GBT 20984-2022 《信息安全技术 信息安全风险评估方法》实践笔记
💡
原文中文,约4200字,阅读约需10分钟。
📝
内容提要
国家安全法强调网络安全保障,要求识别和管理网络风险。2022年更新的GB/T 20984-2022标准简化了风险评估流程,强调资产识别与赋值,并提出新的风险分析方法,以提升信息安全管理的有效性。
🎯
关键要点
- 国家安全法强调网络安全保障,要求识别和管理网络风险。
- 2022年更新的GB/T 20984-2022标准简化了风险评估流程。
- 新版标准强调资产识别与赋值,提出新的风险分析方法。
- 新版标准删除了风险处置计划和残余风险,简化了流程。
- 资产识别分为业务资产、系统资产和系统组件与单元资产三个层次。
- 威胁识别包括威胁的来源、主体、种类、动机、时机和频率。
- 已有安全措施分为预防性和保护性,需评估其有效性。
- 脆弱性识别以资产为核心,需评估脆弱性的严重程度。
- 新版标准提供了风险值计算示例,强调安全事件发生的可能性和损失计算。
❓
延伸问答
GB/T 20984-2022标准的主要变化是什么?
该标准简化了风险评估流程,强调资产识别与赋值,删除了风险处置计划和残余风险。
如何进行资产识别与赋值?
资产识别分为业务资产、系统资产和系统组件与单元资产三个层次,赋值依据保密性、完整性和可用性进行计算。
新版标准如何识别威胁?
威胁识别包括威胁的来源、主体、种类、动机、时机和频率,需结合经验和统计数据进行判断。
已有安全措施的有效性如何评估?
评估已有安全措施的有效性需确认其是否真正降低了系统的脆弱性,抵御了威胁。
脆弱性识别的核心是什么?
脆弱性识别以资产为核心,需识别可能被威胁利用的脆弱性,并评估其严重程度。
风险值是如何计算的?
风险值计算包括安全事件发生的可能性和损失的计算,结合威胁赋值和脆弱性评估进行综合计算。
➡️
