標準解讀

《GB/T 20984-2007 信息安全技術(shù) 信息安全風險評估規(guī)范》是中國國家標準之一,旨在為組織和機構(gòu)提供一套系統(tǒng)化的方法論,以識別、分析信息資產(chǎn)所面臨的安全威脅、脆弱性,并量化潛在風險,進而制定有效的風險管理措施。該標準詳細規(guī)定了信息安全風險評估的流程、方法、內(nèi)容及要求,幫助組織建立或改進其信息安全管理體系,確保信息資產(chǎn)得到妥善保護。以下是該標準的主要內(nèi)容概述:

  1. 范圍:標準明確了適用范圍,即適用于各種類型和規(guī)模的組織進行信息安全風險評估活動,包括但不限于政府機構(gòu)、企業(yè)、金融機構(gòu)及公共服務(wù)部門。

  2. 術(shù)語和定義:為確保理解和操作的一致性,標準首先界定了與信息安全風險評估相關(guān)的專業(yè)術(shù)語,如“信息資產(chǎn)”、“威脅”、“脆弱性”、“風險”等基礎(chǔ)概念。

  3. 風險評估原則:強調(diào)了風險評估應(yīng)遵循的原則,包括但不限于系統(tǒng)性、動態(tài)性、可重復(fù)性和經(jīng)濟性,確保評估過程科學合理且符合成本效益原則。

  4. 風險評估模型:提出了基于資產(chǎn)、威脅、脆弱性和現(xiàn)有安全控制措施的風險評估模型,即通過識別和評估信息資產(chǎn)的價值,分析可能面臨的威脅和存在的脆弱性,結(jié)合現(xiàn)有安全控制的有效性,來確定風險等級。

  5. 風險評估流程:詳細描述了風險評估的六個階段:啟動、風險識別、風險分析、風險評價、風險處理和風險評估報告編制。每個階段都明確了具體任務(wù)、執(zhí)行方法及輸出成果,形成了一個完整的工作流程。

  6. 風險評估方法:介紹了定性、定量及半定量等多種風險評估方法及其適用場景,幫助組織根據(jù)自身情況選擇最合適的風險評估技術(shù)。

  7. 風險處理:闡述了風險處理的基本策略,包括風險規(guī)避、減輕、轉(zhuǎn)移(如通過保險)和接受,并強調(diào)了持續(xù)監(jiān)控和定期復(fù)查的重要性,以適應(yīng)不斷變化的威脅環(huán)境。

  8. 文檔管理與記錄保持:要求在整個風險評估過程中,應(yīng)妥善管理和保存所有相關(guān)文檔和記錄,以確保評估活動的可追溯性和合規(guī)性。

  9. 人員要求與培訓:指出實施風險評估的團隊應(yīng)具備相應(yīng)的專業(yè)知識和技能,并強調(diào)了對參與人員進行必要培訓的重要性。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標準文檔。

....

查看全部

  • 被代替
  • 已被新標準代替,建議下載現(xiàn)行標準GB/T 20984-2022
  • 2007-06-14 頒布
  • 2007-11-01 實施
?正版授權(quán)
GB/T 20984-2007信息安全技術(shù)信息安全風險評估規(guī)范_第1頁
GB/T 20984-2007信息安全技術(shù)信息安全風險評估規(guī)范_第2頁
GB/T 20984-2007信息安全技術(shù)信息安全風險評估規(guī)范_第3頁
GB/T 20984-2007信息安全技術(shù)信息安全風險評估規(guī)范_第4頁
GB/T 20984-2007信息安全技術(shù)信息安全風險評估規(guī)范_第5頁
免費預(yù)覽已結(jié)束,剩余27頁可下載查看

下載本文檔

文檔簡介

犐犆犛35.040

犔80

中華人民共和國國家標準

犌犅/犜20984—2007

信息安全技術(shù)

