GB/T 20984-2022《信息安全技术 信息安全风险评估方法》解读
前言
近年来,信息安全风险评估工作逐步在国家基础信息网络及重要行业信息系统中普遍推行,信息安全风险评估是信息安全保障工作的基础和重要环节,日前, GB/T 20984-2022 《信息安全技术 信息安全风险评估方法》发布,将于2022年11月1日正式实施,全部代替2007版。
对GB/T 20984-2007《信息安全技术 信息安全风险评估规范》和GB/T 20984-2022 《信息安全技术 信息安全风险评估方法》主要差异进行叙述。
什么是信息安全风险评估?
信息安全风险评估是指对特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害进行识别、分析和评价的整个过程。
新旧标准的主要变化
名称变更
原名称:《信息安全技术 信息安全风险评估规范》
现在名称:《信息安全技术 信息安全风险评估方法》
风险实施流程
2007版的风险实施流程分为风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析六个阶段。
2022版的实施流程分为评估准备、风险识别、风险分析和风险评价四个阶段。其中资产识别是风险评估的核心环节,将资产识别工作前置,先识别资产,再识别威胁、脆弱性和已有安全措施。如下图所示:
新版标准中,风险分析和风险评价两个阶段的内容由旧版标准中风险分析阶段的风险计算和风险结果判定优化而来,并移除了旧版标准中风险处理计划和残余风险评估的内容。此外,新版标准定义了沟通与协商机制,要求风险评估实施团队在进行评估工作时与内部相关方和外部相关方均保持沟通。与旧版标准对比,新版标准的流程更加直观清晰、可操作性更强。
在资产识别过程中增加业务识别
2007版评估标准中,根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。
2022版本中,新增业务识别。业务是实现组织发展规划的具体活动,业务识别是风险评估的关键环节。资产按照层次划分为业务资产、系统资产、系统组件和单元资产。资产识别从三个层次进行识别,识别业务资产→识别系统资产→识别系统组件和单元资产,如下图所示:
简化了风险要素关系图
2007版和2022版的风险基本要素相同,均为资产、风险、安全措施、威胁和脆弱性。2022版简化了风险要素关系图,没有在图中体现业务战略、资产价值、安全需求、安全事件、残余风险等与风险基本要素相关的属性,如下图所示:
完善了风险要素的属性
如下表所示:
风险计算
2007版根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。
2022版将风险值分为资产风险值和业务风险值。首先,根据计算出的安全事件发生的可能性以及安全事件造成的损失,计算系统资产风险值。然后,根据业务所涵盖的系统资产风险综合计算得出业务风险值。
GB/T 20984-2022《信息安全技术 信息安全风险评估方法》解读相关推荐
- 新版!《信息安全技术 信息安全风险评估方法》解读
GB/T 20984-2022<信息安全技术 信息安全风险评估方法>(以下简称新版标准)由国家市场监督管理总局.国家标准化管理委员会批准发布(2022年第6号中国国家标准公告),于2022 ...
- GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范 学习笔记
通用内容 每个标准基本都有的格式,供写文档的我们参考 定义和术语: 国家标准当中涉及到的相关专业名称,都会有一个定义,防止出现理解上的歧义 结构层次: 一般有个当前文档的完整结构,可以是图,可以是表, ...
- 信息安全管理与评估_信息安全管理06_定性信息安全风险评估方法
定性信息安全风险评估方法常用于专业安全评估团队对特定系统或平台的安全评估中,本文就以安全评估项目过程为主线,从评估准备.现状调研.现状分析.检查与测试.分析评价.评估报告六个阶段步骤,来介绍定性信息安 ...
- GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》之安全物理环境测评解读
文章目录 引言 一.物理位置选择 二.物理访问控制 三.防盗窃和破坏 四.防雷击 五.防火 六.防水和防潮 七.防静电 八.温湿度控制 九.电力供应 十.电磁防护 总结 引言 2019年12月1日,我 ...
- 三万字-计算机三级-信息安全技术-信息安全保障概述
今年五月份报的信息安全技术,考试时间为2022.9.26,因为封校和疫情原因,没有参加上:在这些期间准备时间只能说是10天,10天好像就有点多,大概一周吧,能考个及格,所以当大家备考时一定要老早准备, ...
- 一图读懂国家标准GB/T 42012-2022《信息安全技术 即时通信服务数据安全要求》
来源:全国信安标委
- 信息安全技术 关键信息基础设施安全保护要求 2022版附下载地址
信息安全技术 关键信息基础设施安全保护要求 2022年10月12日,国家市场监督管理总局(国家标准化管理委员会)批准GB/T 39204-2022<信息安全技术 关键信息基础设施安全保护要求&g ...
- 信息安全技术 个人信息安全影响评估指南
声明 本文是学习GB-T 39335-2020 信息安全技术 个人信息安全影响评估指南. 下载地址 http://github5.com/view/788而整理的学习笔记,分享出来希望更多人受益,如果 ...
- GBT 35273-2020 信息安全技术 个人信息安全规范
GBT 35273-2020 信息安全技术 个人信息安全规范全文下载 ICS 35.040 L80 中 华 人 民 共 和 国 国 家 标 准 GB/T 35273-2020 代替 GB/T 352 ...
- 国家标准 | GB∕T 30276-2020 信息安全技术 网络安全漏洞管理规范
国家标准 | GB∕T 30276-2020 信息安全技术 网络安全漏洞管理规范 润成等保测评 12-18 16:36 近日,<GB∕T 30276-2020 信息安全技术 网络安全漏洞管理 ...
最新文章
- zts在c语言中的意思,C语言入门-全局变量 - osc_wna7tzts的个人空间 - OSCHINA - 中文开源技术交流社区...
- 通过IDoc来实现公司间STO场景中外向交货单过账后自动触发内向交货单的功能 – Part 2
- linux 查找 jdk 安装路径
- WINCE R3 QQ下载地址
- 区块链学堂(4):以太坊基本概念及工具Geth、Browser-solidity、Mist
- hdu 3367 Pseudoforest (最大生成树 最多存在一个环)
- tornado.httpclient.HTTPClient()的用法
- tab标签的另一种写法
- 硅谷创业者中被遮蔽的“中国现象”
- Nacos 发布 1.0.0 GA 版本,可大规模投入到生产环境
- flask执行python脚本_如何从Flask应用程序执行Shell脚本
- atlas 200 远程图形化桌面
- 圣诞节PPT模板制作技巧分析
- 离地球近的星星,远离情况怎样?
- UML 类图画法规则
- 斗鱼服务器维护不能改名,斗鱼tv怎么改名字-斗鱼tv修改昵称的方法 - 河东软件园...
- 80核处理器_【装机帮扶站】第338期:95元的6核心12线程处理器
- 微信如何自动搜索精准号码添加好友?导入软件完成自动加人
- 帧同步,帧同步是什么意思
- (原创)修改BIOS让华硕Z87-A老主板支持NVMe硬盘启动(采坑实录)