GB/T 20984-2022
基本信息
标准号: GB/T 20984-2022
中文名称:信息安全技术 信息安全风险评估方法
标准类别:国家标准(GB)
英文名称:Information security technology—Risk assessment method for information security
标准状态:现行
发布日期:2022-04-15
实施日期:2022-11-01
出版语种:简体中文
下载格式:.pdf .zip
下载大小:7117460
标准分类号
标准ICS号:35.030
中标分类号:电子元器件与信息技术>>信息处理技术>>L80数据加密
关联标准
替代情况:替代GB/T 20984-2007
出版信息
出版社:中国标准出版社
页数:32页
标准价格:54.0
相关单位信息
起草人:禄凯、詹榜华、陈永刚、刘丰、陈青民、赵增振、张益、高亚楠、任金强、刘龙涛、刘德林、刘凯俊、孙明亮、杜宇鸽、翟亚红、王惠莅、任卫红、彭海龙、李秋香、安佳伟、马勇、张军、汤志强、段明磊、杨童、肖强、张宏杰、刘育辰、陈涛、李峰
起草单位:国家信息中心、北京安信天行科技有限公司、信息产业信息安全测评中心、北京信息安全测评中心、中国信息安全测评中心、中国网络安全审查技术与认证中心、中国电子技术标准化研究院、公安部信息安全等级保护评估中心、公安部第一研究所、上海观安信息技术股份有限公司等
归口单位:全国信息安全标准化技术委员会(SAC/TC 260)
提出单位:全国信息安全标准化技术委员会(SAC/TC 260)
发布部门:国家市场监督管理总局 国家标准化管理委员会
主管部门:全国信息安全标准化技术委员会(SAC/TC 260)
标准简介
本文件描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。本文件适用于各类组织开展信息安全风险评估工作。
标准图片预览
标准内容
ICS。35.030
CCS L 80
中华人民共和国国家标准
GB/T20984—2022
代替GB/T20984—2007
信息安全技术
信息安全风险评估方法
Information security technologyRisk assessment method forinformation security
2022-04-15发布
国家市场监督管理总局
国家标准化管理委员会
2022-11-01实施
GB/T20984—2022
规范性引用文件
3术语和定义、缩略语
术语和定义
缩略语
风险评估框架及流程
风险要素关系
风险分析原理
风险评估流程
风险评估实施
风险评估准备
风险识别
风险分析.
风险评价
沟通与协商
风险评估文档记录
附录A(资料性)评估对象生命周期各阶段的风险评估附录B(资料性)风险评估的工作形式附录C(资料性)风险评估的工具附录D(资料性)资产识别.
附录E(资料性)威胁识别
附录F(资料性)风险计算示例
参考文献
GB/T20984—2022
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
本文件代替GB/T20984—2007《信息安全技术信息安全风险评估规范》,与GB/T20984—2007相比,除结构调整和编辑性改动外,主要技术变化如下:a)增加了“业务”和“信息系统生命周期”(见3.4和3.7);b)删除了“业务战略”的术语和定义(见2007年版的3.4);c)
删除了“资产”“资产价值”“可用性”“保密性”“信息系统”\完整性”\残余风险”\安全事件”\威胁”和“脆弱性”的术语和定义(见2007年版的3.1、3.2、3.3、3.5、3.8、3.10、3.12、3.14、3.17和3.18);
d)更改了风险评估框架及流程中的风险要素关系、风险分析原理和评估实施流程(见第4章,2007年版的第4章);
更改了风险评估实施过程中风险要素识别和关联分析内容(见5.2和5.3,2007年版的5.2、e)
5.3、5.4、5.5和5.6);
将原标准中评估对象生命周期各阶段的风险评估和风险评估的工作形式调整到规范性附录Af)
和资料性附录B中(见附录A和附录B,2007年版的第6章和第7章)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:国家信息中心、北京安信天行科技有限公司、信息产业信息安全测评中心、北京信息安全测评中心、中国信息安全测评中心、中国网络安全审查技术与认证中心、中国电子技术标准化研究院、公安部信息安全等级保护评估中心、公安部第一研究所、上海观安信息技术股份有限公司、成都民航电子技术有限责任公司、河南金盾信安检测评估中心有限公司、深圳市南山区政务服务数据管理局、云南公路联网收费管理有限公司、国网宁夏电力有限公司、国网新疆电力有限公司。本文件主要起草人:禄凯、詹榜华、陈永刚、刘丰、陈青民、赵增振、张益、高亚楠、任金强、刘龙涛、刘德林、刘凯俊、孙明亮、杜宇鸽、翟亚红、王惠莅、任卫红、彭海龙、李秋香、安佳伟、马勇、张军、汤志强、段明磊、杨童、肖强、张宏杰、刘育辰、陈涛、李峰。本文件及其所代替文件的历次版本发布情况为:-2007年首次发布为GB/T20984—2007;一一本次为第一次修订。
