GB/T 20984-2022《信息安全技術 信息安全風險評估方法》(以下簡稱新版標準)由國家市場監(jiān)督管理總局、國家標準化管理委員會批準發(fā)布(2022年第6號中國國家標準公告),于2022年11月1日起正式實施,該標準代替GB/T 20984-2007《信息安全技術信息安全風險評估規(guī)范》(以下簡稱舊版標準),是GB/T 20984自2007年發(fā)布以來的首次修改。
一、什么是信息安全風險評估?
信息安全風險評估是指對特定威脅利用單個或一組資產(chǎn)脆弱性的可能性以及由此可能給組織帶來的損害進行識別、分析和評價的整個過程。
二、新版標準的主要內(nèi)容是什么?
新版標準描述了信息安全風險評估的基本概念、風險要素關系、風險分析原理、風險評估實施流程和評估方法,以及風險評估在信息系統(tǒng)生命周期不同階段的實施要點和工作形式。
在資產(chǎn)識別中,基于業(yè)務的范圍和邊界,分析對業(yè)務資產(chǎn)、系統(tǒng)資產(chǎn)、系統(tǒng)組件和單元資產(chǎn)進行識別與分析賦值。業(yè)務成為風險評估的最高管控對象。
在威脅識別中,從威脅的來源、主體、動機等角度出發(fā),根據(jù)威脅的行為能力和頻率,結(jié)合威脅的不同時機進行識別和分析。
在已有安全措施分析中,將安全措施進行保護性和預防性的分類,結(jié)合威脅對已有安全措施的有效性進行分析。
在脆弱性識別中,從管理和技術兩個角度出發(fā),對脆弱性被威脅利用的難易程度以及脆弱性被利用后對資產(chǎn)造成的損失進行分析。
在風險分析與評價中,依據(jù)風險計算模型對單個資產(chǎn)的風險進行風險值的計算與等級劃分,并按照一定的規(guī)則,從資產(chǎn)的風險現(xiàn)狀推斷出業(yè)務的風險情況。
三、新版標準的發(fā)布有什么意義?
近年來,黨和國家高度重視網(wǎng)絡安全工作,《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》、《關鍵信息基礎設施安全保護條例》等重要法律法規(guī)相繼頒布實施,同時,伴隨著信息技術深入到生活的各個方面,網(wǎng)絡安全工作已成為國家、社會、組織中不可缺少的一部分。
為應對網(wǎng)絡安全形勢的變化,滿足法律法規(guī)的最新要求,解決舊版標準在個別場景下存在局限性的問題,新版標準應聲而來。
新版標準為網(wǎng)絡安全保護工作部門、重要行業(yè)和領域的主管部門、信息系統(tǒng)運營單位、安全服務廠商等開展信息安全風險評估工作提供參考依據(jù),為網(wǎng)絡安全建設工作提供技術指導和效果評價方法,能極大促進網(wǎng)絡安全工作的實施。
在現(xiàn)代企業(yè)管理中,職業(yè)健康安全管理體系(OH&S)的內(nèi)審是確保工作場所安全的重要環(huán)節(jié)。通過內(nèi)審,企業(yè)能夠識別和評估潛在風險,采取預防措施,從而避免事故發(fā)生,保障員工健康和企業(yè)財產(chǎn)安全。
2024-04-30五一假期,高速公路成為眾多出游者的首選路線,但隨之而來的是安全檢查的多重挑戰(zhàn)。本文將探討在這一特殊時期,高速公路安全檢查面臨的主要挑戰(zhàn),并提出相應的應對策略。
2024-04-29五一假期,高速公路車流量激增,安全檢查成為確保道路暢通和預防事故的關鍵環(huán)節(jié)。然而,如何在有限的時間內(nèi)提高檢查效率,成為擺在各相關部門面前的難題。本文將探討一些實用的策略,以期在保障安全的同時,提升檢查的效率。
2024-04-29科技的飛速發(fā)展和社會的不斷進步,集團公司在安全管理方面也需要與時俱進,以適應新形勢下的安全需求。以下是一些方法和策略,可以幫助集團公司做好安全管理,確保企業(yè)在競爭激烈的市場中長期穩(wěn)定發(fā)展。
2024-04-28當談到建筑工程時,一個重要的方面就是風險評估。建筑工程風險評估可以被看作是織就安全之網(wǎng)的過程,它旨在識別潛在的風險和危險,從而采取措施來減少事故發(fā)生的可能性。在建筑工程中,風險評估是一項關鍵的步驟,能夠幫助確保工程項目的順利進行,并保障參與者的安全。
2024-04-25為了確保變電站的安全運行,進行全面無死角的安全檢查至關重要。以下是一些確保變電站安全檢查全面無死角的方法:
2024-04-25