GB∕T 33132-2016标准规范下载简介

GB∕T 33132-2016 信息安全技术 信息安全风险处理实施指南简介：

GB/T 33132-2016 是中国国家标准，全称为“信息安全技术 信息安全风险处理实施指南”。这份标准主要规定了信息安全风险处理的实施流程、方法和要求，为组织机构在实施信息安全风险处理时提供了一套系统、科学且实用的指南。

以下是该标准的一些主要特点和内容概述：

1. 风险管理框架：标准强调了全面的风险管理框架，包括风险识别、风险评估、风险处理和风险监控等环节。

2. 风险评估方法：标准提供了多种风险评估方法，包括定性和定量评估，以适应不同组织和不同情境下的风险评估需求。

3. 风险处理策略：标准推荐了多种风险处理策略，包括风险转移、风险降低、风险避免和风险接受等，以帮助组织选择最适合的风险处理方式。

4. 风险监控与沟通：标准强调了风险的持续监控以及与利益相关者的有效沟通，以确保风险控制措施的有效性和及时性。

5. 法律法规遵从：标准还强调了风险处理活动应符合相关的法律法规要求，以确保组织的合规性。

6. 持续改进：标准鼓励组织对信息安全风险处理过程进行持续的监测和改进，以适应不断变化的安全环境。

这份标准适用于各类组织，无论其规模大小、行业类型，都可以参照此标准来建立和优化自身的信息安全风险处理机制，提升信息安全管理水平。

GB∕T 33132-2016 信息安全技术 信息安全风险处理实施指南部分内容预览：

GB/T331322016

[ISO/IEC Guide 73:2002]。 注：在信息安全风险的语境下，对于风险接受仅考虑负面后果（损失）。 3.6 风险处理目标risktreatmenttarget 通过风险处理活动的实施所要达到的最终目标 3.7 风险处理评价risktreatmentevaluation 将风险处理措施实施后的结果与风险处理目标进行比较、分析，以确定风险处理效果的过程。

[ISO/IECGuide73:2002]。 注：在信息安全风险的语境下《混凝土外加剂 GB8076-2008》，对于风险接受仅考虑负面后果（损失）。 3.6 风险处理目标risktreatmenttarget 通过风险处理活动的实施所要达到的最终目标 3.7 风险处理评价risktreatmentevaluation 将风险处理措施实施后的结果与风险处理且标进行比较、分析.以确定风险处理效果的过

4.1风险处理基本原则

风险处理目标的确立和风险处理措施的选择应符合法律、法规、政策、标准和主管部门的要求

在合规原则的前提下，风险处理的核心目的京 是通过采取风险处理活动，有效地控制风险，使得交 理后的风险处于组织的可承受范围之内

明确风险处理的目标、方案、范围、需要实施的风险处理措施及风险处理措施本身可能带来的风险 明确风险处理所需的资源.确保整个风险处理工作的可控性

4.1.4最佳收益原则

根据确立的风险处理目标，运用成本效益分析的方法，综合分析各种风险处理措施的成本、时间和 技术等因素，以及能够获取的收益，选择收益最佳的风险处理措施

风险处理的方式主要有风险降低、风险规避、风险转移和风险接受四种。这四种方式并不互相 组织可以通过多种风险处理方式的合理组合充分获益

GB/T331322016

通过不使用面临风险的资产来避免风险。比如，在没有足够安全保障的信息系统中，不处理敏感 息，从而防止敏感信息的泄漏。再如，对于只处理内部业务的信息系统，不使用互联网，从而避免外 入侵和攻击。

通过将面临风险的资产或其价值进行安全转移来避免或降低风险。比如，在本机构不具备足够的 安全保障技术能力时，将信息系统的技术体系（即信息载体部分）外包给满足安全保障要求的第三方机 构，从而避免技术风险。再如，通过给昂贵的设备上保险，将设备损失的风险转移给保险公司，从而降低 资产价值的损失，

对风险不采取进一步的处理措施，接 风险接受的前提是：确定了信息系统 的风险等级，评估了风险发生的可能性以及带来的潜在破坏，分析了使用处理措施的可能性，并进行了 较全面的成本效益分析，认定某些功能、服务、信息或资产不需要进一步保护

4.3风险处理的角色和职责

信息安全风险处理应该组建团队，分清角色，明确职责。风险处理团队可以分为管理层和执行层。 其中，管理层负责审查风险处理目标、批准风险处理方案并认可风险处理结果，执行层负责确定风险处 理目标、编制风险处理方案并在风险处理方案获得批准后负责实施。必要时，可聘请相关专业的技术专 家组成专家小组，指导风险处理工作

4.4风险处理的基本流程

风险处理的基本流程包括了三个阶段的工作，分别为风险处理准备阶段、风险处理实施阶段和风险 处理效果评价阶段，如图1所示。 第一个步骤是风险处理准备，确定风险处理的范围，明确风险处理的依据，组建风险处理团队，设定 风险处理的目标和可接受准则，选择风险处理方式，明确风险处理资源，形成风险处理计划，并得到管理 层对风险处理计划的批准。第二个步骤是风险处理实施，准备风险处理备选措施，进行成本效益分析和 残余风险分析，对处理措施进行风险分析并制定应急计划，编制风险处理方案，待处理方案获得批准后 要对风险处理措施进行测试，测试完成后，正式实施。在处理措施的实施过程中，要加强监管与审核 第三个步骤是风险处理效果评价，制定评价原则和方案，开展评价实施工作，对没有达到处理目的的风 险，要进行持续改进。风险处理工作是持续性的活动，当受保护系统的政策环境、业务目标、安全目标和 特性发生变化时，需要再次进人上述步骤。 在本标准的第5章到第7章，对信息安全风险处理实施过程的上述3个步骤的概念、过程、工作内 容、输出文档等进行了阐述

