標(biāo)準(zhǔn)解讀

《GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》是中國(guó)國(guó)家標(biāo)準(zhǔn)之一,旨在為組織和機(jī)構(gòu)提供一套系統(tǒng)化的方法論,以識(shí)別、分析信息資產(chǎn)所面臨的安全威脅、脆弱性,并量化潛在風(fēng)險(xiǎn),進(jìn)而制定有效的風(fēng)險(xiǎn)管理措施。該標(biāo)準(zhǔn)詳細(xì)規(guī)定了信息安全風(fēng)險(xiǎn)評(píng)估的流程、方法、內(nèi)容及要求,幫助組織建立或改進(jìn)其信息安全管理體系,確保信息資產(chǎn)得到妥善保護(hù)。以下是該標(biāo)準(zhǔn)的主要內(nèi)容概述:

  1. 范圍:標(biāo)準(zhǔn)明確了適用范圍,即適用于各種類型和規(guī)模的組織進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng),包括但不限于政府機(jī)構(gòu)、企業(yè)、金融機(jī)構(gòu)及公共服務(wù)部門。

  2. 術(shù)語(yǔ)和定義:為確保理解和操作的一致性,標(biāo)準(zhǔn)首先界定了與信息安全風(fēng)險(xiǎn)評(píng)估相關(guān)的專業(yè)術(shù)語(yǔ),如“信息資產(chǎn)”、“威脅”、“脆弱性”、“風(fēng)險(xiǎn)”等基礎(chǔ)概念。

  3. 風(fēng)險(xiǎn)評(píng)估原則:強(qiáng)調(diào)了風(fēng)險(xiǎn)評(píng)估應(yīng)遵循的原則,包括但不限于系統(tǒng)性、動(dòng)態(tài)性、可重復(fù)性和經(jīng)濟(jì)性,確保評(píng)估過程科學(xué)合理且符合成本效益原則。

  4. 風(fēng)險(xiǎn)評(píng)估模型:提出了基于資產(chǎn)、威脅、脆弱性和現(xiàn)有安全控制措施的風(fēng)險(xiǎn)評(píng)估模型,即通過識(shí)別和評(píng)估信息資產(chǎn)的價(jià)值,分析可能面臨的威脅和存在的脆弱性,結(jié)合現(xiàn)有安全控制的有效性,來(lái)確定風(fēng)險(xiǎn)等級(jí)。

  5. 風(fēng)險(xiǎn)評(píng)估流程:詳細(xì)描述了風(fēng)險(xiǎn)評(píng)估的六個(gè)階段:?jiǎn)?dòng)、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)處理和風(fēng)險(xiǎn)評(píng)估報(bào)告編制。每個(gè)階段都明確了具體任務(wù)、執(zhí)行方法及輸出成果,形成了一個(gè)完整的工作流程。

  6. 風(fēng)險(xiǎn)評(píng)估方法:介紹了定性、定量及半定量等多種風(fēng)險(xiǎn)評(píng)估方法及其適用場(chǎng)景,幫助組織根據(jù)自身情況選擇最合適的風(fēng)險(xiǎn)評(píng)估技術(shù)。

  7. 風(fēng)險(xiǎn)處理:闡述了風(fēng)險(xiǎn)處理的基本策略,包括風(fēng)險(xiǎn)規(guī)避、減輕、轉(zhuǎn)移(如通過保險(xiǎn))和接受,并強(qiáng)調(diào)了持續(xù)監(jiān)控和定期復(fù)查的重要性,以適應(yīng)不斷變化的威脅環(huán)境。

  8. 文檔管理與記錄保持:要求在整個(gè)風(fēng)險(xiǎn)評(píng)估過程中,應(yīng)妥善管理和保存所有相關(guān)文檔和記錄,以確保評(píng)估活動(dòng)的可追溯性和合規(guī)性。

  9. 人員要求與培訓(xùn):指出實(shí)施風(fēng)險(xiǎn)評(píng)估的團(tuán)隊(duì)?wèi)?yīng)具備相應(yīng)的專業(yè)知識(shí)和技能,并強(qiáng)調(diào)了對(duì)參與人員進(jìn)行必要培訓(xùn)的重要性。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 被代替
  • 已被新標(biāo)準(zhǔn)代替,建議下載現(xiàn)行標(biāo)準(zhǔn)GB/T 20984-2022
  • 2007-06-14 頒布
  • 2007-11-01 實(shí)施
?正版授權(quán)
GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范_第1頁(yè)
GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范_第2頁(yè)
GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范_第3頁(yè)
GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范_第4頁(yè)
GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范_第5頁(yè)
免費(fèi)預(yù)覽已結(jié)束,剩余27頁(yè)可下載查看

下載本文檔

GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范-免費(fèi)下載試讀頁(yè)

文檔簡(jiǎn)介

犐犆犛35.040

犔80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

犌犅/犜20984—2007

信息安全技術(shù)

信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犚犻狊犽犪狊狊犲狊狊犿犲狀狋狊狆犲犮犻犳犻犮犪狋犻狅狀犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔

