標(biāo)準(zhǔn)解讀丨GB/T 20984-2022《信息安全技術(shù) 信息安全風(fēng)險評估方法》

前言：

GB/T 20984-2022《信息安全技術(shù) 信息安全風(fēng)險評估方法》(以下簡稱新版標(biāo)準(zhǔn))由國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會批準(zhǔn)發(fā)布(2022年第6號中國國家標(biāo)準(zhǔn)公告)，于2022年11月1日起正式實施，該標(biāo)準(zhǔn)代替GB/T 20984-2007《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》(以下簡稱舊版標(biāo)準(zhǔn))，是GB/T 20984自2007年發(fā)布以來的首次修改。

什么是信息安全風(fēng)險評估？

信息安全風(fēng)險評估是指對特定威脅利用單個或一組資產(chǎn)脆弱性的可能性以及由此可能給組織帶來的損害進行識別、分析和評價的整個過程。

新版標(biāo)準(zhǔn)的主要內(nèi)容是什么？

新版標(biāo)準(zhǔn)描述了信息安全風(fēng)險評估的基本概念、風(fēng)險要素關(guān)系、風(fēng)險分析原理、風(fēng)險評估實施流程和評估方法，以及風(fēng)險評估在信息系統(tǒng)生命周期不同階段的實施要點和工作形式。

在資產(chǎn)識別中，基于業(yè)務(wù)的范圍和邊界，分析對業(yè)務(wù)資產(chǎn)、系統(tǒng)資產(chǎn)、系統(tǒng)組件和單元資產(chǎn)進行識別與分析賦值。業(yè)務(wù)成為風(fēng)險評估的最高管控對象。

在威脅識別中，從威脅的來源、主體、動機等角度出發(fā)，根據(jù)威脅的行為能力和頻率，結(jié)合威脅的不同時機進行識別和分析。

在已有安全措施分析中，將安全措施進行保護性和預(yù)防性的分類，結(jié)合威脅對已有安全措施的有效性進行分析。

在脆弱性識別中，從管理和技術(shù)兩個角度出發(fā)，對脆弱性被威脅利用的難易程度以及脆弱性被利用后對資產(chǎn)造成的損失進行分析。

在風(fēng)險分析與評價中，依據(jù)風(fēng)險計算模型對單個資產(chǎn)的風(fēng)險進行風(fēng)險值的計算與等級劃分，并按照一定的規(guī)則，從資產(chǎn)的風(fēng)險現(xiàn)狀推斷出業(yè)務(wù)的風(fēng)險情況。

新版標(biāo)準(zhǔn)相比舊版標(biāo)準(zhǔn)有哪些改變呢？

1

原來的《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》改為《信息安全技術(shù) 信息安全風(fēng)險評估方法》，標(biāo)準(zhǔn)編號仍然為20984.年號更改為2022.

2

新版標(biāo)準(zhǔn)的風(fēng)險評估流程分為評估準(zhǔn)備、風(fēng)險識別、風(fēng)險分析和風(fēng)險評價四個階段。其中，風(fēng)險識別階段包括資產(chǎn)識別、威脅識別、已有安全措施識別和脆弱性識別四個部分的內(nèi)容。

新版標(biāo)準(zhǔn)中，風(fēng)險分析和風(fēng)險評價兩個階段的內(nèi)容由舊版標(biāo)準(zhǔn)中風(fēng)險分析階段的風(fēng)險計算和風(fēng)險結(jié)果判定優(yōu)化而來，并移除了舊版標(biāo)準(zhǔn)中風(fēng)險處理計劃和殘余風(fēng)險評估的內(nèi)容。此外，新版標(biāo)準(zhǔn)定義了溝通與協(xié)商機制，要求風(fēng)險評估實施團隊在進行評估工作時與內(nèi)部相關(guān)方和外部相關(guān)方均保持溝通。與舊版標(biāo)準(zhǔn)對比，新版標(biāo)準(zhǔn)的流程更加直觀清晰、可操作性更強。

舊版流程

新版流程

3

新版標(biāo)準(zhǔn)對風(fēng)險識別的內(nèi)容進行了比較大的修改。

首先，在資產(chǎn)識別中將按層次劃分成業(yè)務(wù)資產(chǎn)、系統(tǒng)資產(chǎn)、系統(tǒng)組件和單元資產(chǎn)。不同層次的關(guān)系成為重要的分析內(nèi)容。資產(chǎn)保護對象也從多個“單一資產(chǎn)”為核心到以企業(yè)的“業(yè)務(wù)”為核心。

其次，威脅識別中的賦值方法得到優(yōu)化。舊版標(biāo)準(zhǔn)僅提出從威脅出現(xiàn)頻率的角度進行賦值。新版標(biāo)準(zhǔn)則要求在進行威脅賦值時要依據(jù)威脅的行為能力和頻率，并結(jié)合威脅發(fā)生的時機進行綜合評價。

