背景

《信息安全技術 信息安全風險評估方法》（GB/T20984—2022）已于2022年4月15日發布，將于2022年11月1日正式實施。作為我國信息安全領域的基礎性標準，該標準自第一版發布以來，有效指導了我國信息安全風險評估工作開展，成為了國家各級網絡安全主管機關、各行業主管部門開展信息安全管理工作的重要抓手，為國家網絡安全保障體系的搭建、保障我國數字經濟的高質量發展作出了貢獻。

為進一步適應國家網絡安全戰略需要，在全國信息安全標準化技術委員會的指導下，國家信息中心組織開展了GB/T20984—2007的修訂工作。標準編制組以落實新時代法律法規和政策文件對信息安全風險評估工作的新要求，適應新時代云計算、物聯網、大數據、人工智能等新技術新應用對信息安全風險評估工作的新需求，引領國際信息安全風險評估標準的新發展為目標，形成了GB/T20984—2022標準。

標準主要變化

• 標準名稱的修訂。遵照《標準化工作導則第1部分：標準化文件的結構和起草規則》（GB/T1.1—2020）第4章關于標準文件類別的定義，將名稱修改為《信息安全技術 信息安全風險評估方法》。

• 風險評估理念的調整。在網絡空間對抗加劇的大背景下，將原有以保護“資產”為核心，以“脆弱性”發現為側重的風險評估理念，調整到以保“業務”為核心，以御“威脅”為牽引的風險評估方法。

• 風險評估流程的調整。站在組織視角科學界定業務的重要性，結合業務所處的內外部環境，統籌識別威脅源和攻擊路徑，客觀評價安全防護措施有效性和威脅攻擊路徑中存在的防護薄弱環節，并綜合分析組織面臨的安全風險。

• 風險呈現視角的調整。新標準將傳統的基于單個資產的碎片化風險呈現方式，調整為以支撐業務安全風險管控為目標的整體化、雙層次風險展現方式。

• 風險評估對象的調整。新標準將傳統面向系統資產的風險評估方法調整為面向業務和系統資產。同時，將系統資產的范疇擴展為信息系統、數據資源和基礎網絡。

標準應用的重點和難點

• 資產識別和分析。在資產識別過程中，應基于業務的范圍和邊界，開展業務資產、系統資產、系統組件和單元資產層級的劃分和識別。

• 威脅識別和分析。在威脅識別過程中，應基于組織的業務特點和內外部環境，分析存在的威脅源和攻擊路徑。同時，依據威脅的行為能力、頻率和時機進行威脅分析。

• 安全措施有效性分析。新標準將安全措施分為預防性安全措施和保護性安全措施兩種。應結合威脅攻擊路徑，并行開展脆弱性和已有安全防護措施識別，并對已有安全措施的有效性進行確認。

• 風險分析和計算。在進行風險分析和計算時，針對不同時機的威脅源動機和能力變化、同層級資產之間的重要性關聯傳導、不同層級資產之間的重要性繼承等，進行系統風險的分析和風險值計算。

• 風險評價和呈現。最終的評價同資產分層保持一致，基于系統資產風險評價結果，通過業務依賴關系推導業務風險結果。

原作者：國家信息中心 陳永剛

軟件及信息系統檢驗檢測服務：

詳詢：028-87674900或173 6105 5003?

關注我司微信公眾號，了解更多信息