信息安全技术 信息安全风险评估实施指南 GBT 31509-2015.pdf

GB/T31509-2015前言本标准按照GB/T1.1一2009给出的规则起草。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位：国家信息中心、国家保密技术研究所、北京信息安全测评中心、上海市信息安全测评认证中心、沈阳东软系统集成工程有限公司、国和信诚（北京）信息安全有跟公司。本标准主要起草人：吴亚非、禄凯、张志军、陈永刚、赵章界、席斐、应力、马朝斌、倪志强。GB/T31509-2015信息安全技术信息安全风险评估实施指南1范围本标准规定了信息安全风险评估实施的过程和方法。本标准适用于各类安全评估机构或被评估组织对非涉密信息系统的信息安全风险评估项目的管理，指导风险评估项目的组织、实施、验收等工作。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T20984一2007信息安全技术信息安全风险评估规范GB/Z24364一2009信息安全技术信息安全风险管理指南3术语、定义和缩略语GB/T20984一2007和GB/Z24364一2009中界定的以及下列术语和定义适用于本文件。3.1术语和定义3.1.1实施implementation将一系列活动付诸实践的过程。3.1.2信息系统生命周期information system lifecycle信息系统的各个生命阶段，包括规划阶段、设计阶段、实施阶段、运行维护阶段和废弃阶段。3.1.3评估目标assessment target评估活动所要达到的最终目的，3.1.4系统调研system investigation对信息系统相关的实际情况进行调查了解与分析研究的活动。3.1.5评估要素assessment factor风险评估活动中必须要识别、分析的一系列基本因素。3.1.6识别identify对某一评估要素进行标识与辨别的过程。1