标准规范下载简介：

内容预览由机器从pdf转换为word，准确率92%以上，供参考

GB／T 20984-2022 信息安全技术 信息安全风险评估方法.pdf

风险评价准则应满足以下要求： 1）符合组织的安全策略或安全需求； 满足利益相关方的期望； 3） 符合组织业务价值。 建立风险评价准则的目的包括但不限于： 4）对风险评估的结果进行等级化处理； 5） 能实现对不同风险的直观比较； 6）能确定组织后期的风险控制策略。 g） 制定评估方案。 h）多 获得最高管理者支持。评估方案需得到组织最高管理者的支持和批准

资产识别是风险评估的核心环节。资产接照层次可划分为业务资产、系统资产、系统组件和单 ，如图3所示。因此资产识别应从三个层次进行识别

5.2.1.2业务识别

JB/T 11387-2013 油田钻井泥浆地下灌注造浆设备技术要求5.2.1.2.1识别内客

业务是实现组织发展规划的具体活动，业务识别是风险评估的关键环节。业务识别内容包括业务 的属性、定位、完整性和关联性识别。业务识别主要识别业务的功能、对象、流程和范围等。业务的定位 主要识别业务在发展规划中的地位。业务的完整性主要识别其为独立业务或非独立业务。业务的关联 性识别主要识别与其他业务之间的关系。表1提供了一种业务识别内容的参考

5.2.1.2.2业务重要性赋值

应根据业务的重要程度进行等级划分，并对其重要性进行赋值。表2提供了一种业务重要 的参考。

表2业务重要性赋值表

业务的关联性会对业务的重要性造成影响。若被评估业务与高于其重要性赋值的业务具有紧密 系，则该业务重要性赋值应在原赋值基础上进行赋值调整。附录D中表D.1给出了一种存在紧 业务影响时的业务重要性赋值调整方法

5.2.1.3系统资产识别

5.2.1.3.1识别内容

系统资产识别包括资产分类和业务承载性识别两个方面。表3给出了系统资产识别的主要内容 系统资产分类包括信息系统、数据资源和通信网络，业务承载性包括承载类别和关联程度。

5.2.1.3.2系统资产价值赋值

系统资产价值应依据资产 结合业务承载性、业务重要性，进行 算，并设定相应的评级方法进行价值等级划分， ，等级越高表示资产越重要。表4中给出了系统资 直等级划分的描述。资产保密性、完整性、可用性赋值以及业务承载性赋值方法见附录D。

表4系统资产价值等级表

5.2.1.4系统组件和单元资产识别

5.2.1.4.1识别内容

系统组件和单元资产应分类识别，系统组件和单元资产分类包括系统组件、系统单元、人力资源利 其他资产。表5给出了系统组件和单元资产识别的主要内容描述

GB/T20984—2022

表5系统组件和单元资产识别表

5.2.1.4.2系统组件和单元资产价值赋值

系统组件和单元资产价值应依据其保密性、完整性、可用性赋值进行综合计算，并设定相应的评 进行价值等级划分，等级越高表示资产越重要。表6中给出了系统组件和单元资产价值等级划 述。资产保密性、完整性、可用性赋值方法见附录D。

表6系统组件和单元资产价值等级表

5.2.2.1威胁识别内容

内容包括威胁的来源、主体、种类、动机、时机和频

威胁识别的内容包括威胁的来源、主体、种类、动机、时机和频率。

GB/T209842022

5.2.2.2威胁赋值

威胁赋值应基于威胁行为，依据威胁的行为能力和频率，结合威胁发生的时机，进行综合计算， 老相应的评级方法进行等级划分，等级越高表示威胁利用脆弱性的可能性越大。表7中给出了威 直等级划分的描述。

威胁能力是指威胁来源完成对组织业务、资产产生影响的活动所具备的资源和综合素质。组织及 业务所处的地域和环境决定了威胁的来源、种类、动机，进而决定了威胁的能力；应对威胁能力进行等级 划分，级别越高表示威胁能力越强，表E.4给出了一种特定威胁行为能力赋值的参考。其中，威胁动机 对威胁能力有调整作用。 威胁的种类和资产决定了威胁的行为。表E.5给出了威胁行为列表的参考，E.6给出了一种资产、 威胁种类、威胁行为关联分析的示例。 威胁出现的频率应进行等级化处理，不同等级分别代表威胁出现频率的高低。等级数值越大，威胁 出现的频率越高。威胁的频率应参考组织、行业和区域有关的统计数据进行判断。表E.7给出了一种 威胁频率的赋值方法。其中，威胁时机对威胁频率有调整作用

