標(biāo)準(zhǔn)解讀丨GB/T 20984-2022《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估方法》

前言：

GB/T 20984-2022《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估方法》(以下簡(jiǎn)稱新版標(biāo)準(zhǔn))由國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)批準(zhǔn)發(fā)布(2022年第6號(hào)中國(guó)國(guó)家標(biāo)準(zhǔn)公告)，于2022年11月1日起正式實(shí)施，該標(biāo)準(zhǔn)代替GB/T 20984-2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(以下簡(jiǎn)稱舊版標(biāo)準(zhǔn))，是GB/T 20984自2007年發(fā)布以來的首次修改。

什么是信息安全風(fēng)險(xiǎn)評(píng)估？

信息安全風(fēng)險(xiǎn)評(píng)估是指對(duì)特定威脅利用單個(gè)或一組資產(chǎn)脆弱性的可能性以及由此可能給組織帶來的損害進(jìn)行識(shí)別、分析和評(píng)價(jià)的整個(gè)過程。

新版標(biāo)準(zhǔn)的主要內(nèi)容是什么？

新版標(biāo)準(zhǔn)描述了信息安全風(fēng)險(xiǎn)評(píng)估的基本概念、風(fēng)險(xiǎn)要素關(guān)系、風(fēng)險(xiǎn)分析原理、風(fēng)險(xiǎn)評(píng)估實(shí)施流程和評(píng)估方法，以及風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)和工作形式。

在資產(chǎn)識(shí)別中，基于業(yè)務(wù)的范圍和邊界，分析對(duì)業(yè)務(wù)資產(chǎn)、系統(tǒng)資產(chǎn)、系統(tǒng)組件和單元資產(chǎn)進(jìn)行識(shí)別與分析賦值。業(yè)務(wù)成為風(fēng)險(xiǎn)評(píng)估的最高管控對(duì)象。

在威脅識(shí)別中，從威脅的來源、主體、動(dòng)機(jī)等角度出發(fā)，根據(jù)威脅的行為能力和頻率，結(jié)合威脅的不同時(shí)機(jī)進(jìn)行識(shí)別和分析。

在已有安全措施分析中，將安全措施進(jìn)行保護(hù)性和預(yù)防性的分類，結(jié)合威脅對(duì)已有安全措施的有效性進(jìn)行分析。

在脆弱性識(shí)別中，從管理和技術(shù)兩個(gè)角度出發(fā)，對(duì)脆弱性被威脅利用的難易程度以及脆弱性被利用后對(duì)資產(chǎn)造成的損失進(jìn)行分析。

在風(fēng)險(xiǎn)分析與評(píng)價(jià)中，依據(jù)風(fēng)險(xiǎn)計(jì)算模型對(duì)單個(gè)資產(chǎn)的風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)值的計(jì)算與等級(jí)劃分，并按照一定的規(guī)則，從資產(chǎn)的風(fēng)險(xiǎn)現(xiàn)狀推斷出業(yè)務(wù)的風(fēng)險(xiǎn)情況。

新版標(biāo)準(zhǔn)相比舊版標(biāo)準(zhǔn)有哪些改變呢？

1

原來的《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》改為《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估方法》，標(biāo)準(zhǔn)編號(hào)仍然為20984.年號(hào)更改為2022.

2

新版標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估流程分為評(píng)估準(zhǔn)備、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)四個(gè)階段。其中，風(fēng)險(xiǎn)識(shí)別階段包括資產(chǎn)識(shí)別、威脅識(shí)別、已有安全措施識(shí)別和脆弱性識(shí)別四個(gè)部分的內(nèi)容。

新版標(biāo)準(zhǔn)中，風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)兩個(gè)階段的內(nèi)容由舊版標(biāo)準(zhǔn)中風(fēng)險(xiǎn)分析階段的風(fēng)險(xiǎn)計(jì)算和風(fēng)險(xiǎn)結(jié)果判定優(yōu)化而來，并移除了舊版標(biāo)準(zhǔn)中風(fēng)險(xiǎn)處理計(jì)劃和殘余風(fēng)險(xiǎn)評(píng)估的內(nèi)容。此外，新版標(biāo)準(zhǔn)定義了溝通與協(xié)商機(jī)制，要求風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán)隊(duì)在進(jìn)行評(píng)估工作時(shí)與內(nèi)部相關(guān)方和外部相關(guān)方均保持溝通。與舊版標(biāo)準(zhǔn)對(duì)比，新版標(biāo)準(zhǔn)的流程更加直觀清晰、可操作性更強(qiáng)。

