信息安全技术 信息安全风险管理实施指南(GB/T 24364-2023)
信息安全技术 信息安全风险管理实施指南
Information security technology—Implementation guide for information security risk management
发布日期2023-05-23
实施日期2023-12-01
5月23日,国家市场监督管理总局和国家标准化管理委员会发布《中华人民共和国国家标准公告》(2023年第2号),由国家信息中心牵头,全国信息安全标准化技术委员会归口的GB/T 24364-2023《信息安全技术 信息安全风险管理实施指南》国家标准正式发布。
GB/T 24364-2023《信息安全技术 信息安全风险管理实施指南》是对现行的GB/Z 24364-2009《信息安全技术 信息安全风险管理指南》的修订,由国家信息中心牵头,联合17家业内优秀产学研机构共同编制。标准确立了信息安全风险管理的框架,描述了信息安全风险管理的目标、原则、保障机制、保障范畴、保障措施和保障能力,提供了风险管理全过程的实施要点和工作形式。标准将于2023年12月1日正式实施。
随着新一轮科技革命和产业变革加速演进,网络安全新挑战层出不穷,风险威胁不断加剧,如何做好信息安全风险管理成为建设“网络强国”的重要命题。标准编制组在《网络安全法》《数据安全法》《个人信息保护法》《密码法》《关键信息基础设施安全保护条例》《商用密码管理条例》等法律法规和政策文件的指导下,对新时代信息安全风险管理工作所面临的新要求和新挑战进行了充分分析,结合国内外先进研究成果和实践经验,首次提出了适合我国国情的信息安全风险管理框架。
标准的修订发布为各类组织开展信息安全风险管理工作提供了参考,为支撑国家网络安全主管部门掌控安全风险状况提供了抓手和途径,为各级风险管理部门提升安全风险管控能力提供了工具和参考,为风险管理评估机构开展风险管理工作提供了规范和指导,为全社会进一步筑牢网络安全防线提供了有力保障。