5.2.3已有安全措施识别

安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用舱

5.2.4.1脆弱性识别内容

表8脆弱性识别内容表

脆弱性赋值时包括两部分，一部分是脆弱性被利用难易程度赋值，一部分是影响程度赋值。

5.2.4.2脆弱性被利用难易程度赋值

脆弱性被利用难易程 资产、组件的脆弱性，而是一类具体措施的集合

GB/T 209842022

居脆弱性和已有安全措施识别结果，得出脆弱性被利用难易程度，并进行等级化处理，不同的等 危弱性被利用难易程度高低。等级数值越大，脆弱性越容易被利用。表9给出了脆弱性被利用 度的一种赋值方法。

表9脆弱性被利用难易程度赋值表

5.2.4.3影响程度赋值

表10影响程度赋值表

5.4.1系统资产风险评价

根据风险评价准则对系统资产风险计算结果进行等级处理。表11给出了一种系统资产风险等 刻分方法。

表11系统资产风险等级划分表

5.4.2业务风险评价

根据风险评价准则对业务风险计算结果进行等级处理，在进行业务风险评价时，可从社会影响和： 响两个层面进行分析。社会影响涵盖国家安全，社会秩序，公共利益，公民、法人和其他组织的合 等方面；组织影响涵盖职能履行、业务开展、触犯国家法律法规、财产损失等方面。表12给出了 于后果的业务风险等级划分方法

表12业务风险等级划分表

表12业务风险等级划分表（续）

5.6风险评估文档记录

5.6.1风险评估文档记录要求

记录风险评估过程的相关文档，应符合以下要求（包括但不限于）： a) 确保文档发布前是得到批准的； b） 确保文档的更改和现行修订状态是可识别的（有版本控制措施）； c 确保文档的分发得到适当控制，并确保在使用时可获得有关版本的适用文档； d) 防止作废文档的非预期使用，若因任何目的需保留作废文档时，应对这些文档进行适当的 标识。 对于风险评估过程中形成的相关文档，还应规定其标识、存储、保护、检索、保存期限以及处置所需 控制。相关文档是否需要以及详略程度由组织的管理者来决定。

5.6.2风险评估文档

GB/T 20984—2022

附录A （资料性） 评估对象生命周期各阶段的风险评估

风险评估应贯穿于评估对象生命周期各阶段中。评估对象生命周期各阶段中涉及的风险评估原则 和方法是一致的，但由于各阶段实施内容、对象、安全需求不同，使得风险评估的对象、目的、要求等各方 面也有所不同。在规划设计阶段，通过风险评估以确定评估对象的安全目标；在建设验收阶段，通过风 险评估以确定评估对象的安全目标送成与否；在运行维护阶段，要持续的实施风险评估以识别评估对象 面临的不断变化的风险和脆弱性，从而确定安全措施的有效性，确保安全目标得以实现。因此，每个阶 段风险评估的具体实施应根据该阶段的特点有所侧重的进行。

A.2规划阶段的风险评估

规划阶段风险评估的目的是识别评估对象的业务规划，以支撑评估对象安全需求及安全规划等。 规划阶段的评估应能够描述评估对象建成后对现有业务模式的作用，包括技术、管理等方面，并根据其 作用确定评估对象建设应达到的安全目标。 本阶段评估中，资产、脆弱性不需要识别；威胁应根据未来应用对象、应用环境、业务状况、操作要求 等方面进行分析。评估着重在以下几方面： a）是否依据相关规则，建立了与业务规划相一致的安全规划，并得到最高管理者的认可； b) 是否依据业务建立与之相契合的安全策略，并得到最高安全管理者的认可； c) 系统规划中是否明确评估对象开发的组织、业务变更的管理、开发优先级； d) 系统规划中是否考虑评估对象的威胁、环境，并制定总体的安全方针； 系统规划中是否描述评估对象预期使用的信息，包括预期的信息系统、资产的重要性、潜在的 价值、可能的使用限制、对业务的支持程度等； 系统规划中是否描述所有与评估对象安全相关的运行环境，包括物理和人员的安全配置，以及 明确相关的法规、组织安全策略、专门技术和知识等。 规划阶段的评估结果应体现在评估对象整体规划或项目建议书中

