GB/T 20984-2022《信息安全技术 信息安全风险评估方法》(以下简称新版标准)由国家市场监督管理总局、国家标准化管理委员会批准发布(2022年第6号中国国家标准公告),于2022年11月1日起正式实施,该标准代替GB/T 20984-2007《信息安全技术信息安全风险评估规范》(以下简称旧版标准),是GB/T 20984自2007年发布以来的首次修改。
一、什么是信息安全风险评估?
信息安全风险评估是指对特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害进行识别、分析和评价的整个过程。
二、新版标准的主要内容是什么?
新版标准描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。
在资产识别中,基于业务的范围和边界,分析对业务资产、系统资产、系统组件和单元资产进行识别与分析赋值。业务成为风险评估的最高管控对象。
在威胁识别中,从威胁的来源、主体、动机等角度出发,根据威胁的行为能力和频率,结合威胁的不同时机进行识别和分析。
在已有安全措施分析中,将安全措施进行保护性和预防性的分类,结合威胁对已有安全措施的有效性进行分析。
在脆弱性识别中,从管理和技术两个角度出发,对脆弱性被威胁利用的难易程度以及脆弱性被利用后对资产造成的损失进行分析。
在风险分析与评价中,依据风险计算模型对单个资产的风险进行风险值的计算与等级划分,并按照一定的规则,从资产的风险现状推断出业务的风险情况。
三、新版标准的发布有什么意义?
近年来,党和国家高度重视网络安全工作,《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》等重要法律法规相继颁布实施,同时,伴随着信息技术深入到生活的各个方面,网络安全工作已成为国家、社会、组织中不可缺少的一部分。
为应对网络安全形势的变化,满足法律法规的最新要求,解决旧版标准在个别场景下存在局限性的问题,新版标准应声而来。
新版标准为网络安全保护工作部门、重要行业和领域的主管部门、信息系统运营单位、安全服务厂商等开展信息安全风险评估工作提供参考依据,为网络安全建设工作提供技术指导和效果评价方法,能极大促进网络安全工作的实施。
新时代防御性驾驶与车队管理遇到的问题,很多新手对此不是很清楚,为了帮助大家解决这个难题,下面小安将为大家详细讲解,有这方面需求的人可以来学习下,希望你能有所收获
2022-11-11本文针对“什么是承包商hse项目?如何进行项目安全管理?”,分析了企业安全现状与信息化建设中存在的问题与不足,对安全生产管理系统建设特色化建设内容进行了研究,强调了建设高效、科学、系统的信息化管理系统,为提升企业安全管理水平与管理信息化建设提供参考价值。
2022-11-10近年我国都颁布了那些危化品行业相关与安全生产法规政策呢?为方便大家能够简要了解相关知识,小安为大家近10多年以来的危化品行业相关的安全生产监管政策进行简单汇总。
2022-11-09这篇文章主要介绍什么是双重预防体系,化工企业如何进行安全管理体系建设?的相关知识,小安通过实际案例向大家展示实践过程,操作方法简单快捷,实用性强,希望这篇文章能帮助大家解决问题。
2022-11-07今天小安给大家分享的是什么是双重预防机制?隐患排查治理和风险分级管控是什么关系?,相信很多人都不太了解,为了让大家更加了解,所以给大家总结了以下内容,一起往下看吧。一定会有所收获的哦。
2022-11-042022年消防月来了!2022年11月9日是第31个全国消防日,活动的主题是:“抓消防安全,保高质量发展”。
2022-11-03