ISO27005信息安全技术风险管理白皮书

信息安全管理体系要求－ISO/IEC27001:2005介绍

1发展：一个重要的里程碑

ISO/IEC 27001:2005的名称是“Information technology- Security techniques-Information security management systems-requirements”，可翻译为“信息技术- 安全技术-信息安全管理体系要求”。

在ISO/IEC 27001:2005标准出现之前，组织只能按照英国标准研究院（British Standard Institute，简称BSI）的BS 7799-2:2002标准，进行认证。现在，组织可以获得全球认可的ISO/IEC 27001:2005标准的认证。这标志着ISMS的发展和认证已向前迈进了一大步：从英国认证认可迈进国际认证认可。ISMS的发展和认证进入一个重要的里程碑。这个新ISMS标准正成为最新的全球信息安全武器。

2目的：认证

ISO/IEC 27001:2005标准设计用于认证目的，它可帮助组织建立和维护ISMS。标准的4 - 8章定义了一组ISMS要求。如果组织认为其ISMS满足该标准4 - 8章的所有要求，那么该组织就可以向ISMS认证机构申请ISMS认证。如果认证机构对组织的ISMS进行审核（初审）后，其结果是符合ISO/IEC 27001:2005的要求，那么它就会颁发ISMS证书，声明该组织的ISMS符合

ISO/IEC 27001:2005标准的要求。

然而，ISO/IEC 27001:2005标准与ISO/IEC 9001:2002标准（质量管理体系标准）不同。ISO/IEC 27001:2005标准的要求十分“严格”。该标准4 - 8章有许多信息安全管理要求。这些要求是“强制性要求”。只要有任何一条要求得不到满足，就不能声称该组织的ISMS符合ISO/IEC 27001:2005标准的要求。相比之下，ISO/IEC 9001:2002标准的第7章的某些要求（或条款），只要合理，可允许其质量管理体系（QMS）作适当删减。

ISOIEC27005白皮书

1. ISO/IEC 27005介绍

7月9日，ISO发布ISO/IEC 27005:2018，这是该标准的第3个版本，是该标准2011年改版后的再次修订。

在我们这个超级链接、技术驱动的世界中，数据泄露和网络攻击是组织当前面临的重大威胁。保护公司信息的安全(无论是商业敏感信息还是客户的个人身份信息)受到前所未有的关注，诸如欧洲GDPR 等新的立法意味着组织面临更大的压力，必须确保信息安全才能赢得商业成功。但衡量什么样的技术、流程是合适的是个难题，《ISO/IEC 27005:2018 信息技术 - 安全技术 - 信息安全风险管理》，提供了一套适用于信息安全的风险管理方法，它通过提供有效管理风险的框架，为组织提供指导，帮助组织解决信息安全管理问题。

Edward Humphreys是ISO/IEC工作组的召集人，同时开发了ISO/IEC 27001和ISO/IEC 27005，他说这个更新后的标准是ISO/IEC“网络风险工具箱”中的关键工具。“ISO/IEC 27005为组织提供“why、what和how”，支持组织按照ISO/IEC 27001有效地管理信息安全风险”,他说，“它还有助于向组织的客户或利益相关方证明稳健的风险流程已经到位，让他们相信自己可以安全做生意。”

2. ISO/IEC 27000标准族

在ISO/IEC 27000标准族中，ISO/IEC 27005是一个支持和资料性标准。

ISO/IEC 27000标准族的核心框架

在这个框架图中，我们可以看到：

惠州培训网

更多免费资料下载请进： 好好学习社区

信息安全风险评估管理程序

1.目的

在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估，形成评估报告，描述风险等级，识别和评价供处理风险的可选措施，选择控制目标和控制措施处理风险。

2.范围

在ISMS 覆盖范围内主要信息资产

3.职责

3.1各部门负责部门内部资产的识别，确定资产价值。

3.2ISMS 小组负责风险评估和制订控制措施和信息系统运行的批准。

4.内容

4.1资产的识别

4.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别，确定资产价值。

4.1.2资产分类

根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类。

4.1.3资产赋值

资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析，选择对资产机密性、完整性和可用性最为重要（分值最高）的一个属性的赋值等级作为资产的最终赋值结果。资产等级划分为五级，分别代表资产重要性的高低。等级数值越大，资产价值越高。

