- 现行
- 正在执行有效
- 2022-04-15 颁布
- 2022-11-01 实施
下载本文档
文档简介
ICS35030
CCSL.80
中华人民共和国国家标准
GB/T20984—2022
代替GB/T20984—2007
信息安全技术信息安全风险评估方法
Informationsecuritytechnology—Riskassessmentmethodfor
informationsecurity
2022-04-15发布2022-11-01实施
国家市场监督管理总局发布
国家标准化管理委员会
GB/T20984—2022
目次
前言
…………………………Ⅰ
范围
1………………………1
规范性引用文件
2…………………………1
术语和定义缩略语
3、………………………1
术语和定义
3.1…………………………1
缩略语
3.2………………2
风险评估框架及流程
4……………………2
风险要素关系
4.1………………………2
风险分析原理
4.2………………………3
风险评估流程
4.3………………………3
风险评估实施
5……………4
风险评估准备
5.1………………………4
风险识别
5.2……………5
风险分析
5.3……………11
风险评价
5.4……………11
沟通与协商
5.5…………………………13
风险评估文档记录
5.6…………………13
附录资料性评估对象生命周期各阶段的风险评估
A()………………14
附录资料性风险评估的工作形式
B()…………………17
附录资料性风险评估的工具
C()………………………18
附录资料性资产识别
D()………………21
附录资料性威胁识别
E()………………23
附录资料性风险计算示例
F()…………26
参考文献
……………………27
GB/T20984—2022
前言
本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规
GB/T1.1—2020《1:》
定起草
。
本文件代替信息安全技术信息安全风险评估规范与
GB/T20984—2007《》,GB/T20984—2007
相比除结构调整和编辑性改动外主要技术变化如下
,,:
增加了业务和信息系统生命周期见和
a)“”“”(3.43.7);
删除了业务战略的术语和定义见年版的
b)“”(20073.4);
删除了资产资产价值可用性保密性信息系统完整性残余风险安全事件威
c)“”“”“”“”“”“”“”“”“
胁和脆弱性的术语和定义见年版的和
”“”(20073.1、3.2、3.3、3.5、3.8、3.10、3.12、3.14、3.17
3.18);
更改了风险评估框架及流程中的风险要素关系风险分析原理和评估实施流程见第章
d)、(4,
年版的第章
20074);
更改了风险评估实施过程中风险要素识别和关联分析内容见和年版的
e)(5.25.3,20075.2、
和
5.3、5.4、5.55.6);
将原标准中评估对象生命周期各阶段的风险评估和风险评估的工作形式调整到规范性附录
f)A
和资料性附录中见附录和附录年版的第章和第章
B(AB,200767)。
请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任
。。
本文件由全国信息安全标准化技术委员会提出并归口
(SAC/TC260)。
本文件起草单位国家信息中心北京安信天行科技有限公司信息产业信息安全测评中心北京信
:、、、
息安全测评中心中国信息安全测评中心中国网络安全审查技术与认证中心中国电子技术标准化研
、、、
究院公安部信息安全等级保护评估中心公安部第一研究所上海观安信息技术股份有限公司成都民
、、、、
航电子技术有限责任公司河南金盾信安检测评估中心有限公司深圳市南山区政务服务数据管理局
、、、
云南公路联网收费管理有限公司国网宁夏电力有限公司国网新疆电力有限公司
、、。
本文件主要起草人禄凯詹榜华陈永刚刘丰陈青民赵增振张益高亚楠任金强刘龙涛
:、、、、、、、、、、
刘德林刘凯俊孙明亮杜宇鸽翟亚红王惠莅任卫红彭海龙李秋香安佳伟马勇张军汤志强
、、、、、、、、、、、、、
段明磊杨童肖强张宏杰刘育辰陈涛李峰
、、、、、、。
本文件及其所代替文件的历次版本发布情况为
:
年首次发布为
———2007GB/T20984—2007;
本次为第一次修订
———。
Ⅰ
GB/T20984—2022
信息安全技术信息安全风险评估方法
1范围
本文件描述了信息安全风险评估的基本概念风险要素关系风险分析原理风险评估实施流程和
、、、
评估方法以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式
,。
本文件适用于各类组织开展信息安全风险评估工作
。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文
。,
件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改版适用于
,;,()
本文件
。
信息安全技术术语
GB/T25069
信息安全技术信息安全风险处理实施指南
GB/T33132—2016
3术语和定义缩略语
、
31术语和定义
.
界定的以及下列术语和定义适用于本文件
GB/T25069。
311
..
信息安全风险informationsecurityrisk
特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害
。
注它以事态的可能性及其后果的组合来度量
:。
来源
[:GB/T31722—2015,3.2]
312
..
风险评估
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 系统解决方案流程(2篇)
- 保安公司市场拓展方案(2篇)
- 项目经理技术方案(2篇)
- 休闲食品(休闲牛肉粒)加工技术标准化改良方案
- 6月14日世界献血者日无偿献血知识献血好处献血流程宣传
- 2021届河南省濮阳市高三年级上册第三次质量检测英语及答案
- 建议书结束语
- 2023-2024教师资格之小学教育教学知识与能力重点知识归纳
- 押广东深圳卷第16-18题(实数运算、整式分式化简求值、统计综合)(原卷版)-备战2024年中考数学
- 线上线下混合实验教学模式研究
- 物流集装箱堆存保管标准讲述
- 车辆挂靠协议书
- 预应力智能张拉浅析
- 辩论赛评分表格模板(完整版)
- 精神科门诊工作制度管理办法
- 110kV线路工程电杆组立施工方案
- 丙烷脱氢制丙烯PDH装置工艺技术规程
- 校本教研上报目录
- 《铁路营业线施工安全管理办法》(铁运〔2022〕280号)
- 【股票指标公式下载】-【通达信】六脉神剑(底部来临止跌牛势股票)
- 骑楼的场所与场所精神
评论
0/150
提交评论