舊版流程

新版流程

3

新版標(biāo)準(zhǔn)對(duì)風(fēng)險(xiǎn)識(shí)別的內(nèi)容進(jìn)行了比較大的修改。

首先，在資產(chǎn)識(shí)別中將按層次劃分成業(yè)務(wù)資產(chǎn)、系統(tǒng)資產(chǎn)、系統(tǒng)組件和單元資產(chǎn)。不同層次的關(guān)系成為重要的分析內(nèi)容。資產(chǎn)保護(hù)對(duì)象也從多個(gè)“單一資產(chǎn)”為核心到以企業(yè)的“業(yè)務(wù)”為核心。

其次，威脅識(shí)別中的賦值方法得到優(yōu)化。舊版標(biāo)準(zhǔn)僅提出從威脅出現(xiàn)頻率的角度進(jìn)行賦值。新版標(biāo)準(zhǔn)則要求在進(jìn)行威脅賦值時(shí)要依據(jù)威脅的行為能力和頻率，并結(jié)合威脅發(fā)生的時(shí)機(jī)進(jìn)行綜合評(píng)價(jià)。

第三，修改了脆弱性賦值機(jī)制，舊版標(biāo)準(zhǔn)在進(jìn)行脆弱性賦值時(shí)考慮的是脆弱性的嚴(yán)重程度，新版標(biāo)準(zhǔn)則規(guī)定須在充分考慮已有安全措施的作用下，分別對(duì)脆弱性被利用的難易程度賦值和脆弱性影響程度進(jìn)行賦值。

改進(jìn)了風(fēng)險(xiǎn)分析原理

在風(fēng)險(xiǎn)分析原理中，新版標(biāo)準(zhǔn)的風(fēng)險(xiǎn)值依舊通過對(duì)安全事件發(fā)生的可能性和安全事件造成的損失計(jì)算而來。

不一樣的是，舊版標(biāo)準(zhǔn)中安全事件發(fā)生的可能性由威脅出現(xiàn)的頻率和脆弱性嚴(yán)重程度決定，安全事件造成的損失由脆弱性嚴(yán)重程度和資產(chǎn)價(jià)值決定。而在新版標(biāo)準(zhǔn)中，威脅的賦值和脆弱性被利用的難易程度決定安全事件發(fā)生的可能性，脆弱性的影響程度和資產(chǎn)價(jià)值決定安全事件造成的損失。具體變化如下：

舊版風(fēng)險(xiǎn)計(jì)算原理

新版風(fēng)險(xiǎn)計(jì)算原理

此外，風(fēng)險(xiǎn)的描述視角也進(jìn)行了調(diào)整。新標(biāo)準(zhǔn)將原先基于單個(gè)資產(chǎn)的碎片化風(fēng)險(xiǎn)呈現(xiàn)方式，調(diào)整為以對(duì)業(yè)務(wù)整體安全風(fēng)險(xiǎn)進(jìn)行管控為目標(biāo)，從資產(chǎn)到業(yè)務(wù)的風(fēng)險(xiǎn)逐級(jí)進(jìn)行分析的評(píng)價(jià)機(jī)制。

新版標(biāo)準(zhǔn)的發(fā)布有什么意義？

近年來，黨和國(guó)家高度重視網(wǎng)絡(luò)安全工作，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等重要法律法規(guī)相繼頒布實(shí)施，同時(shí)，伴隨著信息技術(shù)深入到生活的各個(gè)方面，網(wǎng)絡(luò)安全工作已成為國(guó)家、社會(huì)、組織中不可缺少的一部分。

為應(yīng)對(duì)網(wǎng)絡(luò)安全形勢(shì)的變化，滿足法律法規(guī)的最新要求，解決舊版標(biāo)準(zhǔn)在個(gè)別場(chǎng)景下存在局限性的問題，新版標(biāo)準(zhǔn)應(yīng)聲而來。

