標(biāo)準(zhǔn)解讀

《GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》是中國國家標(biāo)準(zhǔn)之一,旨在為組織和機構(gòu)提供一套系統(tǒng)化的方法論,以識別、分析信息資產(chǎn)所面臨的安全威脅、脆弱性,并量化潛在風(fēng)險,進(jìn)而制定有效的風(fēng)險管理措施。該標(biāo)準(zhǔn)詳細(xì)規(guī)定了信息安全風(fēng)險評估的流程、方法、內(nèi)容及要求,幫助組織建立或改進(jìn)其信息安全管理體系,確保信息資產(chǎn)得到妥善保護(hù)。以下是該標(biāo)準(zhǔn)的主要內(nèi)容概述:

  1. 范圍:標(biāo)準(zhǔn)明確了適用范圍,即適用于各種類型和規(guī)模的組織進(jìn)行信息安全風(fēng)險評估活動,包括但不限于政府機構(gòu)、企業(yè)、金融機構(gòu)及公共服務(wù)部門。

  2. 術(shù)語和定義:為確保理解和操作的一致性,標(biāo)準(zhǔn)首先界定了與信息安全風(fēng)險評估相關(guān)的專業(yè)術(shù)語,如“信息資產(chǎn)”、“威脅”、“脆弱性”、“風(fēng)險”等基礎(chǔ)概念。

  3. 風(fēng)險評估原則:強調(diào)了風(fēng)險評估應(yīng)遵循的原則,包括但不限于系統(tǒng)性、動態(tài)性、可重復(fù)性和經(jīng)濟性,確保評估過程科學(xué)合理且符合成本效益原則。

  4. 風(fēng)險評估模型:提出了基于資產(chǎn)、威脅、脆弱性和現(xiàn)有安全控制措施的風(fēng)險評估模型,即通過識別和評估信息資產(chǎn)的價值,分析可能面臨的威脅和存在的脆弱性,結(jié)合現(xiàn)有安全控制的有效性,來確定風(fēng)險等級。

  5. 風(fēng)險評估流程:詳細(xì)描述了風(fēng)險評估的六個階段:啟動、風(fēng)險識別、風(fēng)險分析、風(fēng)險評價、風(fēng)險處理和風(fēng)險評估報告編制。每個階段都明確了具體任務(wù)、執(zhí)行方法及輸出成果,形成了一個完整的工作流程。

  6. 風(fēng)險評估方法:介紹了定性、定量及半定量等多種風(fēng)險評估方法及其適用場景,幫助組織根據(jù)自身情況選擇最合適的風(fēng)險評估技術(shù)。

  7. 風(fēng)險處理:闡述了風(fēng)險處理的基本策略,包括風(fēng)險規(guī)避、減輕、轉(zhuǎn)移(如通過保險)和接受,并強調(diào)了持續(xù)監(jiān)控和定期復(fù)查的重要性,以適應(yīng)不斷變化的威脅環(huán)境。

  8. 文檔管理與記錄保持:要求在整個風(fēng)險評估過程中,應(yīng)妥善管理和保存所有相關(guān)文檔和記錄,以確保評估活動的可追溯性和合規(guī)性。

  9. 人員要求與培訓(xùn):指出實施風(fēng)險評估的團(tuán)隊?wèi)?yīng)具備相應(yīng)的專業(yè)知識和技能,并強調(diào)了對參與人員進(jìn)行必要培訓(xùn)的重要性。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 被代替
  • 已被新標(biāo)準(zhǔn)代替,建議下載現(xiàn)行標(biāo)準(zhǔn)GB/T 20984-2022
  • 2007-06-14 頒布
  • 2007-11-01 實施
?正版授權(quán)
GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范_第1頁
GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范_第2頁
GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范_第3頁
GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范_第4頁
GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范_第5頁
免費預(yù)覽已結(jié)束,剩余27頁可下載查看

下載本文檔

GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范-免費下載試讀頁

文檔簡介

犐犆犛35.040

犔80

中華人民共和國國家標(biāo)準(zhǔn)

犌犅/犜20984—2007

信息安全技術(shù)

信息安全風(fēng)險評估規(guī)范

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犚犻狊犽犪狊狊犲狊狊犿犲狀狋狊狆犲犮犻犳犻犮犪狋犻狅狀犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔

20070614發(fā)布20071101實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局

發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

犌犅/犜20984—2007

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅰ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅱ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術(shù)語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4風(fēng)險評估框架及流程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

