搜索结果: GB/T 20984-2022, GB/T20984-2022, GBT 20984-2022, GBT20984-2022
标准编号 | GB/T 20984-2022 (GB/T20984-2022) | 中文名称 | 信息安全技术 信息安全风险评估方法 | 英文名称 | Information security technology -- Risk assessment method for information security | 行业 | 国家标准 (推荐) | 中标分类 | L80 | 国际标准分类 | 35.030 | 字数估计 | 30,347 | 发布日期 | 2022-04-15 | 实施日期 | 2022-11-01 | 旧标准 (被替代) | GB/T 20984-2007 | 引用标准 | GB/T 25069; GB/T 33132-2016 | 起草单位 | 国家信息中心、北京安信天行科技有限公司、信息产业信息安全测评中心、北京信息安全测评中心、中国信息安全测评中心、中国网络安全审查技术与认证中心、中国电子技术标准化研究院、公安部信息安全等级保护评估中心、公安部第一研究所、上海观安信息技术股份有限公司、成都民航电子技术有限责任公司、河南金盾信安检测评估中心有限公司、深圳市南山区政务服务数据管理局、云南公路联网收费管理有限公司、国网宁夏电力有限公司、国网新疆电力有限公司 | 归口单位 | 全国信息安全标准化技术委员会(SAC/TC 260) | 提出机构 | 全国信息安全标准化技术委员会(SAC/TC 260) | 发布机构 | 国家市场监督管理总局、国家标准化管理委员会 | 范围 | 本文件描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。本文件适用于各类组织开展信息安全风险评估工作。 |
GB/T 20984-2022
Information security technology -- Risk assessment method for information security
ICS 35.030
CCSL80
中华人民共和国国家标准
代替GB/T 20984-2007
信息安全技术 信息安全风险评估方法
informationsecurity
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅰ
1 范围 1
2 规范性引用文件 1
3 术语和定义、缩略语 1
3.1 术语和定义 1
3.2 缩略语 2
4 风险评估框架及流程 2
4.1 风险要素关系 2
4.2 风险分析原理 3
4.3 风险评估流程 3
5 风险评估实施 4
5.1 风险评估准备 4
5.2 风险识别 5
5.3 风险分析 11
5.4 风险评价 11
5.5 沟通与协商 13
5.6 风险评估文档记录 13
附录A(资料性) 评估对象生命周期各阶段的风险评估 14
附录B(资料性) 风险评估的工作形式 17
附录C(资料性) 风险评估的工具 18
附录D(资料性) 资产识别 21
附录E(资料性) 威胁识别 23
附录F(资料性) 风险计算示例 26
参考文献 27
信息安全技术 信息安全风险评估方法
1 范围
本文件描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和
评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。
本文件适用于各类组织开展信息安全风险评估工作。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改版)适用于
本文件。
GB/T 25069 信息安全技术 术语
GB/T 33132-2016 信息安全技术 信息安全风险处理实施指南
3 术语和定义、缩略语
3.1 术语和定义
GB/T 25069界定的以及下列术语和定义适用于本文件。
3.1.1
特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害。
注:它以事态的可能性及其后果的组合来度量。
[来源:GB/T 31722-2015,3.2]
3.1.2
风险评估 riskassessment
风险识别、风险分析和风险评价的整个过程。
[来源:GB/T 29246-2017,2.71]
注:本文件专指信息安全风险评估。
3.1.3
组织 organization
具有自身的职责、权威和关系以实现其目标的个人或集体。
注:组织的概念包括但不限于个体经营者、公司、法人、商行、企业、机关、合伙关系、慈善机构或院校,或者其部分或
组合,无论注册成立与否、是公共的还是私营的。
[来源:GB/T 29246-2017,2.57,有修改]
3.1.4
业务 business
组织为实现某项发展规划而开展的运营活动。
注:该活动具有明确的目标,并延续一段时间。
3.1.5
安全需求 securityrequirement
为保证组织业务规划的正常运作而在安全措施方面提出的要求。
3.1.6
安全措施 securitycontrol
保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规
程和机制。
3.1.7
信息系统的各个生命阶段,包括规划阶段、设计阶段、实施阶段、运行维护阶段和废弃阶段。
[来源:GB/T 31509-2015,3.1.2]
3.1.8
自评估 self-assessment
由评估对象所有者自身发起,组成机构内部的评估小组,依据国家有关法规与标准,对评估对象安