1）机密性赋值

根据资产在机密性上的不同要求，将其分为五个不同的等级，分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。

什么是 ISO/IEC 27001？ ISO/IEC 27001标准的名称为《信息技术 —安全技术 —信息安全管理体系 —要求》，由国际标准化组织（ ISO ）及国际电工委员会（ IEC ）出版。 ISO/IEC 27001:2013（下称 ISO/IEC 27001）为最新版本的 ISO/IEC 27001标准，修订了 2005年出版的上一个版本（即 ISO/IEC 27001:2005）。本标准订明有关建立、推行、维护和持续改进信息安全管理体系的各项要求。信息安全管理体系阐述保护敏感信息安全的系统化方式，通过应用风险管理流程管理人事、工序及信息技术系统。这套系统不仅适用于大型机构，中小型企业也会合用。 ISO/IEC 27001可以与相关支援控制措施配合使用，例如载列于 ISO/IEC 27002:2013（下称 ISO/IEC 27002）文件的控制措施。 ISO/IEC 27002分为 14节及 35个控制目标，详述 114项安全控制措施。有关 ISO/IEC 27001及 ISO/IEC 27002的目录载于附录 A 。机构是否遵行 ISO/IEC 27001标准所定的要求，可由认可认证机构进行正式评估和认证。若机构的信息安全管理体系获取 ISO/IEC 27001标准的认证，显示机构致力保护信息安全，又可增加客户、合伙人及持份者的信心。 ISO/IEC 27001认证要求为符合 ISO/IEC 27001认证要求，机构的信息安全管理体系必须由国际认可的认证机构进行审计。 ISO/IEC 27001第 4节至 10节所载的要求（见附录 A ）是强制性要求，并没有豁免情况。若机构的信息安全管理体系通过正式审计，便会获认证机构颁发 ISO/IEC 27001证书。证书的有效期为三年，期满后，机构需要重新为其信息安全管理体系进行认证。在三年有效期内，机构必须执行证书维护，以确保信息安全管理体系持续遵行有关要求，按规定运行和不断改进。为了保持证书有效，认证机构会每年至少一次就信息安全管理体系进行实地视察，以进行监察审计。在审计过程中，认证机构只会对部分信息安全管理体系作出审计。当三年有效期临近届满时，认证机构才会对整个信息安全管理体系作出审计。

XXXXXXXXX有限责任公司信息安全风险管理程序

[XXXX-B-01]

V1.0

变更履历

1 目的

为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平，特制定本程序。

2 范围

本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。

3 职责

3.1 综合部

负责牵头成立风险评估小组。

3.2 风险评估小组

负责编制《信息安全风险评估计划》，确认评估结果，形成《信息安全风险评估报告》。

3.3 各部门

负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉及的资产的具体安全控制工作。

4 相关文件

《信息安全管理手册》

《商业秘密管理程序》

5 程序

5.1 风险评估前准备

5.1.1 成立风险评估小组

综合部牵头成立风险评估小组，小组成员应包含信息安全重要责任部门的成员。

5.1.2 制定计划

风险评估小组制定《信息安全风险评估计划》,下发各部门。

5.2 资产赋值

5.2.1 部门赋值

各部门风险评估小组成员识别本部门资产，并进行资产赋值。

5.2.2 赋值计算

资产赋值的过程是对资产在保密性、完整性、可用性和法律法规合同上的达成程度进行分析，并在此基础上得出综合结果的过程。

5.2.3 保密性(C)赋值

根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。

保密性分类赋值方法

5.2.4 完整性(I)赋值

根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。

信息安全管理白皮书

摘要：

本白皮书旨在探讨信息安全管理的重要性，并提供一套有效的信息安全管理框架。通过综合分析当前信息安全威胁和挑战，本白皮书将介绍信息安全管理的原则、策略和最佳实践，以帮助组织建立健全的信息安全管理体系，保护其关键信息资产。

