標準解讀丨GB/T 20984-2022《信息安全技術 信息安全風險評估方法》

前言：

GB/T 20984-2022《信息安全技術 信息安全風險評估方法》(以下簡稱新版標準)由國家市場監(jiān)督管理總局、國家標準化管理委員會批準發(fā)布(2022年第6號中國國家標準公告)，于2022年11月1日起正式實施，該標準代替GB/T 20984-2007《信息安全技術 信息安全風險評估規(guī)范》(以下簡稱舊版標準)，是GB/T 20984自2007年發(fā)布以來的首次修改。

什么是信息安全風險評估？

信息安全風險評估是指對特定威脅利用單個或一組資產(chǎn)脆弱性的可能性以及由此可能給組織帶來的損害進行識別、分析和評價的整個過程。

新版標準的主要內(nèi)容是什么？

新版標準描述了信息安全風險評估的基本概念、風險要素關系、風險分析原理、風險評估實施流程和評估方法，以及風險評估在信息系統(tǒng)生命周期不同階段的實施要點和工作形式。

在資產(chǎn)識別中，基于業(yè)務的范圍和邊界，分析對業(yè)務資產(chǎn)、系統(tǒng)資產(chǎn)、系統(tǒng)組件和單元資產(chǎn)進行識別與分析賦值。業(yè)務成為風險評估的最高管控對象。

在威脅識別中，從威脅的來源、主體、動機等角度出發(fā)，根據(jù)威脅的行為能力和頻率，結合威脅的不同時機進行識別和分析。

在已有安全措施分析中，將安全措施進行保護性和預防性的分類，結合威脅對已有安全措施的有效性進行分析。

在脆弱性識別中，從管理和技術兩個角度出發(fā)，對脆弱性被威脅利用的難易程度以及脆弱性被利用后對資產(chǎn)造成的損失進行分析。

在風險分析與評價中，依據(jù)風險計算模型對單個資產(chǎn)的風險進行風險值的計算與等級劃分，并按照一定的規(guī)則，從資產(chǎn)的風險現(xiàn)狀推斷出業(yè)務的風險情況。

新版標準相比舊版標準有哪些改變呢？

1

原來的《信息安全技術 信息安全風險評估規(guī)范》改為《信息安全技術 信息安全風險評估方法》，標準編號仍然為20984.年號更改為2022.

2

新版標準的風險評估流程分為評估準備、風險識別、風險分析和風險評價四個階段。其中，風險識別階段包括資產(chǎn)識別、威脅識別、已有安全措施識別和脆弱性識別四個部分的內(nèi)容。

新版標準中，風險分析和風險評價兩個階段的內(nèi)容由舊版標準中風險分析階段的風險計算和風險結果判定優(yōu)化而來，并移除了舊版標準中風險處理計劃和殘余風險評估的內(nèi)容。此外，新版標準定義了溝通與協(xié)商機制，要求風險評估實施團隊在進行評估工作時與內(nèi)部相關方和外部相關方均保持溝通。與舊版標準對比，新版標準的流程更加直觀清晰、可操作性更強。

舊版流程

新版流程

3

新版標準對風險識別的內(nèi)容進行了比較大的修改。

首先，在資產(chǎn)識別中將按層次劃分成業(yè)務資產(chǎn)、系統(tǒng)資產(chǎn)、系統(tǒng)組件和單元資產(chǎn)。不同層次的關系成為重要的分析內(nèi)容。資產(chǎn)保護對象也從多個“單一資產(chǎn)”為核心到以企業(yè)的“業(yè)務”為核心。

其次，威脅識別中的賦值方法得到優(yōu)化。舊版標準僅提出從威脅出現(xiàn)頻率的角度進行賦值。新版標準則要求在進行威脅賦值時要依據(jù)威脅的行為能力和頻率，并結合威脅發(fā)生的時機進行綜合評價。