1范围
信息安全技术
信息安全风险评估方法
GB/T20984—2022
本文件描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。本文件适用于各类组织开展信息安全风险评估工作。2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改版)适用于本文件。
GB/T25069信息安全技术术语
GB/T33132—2016信息安全技术
信息安全风险处理实施指南
3术语和定义、缩略语
3.1术语和定义
GB/T25069界定的以及下列术语和定义适用于本文件。3.1.1
信息安全风险information securityrisk特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害。注:它以事态的可能性及其后果的组合来度量。[来源:GB/T
31722—2015,3.2
风险评估
risk assessment
风险识别、风险分析和风险评价的整个过程。[来源:GB/T
29246—2017,2.711
注:本文件专指信息安全风险评估。3.1.3
organization
具有自身的职责、权威和关系以实现其目标的个人或集体。注:组织的概念包括但不限于个体经营者、公司、法人、商行、企业、机关、合伙关系、慈善机构或院校,或者其部分或组合,无论注册成立与否、是公共的还是私营的。[来源:GB/T
业务business
29246—2017,2.57,有修改工
组织为实现某项发展规划而开展的运营活动。注:该活动具有明确的目标,并延续一段时间。GB/T
20984—2022
安全需求securityrequirement
为保证组织业务规划的正常运作而在安全措施方面提出的要求3.1.6
安全措施
security control
保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制。
信息系统生命周期informationsystemlifecycle信息系统的各个生命阶段,包括规划阶段、设计阶段、实施阶段、运行维护阶段和废弃阶段。[来源:GB/T31509—2015,3.1.2]3.1.8
自评估self-assessment
由评估对象所有者自身发起,组成机构内部的评估小组,依据国家有关法规与标准,对评估对象安全管理进行评估的活动。
[来源:GB/T
28453—2012,3.2,有修改」
inspectionassessment
检查评估
由评估对象所有者的上级主管部门、业务主管部门或国家相关监管部门发起,依据国家有关法规与标准,对评估对象安全管理进行的评估活动。[来源:GB/T28453—2012,3.3,有修改3.2缩略语
下列缩略语适用于本文件。
App:应用程序(Application)
IT:信息技术(InformationTechnology)PaaS:平台即服务(PlatformasaService)UPS:不间断电源(UninterruptedPowerSupply
VPN:虚拟专用网络(VirtualPrivateNetwork)4风险评估框架及流程
4.1风险要素关系
风险评估中基本要素的关系如图1所示。风险评估基本要素包括资产、威胁、脆弱性和安全措施,并基于以上要素开展风险评估。2
标引序号说明:
风险要素:
要素关系;
风险。
脆弱性
潜在影响
图1风险要素及其关系
开展风险评估时,基本要素之间的关系如下:a)风险要素的核心是资产,而资产存在脆弱性;b)
安全搭施
20984—2022
安全措施的实施通过降低资产脆弱性被利用难易程度,抵御外部威胁,以实现对资产的保护;威胁通过利用资产存在的脆弱性导致风险;c
风险转化成安全事件后,会对资产的运行状态产生影响。d)
风险分析时,应综合考虑资产、脆弱性、威胁和安全措施等基本因素。风险分析原理
风险分析原理如下:
根据威胁的来源、种类、动机等,并结合威胁相关安全事件、日志等历史数据统计,确定威胁的a)
能力和频率;
根据脆弱性访问路径、触发要求等,以及已实施的安全措施及其有效性确定脆弱性被利用难易b)
程度;
