国家标准计划《信息安全技术 信息安全风险管理指导》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 中国电子技术标准化研究院 、北京安信天行科技有限公司 、中国合格评定国家认可中心 、中国网络安全审查技术与认证中心 、中国信息安全测评中心 、黑龙江省网络空间研究中心 、中电长城网际系统应用有限公司 、山东省标准化研究院 、北京天融信网络安全技术有限公司等 。

本标准等同采用ISO国际标准：ISO/IEC 27005:2022。

采标中文名称:信息安全 网络安全和隐私保护 信息安全风险管理指导。

本标准为实现GB/T 22080《信息技术 安全技术 信息安全管理体系 要求》中规定的信息安全风险要求和信息安全相关风险的措施提供指导，同时对GB/T 31496《信息技术 安全技术 信息安全管理体系实施指南》进行了补充。

本标准适用于组织建立和实现自身信息安全管理体系（ISMS），改进自身信息安全风险管理过程。

2015年我国将ISO/IEC 27005转化为国家标准GB/T 31722—2015《信息技术 安全技术 信息安全风险管理南》。

2022年10月，新版本ISO/IEC 27005完成修订并正式发布，新版本引入了风险情景概念、增加了信息安全风险管理循环、变更了信息安全风险评估编写过程等内容，鉴于新版本ISO/IEC 27005技术内容变化较大，因此有必要对GB/T 31722—2015进行修订。

本次修订工作一方面为保证我国国家标准紧跟国际标准变化，维护与其他管理体系标准的兼容性，同时为我国相关风险管理标准的制定提供参考依据；另一方面是帮助相关组织及时了解和使用国际最新的信息安全风险管理方法，支持其开展ISMS相关工作，提升组织自身信息安全保障能力。

本标准可用于组织实施信息安全风险管理活动，特别是信息安全风险评估和处置，实现ISMS规定的信息安全风险管理要求，有效管理信息安全风险，提升组织信息安全保障能力。 本标准共包含10章和1个附录。前4章是标准的通用要素，分别为：范围、规范性引用文件、术语和定义、本标准的结构。从第5章开始是标准的主要技术内容，分别为：信息安全风险管理、环境的建立背景介绍、信息安全风险评估过程、信息安全风险处理过程、运行、相关ISMS过程流程的利用。附录A给出了支持风险评估过程的技术示例。 第5章对信息安全风险管理的概念进行了阐述，给出了与ISMS相关的信息安全风险管理过程。第6章详细阐述了确立组织实施风险管理活动所处的内外部环境信息，包括应用风险评估和风险处理、确定利益相关方的基本要求、建立和维护信息安全风险标准等。第7章介绍了信息安全风险评估过程，该过程包括识别信息安全风险、分析信息安全风险、评估信息安全风险。第8章阐述了信息安全风险处理过程，该过程为选择适当的信息安全风险处理方案，确定实施信息安全风险所需的所有控制。第9章是运行，具体包括执行信息安全风险评估程序、执行信息安全风险处理过程。第10章介绍了利用ISMS的相关过程，具体包括领导和承诺、沟通与协商，文件化信息、监视和测量、管理评审、纠正措施和持续改进。