標(biāo)準(zhǔn)解讀丨GB/T 20984-2022《信息安全技術(shù) 信息安全風(fēng)險評估方法》
前言:
GB/T 20984-2022《信息安全技術(shù) 信息安全風(fēng)險評估方法》(以下簡稱新版標(biāo)準(zhǔn))由國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會批準(zhǔn)發(fā)布(2022年第6號中國國家標(biāo)準(zhǔn)公告),于2022年11月1日起正式實施,該標(biāo)準(zhǔn)代替GB/T 20984-2007《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》(以下簡稱舊版標(biāo)準(zhǔn)),是GB/T 20984自2007年發(fā)布以來的首次修改。
什么是信息安全風(fēng)險評估?
信息安全風(fēng)險評估是指對特定威脅利用單個或一組資產(chǎn)脆弱性的可能性以及由此可能給組織帶來的損害進行識別、分析和評價的整個過程。
新版標(biāo)準(zhǔn)的主要內(nèi)容是什么?
新版標(biāo)準(zhǔn)描述了信息安全風(fēng)險評估的基本概念、風(fēng)險要素關(guān)系、風(fēng)險分析原理、風(fēng)險評估實施流程和評估方法,以及風(fēng)險評估在信息系統(tǒng)生命周期不同階段的實施要點和工作形式。
在資產(chǎn)識別中,基于業(yè)務(wù)的范圍和邊界,分析對業(yè)務(wù)資產(chǎn)、系統(tǒng)資產(chǎn)、系統(tǒng)組件和單元資產(chǎn)進行識別與分析賦值。業(yè)務(wù)成為風(fēng)險評估的最高管控對象。
在威脅識別中,從威脅的來源、主體、動機等角度出發(fā),根據(jù)威脅的行為能力和頻率,結(jié)合威脅的不同時機進行識別和分析。
在已有安全措施分析中,將安全措施進行保護性和預(yù)防性的分類,結(jié)合威脅對已有安全措施的有效性進行分析。
在脆弱性識別中,從管理和技術(shù)兩個角度出發(fā),對脆弱性被威脅利用的難易程度以及脆弱性被利用后對資產(chǎn)造成的損失進行分析。
在風(fēng)險分析與評價中,依據(jù)風(fēng)險計算模型對單個資產(chǎn)的風(fēng)險進行風(fēng)險值的計算與等級劃分,并按照一定的規(guī)則,從資產(chǎn)的風(fēng)險現(xiàn)狀推斷出業(yè)務(wù)的風(fēng)險情況。
新版標(biāo)準(zhǔn)相比舊版標(biāo)準(zhǔn)有哪些改變呢?
1
原來的《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》改為《信息安全技術(shù) 信息安全風(fēng)險評估方法》,標(biāo)準(zhǔn)編號仍然為20984.年號更改為2022.
2
新版標(biāo)準(zhǔn)的風(fēng)險評估流程分為評估準(zhǔn)備、風(fēng)險識別、風(fēng)險分析和風(fēng)險評價四個階段。其中,風(fēng)險識別階段包括資產(chǎn)識別、威脅識別、已有安全措施識別和脆弱性識別四個部分的內(nèi)容。
新版標(biāo)準(zhǔn)中,風(fēng)險分析和風(fēng)險評價兩個階段的內(nèi)容由舊版標(biāo)準(zhǔn)中風(fēng)險分析階段的風(fēng)險計算和風(fēng)險結(jié)果判定優(yōu)化而來,并移除了舊版標(biāo)準(zhǔn)中風(fēng)險處理計劃和殘余風(fēng)險評估的內(nèi)容。此外,新版標(biāo)準(zhǔn)定義了溝通與協(xié)商機制,要求風(fēng)險評估實施團隊在進行評估工作時與內(nèi)部相關(guān)方和外部相關(guān)方均保持溝通。與舊版標(biāo)準(zhǔn)對比,新版標(biāo)準(zhǔn)的流程更加直觀清晰、可操作性更強。
舊版流程
新版流程
3
新版標(biāo)準(zhǔn)對風(fēng)險識別的內(nèi)容進行了比較大的修改。
首先,在資產(chǎn)識別中將按層次劃分成業(yè)務(wù)資產(chǎn)、系統(tǒng)資產(chǎn)、系統(tǒng)組件和單元資產(chǎn)。不同層次的關(guān)系成為重要的分析內(nèi)容。資產(chǎn)保護對象也從多個“單一資產(chǎn)”為核心到以企業(yè)的“業(yè)務(wù)”為核心。
其次,威脅識別中的賦值方法得到優(yōu)化。舊版標(biāo)準(zhǔn)僅提出從威脅出現(xiàn)頻率的角度進行賦值。新版標(biāo)準(zhǔn)則要求在進行威脅賦值時要依據(jù)威脅的行為能力和頻率,并結(jié)合威脅發(fā)生的時機進行綜合評價。