确定脆弱性被威胁利用导致安全事件发生后对资产所造成的影响程度;根据威胁的能力和频率,结合脆弱性被利用难易程度,确定安全事件发生的可能性;根据资产在发展规划中所处的地位和资产的属性,确定资产价值;根据影响程度和资产价值,确定安全事件发生后对评估对象造成的损失;根据安全事件发生的可能性以及安全事件造成的损失,确定评估对象的风险值;依据风险评价准则,确定风险等级,用于风险决策。风险评估流程
风险评估的实施流程如图2所示。风险评估流程应包括如下内容。a)
评估准备,此阶段应包括:
确定风险评估的目标;
确定风险评估的对象、范围和边界;组建评估团队;
开展前期调研;
确定评估依据;
GB/T20984—2022
建立风险评价准则;
7)制定评估方案。
威胁识别
评估准备
资产识别
已有安全
措施识别
风险分析
风险评价
脆弱性识
图2风险评估实施流程图
评估过程
评估过程
组织应形成完整的风险评估实施方案,并获得组织最高管理者的支持和批准b)风险识别,此阶段应包括:
资产识别(见5.2.1);
威胁识别(见5.2.2);
3)已有安全措施识别(见5.2.3);脆弱性识别(见5.2.4)。
c)风险分析,此阶段依据识别的结果计算得到风险值。d)风险评价,此阶段依据风险评价准则确定风险等级。沟通与协商和评估过程文档管理贯穿于整个风险评估过程。风险评估工作是持续性的活动,当评估对象的政策环境、外部威胁环境、业务目标、安全目标等发生变化时,应重新开展风险评估。风险评估的结果能够为风险处理提供决策支撑,风险处理是指对风险进行处理的一系列活动,如接33132—2016开展。
受风险、规避风险、转移风险、降低风险等。风险处理按照GB/T5风险评估实施
5.1风险评估准备
组织实施风险评估是一种战略性的考虑,其结果将受到组织规划、业务、业务流程、安全需求、系统规模和结构等方面的影响。因此,在风险评估实施前应准备以下工作。a)在考虑风险评估的工作形式、在生命周期中所处阶段和被评估单位的安全评估需求的基础上:确定风险评估目标。附录A给出了评估对象生命周期各阶段的风险评估内容,附录B给出了风险评估的工作形式描述。
确定风险评估的对象、范围和边界。组建评估团队、明确评估工具。附录C给出了风险评估的工具。开展前期调研。
确定评估依据。
建立风险评价准则:组织应在考虑国家法律法规要求及行业背景和特点的基础上,建立风险评价准则,以实现对风险的控制与管理。g)
风险评价准则应满足以下要求:1
符合组织的安全策略或安全需求;满足利益相关方的期望;
符合组织业务价值。
建立风险评价准则的目的包括但不限于:4)
对风险评估的结果进行等级化处理;能实现对不同风险的直观比较;能确定组织后期的风险控制策略。制定评估方案。
获得最高管理者支持。评估方案需得到组织最高管理者的支持和批准。5.2wwW.bzxz.Net
风险识别
资产识别
5.2.1.1概述
20984—2022
资产识别是风险评估的核心环节。资产按照层次可划分为业务资产、系统资产、系统组件和单元资产,如图3所示。因此资产识别应从三个层次进行识别。组织
数据资源
图3资产层次图
5.2.1.2业务识别
5.2.1.2.1识别内容
统资产
业务是实现组织发展规划的具体活动,业务识别是风险评估的关键环节。业务识别内容包括业务的属性、定位、完整性和关联性识别。业务识别主要识别业务的功能、对象、流程和范围等。业务的定位主要识别业务在发展规划中的地位。业务的完整性主要识别其为独立业务或非独立业务。业务的关联性识别主要识别与其他业务之间的关系。表1提供了一种业务识别内容的参考。GB/T20984—2022
识别内容
完整性
关联性
表1业务识别内容表
业务功能、业务对象、业务流程、业务范围、覆盖地域等发展规划中的业务属性和职能定位、与发展规划目标的契合度、业务布局中的位置和作用、竞争关系中竞争力强弱等
独立业务:业务独立,整个业务流程和环节闭环非独立业务:业务属于业务环节的某一部分,可能与其他业务具有关联性关联类别:并列关系(业务与业务间并列关系包括业务间相互依赖或单向依赖,业务间共用同一信息系统,业务属于同一业务流程的不同业务环节等)、父子关系(业务与业务之间存在包含关系等)、间接关系(通过其他业务,或者其他业务流程产生的关联性等)关联程度:如果被评估业务遭受重大损害,将会造成关联业务无法正常开展,此类关联为紧密关联,其他为非紧密关联
业务识别数据应来自熟悉组织业务结构的业务人员或管理人员。业务识别既可通过访谈、文档查阅、资料查阅,还可通过对信息系统进行梳理后总结整理进行补充。5.2.1.2.2业务重要性赋值
应根据业务的重要程度进行等级划分,并对其重要性进行赋值。表2提供了一种业务重要性赋值的参考。
表2业务重要性赋值表
