《信息安全技术 信息安全风险管理指导》编制说明.docxVIP

国家标准编制说明

国家标准《信息安全技术信息安全风险管理指导》（征求意见稿）编制说明

一、工作简况

1.1任务来源

根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安全技术信息安全风险管理指导》由中国电子技术标准化研究院负责承办，项目编号：2023003198，目前处于计划网上公示阶段。本标准由全国信息安全标准化技术委员会归口管理。

1.2修订背景

本标准是ISO/IEC27000（ISMS）系列标准的重要标准之一，适用于组织建立和实现自身信息安全管理体系（ISMS），改进自身信息安全风险管理过程。

2015年我国将ISO/IEC27005转化为国家标准GB/T31722—2015《信息技术安全技术信息安全风险管理指南》。2022年10月，新版本ISO/IEC27005完成修订并正式发布，新版本引入了风险情景概念、增加了信息安全风险管理循环、变更了信息安全风险评估编写过程等内容，鉴于新版本ISO/IEC27005技术内容变化较大，因此有必要对GB/T31722—2015进行修订。

本次修订工作一方面为保证我国国家标准紧跟国际标准变化，维护与其他管理体系标准的兼容性，同时为我国相关风险管理标准的制定提供参考依据；另一方面是帮助相关组织及时了解和使用国际最新的信息安全风险管理方法，支持其开展ISMS相关工作，提升组织自身信息安全保障能力。

1.3起草过程

中国电子技术标准化研究院负责组织起草，北京安信天行科技有限公司、中国合格评定国家认可中心、中国网络安全审查技术与认证中心、中国信息安全测评中心、黑龙江省网络空间研究中心、中电长城网际系统应用有限公司、山东省标准化研究院、北京天融信网络安全技术有限公司等单位共同参与了本标准的起草工作。具体起草过程如下：

2023年3月，标准牵头单位联合原标准起草单位，成立标准编制组，并确定任务分工及翻译注意事项。

2023年4-5月，标准牵头单位汇总形成标准草案初稿，标准编制组根据各自分工校对相关内容。

2023年6-8月，标准编制组多次组织标准草案研讨会，针对有争议的翻译进行讨论，不断修改完善标准草案。

2023年8月25日，信安标委印发《关于上报2023年第一批网络安全国家标准计划项目建议的函》（信安字〔2023〕16号），国家标准《信息安全技术信息安全风险管理指导》修订项目正式立项。

2023年9月11日至9月22日，在信安标委网站和微信公众号面向社会公开征集标准参编单位。

2023年10月24日，标准牵头单位组织召开项目启动会，研讨确定标准编制思路、工作计划、任务分工等。

2023年11月2日，标准牵头单位在信安标委2023年第二次标准周WG7工作组会上对标准修订情况进行了汇报，经过工作组内审议讨论，建议推进至征求意见稿，会后对标准文本进一步修改完善并面向编制组征集试点工作方案。

2023年11月23日，讨论标准试点工作方案，确定下一步试点工作安排；2023年12月6日，组织编制工作组正式召开试点启动会，宣贯试点工作方案并交流试点工作计划和想法，提出具体试点要求。

2023年12月8日，秘书处组织召开征求意见稿专家审查会，本标准通过评审可以发起公开征求意见，并根据专家意见进行了修改完善。

二、标准编制原则、主要内容及其确定依据

2.1标准编制原则

本标准的研制工作遵循以下原则：

（1）目的原则

翻译过程中，要符合中文的语言表达习惯。翻译行为所要达到的目的决定整个翻译行为的过程，即结果决定方法。

（2）连贯性原则

要做到表述通畅，具有可读性和可接受性，使标准读者能够容易理解。

（3）忠实性原则

本标准与国际标准之间应该存在语际连贯一致，在充分理解国际标准原文的基础上进行翻译，做到准确表达原意。

2.2主要内容及其确定依据

本标准等同采用ISO/IEC27005:2022《信息安全、网络安全和隐私保护信息安全风险管理指导》，对GB/T31722—2015《信息技术安全技术信息安全风险管理南》。

本标准可用于组织实施信息安全风险管理活动，特别是信息安全风险评估和处置，实现ISMS规定的信息安全风险管理要求，有效管理信息安全风险，提升组织信息安全保障能力。

本标准共包含10章和1个附录。前4章是标准的通用要素，分别为：范围、规范性引用文件、术语和定义、本标准的结构。从第5章开始是标准的主要技术内容，分别为：信息安全风险管理、环境的建立背景介绍、信息安全风险评估过程、信息安全风险处理过程、运行、相关ISMS过程流程的利用。附录A给出了支持风险评估过程的技术示例。

第5章对信息安全风险管理的概念进行了阐述，给出了与ISMS相关的信息安全风险管理过程。第6章详细阐述了确立组织实施风险管理活动所处的内外部环境信息，包括应用风险评估和风险处理、确定