第三，修改了脆弱性賦值機制，舊版標準在進行脆弱性賦值時考慮的是脆弱性的嚴重程度，新版標準則規(guī)定須在充分考慮已有安全措施的作用下，分別對脆弱性被利用的難易程度賦值和脆弱性影響程度進行賦值。

改進了風險分析原理

在風險分析原理中，新版標準的風險值依舊通過對安全事件發(fā)生的可能性和安全事件造成的損失計算而來。

不一樣的是，舊版標準中安全事件發(fā)生的可能性由威脅出現(xiàn)的頻率和脆弱性嚴重程度決定，安全事件造成的損失由脆弱性嚴重程度和資產(chǎn)價值決定。而在新版標準中，威脅的賦值和脆弱性被利用的難易程度決定安全事件發(fā)生的可能性，脆弱性的影響程度和資產(chǎn)價值決定安全事件造成的損失。具體變化如下：

舊版風險計算原理

新版風險計算原理

此外，風險的描述視角也進行了調(diào)整。新標準將原先基于單個資產(chǎn)的碎片化風險呈現(xiàn)方式，調(diào)整為以對業(yè)務整體安全風險進行管控為目標，從資產(chǎn)到業(yè)務的風險逐級進行分析的評價機制。

新版標準的發(fā)布有什么意義？

近年來，黨和國家高度重視網(wǎng)絡安全工作，《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》、《關鍵信息基礎設施安全保護條例》等重要法律法規(guī)相繼頒布實施，同時，伴隨著信息技術深入到生活的各個方面，網(wǎng)絡安全工作已成為國家、社會、組織中不可缺少的一部分。

為應對網(wǎng)絡安全形勢的變化，滿足法律法規(guī)的最新要求，解決舊版標準在個別場景下存在局限性的問題，新版標準應聲而來。

新版標準為網(wǎng)絡安全保護工作部門、重要行業(yè)和領域的主管部門、信息系統(tǒng)運營單位、安全服務廠商等開展信息安全風險評估工作提供參考依據(jù)，為網(wǎng)絡安全建設工作提供技術指導和效果評價方法，能極大促進網(wǎng)絡安全工作的實施。

六方云風險評估服務介紹：

為幫助各類組織和單位全面、有效地梳理信息安全現(xiàn)狀，評估各業(yè)務的整體風險，指導進行整改建設工作，六方云面向各行業(yè)、各領域的企業(yè)推出風險評估服務。

服務內(nèi)容：

協(xié)助用戶梳理系統(tǒng)資產(chǎn)，根據(jù)相關要求進行資產(chǎn)識別、威脅識別、已有安全措施識別、脆弱性識別工作，并對用戶單位存在的風險進行分析和評價，為用戶網(wǎng)絡安全工作提出整改建議。

服務優(yōu)勢：

標準化的風險評估流程和內(nèi)容

六方云依據(jù)GB/T 20984-2022《信息安全技術 信息安全風險評估方法》、GB/T 31509-2015《信息安全技術 信息安全風險評估實施指南》制定風險評估服務流程，在評估工作中嚴格依照風險評估準備、風險識別、風險分析和風險評價的流程進行。

科學的評估方法

六方云風險評估服務在實施過程中主要采取人工訪談、文檔查閱、基線檢查、滲透測試、漏洞掃描、漏洞靜態(tài)分析等手段。在對企業(yè)的系統(tǒng)進行深度調(diào)研后，風險評估實施人員將依據(jù)企業(yè)系統(tǒng)的業(yè)務運行情況選擇合理、安全的手段進行評估。

深度的“工控安全”體檢

六方云對《信息安全技術 工業(yè)控制系統(tǒng)風險評估實施指南》(GB/T 36466-2018)及《工業(yè)控制系統(tǒng)信息安全防護指南》以及各行業(yè)、各領域的標準和相關要求進行過深入的研究，評估工作以貼合客戶的工業(yè)控制系統(tǒng)實際需求為出發(fā)點，幫助客戶理清工業(yè)控制系統(tǒng)的安全現(xiàn)狀與國家法規(guī)、行業(yè)標準的差距，指導客戶建立工業(yè)控制系統(tǒng)的安全防護體系。此外，六方云工控實驗室致力于對工業(yè)控制系統(tǒng)的安全研究，為工控安全風險評估提供有力的技術支持。