业务在规划中极其重要,在发展规划中的业务属性及职能定位层面具有重大影响,在规划的发展目标层面中短期目标或长期目标中占据极其重要的地位业务在规划中较为重要,在发展规划中的业务属性及职能定位层面具有较大影响,在规划的发展目标层面中短期目标或长期目标中占据极其重要的地位业务在规划中具有一定重要性,在发展规划中的业务属性及职能定位层面具有一定影响,在规划的发展目标层面中短期目标或长期目标中占据重要的地位业务在规划中具有一定重要性,在发展规划中的业务属性及职能定位层面影响较低,在规划的发展目标层面中短期目标或长期目标中占据一定的地位业务在规划中具有一定重要性,在发展规划中的业务属性及职能定位层面影响很低,在规划的发展目标层面中短期目标或长期目标中占据较低的地位业务的关联性会对业务的重要性造成影响。若被评估业务与高于其重要性赋值的业务具有紧密关联关系,则该业务重要性赋值应在原赋值基础上进行赋值调整。附录D中表D.1给出了一种存在紧密关联业务影响时的业务重要性赋值调整方法。5.2.1.3系统资产识别
5.2.1.3.1识别内容
系统资产识别包括资产分类和业务承载性识别两个方面。表3给出了系统资产识别的主要内容描述。系统资产分类包括信息系统、数据资源和通信网络,业务承载性包括承载类别和关联程度。6
识别内容
业务承载性
表3系统资产识别表
20984—2022
信息系统:信息系统是指由计算机硬件、计算机软件、网络和通信设备等组成的,并按照一定的应用目标和规则进行信息处理或过程控制的系统。典型的信息系统如门户网站、业务系统、云计算平台、工业控制系统等
数据资源:数据是指任何以电子或者非电子形式对信息的记录。数据资源是指具有或预期具有价值的数据集。在进行数据资源风险评估时,应将数据活动及其关联的数据平台进行整体评估。数据活动包括数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁等通信网络:通信网络是指以数据通信为目的,按照特定的规则和策略,将数据处理结点、网络设备设施互连起来的一种网络。将通信网络作为独立评估对象时,一般是指电信网、广播电视传输网和行业或单位的专用通信网等以承载通信为目的的网络承载类别:系统资产承载业务信息采集、传输、存储、处理、交换、销毁过程中的一个或多个环节关联程度:业务关联程度(如果资产遭受损害,将会对承载业务环节运行造成的影响,并综合考虑可替代性)、资产关联程度(如果资产遭受损害,将会对其他资产造成的影响,并综合考虑可替代性)5.2.1.3.2系统资产价值赋值
系统资产价值应依据资产的保密性、完整性和可用性赋值,结合业务承载性、业务重要性,进行综合计算,并设定相应的评级方法进行价值等级划分,等级越高表示资产越重要。表4中给出了系统资产价值等级划分的描述。资产保密性、完整性、可用性赋值以及业务承载性赋值方法见附录D。表4系统资产价值等级表
系统资产价值等级描述
综合评价等级为很高,安全属性破坏后对组织造成非常严重的损失综合评价等级为高,安全属性破坏后对组织造成比较严重的损失综合评价等级为中,安全属性破坏后对组织造成中等程度的损失综合评价等级为低,安全属性破坏后对组织造成较低的损失综合评价等级为很低,安全属性破坏后对组织造成很小的损失,甚至忽略不计系统组件和单元资产识别
5.2.1.4.1
识别内容
系统组件和单元资产应分类识别,系统组件和单元资产分类包括系统组件、系统单元、人力资源和其他资产。表5给出了系统组件和单元资产识别的主要内容描述。GB/T
20984—2022
表5系统组件和单元资产识别表
计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等系统单元
系统组件
人力资源
其他资产
智能终端设备:感知节点设备(物联网感知终端)、移动终端等网络设备:路由器、网关、交换机等传输线路:光纤、双绞线等
安全设备:防火墙、入侵检测/防护系统、防病毒网关、VPN等应用系统:用于提供某种业务服务的应用软件集合应用软件:办公软件、各类工具软件、移动应用软件等系统软件:操作系统、数据库管理系统、中间件、开发系统、语句包等支撑平台:支撑系统运行的基础设施平台,如云计算平台、大数据平台等服务接口:系统对外提供服务以及系统之间的信息共享边界,如云计算PaaS层服务向其他信息系统提供的服务接口等
运维人员:对基础设施、平台、支撑系统、信息系统或数据进行运维的网络管理员、系统管理员等业务操作人员:对业务系统进行操作的业务人员或管理员等安全管理人员:安全管理员、安全管理领导小组等外包服务人员:外包运维人员、外包安全服务或其他外包服务人员等保存在信息媒介上的各种数据资料:源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等
办公设备:打印机、复印机、扫描仪、传真机等保障设备:UPS、变电设备、空调、保险柜、文件柜、门禁、消防设施等服务:为了支撑业务、信息系统运行、信息系统安全,采购的服务等知识产权:版权、专利等
