中华人民共和国国家标准
GB/T31722-2025/ISO/IEC27005:2022代替GB/T31722-2015
Information security technologyGuidance on managing information security risks
(ISO/IEC 27005:2022 Information security cybersecurity and privacyprotection -Guidance on managing information security risks IDT)
国家市场监督管理总局 发布 国家标准化管理委员会
信息安全技术信息安全风险管理指导
1范围
本文件提供了信息安全风险管理指导,以帮助组织:一一满足GB/T22080-2025有关应对信息安全风险活动的要求;一一实施信息安全风险管理活动,特别是信息安全风险评估和处置.本文件适用于组织,无论其类型、规模或领域.
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括的修改单)适用于本文件.
ISO/IEC27000信息安全技术信息安全管理体系概述和词汇(Information securitymanagementsystems-Overviewandvocabulary)
3术语和定义
GB/T29246-2013界定的以及下列术语和定义适用于本文件.ISO和IEC维护用于标准化的术语数据库,地址如下:ISO在线浏览平台:
3.1信息安全风险相关术语
3.1.1
外部环境extermalcontext
组织寻求其目标实现所处的外部状况.
注:外部环境包括以下内容:
国际、国内、区域或地方的社会、文化、政治、法律、监管、金融、技术、经济、地质环境;一对组织目标有影响的关键驱动因素和趋势;一与外部相关方的关系、看法、价值观、需求和期望;合同关系和承诺;网络的复杂性和依赖性.
[来源:GB/T 23694-2013 4.3.3.1,有修改]
3.1.2
内部环境intermalcontext
组织寻求其目标实现所处的内部状况.注:内部环境包括以下内容:一愿景、使命和价值观;
一一治理、组织结构、职能和责任;一一战略、目标和方针;-组织文化;一一组织采用的标准、指南和模型;一一从资源和知识角度理解的能力(例如,资本、时间、人员、过程、系统和技术);一一数据、信息系统和信息流;一一与内部相关方的关系,考虑到他们的看法和价值观;一一合同关系和承诺;一一内部相互依赖和相互联系.
[来源:GB/T23694-2013 4.3.1.2 有修改]
3.1.3
风险risk
不确定性对目标的影响.
注1:影响是指偏离预期,偏离是正面的或负面的.注2:目标可能有不同方面(aspects)和种类(categories), 能应用在不同层级.注3:不确定性是指理解或知晓事态(3.1.11)及其后果(3.1.14)或可能性(3.1.13)的相关信息不足,甚至仅有部分信息的状态.注4:风险通常以风险源(3.1.6)、潜在事态、后果及其可能性表示.注5:在信息安全管理体系中,信息安全风险能表示为不确定性对信息安全目标的影响.注6:信息安全风险通常与不确定性对信息安全目标的负面影响相关.注7:信息安全风险可能与威胁(3.1.9)利用单个或一组信息资产的脆弱性(3.1.10),从而对组织造成伤害的可能性相关.[来源:GB/T24353-2022 3.1,有修改]
3.1.4
风险场景riskscenario
由最初的起因导致不期望后果(3.1.14)的事态序列或组合(3.1.11).
[来源:ISO 17666:2016 3.1.13 有修改]
3.1.5
风险责任人riskowner
[来源:GB/T23694-2013 4.5.1.5]
3.1.6
风险源risk source
可能单独或共同引发风险(3.1.3)的要素.
注1:风险源可能是以下三种类型之一:
一一人为的;一-环境的;一一技术的.
注2:人为风险源类型是有意或无意的.
[来源:GB/T 24353-2022 3.4,有修改]
3.1.7
风险准则riskcriteria
评价风险(3.1.3)重要性的依据.注1:风险准则是基于组织的目标、外部环境(3.1.1)和内部环境(3.1.2).注2:风险准则可能源自标准、法律、政策和其他要求.[来源:GB/T 23694-2013 4.3.1.3 有修改]
3.1.8
风险偏好riskappetite
组织愿意追求或保留的风险(3.1.3)数量和类型.
[来源:GB/T 23694-2013 4.7.1.2 有修改]
3.1.9
威胁threat
可能导致系统损坏或对组织造成危害的信息安全事件(3.1.12)的潜在因素.
3.1.10
脆弱性vulnerability
3.1.11
事态event
某些特定情形的产生或变化.注1:一个事态可能包括一个或多个情形,并且可能有多个原因和后果(3.1.14).注2:一个事态可能是预期会发生但没有发生的事态,也可能是预期不会发生但却发生的事态.[来源:GB/T 24353-2022.3.5,有修改]
3.1.12
信息安全事件informationsecurityincident
极有可能危害业务运行并威胁信息安全的单个或一系列不期望或意外的信息安全事态.
3.1.13
可能性likelihood
某件事发生的概率.
注1:在风险管理术语中,无论是以客观的或主观的、定性或定量的方式来定义、度量或确定,还是用一般词汇或注2:“可能性(1ikelihood)”这一英语词汇在一些语言中没有直接与之对应的词汇,因此经常使用“概率(probability)” 这个词替代.不过,在英语中,“概率”常常被狭义地解释为一个数学词汇.因此,在风一词的意义.
[来源:GB/T24353-2022.3.7]
3.1.14
后果consequence
某事态(3.1.11)对目标影响的结果.注1:后果可能是确定,也可能是不确定的,且对目标的影响可能是正面的,也可能是负面的;可能是直接的,也可能是间接的.注2:后果能定性或定量表述.注3:任何后果都可能通过连锁反应和累积效应升级.
[来源:GB/T24353-2022 3.6 有修改]
3.1. 15
风险级别levelofrisk
风险的严重程度,以后果(3.1.14)和可能性(3.1.13)的组合来表达.
[来源:GB/T 23694-2013 4.6.1.8 有修改]
3. 1.16
控制control
保持和/或改变风险(3.1.3)的措施.
注2:控制不必总取得预期的改变效果.
[来源:GB/T 24353-2022 3.8,有修改]
3. 1. 17
残余风险residualrisk
注1:残余风险可能包含未识别的风险.
注2:残余风险也可能包含保留的风险.
[来源:GB/T 23694-2013 4.8.1.6 有修改]
3.2信息安全风险管理相关术语
3.2.1
风险管理过程riskmanagementprocess
将管理政策、规程和操作方法系统地应用于沟通、咨询、环境建立以及识别、分析、评价、应对、监视和评审风险(3.1.3)的活动中.
[来源:GB/T 23694-2013 4.1 有修改]
3.2.2
风险沟通和咨询riskmunicationandconsultation
组织为提供、分享或获取信息,与相关方就风险(3.1.3)管理进行沟通的一系列持续和往复的过程.
注1:这些信息可能涉及风险的存在、性质、形式、可能性(3.1.13)、重要性、评价、可接受性和处置.
注2:咨询对问题进行决策或确定方向之前,在组织和其相关方之间进行知情沟通的双向过程.咨询是:
通过影响力而不是权力来影响决策的过程;
一某个决策的输入,而非联合决策.
3.2.3
风险评估riskassessment
