GB/T 20984-2022信息安全技术信息安全风险评估方法

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T20984—2022

代替GB/T20984—2007

信息安全技术信息安全风险评估方法

Informationsecuritytechnology—Riskassessmentmethodfor

informationsecurity

2022-04-15发布2022-11-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T20984—2022

目次

前言

…………………………Ⅰ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义缩略语

3、………………………1

术语和定义

3.1…………………………1

缩略语

3.2………………2

风险评估框架及流程

4……………………2

风险要素关系

4.1………………………2

风险分析原理

4.2………………………3

风险评估流程

4.3………………………3

风险评估实施

5……………4

风险评估准备

5.1………………………4

风险识别

5.2……………5

风险分析

5.3……………11

风险评价

5.4……………11

沟通与协商

5.5…………………………13

风险评估文档记录

5.6…………………13

附录资料性评估对象生命周期各阶段的风险评估

A()………………14

附录资料性风险评估的工作形式

B()…………………17

附录资料性风险评估的工具

C()………………………18

附录资料性资产识别

D()………………21

附录资料性威胁识别

E()………………23

附录资料性风险计算示例

F()…………26

参考文献

……………………27

GB/T20984—2022

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规

GB/T1.1—2020《1:》

定起草

。

本文件代替信息安全技术信息安全风险评估规范与

GB/T20984—2007《》,GB/T20984—2007

相比除结构调整和编辑性改动外主要技术变化如下

,,:

增加了业务和信息系统生命周期见和

a)“”“”(3.43.7);

删除了业务战略的术语和定义见年版的

b)“”(20073.4);

删除了资产资产价值可用性保密性信息系统完整性残余风险安全事件威

c)“”“”“”“”“”“”“”“”“

胁和脆弱性的术语和定义见年版的和

”“”(20073.1、3.2、3.3、3.5、3.8、3.10、3.12、3.14、3.17

3.18);

更改了风险评估框架及流程中的风险要素关系风险分析原理和评估实施流程见第章

d)、(4,

年版的第章

20074);

更改了风险评估实施过程中风险要素识别和关联分析内容见和年版的

e)(5.25.3,20075.2、

和

5.3、5.4、5.55.6);

将原标准中评估对象生命周期各阶段的风险评估和风险评估的工作形式调整到规范性附录

f)A

和资料性附录中见附录和附录年版的第章和第章

B(AB,200767)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位国家信息中心北京安信天行科技有限公司信息产业信息安全测评中心北京信

:、、、

息安全测评中心中国信息安全测评中心中国网络安全审查技术与认证中心中国电子技术标准化研

、、、

究院公安部信息安全等级保护评估中心公安部第一研究所上海观安信息技术股份有限公司成都民

、、、、

航电子技术有限责任公司河南金盾信安检测评估中心有限公司深圳市南山区政务服务数据管理局

、、、

云南公路联网收费管理有限公司国网宁夏电力有限公司国网新疆电力有限公司

、、。

本文件主要起草人禄凯詹榜华陈永刚刘丰陈青民赵增振张益高亚楠任金强刘龙涛

:、、、、、、、、、、

刘德林刘凯俊孙明亮杜宇鸽翟亚红王惠莅任卫红彭海龙李秋香安佳伟马勇张军汤志强

、、、、、、、、、、、、、

段明磊杨童肖强张宏杰刘育辰陈涛李峰

、、、、、、。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为

———2007GB/T20984—2007;

本次为第一次修订

———。

Ⅰ

GB/T20984—2022

信息安全技术信息安全风险评估方法

1范围

本文件描述了信息安全风险评估的基本概念风险要素关系风险分析原理风险评估实施流程和

、、、

评估方法以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式

,。

本文件适用于各类组织开展信息安全风险评估工作

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改版适用于

,;,()

本文件

。

信息安全技术术语

GB/T25069

信息安全技术信息安全风险处理实施指南

GB/T33132—2016

3术语和定义缩略语

、

31术语和定义

.

界定的以及下列术语和定义适用于本文件

GB/T25069。

311

..

信息安全风险informationsecurityrisk

特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害

。

注它以事态的可能性及其后果的组合来度量

:。

来源

[:GB/T31722—2015,3.2]

312

..

风险评估