標準解讀

《GB/T 20984-2022 信息安全技術 信息安全風險評估方法》作為對《GB/T 20984-2007 信息安全技術 信息安全風險評估規范》的更新,主要在以下幾個方面進行了調整和完善:

  1. 框架與理念更新:新標準融入了最新的信息安全風險管理理念,對風險評估的整個框架和流程進行了優化,更加注重全面性和動態性,以適應信息技術快速發展帶來的新威脅和挑戰。

  2. 風險評估范圍擴展:相比2007版,2022版標準擴大了風險評估的覆蓋范圍,不僅包括傳統的IT系統,還特別關注了云計算、物聯網、大數據等新興技術環境下的信息安全風險,確保評估方法的適用性和前瞻性。

  3. 方法與技術細化:新標準詳細闡述了多種風險評估方法和技術工具的應用,如定量分析與定性分析相結合的方法,以及如何利用自動化工具提高評估效率和準確性,為實施風險評估提供了更為具體的操作指南。

  4. 風險管理過程強化:2022版標準在風險識別、分析、評價、處理及監控等各個環節提出了更詳盡的要求,強調了風險處理措施的制定與實施,以及風險評估結果的持續跟蹤與反饋機制,促進了風險管理的閉環管理。

  5. 合規性與國際接軌:新標準參考了國際上先進的信息安全風險管理標準和實踐,增強了與ISO/IEC 27000系列標準的兼容性,有助于提升國內企業在國際信息安全風險管理領域的合規性和競爭力。

  6. 術語定義與標準化:對關鍵術語進行了重新定義或補充,確保了與當前信息安全領域術語的一致性和準確性,便于理解和執行。


如需獲取更多詳盡信息,請直接參考下方經官方授權發布的權威標準文檔。

....

查看全部

  • 現行
  • 正在執行有效
  • 2022-04-15 頒布
  • 2022-11-01 實施
?正版授權
GB/T 20984-2022信息安全技術信息安全風險評估方法_第1頁
GB/T 20984-2022信息安全技術信息安全風險評估方法_第2頁
GB/T 20984-2022信息安全技術信息安全風險評估方法_第3頁
GB/T 20984-2022信息安全技術信息安全風險評估方法_第4頁
免費預覽已結束,剩余28頁可下載查看

下載本文檔

GB/T 20984-2022信息安全技術信息安全風險評估方法-免費下載試讀頁

文檔簡介

ICS35030

CCSL.80

中華人民共和國國家標準

GB/T20984—2022

代替GB/T20984—2007

信息安全技術信息安全風險評估方法

Informationsecuritytechnology—Riskassessmentmethodfor

informationsecurity

2022-04-15發布2022-11-01實施

國家市場監督管理總局發布

國家標準化管理委員會

GB/T20984—2022

目次

前言

…………………………Ⅰ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義縮略語

3、………………………1

術語和定義

3.1…………………………1

縮略語

3.2………………2

風險評估框架及流程

4……………………2

風險要素關系

4.1………………………2

風險分析原理

4.2………………………3

風險評估流程

4.3………………………3

風險評估實施

5……………4

風險評估準備

5.1………………………4

風險識別

5.2……………5

風險分析

5.3……………11

風險評價

5.4……………11

溝通與協商

5.5…………………………13

風險評估文檔記錄

5.6…………………13

附錄資料性評估對象生命周期各階段的風險評估

A()………………14

附錄資料性風險評估的工作形式

B()…………………17

附錄資料性風險評估的工具

C()………………………18

附錄資料性資產識別

D()………………21

附錄資料性威脅識別

E()………………23

附錄資料性風險計算示例

F()…………26

參考文獻

……………………27

GB/T20984—2022

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規則的規

GB/T1.1—2020《1:》

定起草

本文件代替信息安全技術信息安全風險評估規范與

GB/T20984—2007《》,GB/T20984—2007

相比除結構調整和編輯性改動外主要技術變化如下

,,:

增加了業務和信息系統生命周期見和

a)“”“”(3.43.7);

刪除了業務戰略的術語和定義見年版的

b)“”(20073.4);

刪除了資產資產價值可用性保密性信息系統完整性殘余風險安全事件威

c)“”“”“”“”“”“”“”“”“

脅和脆弱性的術語和定義見年版的和

”“”(20073.1、3.2、3.3、3.5、3.8、3.10、3.12、3.14、3.17

3.18);

更改了風險評估框架及流程中的風險要素關系風險分析原理和評估實施流程見第章

d)、(4,

年版的第章

20074);

更改了風險評估實施過程中風險要素識別和關聯分析內容見和年版的

e)(5.25.3,20075.2、

5.3、5.4、5.55.6);

將原標準中評估對象生命周期各階段的風險評估和風險評估的工作形式調整到規范性附錄

f)A

和資料性附錄中見附錄和附錄年版的第章和第章

B(AB,200767)。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別專利的責任

。。

本文件由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本文件起草單位國家信息中心北京安信天行科技有限公司信息產業信息安全測評中心北京信

:、、、

息安全測評中心中國信息安全測評中心中國網絡安全審查技術與認證中心中國電子技術標準化研

、、、

究院公安部信息安全等級保護評估中心公安部第一研究所上海觀安信息技術股份有限公司成都民

、、、、

航電子技術有限責任公司河南金盾信安檢測評估中心有限公司深圳市南山區政務服務數據管理局

、、、

云南公路聯網收費管理有限公司國網寧夏電力有限公司國網新疆電力有限公司

、、。

本文件主要起草人祿凱詹榜華陳永剛劉豐陳青民趙增振張益高亞楠任金強劉龍濤

:、、、、、、、、、、

劉德林劉凱俊孫明亮杜宇鴿翟亞紅王惠蒞任衛紅彭海龍李秋香安佳偉馬勇張軍湯志強

、、、、、、、、、、、、、

段明磊楊童肖強張宏杰劉育辰陳濤李峰

、、、、、、。

本文件及其所代替文件的歷次版本發布情況為

:

年首次發布為

———2007GB/T20984—2007;

本次為第一次修訂

———。

GB/T20984—2022

信息安全技術信息安全風險評估方法

1范圍

本文件描述了信息安全風險評估的基本概念風險要素關系風險分析原理風險評估實施流程和

、、、

評估方法以及風險評估在信息系統生命周期不同階段的實施要點和工作形式

,。

本文件適用于各類組織開展信息安全風險評估工作

2規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改版適用于

,;,()

本文件

信息安全技術術語

GB/T25069

信息安全技術信息安全風險處理實施指南

GB/T33132—2016

3術語和定義縮略語

31術語和定義

.

界定的以及下列術語和定義適用于本文件

GB/T25069。

311

..

信息安全風險informationsecurityrisk

特定威脅利用單個或一組資產脆弱性的可能性以及由此可能給組織帶來的損害

注它以事態的可能性及其后果的組合來度量

:。

來源

[:GB/T31722—2015,3.2]

312

..

風險評估

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打印),因數字商品的特殊性,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論