新版標(biāo)準(zhǔn)為網(wǎng)絡(luò)安全保護(hù)工作部門、重要行業(yè)和領(lǐng)域的主管部門、信息系統(tǒng)運(yùn)營(yíng)單位、安全服務(wù)廠商等開展信息安全風(fēng)險(xiǎn)評(píng)估工作提供參考依據(jù)，為網(wǎng)絡(luò)安全建設(shè)工作提供技術(shù)指導(dǎo)和效果評(píng)價(jià)方法，能極大促進(jìn)網(wǎng)絡(luò)安全工作的實(shí)施。

六方云風(fēng)險(xiǎn)評(píng)估服務(wù)介紹：

為幫助各類組織和單位全面、有效地梳理信息安全現(xiàn)狀，評(píng)估各業(yè)務(wù)的整體風(fēng)險(xiǎn)，指導(dǎo)進(jìn)行整改建設(shè)工作，六方云面向各行業(yè)、各領(lǐng)域的企業(yè)推出風(fēng)險(xiǎn)評(píng)估服務(wù)。

服務(wù)內(nèi)容：

協(xié)助用戶梳理系統(tǒng)資產(chǎn)，根據(jù)相關(guān)要求進(jìn)行資產(chǎn)識(shí)別、威脅識(shí)別、已有安全措施識(shí)別、脆弱性識(shí)別工作，并對(duì)用戶單位存在的風(fēng)險(xiǎn)進(jìn)行分析和評(píng)價(jià)，為用戶網(wǎng)絡(luò)安全工作提出整改建議。

服務(wù)優(yōu)勢(shì)：

標(biāo)準(zhǔn)化的風(fēng)險(xiǎn)評(píng)估流程和內(nèi)容

六方云依據(jù)GB/T 20984-2022《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估方法》、GB/T 31509-2015《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》制定風(fēng)險(xiǎn)評(píng)估服務(wù)流程，在評(píng)估工作中嚴(yán)格依照風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的流程進(jìn)行。

科學(xué)的評(píng)估方法

六方云風(fēng)險(xiǎn)評(píng)估服務(wù)在實(shí)施過程中主要采取人工訪談、文檔查閱、基線檢查、滲透測(cè)試、漏洞掃描、漏洞靜態(tài)分析等手段。在對(duì)企業(yè)的系統(tǒng)進(jìn)行深度調(diào)研后，風(fēng)險(xiǎn)評(píng)估實(shí)施人員將依據(jù)企業(yè)系統(tǒng)的業(yè)務(wù)運(yùn)行情況選擇合理、安全的手段進(jìn)行評(píng)估。

深度的“工控安全”體檢

六方云對(duì)《信息安全技術(shù) 工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南》(GB/T 36466-2018)及《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》以及各行業(yè)、各領(lǐng)域的標(biāo)準(zhǔn)和相關(guān)要求進(jìn)行過深入的研究，評(píng)估工作以貼合客戶的工業(yè)控制系統(tǒng)實(shí)際需求為出發(fā)點(diǎn)，幫助客戶理清工業(yè)控制系統(tǒng)的安全現(xiàn)狀與國(guó)家法規(guī)、行業(yè)標(biāo)準(zhǔn)的差距，指導(dǎo)客戶建立工業(yè)控制系統(tǒng)的安全防護(hù)體系。此外，六方云工控實(shí)驗(yàn)室致力于對(duì)工業(yè)控制系統(tǒng)的安全研究，為工控安全風(fēng)險(xiǎn)評(píng)估提供有力的技術(shù)支持。

移動(dòng)智能終端安全管理體系認(rèn)證證書

移動(dòng)智能終端安全管理體系認(rèn)證證書 辦理移動(dòng)智能終端安全管理體系認(rèn)證證書申請(qǐng)移動(dòng)智能終端安全管理體系認(rèn)證證書流程1、按照服務(wù)質(zhì)量評(píng)價(jià)體……

電子政務(wù)移動(dòng)辦公系統(tǒng)管理體系認(rèn)證證書

電子政務(wù)移動(dòng)辦公系統(tǒng)管理體系認(rèn)證證書 申請(qǐng)好處∶1、爭(zhēng)強(qiáng)產(chǎn)品在市場(chǎng)上的競(jìng)爭(zhēng)力2、提高公司的知名度3、吸引經(jīng)銷商代理商的加盟4、把牌匾復(fù)……

