信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估方法-編制說明

國家標(biāo)準(zhǔn)報(bào)批稿資料一、工作簡況1.1任務(wù)來源2016年，經(jīng)國標(biāo)委批準(zhǔn)，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）2016年第二次全會(huì)討論通過，研究修訂《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》國家標(biāo)準(zhǔn)。該項(xiàng)目由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。1.2主要起草單位和工作組成員國家信息中心和北京安信天行科技有限公司主要負(fù)責(zé)起草，協(xié)作起草單位包括中國信息安全認(rèn)證中心、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、中國信息安全測評(píng)中心、公安部信息安全等級(jí)保護(hù)評(píng)估中心、信息產(chǎn)業(yè)信息安全測評(píng)中心、中國科學(xué)院信息工程研究所、北京信息安全測評(píng)中心、民航信息安全管理與測評(píng)中心和上海上訊信息技術(shù)股份有限公司等。1.3主要工作過程標(biāo)準(zhǔn)于2017年3月開始進(jìn)行相關(guān)調(diào)研工作，于2017年7月立項(xiàng)，于2017年4月至9月編制完成《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范（修訂版）》草案，并邀請國家安全主管部門、重點(diǎn)行業(yè)主管機(jī)關(guān)、服務(wù)資質(zhì)認(rèn)證機(jī)構(gòu)、安全評(píng)估從業(yè)機(jī)構(gòu)等對(duì)草案進(jìn)行多次研討。在2017年9月，標(biāo)準(zhǔn)召開了專家評(píng)審會(huì)。并將修改完成后的《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范（修訂版）》草案提交安標(biāo)委，在2017年10月根據(jù)安標(biāo)委的工作安排，供專家討論評(píng)審。標(biāo)準(zhǔn)于2018年1月根據(jù)專家意見，形成《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范（修訂版）》（征求意見稿），提交進(jìn)行意見征集?；A(chǔ)研究和調(diào)研組建《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》修訂項(xiàng)目組，對(duì)近年來，尤其是中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組成立以來所發(fā)布的關(guān)于網(wǎng)絡(luò)安全的一系列政策文件進(jìn)行研究，充分理解我國網(wǎng)絡(luò)安全的戰(zhàn)略規(guī)劃對(duì)信息安全風(fēng)險(xiǎn)評(píng)估工作提出的新要求和新挑戰(zhàn)；同時(shí)，組織技術(shù)力量對(duì)云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)、智慧城市等新技術(shù)應(yīng)用對(duì)原有信息安全風(fēng)險(xiǎn)評(píng)估方法帶來的挑戰(zhàn)進(jìn)行研究，并提出解決方案；組織人員對(duì)ISO/IEC27005:2011、ISO/IEC13335,NISTSP800系列等國際標(biāo)準(zhǔn)進(jìn)行研究，充分了解和掌握國際上關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估工作的最新研究動(dòng)態(tài)，為《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》修訂工作提供借鑒。通過座談或現(xiàn)場調(diào)研等方式，對(duì)國內(nèi)信息安全主管機(jī)構(gòu)（包括但不限于中央網(wǎng)信辦、公安部、安全部、國家保密局、工信部、國家認(rèn)監(jiān)委等），行業(yè)協(xié)會(huì)（包括但不限于網(wǎng)絡(luò)空間安全協(xié)會(huì)<籌>、中國信息協(xié)會(huì)、計(jì)算機(jī)學(xué)會(huì)、網(wǎng)絡(luò)空間安全研究院等），國家關(guān)鍵信息基礎(chǔ)設(shè)施主管機(jī)構(gòu)（包括但不限于金融、電力、能源、交通、通信、教育、水利、電子政務(wù)等），服務(wù)和體系認(rèn)證機(jī)構(gòu)（包括但不限于中國信息安全認(rèn)證中心、中國信息安全測評(píng)中心、認(rèn)監(jiān)委認(rèn)可的信息安全管理體系第三方認(rèn)證機(jī)構(gòu)等），風(fēng)險(xiǎn)評(píng)估服務(wù)提供機(jī)構(gòu)（包括但不限于中國信息安全認(rèn)證中心頒發(fā)的風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)一級(jí)單位、中國信息安全測評(píng)中心頒發(fā)的風(fēng)險(xiǎn)評(píng)估服務(wù)單位）等開展廣泛調(diào)研，充分了解和掌握《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）的應(yīng)用情況和存在的不足，為修訂工作提供指導(dǎo)。