GB/T 20984-2022《信息安全技術 信息安全風險評估方法》(以下簡稱新版標準)由國家市場監督管理總局��、國家標準化管理委員會批準發布(2022年第6號中國國家標準公告)����,于2022年11月1日起正式實施����,該標準代替GB/T 20984-2007《信息安全技術信息安全風險評估規范》(以下簡稱舊版標準)��,是GB/T 20984自2007年發布以來的首次修改���。
一�、什么是信息安全風險評估��?
信息安全風險評估是指對特定威脅利用單個或一組資產脆弱性的可能性以及由此可能給組織帶來的損害進行識別���、分析和評價的整個過程���。
二�����、新版標準的主要內容是什么�?
新版標準描述了信息安全風險評估的基本概念�����、風險要素關系�、風險分析原理�、風險評估實施流程和評估方法�,以及風險評估在信息系統生命周期不同階段的實施要點和工作形式����。
在資產識別中��,基于業務的范圍和邊界�����,分析對業務資產���、系統資產����、系統組件和單元資產進行識別與分析賦值�����。業務成為風險評估的最高管控對象����。
在威脅識別中�,從威脅的來源��、主體��、動機等角度出發����,根據威脅的行為能力和頻率�����,結合威脅的不同時機進行識別和分析���。
在已有安全措施分析中����,將安全措施進行保護性和預防性的分類�,結合威脅對已有安全措施的有效性進行分析�。
在脆弱性識別中���,從管理和技術兩個角度出發�����,對脆弱性被威脅利用的難易程度以及脆弱性被利用后對資產造成的損失進行分析����。
在風險分析與評價中����,依據風險計算模型對單個資產的風險進行風險值的計算與等級劃分�,并按照一定的規則���,從資產的風險現狀推斷出業務的風險情況�����。
三�、新版標準的發布有什么意義�����?
近年來����,黨和國家高度重視網絡安全工作��,《中華人民共和國網絡安全法》�、《中華人民共和國數據安全法》����、《關鍵信息基礎設施安全保護條例》等重要法律法規相繼頒布實施�,同時�����,伴隨著信息技術深入到生活的各個方面�����,網絡安全工作已成為國家�����、社會���、組織中不可缺少的一部分��。
為應對網絡安全形勢的變化�����,滿足法律法規的最新要求��,解決舊版標準在個別場景下存在局限性的問題���,新版標準應聲而來�。
新版標準為網絡安全保護工作部門��、重要行業和領域的主管部門�、信息系統運營單位��、安全服務廠商等開展信息安全風險評估工作提供參考依據����,為網絡安全建設工作提供技術指導和效果評價方法�����,能極大促進網絡安全工作的實施�����。