1. 引言

信息技术的迅速发展和广泛应用给组织带来了巨大的机遇，同时也带来了新的

风险和威胁。信息安全管理的重要性日益凸显，组织需要采取适当的措施来保护其信息资产，以确保业务的连续性和可靠性。

2. 信息安全管理原则

（1）全面性：信息安全管理应覆盖组织的各个方面，包括人员、流程和技术，确保整体的安全性。

（2）风险导向：信息安全管理应基于风险评估和风险管理，根据实际威胁和

漏洞制定相应的安全策略。

（3）持续改进：信息安全管理需要不断改进和更新，以适应不断变化的威胁

环境和技术发展。

3. 信息安全管理框架

（1）制定信息安全策略：组织应明确信息安全目标，并制定相应的策略和政策，以指导信息安全管理的实施。

（2）风险评估和管理：组织应对信息资产进行风险评估，识别潜在威胁和漏洞，并采取相应的风险管理措施。

（3）建立安全控制措施：组织应建立适当的安全控制措施，包括访问控制、身份认证、加密等，以保护信息资产的机密性、完整性和可用性。

（4）培训和意识提升：组织应加强员工的安全意识培训，提高其对信息安全的重要性的认识，并掌握相应的安全操作技能。

（5）监控和审计：组织应建立监控和审计机制，对信息系统的使用情况和安全事件进行监测和审计，及时发现和应对安全问题。

（6）应急响应：组织应制定应急响应计划，以应对安全事件和事故，减轻损失并恢复业务的连续性。

ISO27001：2013信息安全风险管理程序

XXXXXXXXX有限责任公司信息安全风险管理程序

[XXXX-B-01]

V1.0

变更履历

1 目的

为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平，特制定本程序。

2 范围

本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。

3 职责

3.1 综合部

负责牵头成立风险评估小组。

3.2 风险评估小组

负责编制《信息安全风险评估计划》，确认评估结果，形成《信息安全风险评估报告》。

3.3 各部门

负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉及的资产的具体安全控制工作。

4 相关文件

《信息安全管理手册》

《商业秘密管理程序》

5 程序

5.1 风险评估前准备

5.1.1 成立风险评估小组

综合部牵头成立风险评估小组，小组成员应包含信息安全重要责任部门的成员。

5.1.2 制定计划

风险评估小组制定《信息安全风险评估计划》,下发各部门。

5.2 资产赋值

5.2.1 部门赋值

各部门风险评估小组成员识别本部门资产，并进行资产赋值。

5.2.2 赋值计算

资产赋值的过程是对资产在保密性、完整性、可用性和法律法规合同上的达成程度进行分析，并在此基础上得出综合结果的过程。

5.2.3 保密性(C)赋值

根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。

保密性分类赋值方法

5.2.4 完整性(I)赋值

根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。

iso27001信息安全管理体系简介ISO 27001信息安全管理体系简介

ISO 27001是全球信息安全管理体系标准的代表性标准，是由国际标准化组织（ISO）制定的。它为组织提供了建立、实施、维护和持续改进信息安全管理体系

的框架和要求，有助于组织保护其重要信息资产，并确保信息安全得到充分的保护。

ISO 27001标准的核心是风险管理。组织需要根据其业务需求和风险承受能力，识别和评估信息安全风险，并采取适当的控制措施来降低风险。标准要求组织建立信息安全政策，明确信息安全目标和责任，进行风险评估和风险管理，制定信息安全控制措施，对信息安全绩效进行监控和审查等。

ISO 27001标准适用于各种类型、规模和性质的组织，无论是商业企业、政府

机构，还是非营利组织，都可以根据自身的需求和情况，采用这一标准建立信息安全管理体系。标准的实施不仅可以提高组织的信息安全管理水平，降低信息安全风险，还可以增强组织在市场上的竞争力，提升客户和合作伙伴对组织信息安全管理能力的信任。

