息安全管理体系 第6部分:安全技术实施指南
    GB/T 36637-2018  信息安全技术 ICT供应链安全风险管理指南
    DB21/T 1628.2-2018  信息安全 个人信息安全管理体系 第2部分:实施指南
    GB/T 31495.3-2015  信息安全技术 信息安全保障指标体系及评价方法 第3部分:实施指南
    DB21/T 1628.7-2018  信息安全 个人信息安全管理体系 第7部分:内审实施指南
    GB/Z 24294.1-2018  信息安全技术 基于互联网电子政务信息安全实施指南 第1部分:总则
    20210995-T-469  信息安全技术 重要数据识别指南


往期标准
1、《GB/T 20986-2023 信息安全技术 网络安全事件分类分级指南
2、《GB/T 39204-2022信息安全技术 关键信息基础设施安全保护要求
3、《GB/T 42926-2023金融信息系统网络安全风险评估规范
4、《GB/T 31496-2023信息技术 安全技术 信息安全管理体系指南

以上信息由中科至善(uvsec.com)整理发布。

 证书咨询

 电话咨询  在线咨询  预约报名