暂无图片
暂无图片
暂无图片
暂无图片
暂无图片
首页 / 关于信息安全风险评估,一文讲清楚了

关于信息安全风险评估,一文讲清楚了

优炫软件 2022-05-28
2717

近年来,信息安全风险评估工作逐步在国家基础信息网络及重要行业信息系统中普遍推行,信息安全风险评估是信息安全保障工作的基础和重要环节,日前, GB/T 20984-2022 《信息安全技术 信息安全风险评估方法》发布,将于2022年11月1日正式实施,全部代替2007版。

对GB/T 20984-2007《信息安全技术  信息安全风险评估规范》和GB/T 20984-2022 《信息安全技术 信息安全风险评估方法》主要差异进行叙述。

1

标准差异化分析

1.1 标准主题结构对比

GB/T 20984-2007

GB/T 20984-2022

与GB/T 20984—2007相比,除结构调整和编辑性改动外,主要技术变化如下:

1范围

2规范性引用文件

3术语和定义

4风险评估框架及流程

4.1风险要素关系

4.2风险分析原理

4.3实施流程

5风险评估实施

5.1风险评估准备

5.2资产识别

5.3威胁识别

5.4脆弱性识别

5.5已有安全措施确认

5.6风险分析

5.7风险评估文档记录

6信息系统生命周期各阶段的风险评估

6.1信息系统生命周期概述

6.2规划阶段的风险评估

6.3设计阶段的风险评估

6.4实施阶段的风险评估

6.5  运行维护阶段的风险评估

6.6废弃阶段的风险评估

7风险评估的工作形式

7.1概述

7.2自评估

7.3检查评估

1范围

2规范性引用文件

3术语和定义

3.1术语和定义

3.2缩略语

4风险评估框架流程

4.1风险要素关系

4.2风险分析原理

4.3风险评估流程

5风险评估实施

5.1风险评估准备

5.2风险识

5.3风险分析

5.4风险评价

5.5沟通与协商

5.6风险评估文档记录

a)增加了“业务”和“信息系统生命周期”(见3.4和3.7);

b)删除了“业务战略”的术语和定义(见2007年版的3.4);

c)删除了“资产"“"资产价值”"可用性”"保密性”"信息系统”“完整性""残余风险"“安全事件""威胁”和“脆弱性”的术语和定义(见2007年版的3.1、3.2,3.3,3.5.3.8.3.10.3.12.3.14,3.17和3.18);

d)更改了风险评估框架及流程中的风险要素关系﹑风险分析原理和评估实施流程(见第4章,2007年版的第4章);

e)更改了风险评估实施过程中风险要素识别和关联分析内容(见5.2和5.3,2007年版的5.2、5.3,5.4、5.5和5.6);

附录A  (资料性附录) 风险的计算方法

A.1使用矩阵法计算风险

A.2使用相乘法计算风险

附录B  (资料性附录)风险评估的工具

B.1风险评估与管理工具

B.2系统基础平台风险评估工具

B.3风险评估辅助工具

参考文献

附录A  (资料性)评估对象生命周期各阶段的风险评估

附录B  (资料性)风险评估的工作形式

附录C  (资料性)风险评估的工具

附录D  (资料性)资产识别

附录E  (资料性)威胁识别

附录F  (资料性)风险计算示例

f)将原标准中评估对象生命周期各阶段的风险评估和风险评估的工作形式调整到规范性附录A和资料性附录B中(见附录A和附录B,2007年版的第6章和第7章)。


1.2 标准名称变化


1

原标准名称:

GB/T 20984-2007《信息安全技术  信息安全风险评估规范》


2

新标准名称:

GB/T 20984-2022 《信息安全技术 信息安全风险评估方法》



1.3 风险实施流程变化



2007

2007版的风险实施流程分为风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析六个阶段。



2022


2022版的实施流程分为评估准备、风险识别、风险分析和风险评价四个阶段。其中资产识别是风险评估的核心环节,将资产识别工作前置,先识别资产,再识别威胁、脆弱性和已有安全措施。


1.4 资产识别过程变化

资产识别过程新增业务识别



2007


2007版评估标准中,根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型




2022

2022版本中,新增业务识别。业务是实现组织发展规划的具体活动,业务识别是风险评估的关键环节。资产按照层次划分为业务资产、系统资产、系统组件和单元资产。资产识别从三个层次进行识别,识别业务资产识别系统资产识别系统组件和单元资产。

1.5风险要素变化


简化了风险要素关系图


2007版和2022版的风险基本要素相同,均为资产、风险、安全措施、威胁和脆弱性。2022版简化了风险要素关系图,没有在图中体现业务战略、资产价值、安全需求、安全事件、残余风险等与风险基本要素相关的属性,如下图所示:



完善了风险要素的属性



1.6风险计算变化
1

2007

2007版根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。






2

2022

2022版将风险值分为资产风险值和业务风险值。首先,根据计算出的安全事件发生的可能性以及安全事件造成的损失,计算系统资产风险值。然后,根据业务所涵盖的系统资产风险综合计算得出业务风险值。


1.7新版标准意义


本标准可以作为国家网络安全主管部门、行业监管机构、各重要行业网络安全保障单位、第三方网络安全检测评估机构、安全服务厂商提供开展网络安全检测评估工作的技术标准和依据。为国家各行业、各领域的信息化与网络安全建设工作提供重要的决策依据与成效评价,为各行业网络安全主管部门提升网络安全管理水平提供重要抓手。



优炫安全风险评估服务


采用专业工具扫描(漏洞扫描等)、人工评估、渗透测试三种相结合的方式对各种网络与信息系统进行评估。


服务优势

优炫安全风险评估服务提供风险处置服务,根据客户实际情况进行风险规避、风险降低、风险分担、风险承受。


在风险处理方面:协助用户制定安全加固方案;

在日常运维方面:提供安全值守、咨询及支持服务,通过安全产品解决已知的安全风险。

在安全管控方面:提供安全支持服务,并根据国家及行业标准制定信息安全管理体系,针对安全管理员提供安全培训,当安全事件发生时,提供应急的安全分析,紧急响应服务等。


客户价值

通过优炫软件安全风险评估,企业将更好的了解安全漏洞,防御修补漏洞,减轻考核压力,预防风险隐患导致的安全损失,满足网络安全法标准、等保风险评估要求。


-FIN-


信息安全信息安全管理体系网络安全风险评估信息安全标准
文章转载自优炫软件,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

评论