ISO 27001标准的实施过程一般包括以下几个阶段：

1. 确定信息安全管理体系的范围和目标：组织需要明确信息安全管理体系的范围，确定实施ISO 27001标准的目标和计划。

2. 进行风险评估和风险管理：组织需要识别和评估信息安全风险，确定关键信

息资产，制定信息安全风险管理计划，采取适当的控制措施来降低风险。

3. 制定信息安全政策和程序：组织需要建立信息安全政策，明确信息安全目标

和责任，制定信息安全程序和控制措施，确保信息安全管理体系的有效实施和持续改进。

国家标准《信息安全技术信息安全风险评估规范》（征求意

见稿）编制说明

一、工作简况

1.1 任务来源

2016年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）2016年第二次全会讨论通过，研究修订《信息安全技术信息安全风险评估规范》国家标准。该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口。

1.2 主要起草单位和工作组成员

国家信息中心和北京安信天行科技有限公司主要负责起草，协作起草单位包括中国信息安全认证中心、中国电子技术标准化研究院、中国信息安全测评中心、公安部信息安全等级保护评估中心、信息产业信息安全测评中心、中国科学院信息工程研究所、北京信息安全测评中心、民航信息安全管理与测评中心和上海上讯信息技术股份有限公司等。

1.3 主要工作过程

标准于2017年3月开始进行相关调研工作，于2017年7月立项，于2017年4月至9月编制完成《信息安全技术信息安全风险评估规范（修订版）》草案，并邀请国家安全主管部门、重点行业主管机关、服务资质认证机构、安全评估从业机构等对草案进行多次研讨。在2017年9月，标准召开了专家评审会。并将修改完成后的《信息安全技术信息安全风险评估规范（修订版）》草案提交安标委，在2017年10月根据安标委的工作安排，供专家讨论评审。标准于2018年1月根据专家意见，形成《信息安全技术信息安全风险评估规范（修订版）》（征求意见稿），提交进行意见征集。

（1）基础研究和调研

组建《信息安全风险评估规范》修订项目组，对近年来，尤其是中央网络安全与信息化领导小组成立以来所发布的关于网络安全的一系列政策文件进行研究，充分理解我国网络安全的战略规划对信息安全风险评估工作提出的新要求和

ISO/IEC 27005:2008

信息技术–安全技术–信息安全风险管理

Information Technology – Security techniques - Information security risk management

目录

前言 (4)

介绍 (5)

1. 范围 (6)

2. 规范性引用文件 (6)

3. 术语和定义 (6)

4. 本国际标准的结构 (8)

5. 背景 (9)

6. 信息安全风险管理过程概述 (10)

7. 确定范畴 (13)

7.1. 总则 (13)

7.2. 基本准则 (13)

7.3. 范围和边界 (16)

7.4. 信息安全的组织架构 (17)

信息安全风险评估 (17)

8.1. 信息安全风险评估综述 (17)

8.2. 风险分析 (18)

8.2.1. 风险识别 (18)

8.2.2. 风险估算 (23)

8.3. 风险评价 (27)

信息安全风险处置 (28)

9.1. 风险处置综述 (28)

9.2. 风险降低 (31)

9.3. 风险保持 (32)

9.4. 风险回避 (32)

9.5. 风险转移 (33)

10. 信息安全风险的接受 (33)

11. 信息安全风险的沟通 (34)

12. 信息安全监视和评审 (35)

12.1. 监视和评审风险因子 (35)

12.2. 风险管理监视、评审和改进 (37)

附录A （资料性）界定信息安全风险管理过程的范围和边界 (38)

A.1 对组织进行研究 (38)

A.2 影响组织的约束清单 (39)

A.3 适用于组织的法律法规的参考清单 (42)

A.4 影响范围的约束清单 (42)

Information technology- Security techniques

-Information security management systems-Requirements 信息技术-安全技术-信息安全管理体系-要求

Foreword

前言

ISO (the International Organization for Standardization) and IEC (the International Electro technical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.

信息安全管理体系ISO27000 认证基本知识

一、什么是信息安全管理体系?