移動智能終端安全管理體系認證證書

移動智能終端安全管理體系認證證書 辦理移動智能終端安全管理體系認證證書申請移動智能終端安全管理體系認證證書流程1、按照服務質(zhì)量評價體……

電子政務移動辦公系統(tǒng)管理體系認證證書

電子政務移動辦公系統(tǒng)管理體系認證證書 申請好處∶1、爭強產(chǎn)品在市場上的競爭力2、提高公司的知名度3、吸引經(jīng)銷商代理商的加盟4、把牌匾復……

信息技術運行維護服務規(guī)范認證證書

信息技術運行維護服務規(guī)范認證證書 信息技術運行維護服務規(guī)范認證證書信息技術運行維護服務規(guī)范認證證書是什么？隨著經(jīng)濟的發(fā)展，信息技術……

個人數(shù)據(jù)隱私保護管理體系認證機構

個人數(shù)據(jù)隱私保護管理體系認證機構 2020年9月22日，隨著互聯(lián)網(wǎng)服務滲入經(jīng)濟生活、生產(chǎn)各環(huán)節(jié)，以及越來越多的個人和企業(yè)數(shù)據(jù)遷移上云，對于……

中企認證咨詢網(wǎng)積累了豐富的國際質(zhì)量認證工作經(jīng)驗，各項業(yè)務均成果卓著。始終以服務國家經(jīng)濟社會發(fā)展和提升人民生活品質(zhì)為己任，依托產(chǎn)品認證(包括服務認證、自愿性認證)、管理體系認證和認證培訓業(yè)務，著力開展節(jié)能。在積極促進國際貿(mào)易，調(diào)整經(jīng)濟結構，保護消費者安全健康，構建社會誠信體系，參與"兩型"社會建設等方面做出了積極貢獻。同時，自身獲得了跨越式發(fā)展，已成為業(yè)務門類全、服務網(wǎng)絡廣、工作手段新、技術力量強、人員素質(zhì)高的一流認證機構，可以方便快捷地為世界各地的客戶提供高效、優(yōu)質(zhì)的"一站式"服務。中企認證咨詢網(wǎng)秉承"和諧、進取、責任"的理念，正在朝著建立社會公信力高，有較強創(chuàng)新能力、市場競爭能力和可持續(xù)發(fā)展能力，向業(yè)界有較高知名度的國際型認證機構的目標努力前行，優(yōu)質(zhì)的服務、雄厚的技術力量、先進的管理水平保障了中企認證咨詢網(wǎng)業(yè)務的順利開展，為順利實現(xiàn)中企認證咨詢網(wǎng)的質(zhì)量目標、為認證機構的品牌提供了有力保障。

中企認證咨詢網(wǎng)專業(yè)從事ISO9001、ISO14001、OHSAS18001、IATF16949、ISO27001、ISO13485、ISO22000、HACCP、ISO20000、ISO45001、QC080000、GB/T50430、GB/T27922售后服務體系認證、GB/T29490知識產(chǎn)權管理體系、ISO37001、ISO50001、ISO22163、兩化融合體系、系統(tǒng)集成資質(zhì)、十環(huán)認證、SMETA、SEDEX、BSCI、SA8000、FSC、ICTI、GSV、C-TPAT、WRAP、EICC、GMP、GMPC、ETI、BRC、驗廠咨詢、商務部信用等級、誠信信用等級、ISO體系、CE、3C、AAA等認證咨詢服務。認證價格實惠，證書真實有效，認監(jiān)委可查，如有疑問，可點擊www.969111.cn了解詳情，竭誠為您服務!