形成標(biāo)準(zhǔn)修訂的原則、方案，劃定修訂重點(diǎn)在充分研究和調(diào)研的基礎(chǔ)上，結(jié)合國家安全主管部門的意見，形成《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》的修訂原則、設(shè)定修訂重點(diǎn)，重點(diǎn)修訂原標(biāo)準(zhǔn)中與當(dāng)前的國家信息安全戰(zhàn)略不相一致的地方，與當(dāng)前廣泛應(yīng)用的信息技術(shù)不相適宜的過程和條款，增加最新的信息安全風(fēng)險(xiǎn)評(píng)估方法等。在此基礎(chǔ)上，形成標(biāo)準(zhǔn)修訂方案。編制《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范（修訂版）》草案依據(jù)修訂原則和修訂方案，編制《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范（修訂版）》草案，邀請國家安全主管部門、重點(diǎn)行業(yè)主管機(jī)關(guān)、服務(wù)資質(zhì)認(rèn)證機(jī)構(gòu)、安全評(píng)估從業(yè)機(jī)構(gòu)等，組織召開意見征詢會(huì)，根據(jù)征詢意見，調(diào)整框架并編制《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范（修訂版）》草案。按照安標(biāo)委相關(guān)流程和要求，形成《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（征求意見稿）按照《關(guān)于印發(fā)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)標(biāo)準(zhǔn)制修訂工作程序的通知》（信安字[2016]004號(hào)）文件相關(guān)要求，在信安標(biāo)委的指導(dǎo)下，在專家的幫助下，完成標(biāo)準(zhǔn)草案、征求意見稿流程。二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題本標(biāo)準(zhǔn)在編制過程中遵循了先進(jìn)性和合理性原則。先進(jìn)性原則體現(xiàn)在與國際同步。本標(biāo)準(zhǔn)在制定過程中主要參考了國際相關(guān)標(biāo)準(zhǔn)，標(biāo)準(zhǔn)主要參考了ISO/IEC13335、ISO/IEC27005:2008,2011、NISTSP800-30。合理性原則體現(xiàn)在與國內(nèi)實(shí)際情況相結(jié)合。通過對(duì)《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）進(jìn)行修訂完善,調(diào)整標(biāo)準(zhǔn)中與當(dāng)前國家安全戰(zhàn)略和安全形勢不一致、或在標(biāo)準(zhǔn)應(yīng)用過程中不適宜的方法和內(nèi)容，優(yōu)化風(fēng)險(xiǎn)評(píng)估的實(shí)施流程和過程,補(bǔ)充完善標(biāo)準(zhǔn)中缺失的方法和內(nèi)容，提升標(biāo)準(zhǔn)的科學(xué)性和適宜性，形成能夠與當(dāng)前信息安全新形勢和新環(huán)境相適宜的信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn),為推動(dòng)《中華人民共和國網(wǎng)絡(luò)安全法》和《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》的落實(shí)，指導(dǎo)我國的信息安全保障工作開展奠定基礎(chǔ)。