信息安全管理体系是在组织内部建立信息安全管理目标,以及完成这些目标所用方法的体系。

ISO/LEC27001 是建立、实施和维持信息安全管理体系的标准,通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础,选择控制目标与控制方式等活动建立信息安全管理体系。

二、信息安全的必要性和好处

我国信息安全管理专家沈昌祥介绍,对于我国软件行业,病毒木马、非法入侵、数据泄密、服务瘫痪、漏洞攻击等安全事件时有发生,80%信息泄露都是由内或内

外勾结造成,所以建立信息安全管理体系很有必要。

1、识别信息安全风险,增强安全防范意识;

2、明确安全管理职责,强化风险控制责任;

3、明确安全管理要求,规范从业人员行为;

4、保护关键信息资产,保持业务稳定运营;

5、防止外来病毒侵袭,减小最低损失程度;

6、树立公司对外形象,增加客户合作信心;

7、可以得到省信息产业厅、地方信息产业局、行业主管部门、中小企业局

等政府机构的补贴，补贴额度不少于企业建立IS027001体系的投入费

用（包含咨询认证过程

（信息安全管理体系标准2005年改版后的ISO/LEC27001共有133个控制点,39 个控制措施,11个控制域。其中11 个控制域包括:1安全策略2信息安全的组织3资

产管理4人力资源安全5物理和环境安全6通信和操作管理7访问控制8系统采集、开发和维护9信息安全事故管理 1 0业务连续性管理11符合性

三、建立信息安全体系的主要程序

建立信息安全管理体系一般要经过下列四个基本步骤

《信息安全风险管理》力求从实践出发，介绍当前信息安全保障工作中的风险管理技术，适合申请认证考试人员或从事信息安全风险管理工作的人员使用。全书共分为5章：

第1章概述。本章从信息安全风险管理模型出发，阐述风险的起源、特性、要素及其关系和风险管理的基本概念；

第2章信息安全风险管理相关标准。本章从信息安全风险管理标准出发，介绍ISO/IEC31000、ISO/IEC13335、ISO/IEC27005、卡内基梅隆、GB/T20984等相关标准的内容；

第3章信息安全风险评估实现。本章关注风险管理中的风险评估这一核心要素，详细介绍了信息安全风险评估内容，按照风险识别、风险分析、风险评价这条主线展开论述，同时辅以部分实例进行说明；

第4章信息安全风险处置。本章从风险处置的角度出发，详细阐述了风险处置的过程框架，并讨论了几种典型的风险处置措施及其应用；

第5章信息安全风险管理案例。本章从整体出发，依照本书中第1章提出的风险管理模型，以一个实际项目作为案例，对整个风险管理的实施过程进行了论述。

《信息安全技术》是《信息安全风险管理》的配套教程，详细介绍了信息安全的基本概念和技术原理。全书分上下册，共23章，包括信息安全基本概念、密码技术、身份认证、访问控制、信息隐藏、容错容灾、反垃圾邮件技术、存储

介质安全技术、恶意代码及防护、传输安全、机房环境、漏洞管理、主机安全、安全审计、取证技术、安全测试、安全编码、物理边界控制、防火墙技术、入侵检测、云计算安全和物联网安全。

ISO27001信息安全风险处理计划

1.介绍

信息安全风险是指可能导致组织信息资产遭受威胁或损害的不确定性事件。风险处理计划的目的是确保风险能够得到合理的处理和控制，以保护组织的信息资产。

2.风险评估和优先级分析

在开始制定风险处理计划之前，必须进行风险评估和优先级分析。通过对信息系统进行全面的风险评估，确定潜在威胁、弱点和可能的影响。然后，根据风险的等级和重要性，对风险进行优先级分析，以便确定哪些风险应首先得到处理。

3.风险处理策略

根据优先级分析的结果，制定风险处理策略。风险处理策略应根据风险等级和重要性来确定，包括接受、避免、传递和减轻等方法。对于高风险和重要性较高的风险，应采取针对性的控制措施，以降低风险发生的可能性和影响程度。

