GB/T 33132-2016信息安全技术　信息安全风险处理实施指南.pdf

ICS 35.040 L 80 GB 中华人民共和国国彖标准 GB/T 33132—2016 信息安全技术信息安全风险处理 实施指南 Information security technology ——Guide of implementation for information security risk treatment 2016-10-13 发布 2017-05-01 实施 GB/T 33132—2016 目 次 ,、 d • 、- T 刖B I 引言 n 1范围1 2规范性引用文件1 3 术语和定义 1 4 风险处理实施概述 2 4.1风险处理基本原则2 4.2 风险处理的方式 2 4.3风险处理的角色和职责3 4.4风险处理的基本流程3 5风险处理准备5 5.1 制定风险处理计划5 5.2获得管理层批准 6 6 风险处理实施 6 6.1 风险处理方案制定6 6.2 风险处理方案实施8 7 风险处理效果评价 8 7.1 概述 8 7.2 评价原则8 7.3 评价方法9 7.4评价方案9 7.5 评价实施9 7.6 持续改进10 附录A （资料性附录 ）风险处理实践示例 11 A.1 背景 11 A.2 风险处理准备 12 A.3 风险处理实施 14 A.4 风险处理评价 21 参考文献 23 GB/T 33132—2016 ■ i r ■ ■ i 刖 吕 本标准按照GB/T 1.1—2009给出的规则起草。 请注意本文件的某些内容可能涉及专利 。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口。 本标准起草单位：国家信息中心、北京信息安全测评中心、中国民航大学、东软集团股份有限公司、 北京数字认证股份有限公司、西安交大捷普网络科技有限公司。 本标准主要起草人：吴亚非、禄凯、陈永刚、赵章界、马勇、席斐、陈青民、何建锋。 T GB/T 33132—2016 引 言 信息安全风险管理是信息安全保障丁作中的一项重要基础性工作 ，其核心思想是对管理对象面临 的信息安全风险进行管控 。信息安全风险管理T作贯穿于信息系统生命周期 （规划、设计、实施、运行维 护和废弃）的全过程，主要工作过程包括风险评估和风险处理两个基本步骤 。风险评估是对风险管理对 象所面临的风险进行识别、分析和评价的过程 。风险处理是依据风险评估的结果,选择和实施安全措施 的过程。 为指导各类组织规范性地开展信息安全风险处理 ，在GB/T 20984—2007 《信息安全技术 信息安 全风险评估规范》、GB/Z 24364—2009 《信息安全技术 信息安全风险管理指南》和GB/T 31509—2