ICS 35. 030 CCS L70 YD 中华人民共和国通信行业标准 YD/T1730-202X 代替YD/T1730-2008 电信网和互联网安全风险评估规范 Risk assessment specification for securtiy of tele network and Internet 行业标准信息服务平台 (报批稿) XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
行业标准信息服务平台
YD/T 1730-202X 目次 前 言. III 1范围. 2规范性引用文件.. 3术语和定义. 4风险评估框架及流程. 4.1风险要素关系. 4.2风险评估流程. 5风险评估实施.
5.1评估准备. 5.2风险识别.. 5.2.1业务识别. 5.2.1.1业务识别内容. 5.2.1.2业务重要性赋值. 5.2.2资产识别... 5.2.2.1识别内容 5.2.2.2资产重要性等级划分.. 5.2.3威胁识别. 5.2.3.1识别内容, 5.2.3.2威胁可能性等级划分 5.2.4脆弱性识别. 5.2.4.1识别内容.... 5.2.4.2脆弱性严重程度赋值 5.2.5已有安全措施确认, 5.2.5.1识别内容.. 5.2.5.2脆弱性被利用的可能性等级划分. 5.3风险分析与计算. 5.3.1风险分析原理. 5.3.2风险计算 5.4风险评价... 5.4.1评价准则建立. 5.4.2资产风险评价. 5.4.3业务风险评价. 5.5沟通与咨询. 5.6评估文档记录.
YD/T 1730-2022 6风险评估在电信网和互联网及相关系统生命周期各阶段的要求 6.1生命周期描述.. 6.2规划阶段的风险评估. 6.3设计阶段的风险评估. 6.4实施阶段的风险评估. 6.5运行阶段的风险评估. 6.6废弃阶段的风险评估. 7风险评估的工作形式 7.1自评估. 7.2检查评估. 附录A(资料性)风险计算原理 A.1矩阵法计算原理, A.2相乘法计算原理 附录B(资料性)风险评估报告模板 参考文献. 行业标准信息服务平台 Ⅱ
YD/T 1730-202X 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起 草.
本文件代替YD/T1730-2008《电信网和互联网安全风险评估实施指南》,与YD/T1730-2008相比, 除结构调整和编辑性修改外,主要技术变化如下: a)删除了电信网和互联网安全防护体系、资产、资产价值、威胁、脆弱性、电信网和互联网安全 风险、电信网和互联网安全风险评估、残余风险、可用性、业务战略的术语和定义.
b)增加了风险评估实施过程中业务识别.
c)更改了风险评估实施过程中风险要素识别和关联分析内容等.
d)更改了风险评估框架及流程中的风险要素管理、风险分析原理和评估实施流程.
e)更改了风险计算原理.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中国通信标准化协会提出并归口, 本文件起草单位中国信息通信研究院、中国移动通信集团有限公司、中国电信集团有限公司、中 国联合网络通信集团有限公司、国家计算机网络与信息安全管理中心.
本文件主要起草人赵相楠、李汪蔚、孟楠、邱勤、徐浩、郑涛、方全、阿合买提雨三、陈祥喜、 罗一航、乔雅、徐杨、代长生、刘阳、姬延辑、许洪魁.
行业标准信息服务平台 II1