第三，修改了脆弱性賦值機制，舊版標(biāo)準(zhǔn)在進行脆弱性賦值時考慮的是脆弱性的嚴(yán)重程度，新版標(biāo)準(zhǔn)則規(guī)定須在充分考慮已有安全措施的作用下，分別對脆弱性被利用的難易程度賦值和脆弱性影響程度進行賦值。

改進了風(fēng)險分析原理

在風(fēng)險分析原理中，新版標(biāo)準(zhǔn)的風(fēng)險值依舊通過對安全事件發(fā)生的可能性和安全事件造成的損失計算而來。

不一樣的是，舊版標(biāo)準(zhǔn)中安全事件發(fā)生的可能性由威脅出現(xiàn)的頻率和脆弱性嚴(yán)重程度決定，安全事件造成的損失由脆弱性嚴(yán)重程度和資產(chǎn)價值決定。而在新版標(biāo)準(zhǔn)中，威脅的賦值和脆弱性被利用的難易程度決定安全事件發(fā)生的可能性，脆弱性的影響程度和資產(chǎn)價值決定安全事件造成的損失。具體變化如下：

舊版風(fēng)險計算原理

新版風(fēng)險計算原理

此外，風(fēng)險的描述視角也進行了調(diào)整。新標(biāo)準(zhǔn)將原先基于單個資產(chǎn)的碎片化風(fēng)險呈現(xiàn)方式，調(diào)整為以對業(yè)務(wù)整體安全風(fēng)險進行管控為目標(biāo)，從資產(chǎn)到業(yè)務(wù)的風(fēng)險逐級進行分析的評價機制。

新版標(biāo)準(zhǔn)的發(fā)布有什么意義？

近年來，黨和國家高度重視網(wǎng)絡(luò)安全工作，《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等重要法律法規(guī)相繼頒布實施，同時，伴隨著信息技術(shù)深入到生活的各個方面，網(wǎng)絡(luò)安全工作已成為國家、社會、組織中不可缺少的一部分。

為應(yīng)對網(wǎng)絡(luò)安全形勢的變化，滿足法律法規(guī)的最新要求，解決舊版標(biāo)準(zhǔn)在個別場景下存在局限性的問題，新版標(biāo)準(zhǔn)應(yīng)聲而來。

新版標(biāo)準(zhǔn)為網(wǎng)絡(luò)安全保護工作部門、重要行業(yè)和領(lǐng)域的主管部門、信息系統(tǒng)運營單位、安全服務(wù)廠商等開展信息安全風(fēng)險評估工作提供參考依據(jù)，為網(wǎng)絡(luò)安全建設(shè)工作提供技術(shù)指導(dǎo)和效果評價方法，能極大促進網(wǎng)絡(luò)安全工作的實施。

六方云風(fēng)險評估服務(wù)介紹：

為幫助各類組織和單位全面、有效地梳理信息安全現(xiàn)狀，評估各業(yè)務(wù)的整體風(fēng)險，指導(dǎo)進行整改建設(shè)工作，六方云面向各行業(yè)、各領(lǐng)域的企業(yè)推出風(fēng)險評估服務(wù)。

服務(wù)內(nèi)容：

協(xié)助用戶梳理系統(tǒng)資產(chǎn)，根據(jù)相關(guān)要求進行資產(chǎn)識別、威脅識別、已有安全措施識別、脆弱性識別工作，并對用戶單位存在的風(fēng)險進行分析和評價，為用戶網(wǎng)絡(luò)安全工作提出整改建議。

服務(wù)優(yōu)勢：

標(biāo)準(zhǔn)化的風(fēng)險評估流程和內(nèi)容

六方云依據(jù)GB/T 20984-2022《信息安全技術(shù) 信息安全風(fēng)險評估方法》、GB/T 31509-2015《信息安全技術(shù) 信息安全風(fēng)險評估實施指南》制定風(fēng)險評估服務(wù)流程，在評估工作中嚴(yán)格依照風(fēng)險評估準(zhǔn)備、風(fēng)險識別、風(fēng)險分析和風(fēng)險評價的流程進行。

科學(xué)的評估方法

六方云風(fēng)險評估服務(wù)在實施過程中主要采取人工訪談、文檔查閱、基線檢查、滲透測試、漏洞掃描、漏洞靜態(tài)分析等手段。在對企業(yè)的系統(tǒng)進行深度調(diào)研后，風(fēng)險評估實施人員將依據(jù)企業(yè)系統(tǒng)的業(yè)務(wù)運行情況選擇合理、安全的手段進行評估。