GB/T 331322016

图1风险处理基本流程图

5.1制定风险处理计划

5.1.1划定风险处理范围

GB/T331322016

根据风险评估报告、组织的 边界时，应考虑以下因素： a) 业务系统的业务逻辑边界； b) 网络及设备载体边界； c) 物理环境边界； 组织管理权限边界；

5.1.2明确风险处理依据

风险处理的依据包括（但不限于）： ） 国家的相关法律、法规和政策： 现行国际标准、国家标准和行业标准； 行业主管部门的相关规章和制度： 组织的业务战略和信息安全需求； e 组织业务相关单位的安全要求； 系统本身的安全要求等，

5.1.3组建风险处理团

信息安全风险处理是基于风险的信息系统的一种安全管理过程，因此风险处理团队既包括信息安 全风险管理的直接参与人员，也包括信息系统的相关人员。信息安全风险处理主要划分为管理层和执 行层，管理层负责信息系统风险处理的决策、总体规划和批准监督，各过程中的管理、组织和协调工作； 执行层负责信息安全风险处理的具体规划、设计和实施，过程监督、记录并反馈实施效果。 如果采用的风险转移方式中涉及到第三方单位，应将其纳人风险处理团队

5.1.4设定风险处理的目标和可接受准则

根据信息系统风险评估结果，依据国家相关信息安全要求，组织和相关方的信息安全诉求，明确风 险处理对象应达到的最低保护要求，结合组织的风险可承受程度，确定风险可接受准则。风险可接受准 则的划分可参考如下标准： a）风险等级为很高或高的风险建议进行处理，对于现有处理措施技术不成熟的，建议加强监控； b）风险等级为中的风险可根据成本效益分析结果确定，对于处理成本无法承受或现有处理措施 技术不成熟的，可持续跟踪、逐步解决； c）风险等级为低或很低的风险可选择接受，但应综合考虑组织所处的政策环境、外部相关方要求 和组织的安全目标等因素。 风险可接受准则宜与管理层充分沟通，得到组织管理层认可，并与风险处理计划一起提交管理层 批准。

5.1.5选择风险处理方式

根据风险处理可接受准则，明确需要处理的风险和可接受的风险，对于需要处理的风险，应初步

GB/T 331322016

定每种风险拟采取的处理方式，形成风险处理列表。风险处理方式可以是规避风险、转移风险、降低风 险三种处理方式的一种，也可以是多种处理方式的组合。 风险处理列表的内容包括风险名称、涉及的资产范围、初步确定的风险处理方式等。风险处理列表 需要得到组织管理层的认可和批准。

5.1.6明确风险处理资源

5.1.7形成风险处理计划

上述所有内容确定后，应形成风险处理计划。处理计划应包含（但不限于）：风险处理范围、依据、目 标、方式、所需资源等。 输入：风险评估报告、风险等级列表 输出：风险处理计划

制定完成并确认后的风险处理计划，应得到组织最高管理者的批准 输入：风险处理计划 输出：风险处理计划批准表

制定完成并确认后的风险处理计划，应得到组织最高管理者的批 输入：风险处理计划 输出：风险处理计划批准表

6.1风险处理方案制定

依据组织的使命，并遵循国家、地区或行业的相关政策、法律、法规和标准的规定，参考信息系统的 风险评估报告，并结合风险处理准备阶段的处理依据、处理目标、范围和方式，依据每种风险的处理方式 选择对应的风险处理措施，编制风险处理备选措施列表。 输入：信息系统风险评估报告，风险处理目标列表，风险处理计划 输出：风险处理备选措施列表

《机械搅拌澄清池刮泥机 CJ/T82-1999》6.1.2成本效益分析

案，衡量各种方案的成本和收益，如果风险造成的损失大于成本，则依据最佳收益原则选择适当的处理 方案。 对于成本效益分析可以采用定量分析和定性分析两种方法。对于定量分析首先需要确定客资产价 值，为各个风险输人资产价值，确定资产面临的损坏程度，之后估计发生的可能性，进而以损失价值与发 生概率相乘计算出预期损失。由于评估无形资产的主观性本质，没有量化风险的精确算法，建议根据组 织情况明确成本和效益的一到两个关键值，并设立期望值，进而选择可行方案（案例可参见附录A）。 在进行成本效益分析时，在成本应考虑的因素主要包括硬件、软件、人力、时间、维护、外包服务；效 益应考虑的因素主要包括政治影响、社会效益、合规性和经济效益。 输入：风险处理备选措施列表 输出：风险处理成本效益分析报告，更新后的风险处理备选措施列表

6.1.3残余风险分析

GB/T331322016

任何信息系统都存在风险，同时风险不可能完全被消除。因此，需对实施风险处理措施后的残余风 险进行分析。对残余风险的评价可以依据组织的风险评估准则进行。 若某些风险可能在选择了适当的控制措施后仍处于不可接受的风险范围内，则应通过管理层依据 风险接受原则考虑是否接受此类风险或增加更多的风险处理措施。为确保所选择的风险处理措施是有 效的，必要时可进行再评估，以判断实施风险处理措施后的残余风险是否降到了可接受的水平。 输入：风险处理备选措施列表 输出：风险处理残余风险分析报告GB∕T 9846.1-2004 胶合板 第1部分 分类，更新后的风险处理备选措施列表

6.1.4处理措施风险分析及应急计划