本項(xiàng)目在《中華人民共和國網(wǎng)絡(luò)安全法》、《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》和《“十三五”國家網(wǎng)絡(luò)安全規(guī)劃》的指導(dǎo)下，對(duì)信息安全風(fēng)險(xiǎn)評(píng)估工作在我國的開展現(xiàn)狀進(jìn)行調(diào)研，對(duì)新的網(wǎng)絡(luò)空間安全戰(zhàn)略下，信息安全風(fēng)險(xiǎn)評(píng)估工作所面臨的新要求和新挑戰(zhàn)進(jìn)行充分分析，同時(shí)，結(jié)合國內(nèi)外的先進(jìn)研究成果和實(shí)踐經(jīng)驗(yàn)，研究信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范的修訂原則、修訂方針和修訂重點(diǎn)，在這些方針和原則的指導(dǎo)下，對(duì)GB/T20984-2007進(jìn)行修訂，形成新版的信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范標(biāo)準(zhǔn)，指導(dǎo)我國的信息安全風(fēng)險(xiǎn)評(píng)估工作開展。本次標(biāo)準(zhǔn)修訂的內(nèi)容主要包括標(biāo)準(zhǔn)應(yīng)用語境及術(shù)語修訂、實(shí)施流程和方法修訂、全生命周期風(fēng)險(xiǎn)評(píng)估內(nèi)容修訂等。標(biāo)準(zhǔn)應(yīng)用語境及術(shù)語修訂本次標(biāo)準(zhǔn)修訂，將對(duì)標(biāo)準(zhǔn)應(yīng)用語境進(jìn)行調(diào)整。將原有基于傳統(tǒng)信息系統(tǒng)和網(wǎng)絡(luò)的信息安全風(fēng)險(xiǎn)評(píng)估語境，外延到適用于網(wǎng)絡(luò)空間的語境中。標(biāo)準(zhǔn)術(shù)語修訂。遵照《網(wǎng)絡(luò)安全法》的要求，將“信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范”中的有關(guān)術(shù)語，修訂成網(wǎng)絡(luò)空間安全風(fēng)險(xiǎn)評(píng)估、國家關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估等相關(guān)術(shù)語。標(biāo)準(zhǔn)評(píng)估對(duì)象進(jìn)行調(diào)整，將原有的基于資產(chǎn)的評(píng)估方法，調(diào)整為基于國家安全戰(zhàn)略、組織戰(zhàn)略、單位核心業(yè)務(wù)保護(hù)的風(fēng)險(xiǎn)評(píng)估方法另外，在修訂GB/T20984-2007時(shí),要充分兼容GB/T31722-2015（IDTISO/IEC27005:2008）實(shí)施流程和方法的修訂對(duì)原有基于資產(chǎn)的評(píng)估流程和方法進(jìn)行修訂，調(diào)整為基于國家或組織發(fā)展戰(zhàn)略的風(fēng)險(xiǎn)評(píng)估方法，計(jì)劃調(diào)整后的評(píng)估流程如下圖所示。全生命周期風(fēng)險(xiǎn)評(píng)估內(nèi)容的修訂本次修訂，將圍繞管控國家安全戰(zhàn)略、組織戰(zhàn)略、單位核心業(yè)務(wù)安全風(fēng)險(xiǎn)的思想，對(duì)安全決策制訂風(fēng)險(xiǎn)評(píng)估、組織業(yè)務(wù)流程設(shè)計(jì)風(fēng)險(xiǎn)評(píng)估、工程和系統(tǒng)規(guī)劃設(shè)計(jì)風(fēng)險(xiǎn)評(píng)估、工程和系統(tǒng)建設(shè)實(shí)施風(fēng)險(xiǎn)評(píng)估、工程和系統(tǒng)運(yùn)行維護(hù)風(fēng)險(xiǎn)評(píng)估、工程和系統(tǒng)廢棄風(fēng)險(xiǎn)評(píng)估等進(jìn)行規(guī)范。三、主要試驗(yàn)[或驗(yàn)證]情況分析無。四、知識(shí)產(chǎn)權(quán)情況說明本標(biāo)準(zhǔn)不涉及專利。五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果無。六、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況未采用國際標(biāo)準(zhǔn)。國外先進(jìn)標(biāo)準(zhǔn)情況如下：國外開展信息安全風(fēng)險(xiǎn)評(píng)估的時(shí)間比較早，在20世紀(jì)80年代，美國、加拿大等發(fā)達(dá)國家就已經(jīng)開始建立信息安全風(fēng)險(xiǎn)評(píng)估體系，制定了相關(guān)標(biāo)準(zhǔn)，評(píng)估方法、技術(shù)。