一、任務來源

根據(jù)全國信息安全標準化技術委員會2011年下達的國家信息安全戰(zhàn)略研究

與標準制定工作專項項目任務（計劃號：20120535-T-469），國家標準《信息安

全技術信息安全風險處理實施指南》由中國信息協(xié)會信息安全專業(yè)委員會（秘

書處設在國家信息中心）負責主辦。

二、任務背景

為落實與發(fā)展原國務院信息辦《關于開展信息安全風險評估工作的意見》（國

信辦[2006]5號）的文件精神，在國家基本完成對我國基礎信息網(wǎng)絡和重要信息

系統(tǒng)普遍進行信息安全風險評估工作后，規(guī)范性指導各被評估單位開展信息安全

風險管理，科學控制信息安全風險，提升其信息安全技術與信息安全管理的安全

保障能力，全面提高被評估單位信息安全的信息安全風險管理水平。

本標準將在國家標準GB/T20984-2007《信息技術信息安全風險評估規(guī)范》、

GB/T24364-2009《信息技術信息安全風險管理指南》及國標《信息安全風險評

估實施指南》（GB/TXXXXX-XXXX）的基礎上，針對風險評估工作中反映出來

的各類信息安全風險，形成客觀、規(guī)范的風險處理方案，用于指導信息安全風險

處理工作，促進風險管理工作的完善。

三、編制原則

本標準屬于信息安全標準，以自主編寫的方式完成。國家標準《信息安全技

術信息安全風險處理實施指南》根據(jù)我國信息安全風險管理工作的發(fā)展，針對

風險評估工作中反映出來的各類信息安全風險，形成客觀、規(guī)范的風險處理方案，

用于指導信息安全風險處理工作，促進風險管理工作的完善。

四、主要工作過程

1、2012年3月至5月，由國家信息中心牽頭，成立了由北京信息安全測評

中心、北京數(shù)字認證股份有限公司、中國民航大學、東軟集團股份有限公司、西

安交大捷普網(wǎng)絡科技有限公司等單位共同組成的標準編制組，進行課題調研，并

形成了《信息安全風險處理指南》標準的基本框架和編制思路。

2、2012年5月17日，標準編制組正式召開國家標準《信息安全技術信息

安全風險處理實施指南》編制工作啟動會暨第一次標準編制組會。解放軍信息安

全測評認證中心崔書昆研究員、中國科學院研究生院趙戰(zhàn)生教授、中國信息安全

認證中心曹雅斌處長、電監(jiān)會信息中心胡紅升副主任、國家稅務總局李建彬研究

員等專家出席啟動會。啟動會上，各專家主要對本標準的范圍、基本框架、指導

思想以及標準中相關術語概念等提出了寶貴的意見和建議。根據(jù)專家意見及存在

的問題，安排對標準的基本框架進一步完善。

3、2012年5月至6月，標準編制組根據(jù)啟動會專家的意見，確定了標準的

基本框架，并對編制任務分工進行了安排。

4、2012年6月至8月，標準編制組按照各自的任務分工，完成了相應部分

的初稿，形成了本標準草案第一稿。

5、2012年9月17日，召開第二次標準編制組會，對本標準草案第一稿進

行討論和研究，調整了部分章節(jié)的結構和內容順序，并提出了一些修改意見。

6、2012年9月至11月，標準編制組根據(jù)第二次標準編制組會的要求，對

標準草案第一稿進一步修改完善，形成了本標準草案第二稿。

7、2012年11月8日，召開第三次標準編制組會，對本標準草案第二稿進

行討論和研究，統(tǒng)一正文和附錄的編寫體例，并再次對部分內容提出了一些調整

和修改意見。

8、2012年11月至12月，標準編制組根據(jù)第三次標準編制組會的要求，對

標準草案第二稿進一步修改完善，形成了本標準草案第三稿。

9、2012年12月27日，召開第四次標準編制組會，對本標準草案第三稿進

行討論和梳理，對附錄部分的風險處理措施的編寫方式進行了統(tǒng)一，并再次對部

分內容提出一些調整和修改意見。

10、2012年12月至2013年3月，標準編制組根據(jù)第四次標準編制組會的

要求，對標準草案第三稿進一步修改完善，形成了本標準草案第四稿。

11、2013年3月21日和27日，標準編制組召開了第五次和第六次標準編

制組會，分別對標準草案第四稿的正文和附錄部分進行梳理與修改，形成了本標

準草案第五稿。

12、2013年3月至6月，標準編制組對標準草案第五稿的內容進一步修改

完善，形成了本標準草案第六稿。

13、2013年7月4日，標準編制組召開國家標準《信息安全技術信息安全

風險處理實施指南》編制工作專家研討會暨第七次標準編制組會。全國信息安全

標準化技術委員會崔書昆研究員、北京大學王立福教授、解放軍信息安全測評認

證中心肖京華高工、教育部考試中心魯欣正副研究員、中國華能集團公司信息中

心郭森處長、中國信息安全測評中心班曉芳副研究員出席了研討會。會上，專家

主要對本標準附錄部分的信息安全風險分類方法和依據(jù)提出了疑問，并對標準中

的其他內容提出了一些意見和建議。根據(jù)專家意見及存在的問題，安排對標準草

案第六稿進行修改，并擬與中國信息安全認證中心聯(lián)合對各信息安全風險評估服

