信息技术 安全技术 信息安全风险管理 GBT 31722-2015.pdf

GB/T31722-2015/1S0/1EC27005:2008引言信息安全管理体系标准族(Information Security Management System,简称ISMS标准族)是国际信息安全技术标准化组织(ISO/IEC JTC1SC27)制定的信息安全管理体系系列国际标准。ISMS标准族旨在帮助各种类型和规模的组织，开发和实施管理其信息资产安全的框架，并为保护组织信息（诸如，财务信息、知识产权、员工详细资料，或者受客户或第三方委托的信息)的ISMS的独立评估做准备。ISMS标准族包括的标准：a)定义了ISMS的要求及其认证机构的要求：b)提供了对整个“规划-实施-检查-处置”(PDCA)过程和要求的直接支持、详细指南和（或）解释：c)闸述了特定行业的ISMS指南：d)闸述了ISMS的一致性评估。目前，ISMS标准族由下列标准组成：一GB/T29246一2012信息技术安全技术信息安全管理休系概述和词汇(IS0/1EC27000:2009)一GB/T22080一2008信息技术安全技术信息安全管理体系要求(1S0/IEC27001:2005)一GB/T22081一2008信息技术安全技术信息安全管理实用规则(1S0/IEC27002:2005)一GB/T31496一2015信息技术安全技术信息安全管理体系实施指南(1SO/IE27003：2010)一GB/T31497一2015信息技术安全技术信息安全管理测量(1S0/1EC27004:2009)一GB/T31722一2015信息技术安全技术信息安全风险管理(1S0/1EC27005:2008)一GB/T25067一2010信息技术安全技术信息安全管理体系审核认证机构的要求(IS0/IEC27006:2007)一SO/IEC27007:2011信息技术安全技术信息安全管理体系审核指南SO/1ECTR27008:2011信息技术安全技术信息安全控制措施审核员指南一1SO/EC27010:2012信息技术安全技术行业间及组织间通信的信息安全管理一1SO/IEC27011:2008信息技术安全技术基于1S0/IEC27002的电信行业组织的信息安全管理指南一1S0/IEC27013:2012信息技术安全技术1SO/1EC27001和1S0/IEC20000-1集成实施指南一1S0/IEC27014:2013信息技术安全技术信息安全治理一1SO/IEC TR27015:2012信息技术安全技术金融服务信息安全管理指南本标准作为SMS标准族之一，为组织内的信息安全风险管理提供指南，特别是支持按照GB/T22080的1SMS要求。然而，本标准不提供信息安全风险管理的任何特定方法。由组织来确定其风险管理方法，这取决于诸如组织的1SMS范围、风险管理语境或所处行业。一些现有的方法可在本标准描述的框架下使用，以实现ISMS的要求。本标准的相关方包括关心组织内信息安全风险的管理者和员工以及（在适当情况下）支特这种活动的外部方。