GB/T 20984-2022 信息安全技术 信息安全风险评估方法.pdf

中华人民共和国,信息安全,信息安全技术信息安全风险评估规范,信息安全标准,风险管理,风险评估,推荐性国家标准
文档页数:31
文档大小:12.01MB
文档格式:pdf
文档分类:推荐性国家标准
上传会员:
上传日期:
最后更新:

ICS35.030 CCS L80 GB 中华人民共和国国家标准 GB/T20984-2022 代替GB/T20984-2007 信息安全技术 信息安全风险评估方法 Information security technology-Risk assessment method for information security 2022-04-15发布 2022-11-01实施 国家市场监督管理总局 国家标准化管理委员会 发布 GB/T20984—2022 目次 前言………… 1范围 1 2规范性引用文件 1 3术语和定义、缩略语………………………………………………1 3.1术语和定义 3.2缩略语 ………2 4风险评估框架及流程…… 2 4.1风险要素关系 ……… ………2 4.2风险分析原理………………… 4.3风险评估流程…………………… …….3 5风险评估实施………………… ……………………………4 5.1风险评估准备…… ………….4 5.2风险识别 ………5 5.3 风险分析………… …………11 5.4风险评价…… …11 5.5沟通与协商…… ……13 5.6风险评估文档记录…… ……13 附录A(资料性)评估对象生命周期各阶段的风险评估……………………………14 附录B(资料性)风险评估的工作形式…… ……….17 附录C(资料性)风险评估的工具……… ………………………18 附录D(资料性)资产识别……21 附录E(资料性)威胁识别…… ……………23 附录F(资料性)风险计算示例……………… 26 参考文献 2 GB/T20984—2022 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规 定起草. 本文件代替GB/T20984一2007《信息安全技术信息安全风险评估规范》,与GB/T20984一2007 相比,除结构调整和编辑性改动外,主要技术变化如下: a)增加了“业务”和“信息系统生命周期”(见3.4和3.7); b)删除了“业务战略”的术语和定义(见2007年版的3.4); )删除了“资产”“资产价值”“可用性”“保密性”“信息系统”“完整性”“残余风险”“安全事件”“威 胁”和“脆弱性”的术语和定义(见2007年版的3.1、3.2、3.3、3.5、3.8、3.10、3.12、3.14、3.17和 3.18); d)更改了风险评估框架及流程中的风险要素关系、风险分析原理和评估实施流程(见第4章, 2007年版的第4章); )更改了风险评估实施过程中风险要素识别和关联分析内容(见5.2和5.3 2007年版的5.2、 5.3、5.4、5.5和5.6); )将原标准中评估对象生命周期各阶段的风险评估和风险评估的工作形式调整到规范性附录A 和资料性附录B中(见附录A和附录B 2007年...

资源链接请先登录(扫码可直接登录、免注册)
①本文档内容版权归属内容提供方。如果您对本资料有版权申诉,请及时联系我方进行处理(联系方式详见页脚)。
②由于网络或浏览器兼容性等问题导致下载失败,请加客服微信处理(详见下载弹窗提示),感谢理解。
③本资料由其他用户上传,本站不保证质量、数量等令人满意,若存在资料虚假不完整,请及时联系客服投诉处理。

投稿会员:匿名用户
我的头像

您必须才能评论!

手机扫码、免注册、直接登录

 注意:QQ登录支持手机端浏览器一键登录及扫码登录
微信仅支持手机扫码一键登录

账号密码登录(仅适用于原老用户)