GB/T 33132-2016信息安全技术　信息安全风险处理实施指南.pdf

ICS35.040 L80 中华人 民共和 国国家标准 / — GBT33132 2016 信息安全技术 信息安全风险处理 实施指南 — Informationsecurittechnolo Guideofim lementationfor y gy p informationsecuritrisktreatment y 2016-10-13发布 2017-05-01实施 中华人民共和国国家质量监督检验检疫总局 发 布 中 国 国 家 标 准 化 管 理 委 员 会 / — GBT33132 2016 目 次 前言 ………………………………………………………………………………………………………… Ⅰ 引言 ………………………………………………………………………………………………………… Ⅱ 1 范围 ……………………………………………………………………………………………………… 1 2 规范性引用文件 ………………………………………………………………………………………… 1 3 术语和定义 ……………………………………………………………………………………………… 1 4 风险处理实施概述 ……………………………………………………………………………………… 2 4.1 风险处理基本原则 ………………………………………………………………………………… 2 4.2 风险处理的方式 …………………………………………………………………………………… 2 4.3 风险处理的角色和职责 …………………………………………………………………………… 3 4.4 风险处理的基本流程 ……………………………………………………………………………… 3 5 风险处理准备 …………………………………………………………………………………………… 5 5.1 制定风险处理计划 ………………………………………………………………………………… 5 5.2 获得管理层批准 …………………………………………………………………………………… 6 6 风险处理实施 …………………………………………………………………………………………… 6 6.1 风险处理方案制定 ………………………………………………………………………………… 6 6.2 风险处理方案实施 ………………………………………………………………………………… 8 7 风险处理效果评价 ……………………………………………………………………………………… 8 7.1 概述 ………………………………………………………………………………………………… 8 7.2 评价原则 …………………………………………………………………………………………… 8 7.3 评价方法 …………………………………………………………………………………………… 9 7.4 评价方案 …………………………………………………………………………………………… 9 7.5 评价实施 …………………………………………………………………………………………… 9 7.6 持续改进 …………………………………………………………………………………………… 10 ( )