第三,修改了脆弱性賦值機制,舊版標(biāo)準(zhǔn)在進行脆弱性賦值時考慮的是脆弱性的嚴(yán)重程度,新版標(biāo)準(zhǔn)則規(guī)定須在充分考慮已有安全措施的作用下,分別對脆弱性被利用的難易程度賦值和脆弱性影響程度進行賦值。
改進了風(fēng)險分析原理
在風(fēng)險分析原理中,新版標(biāo)準(zhǔn)的風(fēng)險值依舊通過對安全事件發(fā)生的可能性和安全事件造成的損失計算而來。
不一樣的是,舊版標(biāo)準(zhǔn)中安全事件發(fā)生的可能性由威脅出現(xiàn)的頻率和脆弱性嚴(yán)重程度決定,安全事件造成的損失由脆弱性嚴(yán)重程度和資產(chǎn)價值決定。而在新版標(biāo)準(zhǔn)中,威脅的賦值和脆弱性被利用的難易程度決定安全事件發(fā)生的可能性,脆弱性的影響程度和資產(chǎn)價值決定安全事件造成的損失。具體變化如下:
舊版風(fēng)險計算原理
新版風(fēng)險計算原理
此外,風(fēng)險的描述視角也進行了調(diào)整。新標(biāo)準(zhǔn)將原先基于單個資產(chǎn)的碎片化風(fēng)險呈現(xiàn)方式,調(diào)整為以對業(yè)務(wù)整體安全風(fēng)險進行管控為目標(biāo),從資產(chǎn)到業(yè)務(wù)的風(fēng)險逐級進行分析的評價機制。
新版標(biāo)準(zhǔn)的發(fā)布有什么意義?
近年來,黨和國家高度重視網(wǎng)絡(luò)安全工作,《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等重要法律法規(guī)相繼頒布實施,同時,伴隨著信息技術(shù)深入到生活的各個方面,網(wǎng)絡(luò)安全工作已成為國家、社會、組織中不可缺少的一部分。
為應(yīng)對網(wǎng)絡(luò)安全形勢的變化,滿足法律法規(guī)的最新要求,解決舊版標(biāo)準(zhǔn)在個別場景下存在局限性的問題,新版標(biāo)準(zhǔn)應(yīng)聲而來。
新版標(biāo)準(zhǔn)為網(wǎng)絡(luò)安全保護工作部門、重要行業(yè)和領(lǐng)域的主管部門、信息系統(tǒng)運營單位、安全服務(wù)廠商等開展信息安全風(fēng)險評估工作提供參考依據(jù),為網(wǎng)絡(luò)安全建設(shè)工作提供技術(shù)指導(dǎo)和效果評價方法,能極大促進網(wǎng)絡(luò)安全工作的實施。
六方云風(fēng)險評估服務(wù)介紹:
為幫助各類組織和單位全面、有效地梳理信息安全現(xiàn)狀,評估各業(yè)務(wù)的整體風(fēng)險,指導(dǎo)進行整改建設(shè)工作,六方云面向各行業(yè)、各領(lǐng)域的企業(yè)推出風(fēng)險評估服務(wù)。
服務(wù)內(nèi)容:
協(xié)助用戶梳理系統(tǒng)資產(chǎn),根據(jù)相關(guān)要求進行資產(chǎn)識別、威脅識別、已有安全措施識別、脆弱性識別工作,并對用戶單位存在的風(fēng)險進行分析和評價,為用戶網(wǎng)絡(luò)安全工作提出整改建議。
服務(wù)優(yōu)勢:
標(biāo)準(zhǔn)化的風(fēng)險評估流程和內(nèi)容
六方云依據(jù)GB/T 20984-2022《信息安全技術(shù) 信息安全風(fēng)險評估方法》、GB/T 31509-2015《信息安全技術(shù) 信息安全風(fēng)險評估實施指南》制定風(fēng)險評估服務(wù)流程,在評估工作中嚴(yán)格依照風(fēng)險評估準(zhǔn)備、風(fēng)險識別、風(fēng)險分析和風(fēng)險評價的流程進行。
科學(xué)的評估方法
六方云風(fēng)險評估服務(wù)在實施過程中主要采取人工訪談、文檔查閱、基線檢查、滲透測試、漏洞掃描、漏洞靜態(tài)分析等手段。在對企業(yè)的系統(tǒng)進行深度調(diào)研后,風(fēng)險評估實施人員將依據(jù)企業(yè)系統(tǒng)的業(yè)務(wù)運行情況選擇合理、安全的手段進行評估。
深度的“工控安全”體檢
六方云對《信息安全技術(shù) 工業(yè)控制系統(tǒng)風(fēng)險評估實施指南》(GB/T 36466-2018)及《工業(yè)控制系統(tǒng)信息安全防護指南》以及各行業(yè)、各領(lǐng)域的標(biāo)準(zhǔn)和相關(guān)要求進行過深入的研究,評估工作以貼合客戶的工業(yè)控制系統(tǒng)實際需求為出發(fā)點,幫助客戶理清工業(yè)控制系統(tǒng)的安全現(xiàn)狀與國家法規(guī)、行業(yè)標(biāo)準(zhǔn)的差距,指導(dǎo)客戶建立工業(yè)控制系統(tǒng)的安全防護體系。此外,六方云工控實驗室致力于對工業(yè)控制系統(tǒng)的安全研究,為工控安全風(fēng)險評估提供有力的技術(shù)支持。