美國國防部于上世紀(jì)八十年代中期發(fā)布了TCSEC（即可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)，業(yè)界稱之為橘皮書），世界上很多國家根據(jù)自己實(shí)際情況，均都研究并發(fā)布了一系列信息安全評(píng)估標(biāo)準(zhǔn)：英國、法國、德國、荷蘭等國家在1991年聯(lián)合將ITSEC（信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)）提出來；加拿大于1993年發(fā)布了可信計(jì)算機(jī)產(chǎn)品評(píng)價(jià)標(biāo)準(zhǔn)CTCPEC（CanadianTrustedComputerProductEvaluationCriteria）；1993年，由6國7方（加拿大、法國、德國、荷蘭、英國、美國NIST及美國NSA）提出了CC（即為信息技術(shù)安全評(píng)估通用標(biāo)準(zhǔn)），目前，CC已經(jīng)被采納為國際標(biāo)準(zhǔn)ISO/IEC15408-1；1999年由英國標(biāo)準(zhǔn)協(xié)會(huì)（BSI）將修改之后的BS7799標(biāo)準(zhǔn)重新發(fā)布，涵蓋了信息安全管理實(shí)施細(xì)則、信息安全管理體系規(guī)范（即為BS7799-1、BS7799-2），并且BS7799-1通過了國際標(biāo)準(zhǔn)化組織ISO的認(rèn)可，成為了國際標(biāo)準(zhǔn)（ISO/IEC17799）。ISO/IEC13335ISO/IEC27005:2008,2011NISTSP800-30除了安全標(biāo)準(zhǔn)的研制及發(fā)布，各個(gè)國家都在加強(qiáng)網(wǎng)絡(luò)安全的建設(shè)。2014年2月，美國啟動(dòng)了“網(wǎng)絡(luò)安全框架”，該項(xiàng)目主要目標(biāo)為加強(qiáng)電力、運(yùn)輸和電信等“關(guān)鍵基礎(chǔ)設(shè)施”部門的網(wǎng)絡(luò)安全。歐盟主要領(lǐng)導(dǎo)機(jī)構(gòu)明確表示，計(jì)劃在2014年通過“歐洲數(shù)據(jù)保護(hù)改革方案”，以強(qiáng)化數(shù)據(jù)安全。在亞洲，日本及印度也紛紛在國家安全戰(zhàn)略層面對(duì)網(wǎng)絡(luò)安全進(jìn)行了部署，確保國家網(wǎng)絡(luò)的安全性，將安全可信的計(jì)算機(jī)環(huán)境構(gòu)建起來。七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性本標(biāo)準(zhǔn)嚴(yán)格遵循《中華人民共和國網(wǎng)絡(luò)安全法》等法律、法規(guī)規(guī)章。本標(biāo)準(zhǔn)不觸犯國家現(xiàn)行法律法規(guī)，不與其他強(qiáng)制性國標(biāo)相沖突。2007年，在原國信辦的直接領(lǐng)導(dǎo)和支持下，在國家安標(biāo)委的大力推動(dòng)下，《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）正式頒布。標(biāo)準(zhǔn)頒布十年來，GB/T20984-2007為了解和掌握我國信息安全保障工作的開展現(xiàn)狀，推動(dòng)國家信息安全保障體系建設(shè)，提升我國信息安全保障水平奠定了良好的基礎(chǔ)。依據(jù)該標(biāo)準(zhǔn)，2009年度，制定完成上位指導(dǎo)標(biāo)準(zhǔn)《信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南》（GB/Z24364-2009），2015年，GB/T20984-2007的實(shí)施細(xì)則《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估指南》（GB/T31509-2015）正式發(fā)布，2016年底，GB/T31509-2015的姊妹篇《信息安全技術(shù)信息安全風(fēng)險(xiǎn)處理實(shí)施指南》（GB/T33132-2016）正式發(fā)布。截止目前，我國信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系基本搭建完成（我國的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系見下圖），對(duì)于指導(dǎo)我國的信息安全保障工作開展奠定了堅(jiān)實(shí)基礎(chǔ)?！缎畔踩夹g(shù)信息安全風(fēng)險(xiǎn)管理指南》(GB/Z24364-2009)對(duì)信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象、內(nèi)容和過程、信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系，以及信息安全風(fēng)險(xiǎn)管理相關(guān)人員的角色和責(zé)任等都進(jìn)行了規(guī)定?！缎畔踩夹g(shù)信息安全風(fēng)險(xiǎn)評(píng)估指南》（GB/T31509-2015）定義了風(fēng)險(xiǎn)評(píng)估的基本概念、原理及實(shí)施流程，對(duì)資產(chǎn)、威脅和脆弱性識(shí)別要求進(jìn)行了詳細(xì)描述，提出了風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)，以及風(fēng)險(xiǎn)評(píng)估的工作形式。