2.1.3 我国信息安全风险管理标准体系框架

风险管理在各行各业有着很好的应用，发挥了非常重要的作用。比如：企业全面风险管理已经成功地在国内推广，帮助许多企业在发展、壮大的过程中规避风险，化险为夷，持续发展。又比如风险管理在银行业的应用也相对成熟，有不少的成功案例。大部分银行内部设有风险管理专职部门，一般对管理层或董事会负责，银行从业者要通过相关考试后方能上岗。但是风险管理在信息安全的应用还很不规范，还有很长的路要走。特别是新形势下信息安全面临着巨大的挑战，各种新技术广泛应用，网络空间攻防之间对抗强度增加，网络攻击的规模化、专业化程度和趋利性日益增强，新的攻击形态层出不穷，这些都亟待用风险管理的思想、原则、架构、过程和方法加以解决。所以，业界有识之士开始关注风险管理在信息安全领域里的应用、推广和普及，这自然也就关注到了信息安全风险管理标准体系的研究问题。

国家信息中心信息与网络安全部承接了全国信息安全标准化技术委员会（简称信安标委，TC 260）信息安全风险管理标准体系研究的项目课题，2018年10月在《信息安全研究》杂志上发表了《信息安全风险管理标准体系研究》，指出了风险管理标准体系亟待调整、新技术下标准不能适应、我国标准与国际标准接轨等问题，提出了在当前形势下我国信息安全风险管理标准体系的框架结构。

我国的信息安全风险管理标准体系框架分为四个层面，包括：政策法规支撑、基础标准、新技术标准和行业标准。

框架的底层是政策法规支撑。我国从2003年起发布了多项相关政策，引导风险管理的发展，包括《关于开展信息安全风险评估工作的意见》《国家信息化领导小组关于加强信息安全保障工作的意见》等，为国内信息安全风险管理奠定了良好的基础。特别是2016年颁布的《中华人民共和国网络安全法》，使信息安全行业有法可依。

框架的第二层是基础标准。基础标准包括已经发布的GB/T 20984—2007《信息安全技术 信息安全风险评估规范》、GB/Z 24364—2009《信息安全技术 信息安全风险管理指南》、GB/T 31722—2015《信息技术 安全技术 信息安全风险管理》、GB/T 33132—2016《信息安全技术 信息安全风险处理实施指南》等，这些标准作为基础标准的基础，指导了国内信息安全风险管理和风险评估工作的开展，为国内信息安全风险管理工作的落地提供了最佳实践。

框架的第三层是新技术标准。新技术标准给出了风险管理和风险评估标准在新技术领域的实施流程和方法，包括GB/T 39335《信息安全技术 个人信息安全影响评估指南》GB/T 36637《信息安全技术ICT供应链安全风险管理指南》、GB/T 36466《信息安全技术 工业控制系统风险评估实施指南》，以及正在研究制定中的《大数据业务安全风险控制实施指南》《云计算安全风险评估实施指南》《区块链安全风险评估指南》等。

框架的顶层是行业标准。行业标准指导具体工作在各行业的开展和实施，包括《金融行业信息安全风险评估规范》《政务信息安全风险评估规范》《交通行业信息安全风险评估规范》《金融行业信息安全风险评估指南》《政务信息安全风险评估指南》《交通行业信息安全风险评估指南》等。

这样就基本上形成了以国家颁布的法律法规和行业政策为支撑，由信息安全风险管理过程各阶段标准为基础，层出不穷的新技术标准为补充，行业标准落地应用为实践的信息安全标准体系架构，用来支撑和指导我国的信息安全风险管理工作，同时也在信息安全风险管理过程中，取其精华去其糟粕，不断地补充和完善。 nlkBYawWQ3aX6pbkmPe1Xau59N7oxZBIvrpIS7KZ5mbpAGVzFAhKjH8IoROTnSPN