国家标准项目《信息安全技术 信息安全风险管理指导》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 中国电子技术标准化研究院 、北京安信天行科技有限公司 、中国合格评定国家认可中心 、中国网络安全审查技术与认证中心 、中国信息安全测评中心 、黑龙江省网络空间研究中心 、中电长城网际系统应用有限公司 、山东省标准化研究院 、北京天融信网络安全技术有限公司等 。

本标准等同采用ISO国际标准：ISO/IEC 27005:2022。

采标中文名称:信息安全 网络安全和隐私保护 信息安全风险管理指导。

本标准可用于组织实施信息安全风险管理活动，特别是信息安全风险评估和处置，实现ISMS规定的信息安全风险管理要求，有效管理信息安全风险，提升组织信息安全保障能力。 本标准共包含10章和1个附录。前4章是标准的通用要素，分别为：范围、规范性引用文件、术语和定义、本标准的结构。从第5章开始是标准的主要技术内容，分别为：信息安全风险管理、环境的建立背景介绍、信息安全风险评估过程、信息安全风险处理过程、运行、相关ISMS过程流程的利用。附录A给出了支持风险评估过程的技术示例。 第5章对信息安全风险管理的概念进行了阐述，给出了与ISMS相关的信息安全风险管理过程。第6章详细阐述了确立组织实施风险管理活动所处的内外部环境信息，包括应用风险评估和风险处理、确定利益相关方的基本要求、建立和维护信息安全风险标准等。第7章介绍了信息安全风险评估过程，该过程包括识别信息安全风险、分析信息安全风险、评估信息安全风险。第8章阐述了信息安全风险处理过程，该过程为选择适当的信息安全风险处理方案，确定实施信息安全风险所需的所有控制。第9章是运行，具体包括执行信息安全风险评估程序、执行信息安全风险处理过程。第10章介绍了利用ISMS的相关过程，具体包括领导和承诺、沟通与协商，文件化信息、监视和测量、管理评审、纠正措施和持续改进。