新版！《信息安全技术信息安全风险评估方法》解读

GB/T 20984-2022《信息安全技术信息安全风险评估方法》（以下简称新版标准）由国家市场监督管理总局、国家标准化管理委员会批准发布（2022年第6号中国国家标准公告），于2022年11月1日起正式实施，该标准代替GB/T 20984-2007《信息安全技术信息安全风险评估规范》（以下简称旧版标准），是GB/T 20984自2007年发布以来的首次修改。

一、标准的主要变化

1、标准名称的变化

由GB/T 20984-2007《信息安全技术信息安全风险评估规范》修改为GB/T20984-2022《信息安全技术信息安全风险评估方法》。

2、风险评估流程的优化

新版标准的风险评估流程分为评估准备、风险识别、风险分析和风险评价四个阶段。其中，风险识别阶段包括资产识别、威胁识别、已有安全措施识别和脆弱性识别四个部分的内容。

新版标准中，风险分析和风险评价两个阶段的内容由旧版标准中风险分析阶段的风险计算和风险结果判定优化而来，并移除了旧版标准中风险处理计划和残余风险评估的内容。此外，新版标准定义了沟通与协商机制，要求风险评估实施团队在进行评估工作时与内部相关方和外部相关方均保持沟通。

旧版流程图

新版流程图

3、风险识别对象的调整

（1）重新定义资产

2007版风险评估规范是面向信息系统进行资产识别的，通过资产识别摸清信息系统的安全情况。

2022版风险评估方法对资产进行重新定义：将资产划分为业务资产、系统资产、系统组件和单元资产三个层次，资产应从以上三个层次进行。

新增了业务资产的识别方法，将风险评估与被评估单位安全职责履行情况和业务开展情况相结合，有针对性的开展被评估单位安全增强需求的评估，摸清被评估单位具体的安全风险状况。

（2）系统资产外延拓展

旧版根据资产的表现形式将相关资产分为数据、软件、硬件、服务、人员等类型，新版评估方法将系统资产分类范畴扩展为信息系统、数据资源和基础网络。并且系统资产价值在以往的CIA（机密性、完整性、可用性）三性上新结合业务承载性、业务重要性进行综合计算划分等级。

（3）威胁识别中赋值方法的改变

旧版标准仅提出从威胁出现频率的角度进行赋值。新版标准要求在进行威胁赋值时要依据威胁的行为能力和频率，并结合威胁发生的时机进行综合评价。

（4）脆弱性赋值机制的修改

旧版标准在进行脆弱性赋值时只考虑脆弱性的严重程度，新版标准规定必须在充分考虑已有安全措施的作用下，分别对脆弱性被利用的难易程序赋值和脆弱性影响程度进行赋值。

4、风险分析的改进

在风险分析原理中，新版标准的风险值依旧通过对安全事件发生的可能性和安全事件造成的损失计算而来。

风险值是指根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件发生对组织产生的影响。新版标准将风险值分为资产风险值和业务风险值。首先，根据计算出的安全事件发现的可能性以及安全事件造成的损失，计算系统资产风险值。然后，根据业务所涵盖的系统资产风险综合计算得出业务风险值（从此处也能看出风险的描述视角也进行了调整）。新标准将原先基于单个资产的碎片化风险呈现方式，调整为以对业务整体安全风险进行管控为目标，从资产到业务的风险逐级进行分析的评价机制。

二、标准的意义

新标准为国家网络安全主管部门、各重要行业网络安全保障单位、第三方网络安全检测评估机构提供开展了网络安全检测评估工作的技术标准和依据，极大地促进了网络安全工作的实施。