深度的“工控安全”體檢

六方云對《信息安全技術(shù) 工業(yè)控制系統(tǒng)風(fēng)險評估實施指南》(GB/T 36466-2018)及《工業(yè)控制系統(tǒng)信息安全防護指南》以及各行業(yè)、各領(lǐng)域的標(biāo)準(zhǔn)和相關(guān)要求進行過深入的研究，評估工作以貼合客戶的工業(yè)控制系統(tǒng)實際需求為出發(fā)點，幫助客戶理清工業(yè)控制系統(tǒng)的安全現(xiàn)狀與國家法規(guī)、行業(yè)標(biāo)準(zhǔn)的差距，指導(dǎo)客戶建立工業(yè)控制系統(tǒng)的安全防護體系。此外，六方云工控實驗室致力于對工業(yè)控制系統(tǒng)的安全研究，為工控安全風(fēng)險評估提供有力的技術(shù)支持。

移動智能終端安全管理體系認(rèn)證證書

移動智能終端安全管理體系認(rèn)證證書 辦理移動智能終端安全管理體系認(rèn)證證書申請移動智能終端安全管理體系認(rèn)證證書流程1、按照服務(wù)質(zhì)量評價體……

電子政務(wù)移動辦公系統(tǒng)管理體系認(rèn)證證書

電子政務(wù)移動辦公系統(tǒng)管理體系認(rèn)證證書 申請好處∶1、爭強產(chǎn)品在市場上的競爭力2、提高公司的知名度3、吸引經(jīng)銷商代理商的加盟4、把牌匾復(fù)……

信息技術(shù)運行維護服務(wù)規(guī)范認(rèn)證證書

信息技術(shù)運行維護服務(wù)規(guī)范認(rèn)證證書 信息技術(shù)運行維護服務(wù)規(guī)范認(rèn)證證書信息技術(shù)運行維護服務(wù)規(guī)范認(rèn)證證書是什么？隨著經(jīng)濟的發(fā)展，信息技術(shù)……

個人數(shù)據(jù)隱私保護管理體系認(rèn)證機構(gòu)

個人數(shù)據(jù)隱私保護管理體系認(rèn)證機構(gòu) 2020年9月22日，隨著互聯(lián)網(wǎng)服務(wù)滲入經(jīng)濟生活、生產(chǎn)各環(huán)節(jié)，以及越來越多的個人和企業(yè)數(shù)據(jù)遷移上云，對于……

中企認(rèn)證咨詢網(wǎng)積累了豐富的國際質(zhì)量認(rèn)證工作經(jīng)驗，各項業(yè)務(wù)均成果卓著。始終以服務(wù)國家經(jīng)濟社會發(fā)展和提升人民生活品質(zhì)為己任，依托產(chǎn)品認(rèn)證(包括服務(wù)認(rèn)證、自愿性認(rèn)證)、管理體系認(rèn)證和認(rèn)證培訓(xùn)業(yè)務(wù)，著力開展節(jié)能。在積極促進國際貿(mào)易，調(diào)整經(jīng)濟結(jié)構(gòu)，保護消費者安全健康，構(gòu)建社會誠信體系，參與"兩型"社會建設(shè)等方面做出了積極貢獻。同時，自身獲得了跨越式發(fā)展，已成為業(yè)務(wù)門類全、服務(wù)網(wǎng)絡(luò)廣、工作手段新、技術(shù)力量強、人員素質(zhì)高的一流認(rèn)證機構(gòu)，可以方便快捷地為世界各地的客戶提供高效、優(yōu)質(zhì)的"一站式"服務(wù)。中企認(rèn)證咨詢網(wǎng)秉承"和諧、進取、責(zé)任"的理念，正在朝著建立社會公信力高，有較強創(chuàng)新能力、市場競爭能力和可持續(xù)發(fā)展能力，向業(yè)界有較高知名度的國際型認(rèn)證機構(gòu)的目標(biāo)努力前行，優(yōu)質(zhì)的服務(wù)、雄厚的技術(shù)力量、先進的管理水平保障了中企認(rèn)證咨詢網(wǎng)業(yè)務(wù)的順利開展，為順利實現(xiàn)中企認(rèn)證咨詢網(wǎng)的質(zhì)量目標(biāo)、為認(rèn)證機構(gòu)的品牌提供了有力保障。

中企認(rèn)證咨詢網(wǎng)專業(yè)從事ISO9001、ISO14001、OHSAS18001、IATF16949、ISO27001、ISO13485、ISO22000、HACCP、ISO20000、ISO45001、QC080000、GB/T50430、GB/T27922售后服務(wù)體系認(rèn)證、GB/T29490知識產(chǎn)權(quán)管理體系、ISO37001、ISO50001、ISO22163、兩化融合體系、系統(tǒng)集成資質(zhì)、十環(huán)認(rèn)證、SMETA、SEDEX、BSCI、SA8000、FSC、ICTI、GSV、C-TPAT、WRAP、EICC、GMP、GMPC、ETI、BRC、驗廠咨詢、商務(wù)部信用等級、誠信信用等級、ISO體系、CE、3C、AAA等認(rèn)證咨詢服務(wù)。認(rèn)證價格實惠，證書真實有效，認(rèn)監(jiān)委可查，如有疑問，可點擊了解詳情，竭誠為您服務(wù)!