A.3设计阶段的风险评估

设计阶段的风险评估需要根据规划阶段所明确的运行环境、业务重要性、资产重要性，提出安全功 能需求设计阶段的风险评估结果应对设计方案中所提供的安全功能符合性进行判断，作为实施过程风 险控制的依据。 本阶段评估中，应详细评估设计方案中面临威胁的描述，将评估对象使用的具体设备、软件等资产 及其安全功能形成需求列表。对设计方案的评估着重在以下几方面： a) 设计方案是否符合评估对象建设规划，并得到最高管理者的认可； b) 设计方案是否对评估对象建设后面临的威胁进行了分析，重点分析来自物理环境和自然的威 胁，以及由于内、外部入侵等造成的威胁； c) 设计方案中的安全需求是否符合规划阶段的安全目标，并基于威胁的分析，制定评估对象的总 体安全策略； d) 设计方案是否采取了一定的手段来应对可能的故障； 设计方案是否对设计原型中的技术实现以及人员、组织管理等方面的脆弱性进行评估，包括设 14

计过程中的管理脆弱性和技术平台固有的脆弱性； f 设计方案是否考虑随着其他系统接入而可能产生的风险； g）系统性能是否满足用户需求，并考虑到峰值的影响，是否在技术上考虑了满足系统性能要求的 方法； h）应用系统（含数据库)是否根据业务需要进行了安全设计； 设计方案是否根据开发的规模、时间及系统的特点选择开发方法，并根据设计开发计划及用户 需求，对系统涉及的软件、硬件与网络进行分析和选型； 设计活动中所采用的安全控制措施、安全技术保障手段对风险的影响。在安全需求变更和设 计变更后，也需要重复这项评估。 设计阶段的评估可以以安全建设方案评审的方式进行，判定方案所提供的安全功能与信息技术安 全技术标准的符合性。评估结果应体现在评估对象需求分析报告或建设实施方案中

A.4实施阶段的风险评估

实施阶段风险评估的目的是根据安全需求和运行环境对系统开发、实施过程进行风险识别，并对建 成后的安全功能进行验证。根据设计阶段分析的威胁和制定的安全措施，在实施及验收时进行质量 控制。 基于设计阶段的资产列表、安全措施，实施阶段应对规划阶段的安全威胁进行进一步细分，同时评 活安全措施的实现程度，从而确定安全措施能否抵御现有威胁、脆弱性的影响。实施阶段风险评估主要 对业务及其相关信息系统的开发、技术与产品获取，系统交付实施两个过程进行评估。开发、技术与产 品获取过程的评估要点包括： a）法律、政策、适用标准和指导方针：直接或间接影响评估对象安全需求的特定法律；影响评估对 象安全需求、产品选择的政府政策、国际或国家标准； b）评估对象的功能需要：安全需求是否有效地支持系统的功能； C) 成本效益风险：是否根据评估对象的资产、威胁和脆弱性的分析结果，确定在符合相关法律、政 策、标准和功能需要的前提下选择最合适的安全措施； d）评估保证级别：是否明确系统建设后应进行怎样的测试和检查，从而确定是否满足项目建设、 实施规范的要求。

A.5交付阶段的风险评

系统交付实施过程的评估要点包括： a）根据实际建设的系统，详细分析资产、面临的威胁和脆弱性； b）根据系统建设目标和安全需求，对系统的安全功能进行验收测试；评价安全措施能否抵御安全 威胁； C 评估是否建立了与整体安全策略一致的组织管理制度； d）对系统实现的风险控制效果与预期设计的符合性进行判断，如存在较大的不符合，应重新进行 评估对象安全策略的设计与调整。 本阶段风险评估可以采取对照实施方案和标准要求的方式，对实际建设结果进行测试、分析

