信息安全技术 信息安全风险评估规范 GB/T 20984-2007

信息安全技术

信息安全风险评估规范

中华人民共和国国家标准 GB/T 20984-2007

Information security technology - Risk assessment specification for information security

2007一06一14发布2007一11一01实施

中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 发布

目次

前言

引言

1 范围

2 规范性引用文件

3 术语和定义

4 风险评估框架及流程

4.1 风险要素关系

4.2 风险分析原理

4.3 实施流程

5 风险评估实施

5.1 风险评估准备

5.2 资产识别

5.3 威胁识别

5.4 脆弱性识别

5.5 已有安全措施确认

5.6 风险分析

5.7 风险评估文档记录

6 信息系统生命周期各阶段的风险评估

6.1 信息系统生命周期概述

6.2 规划阶段的风险评估

6.3 设计阶段的风险评估

6.4 实施阶段的风险评估

6.5 运行维护阶段的风险评估

6.6 废弃阶段的风险评估

7 风险评估的工作形式

7.1 概述

7.2 自评估

7.3 检查评估

附录A (资料性附录) 风险的计算方法

A.1 使用矩阵法计算风险

A.2 使用相乘法计算风险

附录B (资料性附录) 风险评估的工具

B.1 风险评估与管理工具

B.2 系统基础平台风险评估工具

B.3 风险评估辅助工具

参考文献 

前言

本标准的附录A和附录B是资料性附录。

本标准由国务院信息化工作办公室提出。

本标准由全国信息安全标准化技术委员会归口。

本标准主要起草单位:国家信息中心、公安部第三研究所、国家保密技术研究所、中国信息安全产品测评认证中心、中国科学院信息安全国家重点实验室、解放军信息技术安全研究中心、中国航天二院七0六所、北京信息安全测评中心、上海市信息安全测评认证中心。

本标准主要起草人:范红、吴亚非、李京春、马朝斌、李篙、应力、王宁、江常青、张鉴、赵敬宇。

[pdf-embedder url="https://www.aqdh.com/wp-content/uploads/2017/11/GBT20984-2007.pdf"]