深圳市赛为安全技术服务有限公司
EN
菜 单

新版信息安全风险评估方法的主要内容和意义

类别:文章分享 发布时间:2022-10-14 浏览人次:

GB/T 20984-2022《信息安全技术 信息安全风险评估方法》(以下简称新版标准)由国家市场监督管理总局、国家标准化管理委员会批准发布(2022年第6号中国国家标准公告),于2022年11月1日起正式实施,该标准代替GB/T 20984-2007《信息安全技术信息安全风险评估规范》(以下简称旧版标准),是GB/T 20984自2007年发布以来的首次修改。

风险评估

一、什么是信息安全风险评估

信息安全风险评估是指对特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害进行识别、分析和评价的整个过程。


二、新版标准的主要内容是什么?

新版标准描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。


在资产识别中,基于业务的范围和边界,分析对业务资产、系统资产、系统组件和单元资产进行识别与分析赋值。业务成为风险评估的最高管控对象。


在威胁识别中,从威胁的来源、主体、动机等角度出发,根据威胁的行为能力和频率,结合威胁的不同时机进行识别和分析。


在已有安全措施分析中,将安全措施进行保护性和预防性的分类,结合威胁对已有安全措施的有效性进行分析。


在脆弱性识别中,从管理和技术两个角度出发,对脆弱性被威胁利用的难易程度以及脆弱性被利用后对资产造成的损失进行分析。


在风险分析与评价中,依据风险计算模型对单个资产的风险进行风险值的计算与等级划分,并按照一定的规则,从资产的风险现状推断出业务的风险情况。


三、新版标准的发布有什么意义?

近年来,党和国家高度重视网络安全工作,《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》等重要法律法规相继颁布实施,同时,伴随着信息技术深入到生活的各个方面,网络安全工作已成为国家、社会、组织中不可缺少的一部分。


为应对网络安全形势的变化,满足法律法规的最新要求,解决旧版标准在个别场景下存在局限性的问题,新版标准应声而来。


新版标准为网络安全保护工作部门、重要行业和领域的主管部门、信息系统运营单位、安全服务厂商等开展信息安全风险评估工作提供参考依据,为网络安全建设工作提供技术指导和效果评价方法,能极大促进网络安全工作的实施。


推荐阅读

职业健康安全管理体系内审:企业避免工作场所风险的利器

在现代企业管理中,职业健康安全管理体系(OH&S)的内审是确保工作场所安全的重要环节。通过内审,企业能够识别和评估潜在风险,采取预防措施,从而避免事故发生,保障员工健康和企业财产安全。

2024-04-30
五一假期高速公路安全检查面临的挑战与应对策略

五一假期,高速公路成为众多出游者的首选路线,但随之而来的是安全检查的多重挑战。本文将探讨在这一特殊时期,高速公路安全检查面临的主要挑战,并提出相应的应对策略。

2024-04-29
五一期间高速公路安全检查效率提升策略

五一假期,高速公路车流量激增,安全检查成为确保道路畅通和预防事故的关键环节。然而,如何在有限的时间内提高检查效率,成为摆在各相关部门面前的难题。本文将探讨一些实用的策略,以期在保障安全的同时,提升检查的效率。

2024-04-29
集团公司安全管理如何与时俱进,适应新形势下的安全需求?

科技的飞速发展和社会的不断进步,集团公司在安全管理方面也需要与时俱进,以适应新形势下的安全需求。以下是一些方法和策略,可以帮助集团公司做好安全管理,确保企业在竞争激烈的市场中长期稳定发展。

2024-04-28
建筑工程风险评估,犹如织就安全之网。

当谈到建筑工程时,一个重要的方面就是风险评估。建筑工程风险评估可以被看作是织就安全之网的过程,它旨在识别潜在的风险和危险,从而采取措施来减少事故发生的可能性。在建筑工程中,风险评估是一项关键的步骤,能够帮助确保工程项目的顺利进行,并保障参与者的安全。

2024-04-25
如何确保变电站安全检查全面无死角?

为了确保变电站的安全运行,进行全面无死角的安全检查至关重要。以下是一些确保变电站安全检查全面无死角的方法:

2024-04-25
X
X
400-902-2878400-902-2878
企业邮箱mail@safewaychina.com
在线咨询在线咨询