務單位（主要是一級和二級資質）開展信息安全風險分類調研，重新對信息安全

風險進行梳理和分類，對標準附錄部分重新編寫。

14、2013年8月1日，標準編制組召開了第八次標準編制組會，對專家意

見進行了深入討論，并形成相關處理意見。

15、2013年9月4日，標準編制組召開了第九次標準編制組會，對信息安

全風險分類調研方案進行了討論。

16、2013年7月至9月，標準編制組對標準草案第六稿的內容進一步修改

完善，形成了本標準草案第七稿。

17、2013年9月23日，全國信息安全標準化技術委員會在北京應物會議中

心召開評審會，對《信息安全技術信息安全風險處理實施指南》（草案）進行了

評審。

18、2013年10月24日，標準編制組召開第十次標準編制組會議，對專家

意見進行了討論，并形成相關處理意見。

19、2014年3月19日，標準編制組召開第十一次標準編制組會議，對第十

次會議部署的工作成果進行了討論，并形成相關修改意見。

20、2014年5月12日，標準編制組召開第十二次標準編制組會議，對第十

一次會議部署的工作成果進行確認，形成了本標準草案第八稿。

21、2014年5月18日，全國信息安全標準化技術委員會在北京應物會議中

心召開評審會，對《信息安全技術信息安全風險處理實施指南》（草案）進行了

評審，崔書昆老師、馮惠老師、宿忠民老師、賈穎禾老師、曲成義老師、趙戰(zhàn)生

老師、王立福老師分別對標準提供了建議和意見。

22、2014年6月9日，標準編制組召開第十三次標準編制組會議，對專家

意見進行了討論，并形成相關處理意見。

23、2014年11月10日，標準編制組召開第十四次標準編制組會議，對第

十三次會議部署的工作成果進行確認，并形成了本標準草案第九稿。

24、2014年12月10日，全國信息安全標準化技術委員會在北京召開專家

審查會，對《信息安全技術信息安全風險處理實施指南》（草案）進行了評審。

崔書昆老師、賈穎禾老師、王立福老師、陳冠直老師、吳源俊老師、曲成義老師、

閔京華老師分別對標準提供了建議和意見。

25、2014年12月16日，標準編制組召開第十五次標準編制組會議，對專

家意見進行了討論，并形成相關處理意見。

26、2014年12月30日，標準編制組召開第十六次標準編制組會議，對第

十五次會議部署的工作成果進行確認，并形成了本標準草案第十稿。

五、主要內容

本標準給出了信息安全風險處理實施的管理過程和方法。

本標準適用于指導信息系統(tǒng)運營使用單位和信息安全服務機構實施信息安

全風險處理活動。

本標準主要框架如下：

前言

引言

1范圍

2規(guī)范性引用文件

3術語和定義

4風險處理實施概述

4.1風險處理基本原則

4.2風險處理的方式

4.3風險處理的角色和職責

4.4風險處理的基本流程

5風險處理準備

5.1制定風險處理計劃

5.2獲得管理層批準

6風險處理實施

6.1風險處理方案制定

6.2風險處理方案實施

7風險處理效果評價

7.1評價原則

7.2評價方法

7.3評價方案

7.4評價實施

7.5持續(xù)改進

附錄A（資料性附錄）風險處理實踐示例

A.1示例

A.2風險處理準備

A.3風險處理實施

A.3.1成本效益分析報告

A.3.2殘余風險分析報告

A.3.3風險處理方案

A.3.4風險處理實施報告

A.4風險處理評價

六、主要試驗（或驗證）的分析、綜述報告，技術經(jīng)濟論證，預期的經(jīng)濟效果

本標準是一種方法指南，用于指導組織的信息安全風險處理工作，為組織在

信息安全風險評估工作完成后實施信息安全風險處理工作提供規(guī)范性指導，科學

控制信息安全風險，從而降低或減輕信息安全風險可能給組織業(yè)務帶來的負面影

響或利益損害。

七、采用國際標準和國外先進標準的程度，以及與國際、國外同類標準水平的

對比情況，或與測試的國外樣品、樣機的有關數(shù)據(jù)對比情況

無。

八、與有關的現(xiàn)行法律、法規(guī)和強制性國家標準的關系

本標準符合現(xiàn)有法律法規(guī)。本標準與現(xiàn)有國家標準《信息安全技術信息安

全風險評估規(guī)范》（GB/T20984-2007）、《信息安全技術信息安全風險評估實施

指南》（GB/TXXXXX-XXXX）和《信息安全技術信息安全風險管理指南》（GB/Z

24364-2009）都屬于信息安全風險管理體系標準族標準，本標準針對風險評估工

作中反映出來的各類信息安全風險，從風險處理工作的組織、管理、流程、評價

等方面提出了相關要求，用于指導組織形成客觀、規(guī)范的風險處理方案，促進風

險管理工作的完善。

九、重大分歧意見的處理經(jīng)過和依據(jù)

詳見意見匯總處理表。

十、國家標準作為強制性國家標準或推薦性國家標準的建議

建議本標準作為推薦性國家標準發(fā)布實施。

十一、貫徹國家標準的要求和措施建議（包括組織措施、技術措施、過渡辦法

等內容）

本標準通過風險管理方法，為國家標準《信息安全技術信息安全風險評