GB_T 20984-2022 信息安全技术 信息安全风险评估方法.docxVIP

GB/T20984-2022信息安全技术信息安全风险评估方法

前言

GB/T20984-2022《信息安全技术信息安全风险评估方法》是我国网络安全风险治理领域的核心基础性国家标准，由国家市场监督管理总局、国家标准化管理委员会于2022年4月15日发布，2022年11月1日正式实施。本标准替代GB/T20984-2007《信息安全技术信息安全风险评估规范》，全面适配《网络安全法》《数据安全法》《个人信息保护法》及网络安全等级保护2.0体系合规要求，同步迭代国际风险评估先进理念，重构风险评估框架与实施方法论。

本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口，聚焦数字化转型背景下各类网络资产的安全风险管控需求，解决了2007版标准方法单一、场景适配不足、量化体系缺失、生命周期覆盖不全等行业痛点。新版标准统一了信息安全风险评估的核心要素、分析原理、实施流程、技术方法，新增全生命周期评估、量化风险计算、新型场景适配等关键内容，适用于传统信息系统及云计算、大数据、物联网、工业控制系统、移动互联网等新型数字化场景，是政企单位常态化风险评估、合规整改、安全规划、应急风控的权威技术依据，也是第三方测评机构、监管部门开展风险核查的核心标准准则。

1范围

本标准规定了信息安全风险评估的基础概念、风险要素逻辑关系、风险分析核心原理、标准化实施流程、定性与定量评估方法