GB/T 31722-2025 信息安全技术信息安全风险管理指导

#政策法规 ·2026-05-06 10:38:35

1.范围

本文件提供了信息安全风险管理指导，以帮助组织;

——满足GB/T22080—2025有关应对信息安全风险活动的要求；

——实施信息安全风险管理活动，特别是信息安全风险评估和处置。

本文件适用于所有组织，无论其类型、规模或领域。

2.规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本(包括所有的修改单）适用于本文件。

ISO/IEC 27000 信息安全技术 信息安全管理体系概述和词汇(Information security management systems -—Overview and vocabulary)

注：GB/T29246-2017 信息安全技术 信息安全管理体系概述和词汇（ISO/IEC 27000:2016,IDT）

3.术语和定义

GB/T29246-2013界定的以及下列术语和定义适用于本文件。

ISO和IEC维护用于标准化的术语数据库，地址如下：

——ISO在线浏览平台：http://www.iso.org/obp

-——IEC 电子百科：http://www.electropedia.org

3.1信息安全风险相关术语

3.1.1外部环境 external context

组织寻求其目标实现所处的外部状况。

注：外部环境包括以下内容：

——国际、国内、区域或地方的社会、文化、政治、法律、监管、金融、技术、经济、地质环境；

——对组织目标有影响的关键驱动因素和趋势;

——与外部相关方的关系、看法、价值观、需求和期望；

——合同关系和承诺;

——网络的复杂性和依赖性。

[来源：GB/T23694-2013,4.3.3.1,有修改]

3.1.2内部环境 internal context

组织寻求其目标实现所处的内部状况。

注：内部环境包括以下内容：

——愿景、使命和价值观：

——治理、组织结构、职能和责任；

——战略、目标和方针;

——组织文化;

——组织采用的标准、指南和模型；

——从资源和知识角度理解的能力（例如，资本、时间、人员、过程、系统和技术)；

——数据、信息系统和信息流；

——与内部相关方的关系，考虑到他们的看法和价值观；

——合同关系和承诺；

——内部相互依赖和相互联系。

[来源：GB/T23694-2013,4.3.1.2，有修改］3.1.3风险 risk

不确定性对目标的影响。

注1：影响是指偏离预期，偏离是正面的或负面的。能应用在不同层级。

注2：目标可能有不同方面(aspects) 和种类(categories),

注3：不确定性是指理解或知晓事态(3.1.11)及其后果(3.1.14)或可能性(3.1.13）的相关信息不足，甚至仅有部分信息的状态。

注4：风险通常以风险源(3.1.6）、潜在事态、后果及其可能性表示。

注5：在信息安全管理体系中，信息安全风险能表示为不确定性对信息安全目标的影响。

注6：信息安全风险通常与不确定性对信息安全目标的负面影响相关。

注7：信息安全风险可能与威胁(3.1.9)利用单个或一组信息资产的脆弱性(3.1.10)，从而对组织造成伤害的可能性相关。

[来源：GB/T 24353-2022,3.1.有修改]

3.1.4风险场景 risk scenario

由最初的起因导致不期望后果（3.1.14）的事态序列或组合(3.1.11）。

[来源：ISO17666:2016,3.1.13,有修改]

3.1.5风险责任人 risk owner

具有管理风险（3.1.3）的责任和权限的个人或实体。

[来源：GB/T 23694-2013,4.5.1.5]

3.1.6风险源 risk source