标准解读

《GB/T 20984-2022 信息安全技术 信息安全风险评估方法》作为对《GB/T 20984-2007 信息安全技术 信息安全风险评估规范》的更新,主要在以下几个方面进行了调整和完善:

  1. 框架与理念更新:新标准融入了最新的信息安全风险管理理念,对风险评估的整个框架和流程进行了优化,更加注重全面性和动态性,以适应信息技术快速发展带来的新威胁和挑战。

  2. 风险评估范围扩展:相比2007版,2022版标准扩大了风险评估的覆盖范围,不仅包括传统的IT系统,还特别关注了云计算、物联网、大数据等新兴技术环境下的信息安全风险,确保评估方法的适用性和前瞻性。

  3. 方法与技术细化:新标准详细阐述了多种风险评估方法和技术工具的应用,如定量分析与定性分析相结合的方法,以及如何利用自动化工具提高评估效率和准确性,为实施风险评估提供了更为具体的操作指南。

  4. 风险管理过程强化:2022版标准在风险识别、分析、评价、处理及监控等各个环节提出了更详尽的要求,强调了风险处理措施的制定与实施,以及风险评估结果的持续跟踪与反馈机制,促进了风险管理的闭环管理。

  5. 合规性与国际接轨:新标准参考了国际上先进的信息安全风险管理标准和实践,增强了与ISO/IEC 27000系列标准的兼容性,有助于提升国内企业在国际信息安全风险管理领域的合规性和竞争力。

  6. 术语定义与标准化:对关键术语进行了重新定义或补充,确保了与当前信息安全领域术语的一致性和准确性,便于理解和执行。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2022-04-15 颁布
  • 2022-11-01 实施
©正版授权
GB/T 20984-2022信息安全技术信息安全风险评估方法_第1页
GB/T 20984-2022信息安全技术信息安全风险评估方法_第2页
GB/T 20984-2022信息安全技术信息安全风险评估方法_第3页
GB/T 20984-2022信息安全技术信息安全风险评估方法_第4页
免费预览已结束,剩余28页可下载查看

下载本文档

免费下载试读页

文档简介

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T20984—2022

代替GB/T20984—2007

信息安全技术信息安全风险评估方法

Informationsecuritytechnology—Riskassessmentmethodfor

informationsecurity

2022-04-15发布2022-11-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T20984—2022

目次

前言

…………………………Ⅰ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义缩略语

3、………………………1

术语和定义

3.1…………………………1

缩略语

3.2………………2

风险评估框架及流程

4……………………2

风险要素关系

4.1………………………2

风险分析原理

4.2………………………3

风险评估流程

4.3………………………3

风险评估实施

5……………4

风险评估准备

5.1………………………4

风险识别

5.2……………5

风险分析

5.3……………11

风险评价

5.4……………11

沟通与协商

5.5…………………………13

风险评估文档记录

5.6…………………13

附录资料性评估对象生命周期各阶段的风险评估

A()………………14

附录资料性风险评估的工作形式

B()…………………17

附录资料性风险评估的工具

C()………………………18

附录资料性资产识别

D()………………21

附录资料性威胁识别

E()………………23

附录资料性风险计算示例

F()…………26

参考文献

……………………27

GB/T20984—2022

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规

GB/T1.1—2020《1:》

定起草

本文件代替信息安全技术信息安全风险评估规范与

GB/T20984—2007《》,GB/T20984—2007

相比除结构调整和编辑性改动外主要技术变化如下

,,:

增加了业务和信息系统生命周期见和

a)“”“”(3.43.7);

删除了业务战略的术语和定义见年版的

b)“”(20073.4);

删除了资产资产价值可用性保密性信息系统完整性残余风险安全事件威

c)“”“”“”“”“”“”“”“”“

胁和脆弱性的术语和定义见年版的和

”“”(20073.1、3.2、3.3、3.5、3.8、3.10、3.12、3.14、3.17

3.18);

更改了风险评估框架及流程中的风险要素关系风险分析原理和评估实施流程见第章

d)、(4,

年版的第章

20074);

更改了风险评估实施过程中风险要素识别和关联分析内容见和年版的

e)(5.25.3,20075.2、

5.3、5.4、5.55.6);

将原标准中评估对象生命周期各阶段的风险评估和风险评估的工作形式调整到规范性附录

f)A

和资料性附录中见附录和附录年版的第章和第章

B(AB,200767)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位国家信息中心北京安信天行科技有限公司信息产业信息安全测评中心北京信

:、、、

息安全测评中心中国信息安全测评中心中国网络安全审查技术与认证中心中国电子技术标准化研

、、、

究院公安部信息安全等级保护评估中心公安部第一研究所上海观安信息技术股份有限公司成都民

、、、、

航电子技术有限责任公司河南金盾信安检测评估中心有限公司深圳市南山区政务服务数据管理局

、、、

云南公路联网收费管理有限公司国网宁夏电力有限公司国网新疆电力有限公司

、、。

本文件主要起草人禄凯詹榜华陈永刚刘丰陈青民赵增振张益高亚楠任金强刘龙涛

:、、、、、、、、、、

刘德林刘凯俊孙明亮杜宇鸽翟亚红王惠莅任卫红彭海龙李秋香安佳伟马勇张军汤志强

、、、、、、、、、、、、、

段明磊杨童肖强张宏杰刘育辰陈涛李峰

、、、、、、。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为

———2007GB/T20984—2007;

本次为第一次修订

———。

GB/T20984—2022

信息安全技术信息安全风险评估方法

1范围

本文件描述了信息安全风险评估的基本概念风险要素关系风险分析原理风险评估实施流程和

、、、

评估方法以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式

,。

本文件适用于各类组织开展信息安全风险评估工作

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改版适用于

,;,()

本文件

信息安全技术术语

GB/T25069

信息安全技术信息安全风险处理实施指南

GB/T33132—2016

3术语和定义缩略语

31术语和定义

.

界定的以及下列术语和定义适用于本文件

GB/T25069。

311

..

信息安全风险informationsecurityrisk

特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害

注它以事态的可能性及其后果的组合来度量

:。

来源

[:GB/T31722—2015,3.2]

312

..

风险评估

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论