GB/T 20984-2022信息安全技术　信息安全风险评估方法.pdf

ICS 35.030 CCS L.80 GB 信息安全技术 信息安全风险评估方法 information security 2022-04-15发布 国家市场监督管理总局发 布 国家标准化管理委员会 (GB/T 20984—2022 目 次 前言 …………………………………………………………………………………………………………I 1 范围 ……………………………………………………………………………………………………… 1 2 规范性引用文件…………………………………………………………………………………………1 3 术语和定义、缩略语……………………………………………………………………………………… 1 3.1 术语和定义 ………………………………………………………………………………………… 1 3.2缩略语 ………………………………………………………………………………………………2 4 风险评估框架及流程 …………………………………………………………………………………… 2 4.1 风险要素关系 ……………………………………………………………………………………… 2 4.2 风险分析原理 ……………………………………………………………………………………… 3 4.3 风险评估流程………………………………………………………………………………………3 5 风险评估实施 …………………………………………………………………………………………… 4 5.1 风险评估准备……………………………………………………………………………………………4 5.2 风险识别 ……………………………………………………………………………………………5 5.3 风险分析……………………………………………………………………………………………11 5.4 风险评价…………………………………………………………………………………………… 11 5.5 沟通与协商………………………………………………………………………………………… 13 5.6 风险评估文档记录………………………………………………………………………………… 13 附录A（资料性） 评估对象生命周期各阶段的风险评估……………………………………………… 14 附录B（资料性） 风险评估的工作形式………………………………………………………………… 17 附录C（资料性） 风险评估的工具……………………………………………………………………… 18 附录D（资料性） 资产识别……………………………………………………………………………… 21 附录E（资料性） 威胁识别……………………………………………………………………………… 23 附录F（资料性） 凤险计算示例………………………………………………………………………… 26 参考文献 …………………………………………………………………………………………………… 27 前 言 定起草。 相比，除结构调整和编辑性改动外，主要技术变化如下∶ a）增加了业务和信息系统生命周期见3.4和 3.7）; b）删除了业务战略的术语和定义（见 2007年版的3.4）; 3.18); d） 更改了风险评估框架及流程中的风险要素关系、风险分析原理和评估实施流程（见第 4章， 2007年版的第4章）; 5.3、5.4、5.5和5.6）; f） 将原标准中评估对象生命周期各阶段的风险评估和风险评估的工作形式调整到规范性附录 A 和资料性附录B中（见附录A和附录 B.2007年版的第6章和第7章）。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC 260）提出并归口。 本文件起草单位∶国家信息中心、北京安信天行科技有限公司、信息产业信息安全测评中心、北京信 息安全测评中心、中国信息安全测评中心、中国网络安全审查技术与认证中心、中国电子技术标准化研 究院、公安部信息安全等级保护评估中心、公安部第一研究所、上海观安信息技术股份有限公司、成都