《GB/T 20984-2007 信息安全技术 信息安全风险评估规范》这个标准大家应该都不陌生,是我们进行安全服务时经常用到的标准,第一版是2007年推出的,极大推动了国内风险评估工作的开展。但随着近些年国内出台了很多法律、法规和政策,国内网络安全形势的变化,以及新技术发展日新月异,该标准在很多领域使用起来也越发显得局限。时隔15年,该标准终于迎来了重大更新-《GB/T 20984-2022 信息安全技术 信息安全风险评估方法》。
新版有哪些变化和特点?
1 标准名称
标准名称有了显著的变化,由原名称《信息安全技术 信息安全风险评估规范》修改为《信息安全技术 信息安全风险评估方法》,标准编号不变,依然是20984,年号更新为2022。
2 标准的适用范围
本标准提出了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。本标准适用于各类组织开展信息安全风险评估工作。
3 标准修订完善的主要内容
1)对信息安全风险评估对象、范围、实施流程和方法进行了修订完善。例如,对风险评估实施流程进行了修改,更加清晰明确,更具可操作性。
2)对资产识别、威胁识别、脆弱性识别的方法进行修改完善。例如,在资产识别阶段,可以从业务资产、系统资产、系统组件和单元资产三个层次进行识别,并新增了业务识别的方法参考。
3)对风险评价方法以及风险计算原理进行修订完善。例如,在风险评价阶段,增加了业务风险评价的方法,可以从社会影响和组织影响两个层面进行分析。在附录中增加了风险计算示例。
4 新版标准主要内容
1)明确了风险评估实施要点和工作形式:提出了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。
2)构建了风险评估框架:从风险要素关系、风险分析原理、风险评估流程三方面构建了风险评估框架。
3)制定了风险评估实施流程和方法:从评估准备、风险识别、风险分析、风险评价、沟通与协商、文档记录等六个方面制定了风险评估实施流程和方法。
4)标准资料性附录给出了评估对象的全生命周期解读与示例:标准的资料性附录给出了评估对象生命周期各阶段的风险评估方法,风险评估的工作形式,风险评估的工具,资产识别、威胁识别的方法,并提供了风险计算示例。
5 新版标准的意义
我们相信,随着新版风险评估标准的宣贯和实施,本标准可以作为国家网络安全主管部门、行业监管机构、各重要行业网络安全保障单位、第三方网络安全检测评估机构、安全服务厂商提供开展网络安全检测评估工作的技术标准和依据。为国家各行业、各领域的信息化与网络安全建设工作提供重要的决策依据与成效评价,为各行业网络安全主管部门提升网络安全管理水平提供重要抓手。
声明:本文来自启明星辰技术中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