5.2.1.4.2系统组件和单元资产价值赋值系统组件和单元资产价值应依据其保密性、完整性、可用性赋值进行综合计算,并设定相应的评级方法进行价值等级划分,等级越高表示资产越重要。表6中给出了系统组件和单元资产价值等级划分的描述。资产保密性、完整性、可用性赋值方法见附录D。表6系统组件和单元资产价值等级表等级
威胁识别
系统组件和单元资产价值等级描述综合评价等级为很高,安全属性破坏后对业务和系统资产造成非常严重的影响综合评价等级为高,安全属性破坏后对业务和系统资产造成比较严重的影响综合评价等级为中,安全属性破坏后对业务和系统资产造成中等程度的影响综合评价等级为低,安全属性破坏后对业务和系统资产造成较低的影响综合评价等级为很低,安全属性破坏后对业务和系统资产造成很小的影响,甚至忽略不计威胁识别内容
威胁识别的内容包括威胁的来源、主体、种类、动机、时机和频率。8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
CCS L 80
中华人民共和国国家标准
GB/T20984—2022
代替GB/T20984—2007
信息安全技术
信息安全风险评估方法
Information security technologyRisk assessment method forinformation security
2022-04-15发布
国家市场监督管理总局
国家标准化管理委员会
2022-11-01实施
GB/T20984—2022
规范性引用文件
3术语和定义、缩略语
术语和定义
缩略语
风险评估框架及流程
风险要素关系
风险分析原理
风险评估流程
风险评估实施
风险评估准备
风险识别
风险分析.
风险评价
沟通与协商
风险评估文档记录
附录A(资料性)评估对象生命周期各阶段的风险评估附录B(资料性)风险评估的工作形式附录C(资料性)风险评估的工具附录D(资料性)资产识别.
附录E(资料性)威胁识别
附录F(资料性)风险计算示例
参考文献
GB/T20984—2022
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
本文件代替GB/T20984—2007《信息安全技术信息安全风险评估规范》,与GB/T20984—2007相比,除结构调整和编辑性改动外,主要技术变化如下:a)增加了“业务”和“信息系统生命周期”(见3.4和3.7);b)删除了“业务战略”的术语和定义(见2007年版的3.4);c)
删除了“资产”“资产价值”“可用性”“保密性”“信息系统”\完整性”\残余风险”\安全事件”\威胁”和“脆弱性”的术语和定义(见2007年版的3.1、3.2、3.3、3.5、3.8、3.10、3.12、3.14、3.17和3.18);
d)更改了风险评估框架及流程中的风险要素关系、风险分析原理和评估实施流程(见第4章,2007年版的第4章);
更改了风险评估实施过程中风险要素识别和关联分析内容(见5.2和5.3,2007年版的5.2、e)
5.3、5.4、5.5和5.6);
将原标准中评估对象生命周期各阶段的风险评估和风险评估的工作形式调整到规范性附录Af)
和资料性附录B中(见附录A和附录B,2007年版的第6章和第7章)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:国家信息中心、北京安信天行科技有限公司、信息产业信息安全测评中心、北京信息安全测评中心、中国信息安全测评中心、中国网络安全审查技术与认证中心、中国电子技术标准化研究院、公安部信息安全等级保护评估中心、公安部第一研究所、上海观安信息技术股份有限公司、成都民航电子技术有限责任公司、河南金盾信安检测评估中心有限公司、深圳市南山区政务服务数据管理局、云南公路联网收费管理有限公司、国网宁夏电力有限公司、国网新疆电力有限公司。本文件主要起草人:禄凯、詹榜华、陈永刚、刘丰、陈青民、赵增振、张益、高亚楠、任金强、刘龙涛、刘德林、刘凯俊、孙明亮、杜宇鸽、翟亚红、王惠莅、任卫红、彭海龙、李秋香、安佳伟、马勇、张军、汤志强、段明磊、杨童、肖强、张宏杰、刘育辰、陈涛、李峰。本文件及其所代替文件的历次版本发布情况为:-2007年首次发布为GB/T20984—2007;一一本次为第一次修订。
1范围
信息安全技术
信息安全风险评估方法
GB/T20984—2022
本文件描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。本文件适用于各类组织开展信息安全风险评估工作。2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改版)适用于本文件。
GB/T25069信息安全技术术语
GB/T33132—2016信息安全技术