適用于指導(dǎo)各組織針對(duì)信息系統(tǒng)及其管理開展的信息風(fēng)險(xiǎn)評(píng)估工作?！缎畔踩夹g(shù)信息安全風(fēng)險(xiǎn)處理指南》（GB/T33132-2016）給出了信息安全風(fēng)險(xiǎn)處理實(shí)施的管理過程和方法，適用于指導(dǎo)信息系統(tǒng)運(yùn)營使用單位和信息安全服務(wù)機(jī)構(gòu)實(shí)施信息安全風(fēng)險(xiǎn)處理活動(dòng)?！缎畔⒓夹g(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理》（GB/T31722-2015IDTISO/IEC27005:2008）是對(duì)國際標(biāo)準(zhǔn)的轉(zhuǎn)化，旨在為基于風(fēng)險(xiǎn)管理方法建立信息安全管理體系提供指導(dǎo)?！缎畔⑾到y(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239，以下簡稱《等保要求》），其中明確了五種安全等級(jí)中對(duì)信息系統(tǒng)最低要求，也就是基本安全要求，涵蓋了基本技術(shù)要求和基本管理要求，用于指導(dǎo)信息系統(tǒng)的安全建設(shè)和監(jiān)督管理。國家對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和風(fēng)險(xiǎn)評(píng)估工作高度重視。2016年頒布的《中華人民共和國網(wǎng)絡(luò)安全法》中明確指出，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測評(píng)估。2016年底頒布的《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》中也明確指出，應(yīng)采取必要措施保障關(guān)鍵信息基礎(chǔ)設(shè)施安全，逐步實(shí)現(xiàn)先評(píng)估后使用。2017年初頒布的《“十三五”國家網(wǎng)絡(luò)安全規(guī)劃》中也指出，構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系。統(tǒng)籌組織開展對(duì)黨政機(jī)關(guān)、重點(diǎn)行業(yè)、智慧城市和大型互聯(lián)網(wǎng)服務(wù)平臺(tái)等的安全檢查和風(fēng)險(xiǎn)評(píng)估，逐步實(shí)現(xiàn)重要信息系統(tǒng)先評(píng)估后使用。建立互聯(lián)網(wǎng)新技術(shù)、新應(yīng)用網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估制度，加強(qiáng)對(duì)新技術(shù)、新應(yīng)用上線前的風(fēng)險(xiǎn)評(píng)估。八、重大分歧意見的處理經(jīng)過和依據(jù)無。九、標(biāo)準(zhǔn)性質(zhì)的建議根據(jù)本標(biāo)準(zhǔn)的性質(zhì)，建議本標(biāo)準(zhǔn)為推薦性標(biāo)準(zhǔn)。十、貫徹標(biāo)準(zhǔn)的要求和措施建議在正式執(zhí)行本標(biāo)準(zhǔn)前，需要對(duì)標(biāo)準(zhǔn)中的條款進(jìn)行宣貫，以在利益相關(guān)方之間達(dá)成對(duì)標(biāo)準(zhǔn)條款理解上的一致性。該國標(biāo)為信息安全風(fēng)險(xiǎn)評(píng)估提供指導(dǎo)性意見，建議在全國推薦性實(shí)施。在具體貫徹實(shí)施該標(biāo)準(zhǔn)時(shí)，建議相關(guān)信息安全測評(píng)機(jī)構(gòu)使用該標(biāo)準(zhǔn)作為風(fēng)險(xiǎn)評(píng)估的測評(píng)依據(jù)。十一、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議替代《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）。對(duì)《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）進(jìn)行修訂完善,調(diào)整標(biāo)準(zhǔn)中與當(dāng)前國家安全戰(zhàn)略和安全形勢不一致、或在標(biāo)準(zhǔn)應(yīng)用過程中不適宜的方法和內(nèi)容，優(yōu)化風(fēng)險(xiǎn)評(píng)估的實(shí)施流程和過程,補(bǔ)充完善標(biāo)準(zhǔn)中缺失的方法和內(nèi)容，提升標(biāo)準(zhǔn)的科學(xué)性