ICS 35.040 L 80 中华人民共和国国家标准 GB/T 20984—2007 信息安全技术 信息安全风险评估规范 Information security technology— Risk assessment specification for information security 2007-06-14 发布 2007-11-01 实施 中华人民共和国国家质量监督检验检疫总局 发布 中 国 国 家 标 准 化 管 理 委 员 会 GB/T 20984—2007 目 次 前言 ................................................................................. II 引言 ................................................................................ III 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 风险评估框架及流程 .................................................................. 3 4.1 风险要素关系 ...................................................................... 3 4.2 风险分析原理 ...................................................................... 4 4.3 实施流程 .......................................................................... 4 5 风险评估实施 ........................................................................ 5 5.1 风险评估准备 ...................................................................... 5 5.2 资产识别 .......................................................................... 7 5.3 威胁识别 .......................................................................... 9 5.4 脆弱性识别 ....................................................................... 11 5.5 已有安全措施确认 ................................................................. 12 5.6 风险分析 ......................................................................... 12 5.7 风险评估文档记录 ................................................................. 14 6 信息系统生命周期各阶段的风险评估 ................................................... 15 6.1 信息系统生命周期概述 ............................................................. 15 6.2 规划阶段的风险评估 ............................................................... 15 6.3 设计阶段的风险评估 ............................................................... 15 6.4 实施阶段的风险评估 ............................................................... 16 6.5 运行维护阶段的风险评估 ........................................................... 16 6.6 废弃阶段的风险评估 ............................................................... 17 7 风险评估的工作形式 ................................................................. 17 7.1 概述 ............................................................................. 17 7.2 自评估 ........................................................................... 17 7.3 检查评估 ......................................................................... 17 附录 A （资料性附录）风险的计算方法 ................................................... 19 A.1 使用矩阵法计算风险 ............................................................... 19 A.2 使用相乘法计算风险 ............................................................... 22 附录 B （资料性附录）风险评估的工具 ................................................... 26 B.1 风险评估与管理工具 ............................................................... 26 B.2 系统基础平台风险评估工具 ......................................................... 27 B.3 风险评估辅助工具 ................................................................. 27 参 考 文 献 .......................................................................... 28 I GB/T 20984—2007 前言 （略） II GB/T 20984—2007 引言 随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强，信息安全问 题受到普遍关注。运用风险评估去识别安全风险，解决信息安全问题得到了广泛的认识和应用。 信息安全分析评估就是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威 胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对 策和整改措施，为防范和化解信息安全风险，将风险控制在可接受的水平，最大限度地保障信息安全提 供科学依据。 信息安全风险评估作为信息安全保障工作的基础性工作和重要环节，要贯穿于信息系统的规划、设 计、实施、运行维护以及废弃各个阶段，是信息安全等级保护制度建设的重要科学方法之一。 本标准条款中所指的“风险评估” ，其含义均为“信息安全风险评估”。 III GB/T 20984—2007 信息安全技术 信息安全风险评估指南 1 范围 本标准提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法，以及风险评估在 信息系统生命周期不同阶段的实施要点和工作形式。 本标准适用于规范组织开展的风险评估工作。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件，其随后所 有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方 研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB/T 9361 计算站场地安全要求 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 18336-2001 信息技术 安全技术 信息技术安全性评估准则（idt ISO/IEC 15408:1999） GB/T 19716-2005 信息技术 信息安全管理实用规则(ISO/IEC 17799:2000,MOD) 3 术语和定义 下列术语和定义适用于本标准。 3.1 资产 asset 对组织具有价值的信息或资源，是安全策略保护的对象。 3.2 资产价值 asset value 资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。 3.3 可用性 availability 数据或资源的特性，被授权实体按要求能访问和使用数据或资源。 3.4 业务战略 business strategy 组织为实现其发展目标而制定的一组规则或要求。 3.5 机密性 confidentiality 数据所具有的特性，即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的程度。 3.6 信息安全风险 information security risk 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造 1 GB/T 20984—2007 成的