GB/T 31722-2025 信息安全技術(shù)信息安全風(fēng)險管理指導(dǎo)

#政策法規(guī) ·2026-05-06 10:38:35

1.范圍

本文件提供了信息安全風(fēng)險管理指導(dǎo)，以幫助組織;

——滿足GB/T22080—2025有關(guān)應(yīng)對信息安全風(fēng)險活動的要求；

——實施信息安全風(fēng)險管理活動，特別是信息安全風(fēng)險評估和處置。

本文件適用于所有組織，無論其類型、規(guī)模或領(lǐng)域。

2.規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件：不注日期的引用文件，其最新版本(包括所有的修改單）適用于本文件。

ISO/IEC 27000 信息安全技術(shù) 信息安全管理體系概述和詞匯(Information security management systems -—Overview and vocabulary)

注：GB/T29246-2017 信息安全技術(shù) 信息安全管理體系概述和詞匯（ISO/IEC 27000:2016,IDT）

3.術(shù)語和定義

GB/T29246-2013界定的以及下列術(shù)語和定義適用于本文件。

ISO和IEC維護用于標準化的術(shù)語數(shù)據(jù)庫，地址如下：

——ISO在線瀏覽平臺：http://www.iso.org/obp

-——IEC 電子百科：http://www.electropedia.org

3.1信息安全風(fēng)險相關(guān)術(shù)語

3.1.1外部環(huán)境 external context

組織尋求其目標實現(xiàn)所處的外部狀況。

注：外部環(huán)境包括以下內(nèi)容：

——國際、國內(nèi)、區(qū)域或地方的社會、文化、政治、法律、監(jiān)管、金融、技術(shù)、經(jīng)濟、地質(zhì)環(huán)境；

——對組織目標有影響的關(guān)鍵驅(qū)動因素和趨勢;

——與外部相關(guān)方的關(guān)系、看法、價值觀、需求和期望；

——合同關(guān)系和承諾;

——網(wǎng)絡(luò)的復(fù)雜性和依賴性。

[來源：GB/T23694-2013,4.3.3.1,有修改]

3.1.2內(nèi)部環(huán)境 internal context

組織尋求其目標實現(xiàn)所處的內(nèi)部狀況。

注：內(nèi)部環(huán)境包括以下內(nèi)容：

——愿景、使命和價值觀：

——治理、組織結(jié)構(gòu)、職能和責(zé)任；

——戰(zhàn)略、目標和方針;

——組織文化;

——組織采用的標準、指南和模型；

——從資源和知識角度理解的能力（例如，資本、時間、人員、過程、系統(tǒng)和技術(shù))；

——數(shù)據(jù)、信息系統(tǒng)和信息流；

——與內(nèi)部相關(guān)方的關(guān)系，考慮到他們的看法和價值觀；

——合同關(guān)系和承諾；

——內(nèi)部相互依賴和相互聯(lián)系。

[來源：GB/T23694-2013,4.3.1.2，有修改］3.1.3風(fēng)險 risk

不確定性對目標的影響。

注1：影響是指偏離預(yù)期，偏離是正面的或負面的。能應(yīng)用在不同層級。

注2：目標可能有不同方面(aspects) 和種類(categories),

注3：不確定性是指理解或知曉事態(tài)(3.1.11)及其后果(3.1.14)或可能性(3.1.13）的相關(guān)信息不足，甚至僅有部分信息的狀態(tài)。

注4：風(fēng)險通常以風(fēng)險源(3.1.6）、潛在事態(tài)、后果及其可能性表示。

注5：在信息安全管理體系中，信息安全風(fēng)險能表示為不確定性對信息安全目標的影響。

注6：信息安全風(fēng)險通常與不確定性對信息安全目標的負面影響相關(guān)。

注7：信息安全風(fēng)險可能與威脅(3.1.9)利用單個或一組信息資產(chǎn)的脆弱性(3.1.10)，從而對組織造成傷害的可能性相關(guān)。

[來源：GB/T 24353-2022,3.1.有修改]

3.1.4風(fēng)險場景 risk scenario

由最初的起因?qū)е虏黄谕蠊?span lang="EN-US">3.1.14）的事態(tài)序列或組合(3.1.11）。

[來源：ISO17666:2016,3.1.13,有修改]

3.1.5風(fēng)險責(zé)任人 risk owner

具有管理風(fēng)險（3.1.3）的責(zé)任和權(quán)限的個人或?qū)嶓w。

[來源：GB/T 23694-2013,4.5.1.5]

3.1.6風(fēng)險源 risk source