信息安全风险处理实施指南
3术语和定义、缩略语
3.1术语和定义
GB/T25069界定的以及下列术语和定义适用于本文件。3.1.1
信息安全风险information securityrisk特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害。注:它以事态的可能性及其后果的组合来度量。[来源:GB/T
31722—2015,3.2
风险评估
risk assessment
风险识别、风险分析和风险评价的整个过程。[来源:GB/T
29246—2017,2.711
注:本文件专指信息安全风险评估。3.1.3
organization
具有自身的职责、权威和关系以实现其目标的个人或集体。注:组织的概念包括但不限于个体经营者、公司、法人、商行、企业、机关、合伙关系、慈善机构或院校,或者其部分或组合,无论注册成立与否、是公共的还是私营的。[来源:GB/T
业务business
29246—2017,2.57,有修改工
组织为实现某项发展规划而开展的运营活动。注:该活动具有明确的目标,并延续一段时间。GB/T
20984—2022
安全需求securityrequirement
为保证组织业务规划的正常运作而在安全措施方面提出的要求3.1.6
安全措施
security control
保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制。
信息系统生命周期informationsystemlifecycle信息系统的各个生命阶段,包括规划阶段、设计阶段、实施阶段、运行维护阶段和废弃阶段。[来源:GB/T31509—2015,3.1.2]3.1.8
自评估self-assessment
由评估对象所有者自身发起,组成机构内部的评估小组,依据国家有关法规与标准,对评估对象安全管理进行评估的活动。
[来源:GB/T
28453—2012,3.2,有修改」
inspectionassessment
检查评估
由评估对象所有者的上级主管部门、业务主管部门或国家相关监管部门发起,依据国家有关法规与标准,对评估对象安全管理进行的评估活动。[来源:GB/T28453—2012,3.3,有修改3.2缩略语
下列缩略语适用于本文件。
App:应用程序(Application)
IT:信息技术(InformationTechnology)PaaS:平台即服务(PlatformasaService)UPS:不间断电源(UninterruptedPowerSupply
VPN:虚拟专用网络(VirtualPrivateNetwork)4风险评估框架及流程
4.1风险要素关系
风险评估中基本要素的关系如图1所示。风险评估基本要素包括资产、威胁、脆弱性和安全措施,并基于以上要素开展风险评估。2
标引序号说明:
风险要素:
要素关系;
风险。
脆弱性
潜在影响
图1风险要素及其关系
开展风险评估时,基本要素之间的关系如下:a)风险要素的核心是资产,而资产存在脆弱性;b)
安全搭施
20984—2022
安全措施的实施通过降低资产脆弱性被利用难易程度,抵御外部威胁,以实现对资产的保护;威胁通过利用资产存在的脆弱性导致风险;c
风险转化成安全事件后,会对资产的运行状态产生影响。d)
风险分析时,应综合考虑资产、脆弱性、威胁和安全措施等基本因素。风险分析原理
风险分析原理如下:
根据威胁的来源、种类、动机等,并结合威胁相关安全事件、日志等历史数据统计,确定威胁的a)
能力和频率;
根据脆弱性访问路径、触发要求等,以及已实施的安全措施及其有效性确定脆弱性被利用难易b)
程度;
确定脆弱性被威胁利用导致安全事件发生后对资产所造成的影响程度;根据威胁的能力和频率,结合脆弱性被利用难易程度,确定安全事件发生的可能性;根据资产在发展规划中所处的地位和资产的属性,确定资产价值;根据影响程度和资产价值,确定安全事件发生后对评估对象造成的损失;根据安全事件发生的可能性以及安全事件造成的损失,确定评估对象的风险值;依据风险评价准则,确定风险等级,用于风险决策。风险评估流程
风险评估的实施流程如图2所示。风险评估流程应包括如下内容。a)
评估准备,此阶段应包括:
确定风险评估的目标;
确定风险评估的对象、范围和边界;组建评估团队;
开展前期调研;
确定评估依据;
GB/T20984—2022
建立风险评价准则;
7)制定评估方案。
威胁识别
评估准备
资产识别
已有安全
措施识别
风险分析
风险评价
脆弱性识
图2风险评估实施流程图
评估过程
评估过程
组织应形成完整的风险评估实施方案,并获得组织最高管理者的支持和批准b)风险识别,此阶段应包括:
资产识别(见5.2.1);
威胁识别(见5.2.2);
3)已有安全措施识别(见5.2.3);脆弱性识别(见5.2.4)。
