ICS35.030 CCS L80 GB 中华人民共和国国家标准 GB/T20984-2022 代替GB/T20984-2007 信息安全技术 信息安全风险评估方法 Information security technology-Risk assessment method for information security 2022-04-15发布 2022-11-01实施 国家市场监督管理总局 国家标准化管理委员会 发布 GB/T20984—2022 目次 前言………… 1范围 1 2规范性引用文件 1 3术语和定义、缩略语………………………………………………1 3.1术语和定义 3.2缩略语 ………2 4风险评估框架及流程…… 2 4.1风险要素关系 ……… ………2 4.2风险分析原理………………… 4.3风险评估流程…………………… …….3 5风险评估实施………………… ……………………………4 5.1风险评估准备…… ………….4 5.2风险识别 ………5 5.3 风险分析………… …………11 5.4风险评价…… …11 5.5沟通与协商…… ……13 5.6风险评估文档记录…… ……13 附录A(资料性)评估对象生命周期各阶段的风险评估……………………………14 附录B(资料性)风险评估的工作形式…… ……….17 附录C(资料性)风险评估的工具……… ………………………18 附录D(资料性)资产识别……21 附录E(资料性)威胁识别…… ……………23 附录F(资料性)风险计算示例……………… 26 参考文献 2 GB/T20984—2022 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规 定起草. 本文件代替GB/T20984一2007《信息安全技术信息安全风险评估规范》,与GB/T20984一2007 相比,除结构调整和编辑性改动外,主要技术变化如下: a)增加了“业务”和“信息系统生命周期”(见3.4和3.7); b)删除了“业务战略”的术语和定义(见2007年版的3.4); )删除了“资产”“资产价值”“可用性”“保密性”“信息系统”“完整性”“残余风险”“安全事件”“威 胁”和“脆弱性”的术语和定义(见2007年版的3.1、3.2、3.3、3.5、3.8、3.10、3.12、3.14、3.17和 3.18); d)更改了风险评估框架及流程中的风险要素关系、风险分析原理和评估实施流程(见第4章, 2007年版的第4章); )更改了风险评估实施过程中风险要素识别和关联分析内容(见5.2和5.3 2007年版的5.2、 5.3、5.4、5.5和5.6); )将原标准中评估对象生命周期各阶段的风险评估和风险评估的工作形式调整到规范性附录A 和资料性附录B中(见附录A和附录B 2007年...
GB/T 20984-2022 信息安全技术 信息安全风险评估方法.pdf