信息安全風險評估規(guī)范

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犚犻狊犽犪狊狊犲狊狊犿犲狀狋狊狆犲犮犻犳犻犮犪狋犻狅狀犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔

20070614發(fā)布20071101實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局

發(fā)布

中國國家標準化管理委員會

犌犅/犜20984—2007

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅰ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅱ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術(shù)語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4風險評估框架及流程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

4.1風險要素關(guān)系!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

4.2風險分析原理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

4.3實施流程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5風險評估實施!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.1風險評估準備!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.2資產(chǎn)識別!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

5.3威脅識別!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

5.4脆弱性識別!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

5.5已有安全措施確認!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

5.6風險分析!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

5.7風險評估文檔記錄!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

6信息系統(tǒng)生命周期各階段的風險評估!!!!!!!!!!!!!!!!!!!!!!!!!14

6.1信息系統(tǒng)生命周期概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

6.2規(guī)劃階段的風險評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

6.3設(shè)計階段的風險評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

6.4實施階段的風險評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

6.5運行維護階段的風險評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

6.6廢棄階段的風險評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

7風險評估的工作形式!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.2自評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.3檢查評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

附錄A(資料性附錄)風險的計算方法!!!!!!!!!!!!!!!!!!!!!!!!18

A.1使用矩陣法計算風險!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

A.2使用相乘法計算風險!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

附錄B(資料性附錄)風險評估的工具!!!!!!!!!!!!!!!!!!!!!!!!24

B.1風險評估與管理工具!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

B.2系統(tǒng)基礎(chǔ)平臺風險評估工具!!!!!!!!!!!!!!!!!!!!!!!!!!!25

B.3風險評估輔助工具!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

參考文獻!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!26

犌犅/犜20984—2007

前言

本標準的附錄A和附錄B是資料性附錄。

本標準由國務(wù)院信息化工作辦公室提出。

本標準由全國信息安全標準化技術(shù)委員會歸口。

本標準主要起草單位:國家信息中心、公安部第三研究所、國家保密技術(shù)研究所、中國信息安全產(chǎn)品

測評認證中心、中國科學院信息安全國家重點實驗室、解放軍信息技術(shù)安全研究中心、中國航天二院七

○六所、北京信息安全測評中心、上海市信息安全測評認證中心。

本標準主要起草人:范紅、吳亞非、李京春、馬朝斌、李嵩、應(yīng)力、王寧、江常青、張鑒、趙敬宇。

犌犅/犜20984—2007

引言

隨著政府部門、企事業(yè)單位以及各行各業(yè)對信息系統(tǒng)依賴程度的日益增強,信息安全問題受到普遍

關(guān)注。運用風險評估去識別安全風險,解決信息安全問題得到了廣泛的認識和應(yīng)用。

信息安全風險評估就是從風險管理角度,運用科學的方法和手段,系統(tǒng)地分析信息系統(tǒng)所面臨的威

脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護對

策和整改措施,為防范和化解信息安全風險,將風險控制在可接受的水平,最大限度地保障信息安全提

供科學依據(jù)。

信息安全風險評估作為信息安全保障工作的基礎(chǔ)性工作和重要環(huán)節(jié),要貫穿于信息系統(tǒng)的規(guī)劃、設(shè)

計、實施、運行維護以及廢棄各個階段,是信息安全等級保護制度建設(shè)的重要科學方法之一。

本標準條款中所指的“風險評估”,其含義均為“信息安全風險評估”。

犌犅/犜20984—2007

信息安全技術(shù)

信息安全風險評估規(guī)范

1范圍

本標準提出了風險評估的基本概念、要素關(guān)系、分析原理、實施流程和評估方法,以及風險評估在信

息系統(tǒng)生命周期不同階段的實施要點和工作形式。

本標準適用于規(guī)范組織開展的風險評估工作。

2規(guī)范性引用文件

下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件,其隨后所有

的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標準,然而,鼓勵根據(jù)本部分達成協(xié)議的各方研

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權(quán),嚴禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論