GB/T 20984-2022 代替 GB/T 20984-2007 信息安全技术 信息安全风险评估方法
Information security technology – Risk assessment method for information security
主要内容
主要内容包括以下方面:
- 风险要素及其关系:
- 资产:是风险评估的核心要素,包括信息资产、系统资产、业务资产等。资产具有价值,其价值的大小取决于资产对组织的重要性程度。
- 威胁:指可能对资产造成损害的潜在因素,包括外部威胁(如黑客攻击、恶意软件等)和内部威胁(如员工的误操作、内部人员的恶意行为等)。威胁的识别需要考虑威胁的来源、主体、种类、动机、时机和频率等方面。
- 脆弱性:资产自身存在的弱点或缺陷,可能被威胁利用从而引发安全风险。脆弱性包括技术层面的漏洞、管理层面的不足以及人员意识方面的薄弱环节等。
- 安全措施:为降低风险而采取的防护手段,可分为预防性安全措施和保护性安全措施。预防性安全措施能降低威胁利用脆弱性导致安全事件发生的可能性,保护性安全措施可减少安全事件发生后对组织或系统造成的影响。
- 风险评估流程:
- 资产识别:
- 业务识别:确定组织的业务范围、业务流程以及业务的重要性程度。例如,对于金融机构来说,核心业务如资金转账、贷款审批等业务的重要性极高2。
- 系统资产识别:对支撑业务的信息系统、网络设备、服务器等硬件和软件资产进行识别和梳理,明确其功能、作用以及相互之间的关系。
- 资产赋值:根据资产的重要性、敏感性等因素,对资产进行价值评估和赋值,以便后续确定风险的大小。
- 威胁识别:
- 分析威胁的来源,如来自外部网络、内部人员、合作伙伴等。
- 确定威胁的种类,如网络攻击、物理破坏、数据泄露等。
- 评估威胁发生的动机,例如经济利益、政治目的、个人报复等。
- 考虑威胁发生的时机和频率,以便更准确地评估风险。
- 脆弱性识别:
- 对信息系统、网络架构、应用程序等方面的技术脆弱性进行检测和分析,如软件漏洞、配置不当、密码强度不足等4。
- 评估组织管理层面的脆弱性,如安全管理制度不完善、人员安全意识薄弱、应急响应机制不健全等。
- 对脆弱性进行赋值,包括被利用的难易程度赋值和影响程度赋值。
- 已有安全措施识别:对组织已采取的安全防护措施进行梳理和确认,评估其有效性,判断这些措施是否能够有效地降低风险。
- 风险分析:综合考虑资产、威胁、脆弱性和安全措施等因素,分析安全事件发生的可能性和影响程度,计算风险值。风险分析可以采用定性分析、定量分析或半定量分析的方法4。
- 风险评价:根据风险分析的结果,对风险进行等级划分和评价,确定哪些风险是需要优先处理的高风险,哪些是可以接受的低风险。风险评价的结果可以为制定风险处理计划提供依据4。
- 风险评估报告:完成风险评估后,需要编制详细的风险评估报告,报告内容应包括评估的目标、范围、方法、过程、结果以及建议的风险处理措施等。风险评估报告是组织进行风险管理决策的重要依据。
术语和定义
1 信息安全风险 information security risk
特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害。
注:它以事态的可能性及其后果的组合来度量。
2 风险评估 risk assessment
风险识别、风险分析和风险评价的整个过程。
3 组织 organization
具有自身的职责、权威和关系以实现其目标的个人或集体。
注:组织的概念包括但不限于个体经营者、公司、法人、商行、企业、机关、合伙关系、慈善机构或院校,或者其部分或组合,无论注册成立与否、是公共的还是私营的。
4 业务 business
组织为实现某项发展规划而开展的运营活动。
注:该活动具有明确的目标,并延续一段时间。
5 安全需求 security requirement
为保证组织业务规划的正常运作而在安全措施方面提出的要求。保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制。
6 信息系统生命周期 information system lifecycle
信息系统的各个生命阶段,包括规划阶段、设计阶段、实施阶段、运行维护阶段和废弃阶段。
7 自评估 self-assessment
由评估对象所有者自身发起,组成机构内部的评估小组,依据国家有关法规与标准,对评估对象安全管理进行评估的活动。
8 检查评估 inspection assessment
由评估对象所有者的上级主管部门、业务主管部门或国家相关监管部门发起,依据国家有关法规与标准,对评估对象安全管理进行的评估活动。
暂无评论内容