信息安全技术 信息安全风险评估规范 GB/T 20984-2007
信息安全技术
信息安全风险评估规范
中华人民共和国国家标准 GB/T 20984-2007
Information security technology - Risk assessment specification for information security
2007一06一14发布2007一11一01实施
中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 发布
目次
前言
引言
1 范围
2 规范性引用文件
3 术语和定义
4 风险评估框架及流程
4.1 风险要素关系
4.2 风险分析原理
4.3 实施流程
5 风险评估实施
5.1 风险评估准备
5.2 资产识别
5.3 威胁识别
5.4 脆弱性识别
5.5 已有安全措施确认
5.6 风险分析
5.7 风险评估文档记录
6 信息系统生命周期各阶段的风险评估
6.1 信息系统生命周期概述
6.2 规划阶段的风险评估
6.3 设计阶段的风险评估
6.4 实施阶段的风险评估
6.5 运行维护阶段的风险评估
6.6 废弃阶段的风险评估
7 风险评估的工作形式
7.1 概述
7.2 自评估
7.3 检查评估
附录A (资料性附录) 风险的计算方法
A.1 使用矩阵法计算风险
A.2 使用相乘法计算风险
附录B (资料性附录) 风险评估的工具
B.1 风险评估与管理工具
B.2 系统基础平台风险评估工具
B.3 风险评估辅助工具
参考文献
前言
本标准的附录A和附录B是资料性附录。
本标准由国务院信息化工作办公室提出。
本标准由全国信息安全标准化技术委员会归口。
本标准主要起草单位:国家信息中心、公安部第三研究所、国家保密技术研究所、中国信息安全产品测评认证中心、中国科学院信息安全国家重点实验室、解放军信息技术安全研究中心、中国航天二院七0六所、北京信息安全测评中心、上海市信息安全测评认证中心。
本标准主要起草人:范红、吴亚非、李京春、马朝斌、李篙、应力、王宁、江常青、张鉴、赵敬宇。
[pdf-embedder url="https://www.aqku.com/wp-content/uploads/2017/11/GBT20984-2007.pdf"]