4.1風(fēng)險要素關(guān)系!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

4.2風(fēng)險分析原理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

4.3實施流程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5風(fēng)險評估實施!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.1風(fēng)險評估準(zhǔn)備!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.2資產(chǎn)識別!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

5.3威脅識別!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

5.4脆弱性識別!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

5.5已有安全措施確認(rèn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

5.6風(fēng)險分析!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

5.7風(fēng)險評估文檔記錄!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

6信息系統(tǒng)生命周期各階段的風(fēng)險評估!!!!!!!!!!!!!!!!!!!!!!!!!14

6.1信息系統(tǒng)生命周期概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

6.2規(guī)劃階段的風(fēng)險評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

6.3設(shè)計階段的風(fēng)險評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

6.4實施階段的風(fēng)險評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

6.5運行維護(hù)階段的風(fēng)險評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

6.6廢棄階段的風(fēng)險評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

7風(fēng)險評估的工作形式!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.2自評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.3檢查評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

附錄A(資料性附錄)風(fēng)險的計算方法!!!!!!!!!!!!!!!!!!!!!!!!18

A.1使用矩陣法計算風(fēng)險!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

A.2使用相乘法計算風(fēng)險!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

附錄B(資料性附錄)風(fēng)險評估的工具!!!!!!!!!!!!!!!!!!!!!!!!24

B.1風(fēng)險評估與管理工具!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

B.2系統(tǒng)基礎(chǔ)平臺風(fēng)險評估工具!!!!!!!!!!!!!!!!!!!!!!!!!!!25

B.3風(fēng)險評估輔助工具!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

參考文獻(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!26

犌犅/犜20984—2007

前言

本標(biāo)準(zhǔn)的附錄A和附錄B是資料性附錄。

本標(biāo)準(zhǔn)由國務(wù)院信息化工作辦公室提出。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口。

本標(biāo)準(zhǔn)主要起草單位:國家信息中心、公安部第三研究所、國家保密技術(shù)研究所、中國信息安全產(chǎn)品

測評認(rèn)證中心、中國科學(xué)院信息安全國家重點實驗室、解放軍信息技術(shù)安全研究中心、中國航天二院七

○六所、北京信息安全測評中心、上海市信息安全測評認(rèn)證中心。

本標(biāo)準(zhǔn)主要起草人:范紅、吳亞非、李京春、馬朝斌、李嵩、應(yīng)力、王寧、江常青、張鑒、趙敬宇。

犌犅/犜20984—2007

引言

隨著政府部門、企事業(yè)單位以及各行各業(yè)對信息系統(tǒng)依賴程度的日益增強,信息安全問題受到普遍

關(guān)注。運用風(fēng)險評估去識別安全風(fēng)險,解決信息安全問題得到了廣泛的認(rèn)識和應(yīng)用。

信息安全風(fēng)險評估就是從風(fēng)險管理角度,運用科學(xué)的方法和手段,系統(tǒng)地分析信息系統(tǒng)所面臨的威

脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護(hù)對

策和整改措施,為防范和化解信息安全風(fēng)險,將風(fēng)險控制在可接受的水平,最大限度地保障信息安全提

供科學(xué)依據(jù)。

信息安全風(fēng)險評估作為信息安全保障工作的基礎(chǔ)性工作和重要環(huán)節(jié),要貫穿于信息系統(tǒng)的規(guī)劃、設(shè)

計、實施、運行維護(hù)以及廢棄各個階段,是信息安全等級保護(hù)制度建設(shè)的重要科學(xué)方法之一。

本標(biāo)準(zhǔn)條款中所指的“風(fēng)險評估”,其含義均為“信息安全風(fēng)險評估”。

犌犅/犜20984—2007

信息安全技術(shù)

信息安全風(fēng)險評估規(guī)范

1范圍

本標(biāo)準(zhǔn)提出了風(fēng)險評估的基本概念、要素關(guān)系、分析原理、實施流程和評估方法,以及風(fēng)險評估在信

息系統(tǒng)生命周期不同階段的實施要點和工作形式。

本標(biāo)準(zhǔn)適用于規(guī)范組織開展的風(fēng)險評估工作。

2規(guī)范性引用文件

下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件,其隨后所有

的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn),然而,鼓勵根據(jù)本部分達(dá)成協(xié)議的各方研

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論