c)风险分析,此阶段依据识别的结果计算得到风险值。d)风险评价,此阶段依据风险评价准则确定风险等级。沟通与协商和评估过程文档管理贯穿于整个风险评估过程。风险评估工作是持续性的活动,当评估对象的政策环境、外部威胁环境、业务目标、安全目标等发生变化时,应重新开展风险评估。风险评估的结果能够为风险处理提供决策支撑,风险处理是指对风险进行处理的一系列活动,如接33132—2016开展。
受风险、规避风险、转移风险、降低风险等。风险处理按照GB/T5风险评估实施
5.1风险评估准备
组织实施风险评估是一种战略性的考虑,其结果将受到组织规划、业务、业务流程、安全需求、系统规模和结构等方面的影响。因此,在风险评估实施前应准备以下工作。a)在考虑风险评估的工作形式、在生命周期中所处阶段和被评估单位的安全评估需求的基础上:确定风险评估目标。附录A给出了评估对象生命周期各阶段的风险评估内容,附录B给出了风险评估的工作形式描述。
确定风险评估的对象、范围和边界。组建评估团队、明确评估工具。附录C给出了风险评估的工具。开展前期调研。
确定评估依据。
建立风险评价准则:组织应在考虑国家法律法规要求及行业背景和特点的基础上,建立风险评价准则,以实现对风险的控制与管理。g)
风险评价准则应满足以下要求:1
符合组织的安全策略或安全需求;满足利益相关方的期望;
符合组织业务价值。
建立风险评价准则的目的包括但不限于:4)
对风险评估的结果进行等级化处理;能实现对不同风险的直观比较;能确定组织后期的风险控制策略。制定评估方案。
获得最高管理者支持。评估方案需得到组织最高管理者的支持和批准。5.2wwW.bzxz.Net
风险识别
资产识别
5.2.1.1概述
20984—2022
资产识别是风险评估的核心环节。资产按照层次可划分为业务资产、系统资产、系统组件和单元资产,如图3所示。因此资产识别应从三个层次进行识别。组织
数据资源
图3资产层次图
5.2.1.2业务识别
5.2.1.2.1识别内容
统资产
业务是实现组织发展规划的具体活动,业务识别是风险评估的关键环节。业务识别内容包括业务的属性、定位、完整性和关联性识别。业务识别主要识别业务的功能、对象、流程和范围等。业务的定位主要识别业务在发展规划中的地位。业务的完整性主要识别其为独立业务或非独立业务。业务的关联性识别主要识别与其他业务之间的关系。表1提供了一种业务识别内容的参考。GB/T20984—2022
识别内容
完整性
关联性
表1业务识别内容表
业务功能、业务对象、业务流程、业务范围、覆盖地域等发展规划中的业务属性和职能定位、与发展规划目标的契合度、业务布局中的位置和作用、竞争关系中竞争力强弱等
独立业务:业务独立,整个业务流程和环节闭环非独立业务:业务属于业务环节的某一部分,可能与其他业务具有关联性关联类别:并列关系(业务与业务间并列关系包括业务间相互依赖或单向依赖,业务间共用同一信息系统,业务属于同一业务流程的不同业务环节等)、父子关系(业务与业务之间存在包含关系等)、间接关系(通过其他业务,或者其他业务流程产生的关联性等)关联程度:如果被评估业务遭受重大损害,将会造成关联业务无法正常开展,此类关联为紧密关联,其他为非紧密关联
业务识别数据应来自熟悉组织业务结构的业务人员或管理人员。业务识别既可通过访谈、文档查阅、资料查阅,还可通过对信息系统进行梳理后总结整理进行补充。5.2.1.2.2业务重要性赋值
应根据业务的重要程度进行等级划分,并对其重要性进行赋值。表2提供了一种业务重要性赋值的参考。
表2业务重要性赋值表
业务在规划中极其重要,在发展规划中的业务属性及职能定位层面具有重大影响,在规划的发展目标层面中短期目标或长期目标中占据极其重要的地位业务在规划中较为重要,在发展规划中的业务属性及职能定位层面具有较大影响,在规划的发展目标层面中短期目标或长期目标中占据极其重要的地位业务在规划中具有一定重要性,在发展规划中的业务属性及职能定位层面具有一定影响,在规划的发展目标层面中短期目标或长期目标中占据重要的地位业务在规划中具有一定重要性,在发展规划中的业务属性及职能定位层面影响较低,在规划的发展目标层面中短期目标或长期目标中占据一定的地位业务在规划中具有一定重要性,在发展规划中的业务属性及职能定位层面影响很低,在规划的发展目标层面中短期目标或长期目标中占据较低的地位业务的关联性会对业务的重要性造成影响。若被评估业务与高于其重要性赋值的业务具有紧密关联关系,则该业务重要性赋值应在原赋值基础上进行赋值调整。附录D中表D.1给出了一种存在紧密关联业务影响时的业务重要性赋值调整方法。5.2.1.3系统资产识别
5.2.1.3.1识别内容
系统资产识别包括资产分类和业务承载性识别两个方面。表3给出了系统资产识别的主要内容描述。系统资产分类包括信息系统、数据资源和通信网络,业务承载性包括承载类别和关联程度。6