移動智能終端安全管理體系認(rèn)證證書 辦理移動智能終端安全管理體系認(rèn)證證書申請移動智能終端安全管理體系認(rèn)證證書流程1、按照服務(wù)質(zhì)量評價體……
電子政務(wù)移動辦公系統(tǒng)管理體系認(rèn)證證書
電子政務(wù)移動辦公系統(tǒng)管理體系認(rèn)證證書 申請好處∶1、爭強產(chǎn)品在市場上的競爭力2、提高公司的知名度3、吸引經(jīng)銷商代理商的加盟4、把牌匾復(fù)……
信息技術(shù)運行維護服務(wù)規(guī)范認(rèn)證證書
信息技術(shù)運行維護服務(wù)規(guī)范認(rèn)證證書 信息技術(shù)運行維護服務(wù)規(guī)范認(rèn)證證書信息技術(shù)運行維護服務(wù)規(guī)范認(rèn)證證書是什么?隨著經(jīng)濟的發(fā)展,信息技術(shù)……
個人數(shù)據(jù)隱私保護管理體系認(rèn)證機構(gòu)
個人數(shù)據(jù)隱私保護管理體系認(rèn)證機構(gòu) 2020年9月22日,隨著互聯(lián)網(wǎng)服務(wù)滲入經(jīng)濟生活、生產(chǎn)各環(huán)節(jié),以及越來越多的個人和企業(yè)數(shù)據(jù)遷移上云,對于……
中企認(rèn)證咨詢網(wǎng)積累了豐富的國際質(zhì)量認(rèn)證工作經(jīng)驗,各項業(yè)務(wù)均成果卓著。始終以服務(wù)國家經(jīng)濟社會發(fā)展和提升人民生活品質(zhì)為己任,依托產(chǎn)品認(rèn)證(包括服務(wù)認(rèn)證、自愿性認(rèn)證)、管理體系認(rèn)證和認(rèn)證培訓(xùn)業(yè)務(wù),著力開展節(jié)能。在積極促進國際貿(mào)易,調(diào)整經(jīng)濟結(jié)構(gòu),保護消費者安全健康,構(gòu)建社會誠信體系,參與"兩型"社會建設(shè)等方面做出了積極貢獻。同時,自身獲得了跨越式發(fā)展,已成為業(yè)務(wù)門類全、服務(wù)網(wǎng)絡(luò)廣、工作手段新、技術(shù)力量強、人員素質(zhì)高的一流認(rèn)證機構(gòu),可以方便快捷地為世界各地的客戶提供高效、優(yōu)質(zhì)的"一站式"服務(wù)。中企認(rèn)證咨詢網(wǎng)秉承"和諧、進取、責(zé)任"的理念,正在朝著建立社會公信力高,有較強創(chuàng)新能力、市場競爭能力和可持續(xù)發(fā)展能力,向業(yè)界有較高知名度的國際型認(rèn)證機構(gòu)的目標(biāo)努力前行,優(yōu)質(zhì)的服務(wù)、雄厚的技術(shù)力量、先進的管理水平保障了中企認(rèn)證咨詢網(wǎng)業(yè)務(wù)的順利開展,為順利實現(xiàn)中企認(rèn)證咨詢網(wǎng)的質(zhì)量目標(biāo)、為認(rèn)證機構(gòu)的品牌提供了有力保障。
中企認(rèn)證咨詢網(wǎng)專業(yè)從事ISO9001、ISO14001、OHSAS18001、IATF16949、ISO27001、ISO13485、ISO22000、HACCP、ISO20000、ISO45001、QC080000、GB/T50430、GB/T27922售后服務(wù)體系認(rèn)證、GB/T29490知識產(chǎn)權(quán)管理體系、ISO37001、ISO50001、ISO22163、兩化融合體系、系統(tǒng)集成資質(zhì)、十環(huán)認(rèn)證、SMETA、SEDEX、BSCI、SA8000、FSC、ICTI、GSV、C-TPAT、WRAP、EICC、GMP、GMPC、ETI、BRC、驗廠咨詢、商務(wù)部信用等級、誠信信用等級、ISO體系、CE、3C、AAA等認(rèn)證咨詢服務(wù)。認(rèn)證價格實惠,證書真實有效,認(rèn)監(jiān)委可查,如有疑問,可點擊www.969111.cn了解詳情,竭誠為您服務(wù)!
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心
本文標(biāo)題:信息安全技術(shù)信息安全風(fēng)險評估規(guī)范
本文地址:http://www.969111.cn/isos/202309/zs_7520.html