信息技術(shù)運(yùn)行維護(hù)服務(wù)規(guī)范認(rèn)證證書

信息技術(shù)運(yùn)行維護(hù)服務(wù)規(guī)范認(rèn)證證書 信息技術(shù)運(yùn)行維護(hù)服務(wù)規(guī)范認(rèn)證證書信息技術(shù)運(yùn)行維護(hù)服務(wù)規(guī)范認(rèn)證證書是什么？隨著經(jīng)濟(jì)的發(fā)展，信息技術(shù)……

個(gè)人數(shù)據(jù)隱私保護(hù)管理體系認(rèn)證機(jī)構(gòu)

個(gè)人數(shù)據(jù)隱私保護(hù)管理體系認(rèn)證機(jī)構(gòu) 2020年9月22日，隨著互聯(lián)網(wǎng)服務(wù)滲入經(jīng)濟(jì)生活、生產(chǎn)各環(huán)節(jié)，以及越來越多的個(gè)人和企業(yè)數(shù)據(jù)遷移上云，對(duì)于……

中企認(rèn)證咨詢網(wǎng)積累了豐富的國(guó)際質(zhì)量認(rèn)證工作經(jīng)驗(yàn)，各項(xiàng)業(yè)務(wù)均成果卓著。始終以服務(wù)國(guó)家經(jīng)濟(jì)社會(huì)發(fā)展和提升人民生活品質(zhì)為己任，依托產(chǎn)品認(rèn)證(包括服務(wù)認(rèn)證、自愿性認(rèn)證)、管理體系認(rèn)證和認(rèn)證培訓(xùn)業(yè)務(wù)，著力開展節(jié)能。在積極促進(jìn)國(guó)際貿(mào)易，調(diào)整經(jīng)濟(jì)結(jié)構(gòu)，保護(hù)消費(fèi)者安全健康，構(gòu)建社會(huì)誠(chéng)信體系，參與"兩型"社會(huì)建設(shè)等方面做出了積極貢獻(xiàn)。同時(shí)，自身獲得了跨越式發(fā)展，已成為業(yè)務(wù)門類全、服務(wù)網(wǎng)絡(luò)廣、工作手段新、技術(shù)力量強(qiáng)、人員素質(zhì)高的一流認(rèn)證機(jī)構(gòu)，可以方便快捷地為世界各地的客戶提供高效、優(yōu)質(zhì)的"一站式"服務(wù)。中企認(rèn)證咨詢網(wǎng)秉承"和諧、進(jìn)取、責(zé)任"的理念，正在朝著建立社會(huì)公信力高，有較強(qiáng)創(chuàng)新能力、市場(chǎng)競(jìng)爭(zhēng)能力和可持續(xù)發(fā)展能力，向業(yè)界有較高知名度的國(guó)際型認(rèn)證機(jī)構(gòu)的目標(biāo)努力前行，優(yōu)質(zhì)的服務(wù)、雄厚的技術(shù)力量、先進(jìn)的管理水平保障了中企認(rèn)證咨詢網(wǎng)業(yè)務(wù)的順利開展，為順利實(shí)現(xiàn)中企認(rèn)證咨詢網(wǎng)的質(zhì)量目標(biāo)、為認(rèn)證機(jī)構(gòu)的品牌提供了有力保障。

中企認(rèn)證咨詢網(wǎng)專業(yè)從事ISO9001、ISO14001、OHSAS18001、IATF16949、ISO27001、ISO13485、ISO22000、HACCP、ISO20000、ISO45001、QC080000、GB/T50430、GB/T27922售后服務(wù)體系認(rèn)證、GB/T29490知識(shí)產(chǎn)權(quán)管理體系、ISO37001、ISO50001、ISO22163、兩化融合體系、系統(tǒng)集成資質(zhì)、十環(huán)認(rèn)證、SMETA、SEDEX、BSCI、SA8000、FSC、ICTI、GSV、C-TPAT、WRAP、EICC、GMP、GMPC、ETI、BRC、驗(yàn)廠咨詢、商務(wù)部信用等級(jí)、誠(chéng)信信用等級(jí)、ISO體系、CE、3C、AAA等認(rèn)證咨詢服務(wù)。認(rèn)證價(jià)格實(shí)惠，證書真實(shí)有效，認(rèn)監(jiān)委可查，如有疑問，可點(diǎn)擊了解詳情，竭誠(chéng)為您服務(wù)!