标准规范下载简介
GB/T 20984-2022 信息安全技术 信息安全风险评估方法.pdfGB/T209842022
范围 规范性引用文件 术语和定义、缩略语 3.1术语和定义 3.2缩略语 风险评估框架及流程 4.1 风险要素关系 4.2 风险分析原理 4.3 风险评估流程 风险评估实施 5.1 风险评估准备 5.2 风险识别 5.3 风险分析 5.4 风险评价 5.5 沟通与协商 5.6 风险评估文档记录 附录A(资料性) 评估对象生命周期各阶段的风险评估. 附录B(资料性) 风险评估的工作形式 附录C(资料性) 风险评估的工具.. 附录D(资料性) 资产识别 2 附录E(资料性) 威胁识别 附录F(资料性) 风险计算示例 参考文献
GB/T20984—2022
本文件描述了信息安全 风险要素关系、风险分析原理、风险评估实施流程和 评估方法,以及风险评估在信息系统生 同阶段的实施要点和工作形式 本文件适用于各类组织开展信 险评估工作
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中黎阳航空小镇展览馆建设项目招标文件.pdf,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改版)适用于 本文件。 GB/T25069信息安全技术术语 GB/T33132一2016信息安全技术信息安全风险处理实施指南
GB/T25069界定的以及下列术语和定义适用于本文件。 3.1.1 信息安全风险 information securityrisk 特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害。 注:它以事态的可能性及其后果的组合来度量。 [来源:GB/T31722—2015,3.2] 3.1.2 风险评估riskassessment 风险识别、风险分析和风险评价的整个过程。 [来源:GB/T29246—2017,2.71] 注:本文件专指信息安全风险评估。 3.1.3 组织organization 具有自身的职责、权威和关系以实现其目标的个人或集体。 注:组织的概念包括但不限于个体经营者、公司、法人、商行、企业、机关、合伙关系、慈善机构或院校,或者其部分或 组合,无论注册成立与否、是公共的还是私营的。 [来源:GB/T29246—2017,2.57,有修改] 3.1.4 业务business 组织为实现某项发展规划而开展的运营活动。 注:该活动具有明确的目标,并延续一段时间。
GB/T25069界定的以及下列术语和定义适用于本文件。 3.1.1 信息安全风险 information securityrisk 特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害。 注:它以事态的可能性及其后果的组合来度量。 [来源:GB/T31722—2015,3.2] 3.1.2 风险评估riskassessment 风险识别、风险分析和风险评价的整个过程。 [来源:GB/T29246—2017,2.71] 注:本文件专指信息安全风险评估。 3.1.3 组织organization 具有自身的职责、权威和关系以实现其目标的个人或集体。 注:组织的概念包括但不限于个体经营者、公司、法人、商行、企业、机关、合伙关系、慈善机构或院校,或者其部分或 组合,无论注册成立与否、是公共的还是私营的。 [来源:GB/T29246—2017,2.57,有修改] 3.1.4 业务business 组织为实现某项发展规划而开展的运营活动。 注:该活动具有明确的目标,并延续一段时间。
下列缩略语适用于本文件。 App:应用程序(Application) IT:信息技术(InformationTechnology) PaaS:平台即服务(PlatformasaService) UPS:不间断电源(UninterruptedPowerSupply) VPN.虚拟专用网络(VirtualPrivateNetwork)
下列缩略语适用于本文件。 App:应用程序(Application) IT:信息技术(InformationTechnology) PaaS:平台即服务(PlatformasaService) UPS:不间断电源(UninterruptedPowerSupply) VPN.虚拟专用网络(VirtualPrivateNetwork)
风险评估中基本要素的关系如图1所示。风险评估基本要素包括资产、威胁、脆弱性和安全措施 并基于以上要素开展风险评估,
GB/T209842022
图1风险要素及其关系
风险评估的实施流程如图2所示。风险评估流程应包括如下内容。 a)评估准备,此阶段应包括: 1)确定风险评估的目标; 2) 确定风险评估的对象、范围和边界; 3) 组建评估团队; 4) 开展前期调研; 确定评估依据:
图2风险评估实施流程图