识别内容
业务承载性
表3系统资产识别表
20984—2022
信息系统:信息系统是指由计算机硬件、计算机软件、网络和通信设备等组成的,并按照一定的应用目标和规则进行信息处理或过程控制的系统。典型的信息系统如门户网站、业务系统、云计算平台、工业控制系统等
数据资源:数据是指任何以电子或者非电子形式对信息的记录。数据资源是指具有或预期具有价值的数据集。在进行数据资源风险评估时,应将数据活动及其关联的数据平台进行整体评估。数据活动包括数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁等通信网络:通信网络是指以数据通信为目的,按照特定的规则和策略,将数据处理结点、网络设备设施互连起来的一种网络。将通信网络作为独立评估对象时,一般是指电信网、广播电视传输网和行业或单位的专用通信网等以承载通信为目的的网络承载类别:系统资产承载业务信息采集、传输、存储、处理、交换、销毁过程中的一个或多个环节关联程度:业务关联程度(如果资产遭受损害,将会对承载业务环节运行造成的影响,并综合考虑可替代性)、资产关联程度(如果资产遭受损害,将会对其他资产造成的影响,并综合考虑可替代性)5.2.1.3.2系统资产价值赋值
系统资产价值应依据资产的保密性、完整性和可用性赋值,结合业务承载性、业务重要性,进行综合计算,并设定相应的评级方法进行价值等级划分,等级越高表示资产越重要。表4中给出了系统资产价值等级划分的描述。资产保密性、完整性、可用性赋值以及业务承载性赋值方法见附录D。表4系统资产价值等级表
系统资产价值等级描述
综合评价等级为很高,安全属性破坏后对组织造成非常严重的损失综合评价等级为高,安全属性破坏后对组织造成比较严重的损失综合评价等级为中,安全属性破坏后对组织造成中等程度的损失综合评价等级为低,安全属性破坏后对组织造成较低的损失综合评价等级为很低,安全属性破坏后对组织造成很小的损失,甚至忽略不计系统组件和单元资产识别
5.2.1.4.1
识别内容
系统组件和单元资产应分类识别,系统组件和单元资产分类包括系统组件、系统单元、人力资源和其他资产。表5给出了系统组件和单元资产识别的主要内容描述。GB/T
20984—2022
表5系统组件和单元资产识别表
计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等系统单元
系统组件
人力资源
其他资产
智能终端设备:感知节点设备(物联网感知终端)、移动终端等网络设备:路由器、网关、交换机等传输线路:光纤、双绞线等
安全设备:防火墙、入侵检测/防护系统、防病毒网关、VPN等应用系统:用于提供某种业务服务的应用软件集合应用软件:办公软件、各类工具软件、移动应用软件等系统软件:操作系统、数据库管理系统、中间件、开发系统、语句包等支撑平台:支撑系统运行的基础设施平台,如云计算平台、大数据平台等服务接口:系统对外提供服务以及系统之间的信息共享边界,如云计算PaaS层服务向其他信息系统提供的服务接口等
运维人员:对基础设施、平台、支撑系统、信息系统或数据进行运维的网络管理员、系统管理员等业务操作人员:对业务系统进行操作的业务人员或管理员等安全管理人员:安全管理员、安全管理领导小组等外包服务人员:外包运维人员、外包安全服务或其他外包服务人员等保存在信息媒介上的各种数据资料:源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等
办公设备:打印机、复印机、扫描仪、传真机等保障设备:UPS、变电设备、空调、保险柜、文件柜、门禁、消防设施等服务:为了支撑业务、信息系统运行、信息系统安全,采购的服务等知识产权:版权、专利等
5.2.1.4.2系统组件和单元资产价值赋值系统组件和单元资产价值应依据其保密性、完整性、可用性赋值进行综合计算,并设定相应的评级方法进行价值等级划分,等级越高表示资产越重要。表6中给出了系统组件和单元资产价值等级划分的描述。资产保密性、完整性、可用性赋值方法见附录D。表6系统组件和单元资产价值等级表等级
威胁识别
系统组件和单元资产价值等级描述综合评价等级为很高,安全属性破坏后对业务和系统资产造成非常严重的影响综合评价等级为高,安全属性破坏后对业务和系统资产造成比较严重的影响综合评价等级为中,安全属性破坏后对业务和系统资产造成中等程度的影响综合评价等级为低,安全属性破坏后对业务和系统资产造成较低的影响综合评价等级为很低,安全属性破坏后对业务和系统资产造成很小的影响,甚至忽略不计威胁识别内容
威胁识别的内容包括威胁的来源、主体、种类、动机、时机和频率。8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。