全管理进行评估的活动。
[来源:GB/T 28453-2012,3.2,有修改]
3.1.9
检查评估 inspectionassessment
由评估对象所有者的上级主管部门、业务主管部门或国家相关监管部门发起,依据国家有关法规与
标准,对评估对象安全管理进行的评估活动。
[来源:GB/T 28453-2012,3.3,有修改]
3.2 缩略语
下列缩略语适用于本文件。
App:应用程序(Application)
PaaS:平台即服务(PlatformasaService)
4.1 风险要素关系
风险评估中基本要素的关系如图1所示。风险评估基本要素包括资产、威胁、脆弱性和安全措施,
并基于以上要素开展风险评估。
附 录 A
(资料性)
评估对象生命周期各阶段的风险评估
A.1 概述
风险评估应贯穿于评估对象生命周期各阶段中。评估对象生命周期各阶段中涉及的风险评估原则
和方法是一致的,但由于各阶段实施内容、对象、安全需求不同,使得风险评估的对象、目的、要求等各方
面也有所不同。在规划设计阶段,通过风险评估以确定评估对象的安全目标;在建设验收阶段,通过风
险评估以确定评估对象的安全目标达成与否;在运行维护阶段,要持续的实施风险评估以识别评估对象
面临的不断变化的风险和脆弱性,从而确定安全措施的有效性,确保安全目标得以实现。因此,每个阶
段风险评估的具体实施应根据该阶段的特点有所侧重的进行。
A.2 规划阶段的风险评估
规划阶段风险评估的目的是识别评估对象的业务规划,以支撑评估对象安全需求及安全规划等。
规划阶段的评估应能够描述评估对象建成后对现有业务模式的作用,包括技术、管理等方面,并根据其
作用确定评估对象建设应达到的安全目标。
本阶段评估中,资产、脆弱性不需要识别;威胁应根据未来应用对象、应用环境、业务状况、操作要求
等方面进行分析。评估着重在以下几方面:
a) 是否依据相关规则,建立了与业务规划相一致的安全规划,并得到最高管理者的认可;
b) 是否依据业务建立与之相契合的安全策略,并得到最高安全管理者的认可;
c) 系统规划中是否明确评估对象开发的组织、业务变更的管理、开发优先级;
d) 系统规划中是否考虑评估对象的威胁、环境,并制定总体的安全方针;
e) 系统规划中是否描述评估对象预期使用的信息,包括预期的信息系统、资产的重要性、潜在的
价值、可能的使用限制、对业务的支持程度等;
f) 系统规划中是否描述所有与评估对象安全相关的运行环境,包括物理和人员的安全配置,以及
明确相关的法规、组织安全策略、专门技术和知识等。
规划阶段的评估结果应体现在评估对象整体规划或项目建议书中。
A.3 设计阶段的风险评估
设计阶段的风险评估需要根据规划阶段所明确的运行环境、业务重要性、资产重要性,提出安全功
能需求设计阶段的风险评估结果应对设计方案中所提供的安全功能符合性进行判断,作为实施过程风
险控制的依据。
本阶段评估中,应详细评估设计方案中面临威胁的描述,将评估对象使用的具体设备、软件等资产
及其安全功能形成需求列表。对设计方案的评估着重在以下几方面:
a) 设计方案是否符合评估对象建设规划,并得到最高管理者的认可;
b) 设计方案是否对评估对象建设后面临的威胁进行了分析,重点分析来自物理环境和自然的威
胁,以及由于内、外部入侵等造成的威胁;
c) 设计方案中的安全需求是否符合规划阶段的安全目标,并基于威胁的分析,制定评估对象的总
体安全策略;
d) 设计方案是否采取了一定的手段来应对可能的故障;
e) 设计方案是否对设计原型中的技术实现以及人员、组织管理等方面的脆弱性进行评估,包括设
计过程中的管理脆弱性和技术平台固有的脆弱性;
f) 设计方案是否考虑随着其他系统接入而可能产生的风险;
g) 系统性能是否满足用户需求,并考虑到峰值的影响,是否在技术上考虑了满足系统性能要求的
方法;
h) 应用系统(含数据库)是否根据业务需要进行了安全设计;
i) 设计方案是否根据开发的规模、时间及系统的特点选择开发方法,并根据设计开发计划及用户
需求,对系统涉及的软件、硬件与网络进行分析和选型;
j) 设计活动中所采用的安全控制措施、安全技术保障手段对风险的影响。在安全需求变更和设
计变更后,也需要重复这项评估。
设计阶段的评估可以以安全建设方案评审的方式进行,判定方案所提供的安全功能与信息技术安
全技术标准的符合性。评估结果应体现在评估对象需求分析报告或建设实施方案中。
A.4 实施阶段的风险评估
实施阶段风险评估的目的是根据安全需求和运行环境对系统开发、实施过程进行风险识别,并对建
成后的安全功能进行验证。根据设计阶段分析的威胁和制定的安全措施,在实施及验收时进行质量
控制。
基于设计阶段的资产列表、安全措施,实施阶段应对规划阶段的安全威胁进行进一步细分,同时评
估安全措施的实现程度,从而确定安全措施能否抵御现有威胁、脆弱性的影响。实施阶段风险评估主要
对业务及其相关信息系统的开发、技术与产品获取,系统交付实施两个过程进行评估。开发、技术与产
品获取过程的评估要点包括:
a) 法律、政策、适用标准和指导方针:直接或间接影响评估对象安全需求的特定法律;影响评估对
象安全需求、产品选择的政府政策、国际或国家标准;
b) 评估对象的功能需要:安全需求是否有效地支持系统的功能;
c) 成本效益风险:是否根据评估对象的资产、威胁和脆弱性的分析结果,确定在符合相关法律、政
策、标准和功能需要的前提下选择最合适的安全措施;
d) 评估保证级别:是否明确系统建设后应进行怎样的测试和检查,从而确定是否满足项目建设、
实施规范的要求。
A.5 交付阶段的风险评估
系统交付实施过程的评估要点包括:
a) 根......
|