ICS35.040 L80 GB 中华人民共和国国家标雅 GB/T31722-2015/ISO/IEC27005:2008 信息技术安全技术 信息安全风险管理 Information technology-Security techniques- Information security risk management (ISO/IEC27005:2008 IDT) 2015-06-02发布 2016-02-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T317222015/ISO/IEC27005:2008 目 次 前言 I 引言 Ⅱ 1范围 1 2规范性引用文件1 3术语和定义 1 4本标准结构 2 5背景 3 6信息安全风险管理过程概述 3 7语境建立 5 8信息安全风险评估 7 9信息安全风险处置13 10信息安全风险接受 16 11信息安全风险沟通16 12信息安全风险监视和评审 .17 附录A(资料性附录)确定信息安全风险管理过程的范围和边界19 附录B(资料性附录)资产识别和估价以及影响评估22 附录C(资料性附录)典型威胁示例 28 附录D(资料性附录)脆弱性和脆弱性评估方法31 附录E(资料性附录)信息安全评估方法 35 附录F(资料性附录)风险降低的约束 40 参考文献 .42 GB/T31722-2015/ISO/IEC27005:2008 前言 本标准按照GB/T1.1一2009给出的规则起草. 请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别这些专利的责任. 本标准使用翻译法等同采用ISO/IEC27005:2008《信息技术安全技术信息安全风险管理》(英 文版). 本标准做了以下修改: ——对引言做了一些编辑性修改. 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口. 本标准起草单位:中国电子技术标准化研究院、上海三零卫士信息安全有限公司、中电长城网际系 统应用有限公司、山东省计算中心、北京信息安全测评中心. 本标准主要起草人:许玉娜、闵京华、上官晓丽、董火民、赵章界、李刚、周鸣乐. I ...
GB/T 31722-2015 信息技术 安全技术 信息安全风险管理.pdf
