GB/T 20984-2022信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法

ICS35030

CCSL.80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T20984—2022

代替GB/T20984—2007

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法

Informationsecuritytechnology—Riskassessmentmethodfor

informationsecurity

2022-04-15發(fā)布2022-11-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T20984—2022

目次

前言

…………………………Ⅰ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義縮略語(yǔ)

3、………………………1

術(shù)語(yǔ)和定義

3.1…………………………1

縮略語(yǔ)

3.2………………2

風(fēng)險(xiǎn)評(píng)估框架及流程

4……………………2

風(fēng)險(xiǎn)要素關(guān)系

4.1………………………2

風(fēng)險(xiǎn)分析原理

4.2………………………3

風(fēng)險(xiǎn)評(píng)估流程

4.3………………………3

風(fēng)險(xiǎn)評(píng)估實(shí)施

5……………4

風(fēng)險(xiǎn)評(píng)估準(zhǔn)備

5.1………………………4

風(fēng)險(xiǎn)識(shí)別

5.2……………5

風(fēng)險(xiǎn)分析

5.3……………11

風(fēng)險(xiǎn)評(píng)價(jià)

5.4……………11

溝通與協(xié)商

5.5…………………………13

風(fēng)險(xiǎn)評(píng)估文檔記錄

5.6…………………13

附錄資料性評(píng)估對(duì)象生命周期各階段的風(fēng)險(xiǎn)評(píng)估

A()………………14

附錄資料性風(fēng)險(xiǎn)評(píng)估的工作形式

B()…………………17

附錄資料性風(fēng)險(xiǎn)評(píng)估的工具

C()………………………18

附錄資料性資產(chǎn)識(shí)別

D()………………21

附錄資料性威脅識(shí)別

E()………………23

附錄資料性風(fēng)險(xiǎn)計(jì)算示例

F()…………26

參考文獻(xiàn)

……………………27

GB/T20984—2022

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)

GB/T1.1—2020《1:》

定起草

。

本文件代替信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范與

GB/T20984—2007《》,GB/T20984—2007

相比除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外主要技術(shù)變化如下

,,:

增加了業(yè)務(wù)和信息系統(tǒng)生命周期見(jiàn)和

a)“”“”(3.43.7);

刪除了業(yè)務(wù)戰(zhàn)略的術(shù)語(yǔ)和定義見(jiàn)年版的

b)“”(20073.4);

刪除了資產(chǎn)資產(chǎn)價(jià)值可用性保密性信息系統(tǒng)完整性殘余風(fēng)險(xiǎn)安全事件威

c)“”“”“”“”“”“”“”“”“

脅和脆弱性的術(shù)語(yǔ)和定義見(jiàn)年版的和

”“”(20073.1、3.2、3.3、3.5、3.8、3.10、3.12、3.14、3.17

3.18);

更改了風(fēng)險(xiǎn)評(píng)估框架及流程中的風(fēng)險(xiǎn)要素關(guān)系風(fēng)險(xiǎn)分析原理和評(píng)估實(shí)施流程見(jiàn)第章

d)、(4,

年版的第章

20074);

更改了風(fēng)險(xiǎn)評(píng)估實(shí)施過(guò)程中風(fēng)險(xiǎn)要素識(shí)別和關(guān)聯(lián)分析內(nèi)容見(jiàn)和年版的

e)(5.25.3,20075.2、

和

5.3、5.4、5.55.6);

將原標(biāo)準(zhǔn)中評(píng)估對(duì)象生命周期各階段的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)評(píng)估的工作形式調(diào)整到規(guī)范性附錄

f)A

和資料性附錄中見(jiàn)附錄和附錄年版的第章和第章

B(AB,200767)。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任

。。

本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本文件起草單位國(guó)家信息中心北京安信天行科技有限公司信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心北京信

:、、、

息安全測(cè)評(píng)中心中國(guó)信息安全測(cè)評(píng)中心中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研

、、、

究院公安部信息安全等級(jí)保護(hù)評(píng)估中心公安部第一研究所上海觀安信息技術(shù)股份有限公司成都民

、、、、

航電子技術(shù)有限責(zé)任公司河南金盾信安檢測(cè)評(píng)估中心有限公司深圳市南山區(qū)政務(wù)服務(wù)數(shù)據(jù)管理局

、、、

云南公路聯(lián)網(wǎng)收費(fèi)管理有限公司國(guó)網(wǎng)寧夏電力有限公司國(guó)網(wǎng)新疆電力有限公司

、、。

本文件主要起草人祿凱詹榜華陳永剛劉豐陳青民趙增振張益高亞楠任金強(qiáng)劉龍濤

:、、、、、、、、、、

劉德林劉凱俊孫明亮杜宇鴿翟亞紅王惠蒞任衛(wèi)紅彭海龍李秋香安佳偉馬勇張軍湯志強(qiáng)

、、、、、、、、、、、、、

段明磊楊童肖強(qiáng)張宏杰劉育辰陳濤李峰

、、、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2007GB/T20984—2007;

本次為第一次修訂

———。

Ⅰ

GB/T20984—2022

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法

1范圍

本文件描述了信息安全風(fēng)險(xiǎn)評(píng)估的基本概念風(fēng)險(xiǎn)要素關(guān)系風(fēng)險(xiǎn)分析原理風(fēng)險(xiǎn)評(píng)估實(shí)施流程和

、、、

評(píng)估方法以及風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)和工作形式

,。

本文件適用于各類組織開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作

。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改版適用于

,;,()

本文件

。

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069

信息安全技術(shù)信息安全風(fēng)險(xiǎn)處理實(shí)施指南

GB/T33132—2016

3術(shù)語(yǔ)和定義縮略語(yǔ)

、

31術(shù)語(yǔ)和定義

.

界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T25069。

311

..

信息安全風(fēng)險(xiǎn)informationsecurityrisk

特定威脅利用單個(gè)或一組資產(chǎn)脆弱性的可能性以及由此可能給組織帶來(lái)的損害

。

注它以事態(tài)的可能性及其后果的組合來(lái)度量

:。

來(lái)源

[:GB/T31722—2015,3.2]

312

..

風(fēng)險(xiǎn)評(píng)估