GB/T 20984-2007信息安全技术　信息安全风险评估规范.pdf

中华人民共和国国家标准 ICS 35.040 L 80 GB/T 20984—2007 信息安全技术 信息安全风险评估规范 Information security technology— Risk assessment specification for information security 2007-06-14 发布 2007-11-01 实施 中华人民共和国国家质量监督检验检疫总局 中 国 国 家 标 准 化 管 理 委 员 会 发布 GB/T 20984—2007 I 目 次 前言 ................................................................................. II 引言 ................................................................................ III 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 风险评估框架及流程 .................................................................. 3 4.1 风险要素关系 ...................................................................... 3 4.2 风险分析原理 ...................................................................... 4 4.3 实施流程 .......................................................................... 4 5 风险评估实施 ........................................................................ 5 5.1 风险评估准备 ...................................................................... 5 5.2 资产识别 .......................................................................... 7 5.3 威胁识别 .......................................................................... 9 5.4 脆弱性识别 ....................................................................... 11 5.5 已有安全措施确认 ................................................................. 12 5.6 风险分析 ......................................................................... 12 5.7 风险评估文档记录 ................................................................. 14 6 信息系统生命周期各阶段的风险评估 ................................................... 15 6.1 信息系统生命周期概述 ............................................................. 15 6.2 规划阶段的风险评估 ............................................................... 15 6.3 设计阶段的风险评估