标准解读

《GB/T 20984-2007 信息安全技术 信息安全风险评估规范》是中国国家标准之一,旨在为组织和机构提供一套系统化的方法论,以识别、分析信息资产所面临的安全威胁、脆弱性,并量化潜在风险,进而制定有效的风险管理措施。该标准详细规定了信息安全风险评估的流程、方法、内容及要求,帮助组织建立或改进其信息安全管理体系,确保信息资产得到妥善保护。以下是该标准的主要内容概述:

  1. 范围:标准明确了适用范围,即适用于各种类型和规模的组织进行信息安全风险评估活动,包括但不限于政府机构、企业、金融机构及公共服务部门。

  2. 术语和定义:为确保理解和操作的一致性,标准首先界定了与信息安全风险评估相关的专业术语,如“信息资产”、“威胁”、“脆弱性”、“风险”等基础概念。

  3. 风险评估原则:强调了风险评估应遵循的原则,包括但不限于系统性、动态性、可重复性和经济性,确保评估过程科学合理且符合成本效益原则。

  4. 风险评估模型:提出了基于资产、威胁、脆弱性和现有安全控制措施的风险评估模型,即通过识别和评估信息资产的价值,分析可能面临的威胁和存在的脆弱性,结合现有安全控制的有效性,来确定风险等级。

  5. 风险评估流程:详细描述了风险评估的六个阶段:启动、风险识别、风险分析、风险评价、风险处理和风险评估报告编制。每个阶段都明确了具体任务、执行方法及输出成果,形成了一个完整的工作流程。

  6. 风险评估方法:介绍了定性、定量及半定量等多种风险评估方法及其适用场景,帮助组织根据自身情况选择最合适的风险评估技术。

  7. 风险处理:阐述了风险处理的基本策略,包括风险规避、减轻、转移(如通过保险)和接受,并强调了持续监控和定期复查的重要性,以适应不断变化的威胁环境。

  8. 文档管理与记录保持:要求在整个风险评估过程中,应妥善管理和保存所有相关文档和记录,以确保评估活动的可追溯性和合规性。

  9. 人员要求与培训:指出实施风险评估的团队应具备相应的专业知识和技能,并强调了对参与人员进行必要培训的重要性。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 被代替
  • 已被新标准代替,建议下载现行标准GB/T 20984-2022
  • 2007-06-14 颁布
  • 2007-11-01 实施
©正版授权
GB/T 20984-2007信息安全技术信息安全风险评估规范_第1页
GB/T 20984-2007信息安全技术信息安全风险评估规范_第2页
GB/T 20984-2007信息安全技术信息安全风险评估规范_第3页
GB/T 20984-2007信息安全技术信息安全风险评估规范_第4页
GB/T 20984-2007信息安全技术信息安全风险评估规范_第5页
免费预览已结束,剩余27页可下载查看

下载本文档

免费下载试读页

文档简介

犐犆犛35.040

犔80

中华人民共和国国家标准

犌犅/犜20984—2007

信息安全技术

信息安全风险评估规范

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犚犻狊犽犪狊狊犲狊狊犿犲狀狋狊狆犲犮犻犳犻犮犪狋犻狅狀犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔

20070614发布20071101实施

中华人民共和国国家质量监督检验检疫总局

发布

中国国家标准化管理委员会

犌犅/犜20984—2007

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅰ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅱ

1范围!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2规范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3术语和定义!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4风险评估框架及流程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

4.1风险要素关系!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

4.2风险分析原理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

4.3实施流程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5风险评估实施!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.1风险评估准备!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.2资产识别!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

5.3威胁识别!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

5.4脆弱性识别!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

5.5已有安全措施确认!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

5.6风险分析!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

5.7风险评估文档记录!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

6信息系统生命周期各阶段的风险评估!!!!!!!!!!!!!!!!!!!!!!!!!14

6.1信息系统生命周期概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

6.2规划阶段的风险评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

6.3设计阶段的风险评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

6.4实施阶段的风险评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

6.5运行维护阶段的风险评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

6.6废弃阶段的风险评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

7风险评估的工作形式!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.2自评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.3检查评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

附录A(资料性附录)风险的计算方法!!!!!!!!!!!!!!!!!!!!!!!!18

A.1使用矩阵法计算风险!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

A.2使用相乘法计算风险!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

附录B(资料性附录)风险评估的工具!!!!!!!!!!!!!!!!!!!!!!!!24

B.1风险评估与管理工具!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

B.2系统基础平台风险评估工具!!!!!!!!!!!!!!!!!!!!!!!!!!!25

B.3风险评估辅助工具!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

参考文献!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!26

犌犅/犜20984—2007

前言

本标准的附录A和附录B是资料性附录。

本标准由国务院信息化工作办公室提出。

本标准由全国信息安全标准化技术委员会归口。

本标准主要起草单位:国家信息中心、公安部第三研究所、国家保密技术研究所、中国信息安全产品

测评认证中心、中国科学院信息安全国家重点实验室、解放军信息技术安全研究中心、中国航天二院七

○六所、北京信息安全测评中心、上海市信息安全测评认证中心。

本标准主要起草人:范红、吴亚非、李京春、马朝斌、李嵩、应力、王宁、江常青、张鉴、赵敬宇。

犌犅/犜20984—2007

引言

随着政府部门、企事业单位以及各行各业对信息系统依赖程度的日益增强,信息安全问题受到普遍

关注。运用风险评估去识别安全风险,解决信息安全问题得到了广泛的认识和应用。

信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威

胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对

策和整改措施,为防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地保障信息安全提

供科学依据。

信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,要贯穿于信息系统的规划、设

计、实施、运行维护以及废弃各个阶段,是信息安全等级保护制度建设的重要科学方法之一。

本标准条款中所指的“风险评估”,其含义均为“信息安全风险评估”。

犌犅/犜20984—2007

信息安全技术

信息安全风险评估规范

1范围

本标准提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法,以及风险评估在信

息系统生命周期不同阶段的实施要点和工作形式。

本标准适用于规范组织开展的风险评估工作。

2规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有

的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本部分达成协议的各方研

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论