4.控制措施的实施和操作

根据风险处理策略，制定和实施相应的控制措施。这些措施可以包括技术、组织和管理等方面的措施。例如，更新和升级信息系统，加强访问控制和身份认证，加密敏感数据，加强网络防火墙和入侵检测系统等。

5.监控和评估

监控和评估已实施的控制措施的有效性和执行情况。定期进行安全漏洞扫描、入侵检测和安全审计，及时发现和处理安全事件和漏洞。通过监控和评估，可以确定控制措施的有效性，并采取必要的措施进行改进。

6.风险处理计划的持续改进

根据监控和评估的结果，持续改进风险处理计划。如果控制措施无法有效降低风险，需要重新评估并制定新的风险处理策略。持续改进是一个循环的过程，旨在不断完善和提高信息安全管理体系的有效性。

7.沟通与培训

为了使组织成员理解和遵守风险处理计划，必须进行相关的沟通和培训。进行定期的培训，提高员工的信息安全意识和技能。同时，建立良好的沟通机制，确保信息安全风险处理计划的有效实施和持续改进。

信息安全国际标准

信息安全国际标准是指由国际标准化组织 (ISO) 提出和制定的用于指导和规范信息安全管理的国际标准。这些国际标准包括以下几个方面：

1. ISO/IEC 27001：信息安全管理体系标准，为组织提供了建立、实施、维护和持续改进信息安全管理体系的要求和指南。

2. ISO/IEC 27002：信息技术安全控制标准，提供了一系列信息安全控制措施的最佳实践，供组织根据其风险和安全需求选择和实施。

3. ISO/IEC 27005：信息安全风险管理标准，提供了一种方法来评估和处理信息安全风险，以帮助组织在制定决策和投资时有效管理风险。

4. ISO/IEC 27017：云计算安全控制标准，提供了在云计算环境中保护信息资产和确保云服务提供商安全性的控制要求和指南。

5. ISO/IEC 27018：云计算个人信息保护标准，为云服务提供商提供了保护个人身份信息的指南，包括隐私保护、数据安全性和合规性要求。

这些国际标准通过为组织提供明确的要求和指南，帮助组织建立和实施有效的信息安全管理体系，保护信息资产免受威胁和风险，并加强组织对信息安全的管理和控制。

国家标准《信息安全技术信息安全风险管理指南》编制说明

一、工作简况

1.任务来源

2018年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）2018年第二次全会讨论通过，研究修订《信息安全技术信息安全风险管理指南》国家标准。该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口。

2.主要起草单位和工作组成员

该标准由国家信息中心牵头，参与单位包括中国网络安全审查技术与认证中心、中国信息安全测评中心、中国电子科技集团公司第十五研究所、北京信息安全测评中心、北京国信京宁信息安全科技有限公司、北京安信天行科技有限公司、国际商业机器（中国）有限公司、京东云计算（北京）有限公司、深信服科技股份有限公司等。

标准工作组成员中，禄凯负责项目方向把控和整体协调，任金强、陈永刚、刘丰、章恒、赵增振负责具体实施和编写，闵京华、程瑜琦、杜宇鸽、任佩、陈青民、刘凯俊、陈杨国、宋文娣、刘德林负责标准研究和编制。

3.主要工作过程

标准修订的主要工作过程如下：

（1）成立编制组，形成标准申报材料

标准于2019年1月开始进行相关调研工作，组建《信息安全技术信息安全风险管理指南》修订项目组，对近年来，尤其是中央网络安全与信息化领导小组成立以来所发布的关于网络安全的一系列政策文件进行研究，充分理解我国网络安全的战略规划对信息安全风险管理工作提出的新要求和新挑战；同时，研究信息安全风险管理指南对云计算、物联网、大数据、智慧城市等新技术应用的适用性；组织人员对ISO/IEC 27005:2018、ISO/IEC 31000等国际标准和等级保护、关基保护、个人信息保护等国内标准进行研究，充分了解和掌握国际和国内关于信息安全风险管理工作的最新研究动态，为《信息安全技术信息安全风险管理指南》修订工作提供借鉴和指导。