6)建立风险评价准则; 7)制定评估方案。 组织应形成完整的风险评估实施方案,并获得组织最高管理者的支持和批准。 风险识别,此阶段应包括: 1)资产识别(见5.2.1); 2) 威胁识别(见5.2.2); 3) 已有安全措施识别(见5.2.3); 4)脆弱性识别(见5.2.4)。 c)风险分析,此阶段依据识别的结果计算得到风险值。 d)风险评价,此阶段依据风险评价准则确定风险等级。 沟通与协商和评估过程文档管理贯穿于整个风险评估过程。风险评估工作是持续性的活动,当评 对象的政策环境、外部威胁环境、业务目标、安全目标等发生变化时,应重新开展风险评估。 风险评估的结果能够为风险处理提供决策支撑,风险处理是指对风险进行处理的一系列活动,如接 风险、规避风险、转移风险、降低风险等。风险处理按照GB/T33132一2016开展。
组织实施风险评估是一种战略性的考虑,其结果将受到组织规划、业务、业务流程、安全需求、系统 规模和结构等方面的影响。因此,在风险评估实施前应准备以下工作。 a)在考虑风险评估的工作形式、在生命周期中所处阶段和被评估单位的安全评估需求的基础上, 确定风险评估目标。附录A给出了评估对象生命周期各阶段的风险评估内容,附录B给出了 风险评估的工作形式描述。 b) 确定风险评估的对象、范围和边界。 组建评估团队、明确评估工具。附录C给出了风险评估的工具。 d) 开展前期调研。 确定评估依据。 建立风险评价准则:组织应在考虑国家法律法规要求及行业背景和特点的基础上,建立风险评 价准则,以实现对风险的控制与管理。
风险评价准则应满足以下要求: 1)符合组织的安全策略或安全需求; 满足利益相关方的期望; 3) 符合组织业务价值。 建立风险评价准则的目的包括但不限于: 4)对风险评估的结果进行等级化处理; 5) 能实现对不同风险的直观比较; 6)能确定组织后期的风险控制策略。 g) 制定评估方案。 h)多 获得最高管理者支持。评估方案需得到组织最高管理者的支持和批准
资产识别是风险评估的核心环节。资产接照层次可划分为业务资产、系统资产、系统组件和单 ,如图3所示。因此资产识别应从三个层次进行识别
5.2.1.2业务识别
5.2.1.2.1识别内客
业务是实现组织发展规划的具体活动,业务识别是风险评估的关键环节。业务识别内容包括业务 的属性、定位、完整性和关联性识别。业务识别主要识别业务的功能、对象、流程和范围等。业务的定位 主要识别业务在发展规划中的地位。业务的完整性主要识别其为独立业务或非独立业务。业务的关联 性识别主要识别与其他业务之间的关系。表1提供了一种业务识别内容的参考
5.2.1.2.2业务重要性赋值
应根据业务的重要程度进行等级划分,并对其重要性进行赋值。表2提供了一种业务重要 的参考。
表2业务重要性赋值表
业务的关联性会对业务的重要性造成影响。若被评估业务与高于其重要性赋值的业务具有紧密 系,则该业务重要性赋值应在原赋值基础上进行赋值调整。附录D中表D.1给出了一种存在紧 业务影响时的业务重要性赋值调整方法
5.2.1.3系统资产识别
5.2.1.3.1识别内容
系统资产识别包括资产分类和业务承载性识别两个方面。表3给出了系统资产识别的主要内容 系统资产分类包括信息系统、数据资源和通信网络,业务承载性包括承载类别和关联程度。
5.2.1.3.2系统资产价值赋值
系统资产价值应依据资产 结合业务承载性、业务重要性,进行 算,并设定相应的评级方法进行价值等级划分, ,等级越高表示资产越重要。表4中给出了系统资 直等级划分的描述。资产保密性、完整性、可用性赋值以及业务承载性赋值方法见附录D。
表4系统资产价值等级表
5.2.1.4系统组件和单元资产识别
5.2.1.4.1识别内容
系统组件和单元资产应分类识别,系统组件和单元资产分类包括系统组件、系统单元、人力资源利 其他资产。表5给出了系统组件和单元资产识别的主要内容描述
GB/T20984—2022
表5系统组件和单元资产识别表
5.2.1.4.2系统组件和单元资产价值赋值
系统组件和单元资产价值应依据其保密性、完整性、可用性赋值进行综合计算,并设定相应的评 进行价值等级划分,等级越高表示资产越重要。表6中给出了系统组件和单元资产价值等级划 述。资产保密性、完整性、可用性赋值方法见附录D。
表6系统组件和单元资产价值等级表
5.2.2.1威胁识别内容
内容包括威胁的来源、主体、种类、动机、时机和频
小区庭院内绿化施工组织设计威胁识别的内容包括威胁的来源、主体、种类、动机、时机和频率。
GB/T209842022
5.2.2.2威胁赋值
威胁赋值应基于威胁行为,依据威胁的行为能力和频率,结合威胁发生的时机,进行综合计算, 老相应的评级方法进行等级划分,等级越高表示威胁利用脆弱性的可能性越大。表7中给出了威 直等级划分的描述。
威胁能力是指威胁来源完成对组织业务、资产产生影响的活动所具备的资源和综合素质。组织及 业务所处的地域和环境决定了威胁的来源、种类、动机,进而决定了威胁的能力;应对威胁能力进行等级 划分,级别越高表示威胁能力越强,表E.4给出了一种特定威胁行为能力赋值的参考。其中,威胁动机 对威胁能力有调整作用。 威胁的种类和资产决定了威胁的行为。表E.5给出了威胁行为列表的参考,E.6给出了一种资产、 威胁种类、威胁行为关联分析的示例。 威胁出现的频率应进行等级化处理,不同等级分别代表威胁出现频率的高低。等级数值越大,威胁 出现的频率越高。威胁的频率应参考组织、行业和区域有关的统计数据进行判断。表E.7给出了一种 威胁频率的赋值方法。其中,威胁时机对威胁频率有调整作用
DB63/T 1803-2020标准下载5.2.3已有安全措施识别
安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用舱