20070614發(fā)布20071101實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局

發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

犌犅/犜20984—2007

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅰ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅱ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術(shù)語(yǔ)和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4風(fēng)險(xiǎn)評(píng)估框架及流程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

4.1風(fēng)險(xiǎn)要素關(guān)系!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

4.2風(fēng)險(xiǎn)分析原理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

4.3實(shí)施流程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5風(fēng)險(xiǎn)評(píng)估實(shí)施!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.1風(fēng)險(xiǎn)評(píng)估準(zhǔn)備!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.2資產(chǎn)識(shí)別!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

5.3威脅識(shí)別!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

5.4脆弱性識(shí)別!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

5.5已有安全措施確認(rèn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

5.6風(fēng)險(xiǎn)分析!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

5.7風(fēng)險(xiǎn)評(píng)估文檔記錄!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

6信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!14

6.1信息系統(tǒng)生命周期概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

6.2規(guī)劃階段的風(fēng)險(xiǎn)評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

6.3設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

6.4實(shí)施階段的風(fēng)險(xiǎn)評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

6.5運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

6.6廢棄階段的風(fēng)險(xiǎn)評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

7風(fēng)險(xiǎn)評(píng)估的工作形式!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.2自評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.3檢查評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

附錄A(資料性附錄)風(fēng)險(xiǎn)的計(jì)算方法!!!!!!!!!!!!!!!!!!!!!!!!18

A.1使用矩陣法計(jì)算風(fēng)險(xiǎn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

A.2使用相乘法計(jì)算風(fēng)險(xiǎn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

附錄B(資料性附錄)風(fēng)險(xiǎn)評(píng)估的工具!!!!!!!!!!!!!!!!!!!!!!!!24

B.1風(fēng)險(xiǎn)評(píng)估與管理工具!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

B.2系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具!!!!!!!!!!!!!!!!!!!!!!!!!!!25

B.3風(fēng)險(xiǎn)評(píng)估輔助工具!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

參考文獻(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!26

犌犅/犜20984—2007

前言

本標(biāo)準(zhǔn)的附錄A和附錄B是資料性附錄。

本標(biāo)準(zhǔn)由國(guó)務(wù)院信息化工作辦公室提出。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。

本標(biāo)準(zhǔn)主要起草單位:國(guó)家信息中心、公安部第三研究所、國(guó)家保密技術(shù)研究所、中國(guó)信息安全產(chǎn)品

測(cè)評(píng)認(rèn)證中心、中國(guó)科學(xué)院信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室、解放軍信息技術(shù)安全研究中心、中國(guó)航天二院七

○六所、北京信息安全測(cè)評(píng)中心、上海市信息安全測(cè)評(píng)認(rèn)證中心。

本標(biāo)準(zhǔn)主要起草人:范紅、吳亞非、李京春、馬朝斌、李嵩、應(yīng)力、王寧、江常青、張鑒、趙敬宇。

犌犅/犜20984—2007

引言

隨著政府部門、企事業(yè)單位以及各行各業(yè)對(duì)信息系統(tǒng)依賴程度的日益增強(qiáng),信息安全問題受到普遍

關(guān)注。運(yùn)用風(fēng)險(xiǎn)評(píng)估去識(shí)別安全風(fēng)險(xiǎn),解決信息安全問題得到了廣泛的認(rèn)識(shí)和應(yīng)用。

信息安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度,運(yùn)用科學(xué)的方法和手段,系統(tǒng)地分析信息系統(tǒng)所面臨的威

脅及其存在的脆弱性,評(píng)估安全事件一旦發(fā)生可能造成的危害程度,提出有針對(duì)性的抵御威脅的防護(hù)對(duì)

策和整改措施,為防范和化解信息安全風(fēng)險(xiǎn),將風(fēng)險(xiǎn)控制在可接受的水平,最大限度地保障信息安全提

供科學(xué)依據(jù)。

信息安全風(fēng)險(xiǎn)評(píng)估作為信息安全保障工作的基礎(chǔ)性工作和重要環(huán)節(jié),要貫穿于信息系統(tǒng)的規(guī)劃、設(shè)

計(jì)、實(shí)施、運(yùn)行維護(hù)以及廢棄各個(gè)階段,是信息安全等級(jí)保護(hù)制度建設(shè)的重要科學(xué)方法之一。

本標(biāo)準(zhǔn)條款中所指的“風(fēng)險(xiǎn)評(píng)估”,其含義均為“信息安全風(fēng)險(xiǎn)評(píng)估”。

犌犅/犜20984—2007

信息安全技術(shù)

信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范

1范圍

本標(biāo)準(zhǔn)提出了風(fēng)險(xiǎn)評(píng)估的基本概念、要素關(guān)系、分析原理、實(shí)施流程和評(píng)估方法,以及風(fēng)險(xiǎn)評(píng)估在信

息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)和工作形式。

本標(biāo)準(zhǔn)適用于規(guī)范組織開展的風(fēng)險(xiǎn)評(píng)估工作。

2規(guī)范性引用文件

下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件,其隨后所有

的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn),然而,鼓勵(lì)根據(jù)本部分達(dá)成協(xié)議的各方研

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問題。

最新文檔

評(píng)論

0/150

提交評(píng)論