标准解读丨GBT 20984-2022《信息安全技术 信息安全风险评估方法

  GB/T 20984-2022《信息安全技术 信息安全风险评估方法》（以下简称新版标准）由标准公告），于2022年11月1日起正式实施，该标准代替GB/T 20984-2007《信息安全技术 信息安全风险评估规范》（以下简称旧版标准），是GB/T 20984自2007年发布以来的首次修改。

  信息安全风险评估是指对特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害进行识别、分析和评价的整个过程。

  新版标准描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法，以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。

  在资产识别中，基于业务的范围和边界，分析对业务资产、系统资产、系统组件和单元资产进行识别与分析赋值。业务成为风险评估的最高管控对象。

  在威胁识别中，从威胁的来源、主体、动机等方面出发，根据威胁的行为能力和频率，结合威胁的不同时机进行识别和分析。

  在已有安全措施分析中，将安全措施进行保护性和预防性的分类，结合威胁对已有安全措施的有效性进行分析。

  在脆弱性识别中，从管理和技术两个方面出发，对脆弱性被威胁利用的难易程度以及脆弱性被利用后对资产造成的损失进行分析。

  在风险分析与评价中，依据风险计算模型对单个资产的风险进行风险值的计算与等级规划区分，并按照一定的规则，从资产的风险现状推断出业务的风险情况。

  原来的《信息安全技术 信息安全风险评估规范》改为《信息安全技术 信息安全风险评估方法》，标准编号仍然为20984，年号更改为2022。

  新版标准的风险评估流程分为评估准备、风险识别、风险分析和风险评价四个阶段。其中，风险识别阶段包括资产识别、威胁识别、已有安全措施识别和脆弱性识别四个部分的内容。

  新版标准中，风险分析和风险评价两个阶段的内容由旧版标准中风险分析阶段的风险计算和风险结果判定优化而来，并移除了旧版标准中风险处理计划和残余风险评估的内容。此外，新版标准定义了沟通与协商机制，要求风险评估实施团队在做评估工作时与内部相关方和外部相关方均保持沟通。与旧版标准对比，新版标准的流程更加直观清晰、可操作性更强。

  首先，在资产识别中将按层次划分成业务资产、系统资产、系统组件和单元资产。不一样的层次的关系成为重要的分析内容。资产保护对象也从多个“单一资产”为核心到以企业的“业务”为核心。

  其次，威胁识别中的赋值方法得到优化。旧版标准仅提出从威胁出现频率的角度进行赋值。新版标准则要求在进行威胁赋值时要依据威胁的行为能力和频率，并结合威胁发生的时机做综合评价。

  第三，修改了脆弱性赋值机制，旧版标准在进行脆弱性赋值时考虑的是脆弱性的严重程度，新版标准则规定须在最大限度地考虑已有安全措施的作用下，分别对脆弱性被利用的难易程度赋值和脆弱性影响程度进行赋值。

  在风险分析原理中，新版标准的风险值依旧通过对安全事件发生的可能性和安全事件造成的损失计算而来。

  不一样的是，旧版标准中安全事件发生的可能性由威胁出现的频率和脆弱性严重程度决定，安全事件造成的损失由脆弱性严重程度和资产价值决定。而在新版标准中，威胁的赋值和脆弱性被利用的难易程度决定安全事件发生的可能性，脆弱性的影响程度和资产价值决定安全事件造成的损失。具体变化如下：

  此外，风险的描述视角也进行了调整。新标准将原先基于单个资产的碎片化风险呈现方式，调整为以对业务整体安全风险进行管控为目标，从资产到业务的风险逐级做多元化的分析的评价机制。

  近年来，党和国家格外的重视网络安全工作，《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》等重要法律和法规相继颁布实施，同时，伴随着信息技术深入到生活的每个方面，网络安全工作已成为国家、社会、组织中必不可少的一部分。

  为应对网络安全形势的变化，满足法律和法规的最新要求，解决旧版标准在个别场景下存在局限性的问题，新版标准应声而来。

  新版标准为网络安全保护工作部门、重要行业和领域的主管部门、信息系统运营单位、安全服务厂商等开展信息安全风险评估工作提供参考依据，为网络安全建设工作提供技术指导和效果评价方法，能极大促进网络安全工作的实施。

  为帮助各类组织和单位全面、有效地梳理信息安全现状，评估各业务的整体风险，指导进行整改建设工作，六方云面向各行业、各领域的企业推出风险评估服务。

  协助用户梳理系统资产，根据有关要求进行资产识别、威胁识别、已有安全措施识别、脆弱性识别工作，并对用户单位存在的风险进行分析和评价，为用户网络安全工作提出整改建议。

  六方云依据GB/T 20984-2022《信息安全技术 信息安全风险评估方法》、GB/T 31509-2015《信息安全技术 信息安全风险评估实施指南》制定风险评估服务流程，在评估工作中严格依照风险评估准备、风险识别、风险分析和风险评价的流程进行。

  六方云风险评估服务在实施过程中主要采取人工访谈、文档查阅、基线检查、渗透测试、漏洞扫描、漏洞静态分析等手段。在对企业的系统进行深度调研后，风险评估实施人员将依据企业系统的业务运行情况选择合理、安全的手段进行评估。

  六方云对《信息安全技术 工业控制系统风险评估实施指南》（GB/T 36466-2018）及《工业控制系统信息安全防护指南》以及各行业、各领域的标准和相关要求做过深入的研究，评估工作以贴合客户的工业控制管理系统实际需求为出发点，帮助客户理清工业控制管理系统的安全现状与国家法规、行业标准的差距，指导客户建立工业控制管理系统的安全防护体系。此外，六方云工控实验室致力于对工业控制管理系统的安全研究，为工控安全风险评估提供有力的技术支持。

  前言：GB T 20984-2022《信息安全技术 信息安全风险评估方法》（以下简称新版标准）由国家市场监督管...

  雀思德洗地机实力进两会雀思德洗地机分别于2020年12月17-19日参加第二十七届广州酒店用品展览会，2021...

  当前，数字化正以不可逆转的趋势改变人类社会，推进数字化转型是面向未来提升企业综合竞争实力的关键之...

  扬明新能源 15万m首个全球性新能源产业采购平台招商火热启动！ ！全国 20万+业务布局，全年...

  60岁的潘先生从企业管理岗退休，他不得不认真筹划已经到来的退休养老生活。经过慎重考虑，他选择设立一...

  2022年9月28日，特发信息（股票代码：000070）控股企业四川华拓的全资子公司华岭光子智能制造基地，在四...

  由童星在线少年写说演平台、小专家品牌护眼学习机、海文青少年成长中心联合主办，山伯教育、上品润德堂...

  据统计资料显示，在对网络导致非常严重损害的案例中，有70％是组织里的内部人员所为。怎么样提高系统运维管理...

  读一本好书，如同邂逅一位伟大的老师，而举办一次成功的读书活动，更可以带动一批人一同灵感迸发、思想...

  谈起中欧医疗和葛兰，足以让20年和21年上半年的基民朋友欣喜若狂，后来的事情想必很多人都知道，多重利...