A.6运行阶段的风险评估

平估内容包括对真实运行的资产、威胁、脆弱性等各方面。 a）资产评估：包括对业务、系统资产、系统组件和单元资产的评估。业务评估包括业务定位 关联性、完整性、业务流程分析；系统资产评估包括系统分类和业务承载连续性的评估；系

A.7废弃阶段的风险评估

废弃阶段风险评估着重在以下几方面： 确保硬件和软件等资产及残留信息得到了适当的处置，并确保系统组件被合理地丢弃或更换； b）如果被废弃的系统是某个系统的一部分，或与其他系统存在物理或逻辑上的连接，还需考虑系 统废弃后与其他系统的连接是否被关闭； ) 如果在系统变更中废弃，除对废弃部分外，还应对变更的部分进行评估，以确定是否会增加风 险或引人新的风险； d）是否建立了流程，确保更新过程在一个安全、系统化的状态下完成。 本阶段应重点对废弃资产对组织的影响进行分析，并根据不同的影响制定不同的处理方式。对由 系统废弃可能带来的新的威胁进行分析，并改进新系统或管理模式。对废弃资产的处理过程应在有 的监督之下实施，同时对废弃的执行人员进行安全教育，评估对象的维护技术人员和管理人员均应参 此阶段的评估

GB/T209842022

附录B （资料性） 风险评估的工作形式

自评估是指评估对象的拥有、运营或使用单位发起的对本单位进行的风险评估。自评估应在本文 件的指导下，结合评估对象特定的安全要求实施。周期性进行的自评估可以在评估流程上适当简化GB/T 1665-2008 增塑剂皂化值及酯含量的测定，重 点针对自上次评估后评估对象发生变化后引人的新威胁，以及脆弱性的完整识别，以便于两次评估结果 的对比。但评估对象发生A.6中所列的重大变更时，应依据本文件进行完整的评估。 自评估可由发起方实施或委托风险评估服务技术支持方实施。由发起方实施的评估可以降低实施 的费用、提高相关人员的安全意识，但可能由于缺乏风险评估的专业技能，其结果不够深人准确；同时， 受到组织内部各种因素的影响，其评估结果的客观性易受影响。委托风险评估服务技术支持方实施的 评估，过程比较规范、评估结果的客观性比较好，可信程度较高；但由于受到行业知识技能及业务了解的 限制，对评估对象的了解，尤其是在业务方面的特殊要求存在一定的局限。由于引入风险评估服务技术 支持方本身就是一个风险因素，因此，对其背景与资质、评估过程与结果的保密要求等方面应进行控制。 此外，为保证风险评估的实施，与评估对象相连的相关方也应配合，以防止给其他方的使用带来困 难或引入新的风险。

GB/T20984—2022

风险评估工具是风险评估的辅助手段，是保证风险评估结果可信度的一个重要因素。风险评估工 具的使用不但在一定程度上解决了手动评估的局限性，最主要的是它能够将专家知识进行集中，使专家 的经验知识被广泛地应用 根据在风险评估过程中的主要任务和作用原理的不同，风险评估的工具可以分成风险评估与管理 工具、系统基础平台风险评估工具、风险评估辅助工具三类。风险评估与管理工具是一套集成了风险评 估各类知识和判据的管理信息系统，以规范风险评估的过程和操作方法；或者是用于收集评估所需要的 数据和资料，基于专家经验，对输人输出进行模型分析。系统基础平台风险评估工具主要用于对信息系 统的主要部件（如操作系统、数据库系统、网络设备等）的脆弱性进行分析，或实施基于脆弱性的攻击。 风险评估辅助工具则实现对数据的采集、现状分析和趋势分析等单项功能，为风险评估各要素的赋值、 定级提供依据。

C.2风险评估与管理工具

需要分别采取定性和定量的方法完成。 基于模型的风险评估与管理工具是在对系统各组成部分、安全要素充分研究的基础上，对典型系统 得到评价的结果

TB/T 3105.1-2009 铁道货车铸钢摇枕、侧架无损检测 射线照相检验C.3系统基础平台风险评估工具

C.4风险评估辅助工具