ICS35.030 CCS L 80 GB 中华人民共和国国家标准 GB/T24364-2023 代替GB/Z24364一2009 信息安全技术 信息安全风险管理实施指南 Information security technology- Implementation guide for information security risk management 2023-05-23发布 2023-12-01实施 国家市场监督管理总局 国家标准化管理委员会 发布 GB/T24364—2023 目 次 前言 引言 1范围 1 2规范性引用文件 1 3术语和定义、缩略语 1 3.1术语和定义 3.2缩略语 2 4信息安全风险管理实施框架 2 5信息安全风险管理原则 3 5.1分级管理 .3 5.2全面管理 3 5.3动态调整3 5.4科学合理 3 6信息安全风险管理保障机制 4 6.1领导负责制 4 6.2统筹协调机制 4 6.3专家咨询机制 4 6.4重大风险会商机制 4 7信息安全风险管理保障措施 5 7.1人员保障 5 7.2制度保障 5 7.3经费保障 5 7.4工具保障 5 8信息安全风险管理能力6 -8.1资产识别能力 6 8.2威胁识别能力 6 力6 8.3脆弱性识别能力 6 8.4已有措施有效性评价能力 6 8.5风险分析与评价能力 7 8.6风险处置能力 7 8.7风险监测预警能力7 8.8风险信息共享能力 8 9信息安全风险管理过程 8 I GB/T24364—2023 9.1 概述 8 9.2 2语境建立10 9.3 风险评估 14 9.4风险处置 18 9.5批准留存 23 9.6监视与评审 27 9.7沟通与咨询 30 附录A(资料性)文档输出 35 A.1语境建立文档 35 A.2风险评估文档 35 A.3风险处置文档 36 A.4批准留存文档 37 A.5监视与评审文档 37 A.6沟通与咨询文档 37 附录B(资料性)风险处置实践示例39 B.1示例 39 B.2风险处置准备 .40 B.3风险处置实施 42 B.4风险处置评价 48 参考文献 .51 Ⅱ ...