新版信息安全风险评估方法的主要内容和意义

GB/T 20984-2022《信息安全技术 信息安全风险评估方法》（以下简称新版标准）由国家市场监督管理总局、国家标准化管理委员会批准发布（2022年第6号中国国家标准公告），于2022年11月1日起正式实施，该标准代替GB/T 20984-2007《信息安全技术信息安全风险评估规范》（以下简称旧版标准），是GB/T 20984自2007年发布以来的首次修改。

一、什么是信息安全风险评估？

信息安全风险评估是指对特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害进行识别、分析和评价的整个过程。

二、新版标准的主要内容是什么？

新版标准描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法，以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。

在资产识别中，基于业务的范围和边界，分析对业务资产、系统资产、系统组件和单元资产进行识别与分析赋值。业务成为风险评估的最高管控对象。

在威胁识别中，从威胁的来源、主体、动机等角度出发，根据威胁的行为能力和频率，结合威胁的不同时机进行识别和分析。

在已有安全措施分析中，将安全措施进行保护性和预防性的分类，结合威胁对已有安全措施的有效性进行分析。

在脆弱性识别中，从管理和技术两个角度出发，对脆弱性被威胁利用的难易程度以及脆弱性被利用后对资产造成的损失进行分析。

在风险分析与评价中，依据风险计算模型对单个资产的风险进行风险值的计算与等级划分，并按照一定的规则，从资产的风险现状推断出业务的风险情况。

三、新版标准的发布有什么意义？

近年来，党和国家高度重视网络安全工作，《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》等重要法律法规相继颁布实施，同时，伴随着信息技术深入到生活的各个方面，网络安全工作已成为国家、社会、组织中不可缺少的一部分。

为应对网络安全形势的变化，满足法律法规的最新要求，解决旧版标准在个别场景下存在局限性的问题，新版标准应声而来。

新版标准为网络安全保护工作部门、重要行业和领域的主管部门、信息系统运营单位、安全服务厂商等开展信息安全风险评估工作提供参考依据，为网络安全建设工作提供技术指导和效果评价方法，能极大促进网络安全工作的实施。