安全公司报告
文库搜索
切换导航
文件分类
频道
文件分类
批量下载
ICS 35.040 L 80 中华人民共和国国家标准 GB/T 20984—2007 信息安全技术 信息安全风险评估规范 Information security technology— Risk assessment specification for information security 2007-06-14 发布 2007-11-01 实施 中华人民共和国国家质量监督检验检疫总局 发布 中 国 国 家 标 准 化 管 理 委 员 会 GB/T 20984—2007 目 次 前言 ................................................................................. II 引言 ................................................................................ III 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 风险评估框架及流程 .................................................................. 3 4.1 风险要素关系 ...................................................................... 3 4.2 风险分析原理 ...................................................................... 4 4.3 实施流程 .......................................................................... 4 5 风险评估实施 ........................................................................ 5 5.1 风险评估准备 ...................................................................... 5 5.2 资产识别 .......................................................................... 7 5.3 威胁识别 .......................................................................... 9 5.4 脆弱性识别 ....................................................................... 11 5.5 已有安全措施确认 ................................................................. 12 5.6 风险分析 ......................................................................... 12 5.7 风险评估文档记录 ................................................................. 14 6 信息系统生命周期各阶段的风险评估 ................................................... 15 6.1 信息系统生命周期概述 ............................................................. 15 6.2 规划阶段的风险评估 ............................................................... 15 6.3 设计阶段的风险评估 ............................................................... 15 6.4 实施阶段的风险评估 ............................................................... 16 6.5 运行维护阶段的风险评估 ........................................................... 16 6.6 废弃阶段的风险评估 ............................................................... 17 7 风险评估的工作形式 ................................................................. 17 7.1 概述 ............................................................................. 17 7.2 自评估 ........................................................................... 17 7.3 检查评估 ......................................................................... 17 附录 A (资料性附录)风险的计算方法 ................................................... 19 A.1 使用矩阵法计算风险 ............................................................... 19 A.2 使用相乘法计算风险 ............................................................... 22 附录 B (资料性附录)风险评估的工具 ................................................... 26 B.1 风险评估与管理工具 ............................................................... 26 B.2 系统基础平台风险评估工具 ......................................................... 27 B.3 风险评估辅助工具 ................................................................. 27 参 考 文 献 .......................................................................... 28 I GB/T 20984—2007 前言 (略) II GB/T 20984—2007 引言 随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强,信息安全问 题受到普遍关注。运用风险评估去识别安全风险,解决信息安全问题得到了广泛的认识和应用。 信息安全分析评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威 胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对 策和整改措施,为防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地保障信息安全提 供科学依据。 信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,要贯穿于信息系统的规划、设 计、实施、运行维护以及废弃各个阶段,是信息安全等级保护制度建设的重要科学方法之一。 本标准条款中所指的“风险评估” ,其含义均为“信息安全风险评估”。 III GB/T 20984—2007 信息安全技术 信息安全风险评估指南 1 范围 本标准提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法,以及风险评估在 信息系统生命周期不同阶段的实施要点和工作形式。 本标准适用于规范组织开展的风险评估工作。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件,其随后所 有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方 研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。 GB/T 9361 计算站场地安全要求 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 18336-2001 信息技术 安全技术 信息技术安全性评估准则(idt ISO/IEC 15408:1999) GB/T 19716-2005 信息技术 信息安全管理实用规则(ISO/IEC 17799:2000,MOD) 3 术语和定义 下列术语和定义适用于本标准。 3.1 资产 asset 对组织具有价值的信息或资源,是安全策略保护的对象。 3.2 资产价值 asset value 资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。 3.3 可用性 availability 数据或资源的特性,被授权实体按要求能访问和使用数据或资源。 3.4 业务战略 business strategy 组织为实现其发展目标而制定的一组规则或要求。 3.5 机密性 confidentiality 数据所具有的特性,即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的程度。 3.6 信息安全风险 information security risk 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造 1 GB/T 20984—2007 成的
GB-T 20984-2007 信息安全技术 信息安全风险评估规范
文档预览
中文文档
34 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
赞助2元下载(无需注册)
温馨提示:本文档共34页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助2元下载
本文档由 路人甲 于
2022-05-01 02:27:15
上传分享
举报
下载
原文档
(747.0 KB)
分享
友情链接
ISO TS 17503 2015 Statistical methods of uncertainty evaluation — Guidance on evaluation of uncertainty using two-factor crossed designs.pdf
ISO 3506-7 2024 Fasteners Mechanical properties of corrosion-resistant stainless steel fasteners Part 7 Flat washers with specified grades and property classes.pdf
ISO 14389 2022 Textiles — Determination of the phthalate content — Tetrahydrofuran meth.pdf
ISO 22899-1 2021 Determination of the resistance to jet fires of passive fire protection materials — Part 1 General requirements.pdf
ISO 21317 2019 Traditional Chinese medicine — Lonicera japonica flower.pdf
ISO 789-1 2018 Agricultural tractors Test procedures Part 1 Power tests for power take-off.pdf
ISO 21927-4 2019 Smoke and heat control systems — Part 4 Natural smoke and heat exhaust ventilators — Design, requirements and.pdf
ISO 7967-6 2022 Reciprocating internal combustion engines — Vocabulary of components and systems — Part 6 Lubricating systems.pdf
ISO15031-6-2010 Road vehicles Communication between vehicle and external equipment for emissions related diagnostics part 6 Diagnostic trouble code definitions.pdf
ISO TS 20065 2022 Acoustics — Objective method for assessing the audibility of tones in no.pdf
GB-T 40925-2021 滑雪单板软靴束带固定器 要求和试验方法.pdf
GB-T 34332-2017 菱镁矿和白云石耐火制品化学分析方法.pdf
GB-T 19831.1-2005 石油天然气工业 套管扶正器 第1部分 弓形弹簧套管扶正器.pdf
GB-T 24808-2022 电梯、自动扶梯和自动人行道的电磁兼容 抗扰度.pdf
GB-T 16850.7-2001 光纤放大器试验方法基本规范 第7部分 带外插入损耗的试验方法.pdf
GB-T 4017-1997 摇臂钻床 精度检验.pdf
GB-T 40015-2021 信息技术 系统间远程通信和信息交换 社区节能控制网络控制与管理.pdf
GB-T 24124-2009 C850系列酚醛棉布层压板.pdf
GB-T 4214.14-2021 家用和类似用途电器噪声测试方法 电冰箱、冷冻食品储藏箱和食品冷冻箱的特殊要求.pdf
GB-T 18794.7-2003 信息技术 开放系统互连 开放系统安全框架 第7部分 安全审计和报警框架.pdf
1
/
3
34
评价文档
赞助2元 点击下载(747.0 KB)
回到顶部
×
微信扫码支付
2
元 自动下载
官方客服微信:siduwenku
支付 完成后 如未跳转 点击这里 下载
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。