GBT 20984-2022 《信息安全技术 信息安全风险评估方法》实践笔记
💡
原文中文,约4200字,阅读约需10分钟。
📝
内容提要
国家安全法强调网络安全保障,要求识别和管理网络风险。2022年更新的GB/T 20984-2022标准简化了风险评估流程,强调资产识别与赋值,并提出新的风险分析方法,以提升信息安全管理的有效性。
🎯
关键要点
- 国家安全法强调网络安全保障,要求识别和管理网络风险。
- 2022年更新的GB/T 20984-2022标准简化了风险评估流程。
- 新版标准强调资产识别与赋值,提出新的风险分析方法。
- 新版标准删除了风险处置计划和残余风险,简化了流程。
- 资产识别分为业务资产、系统资产和系统组件与单元资产三个层次。
- 威胁识别包括威胁的来源、主体、种类、动机、时机和频率。
- 已有安全措施分为预防性和保护性,需评估其有效性。
- 脆弱性识别以资产为核心,需评估脆弱性的严重程度。
- 新版标准提供了风险值计算示例,强调安全事件发生的可能性和损失计算。
➡️
