信息安全技术信息安全风险评价规范-中国信息安全等级保护网.PDF

ICS 35.040 L 80 中华人民共和国国家标准 GB/T 20984—2007 信息安全技术 信息安全风险评估规范 Information security technology— Risk assessment specification for information security 2007-06-14 发布 2007-11-01 实施 中华人民共和国国家质量监督检验检疫总局 发布 中 国 国 家 标 准 化 管 理 委 员 会 GB/T 20984—2007 目 次 前言 II 引言 III 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 风险评估框架及流程 3 4.1 风险要素关系 3 4.2 风险分析原理 4 4.3 实施流程 4 5 风险评估实施 5 5.1 风险评估准备 5 5.2 资产识别 7 5.3 威胁识别 9 5.4 脆弱性识别 11 5.5 已有安全措施确认 12 5.6 风险分析 12 5.7 风险评估文档记录 14 6 信息系统生命周期各阶段的风险评估 15 6.1 信息系统生命周期概述 15 6.2 规划阶段的风险评估 15 6.3 设计阶段的风险评估 15 6.4 实施阶段的风险评估 16 6.5 运行维护阶段的风险评估 16 6.6 废弃阶段的风险评估 17 7 风险评估的工作形式 17 7.1 概述 17 7.2 自评估 17 7.3 检查评估 17 附录A （资料性附录）风险的计算方法 19 A.1 使用矩阵法计算风险 19 A.2 使用相乘法计算风险 22 附录B （资料性附录）风险评估的工具 26 B.1 风险评估与管理工具 26 B.2 系统基础平台风险评估工具 27 B.3 风险评估辅助工具 27 参 考 文 献 28 I GB/T 20984—2007 前言 （略） II GB/T 20984—2007 引言 随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强，信息安全问 题受到普遍关注。运用风险评估去识别安全风险，解决信息安全问题得到了广泛的认识和应用。 信息安全分析评估就是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威 胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对 策和整改措施，为防范和化解信息安全风险，将风险控制在可接受的水平，最大限度地保障信息安全提 供科学依据。 信息安全风险评估作为信息安全保障工作的基础性工作和重要环节，要贯穿于信息系统的规划、设 计、实施、运行维护以及废弃各个阶段，是信息安全等级保护制度建设的重要