一、标准修订背景
信息化技术的广泛应用,在提高科研、生产效率和质量的同时,也极大地增加了信息安全风险。目前解决信息安全问题普遍采用的方法是风险评估。现行的《GB/T 20984-2007 信息安全技术 信息安全风险评估规范》(以下简称“2007版”)是信息安全风险评估工作中的主要参考标准,于2007年正式发布并实施。
随着近年来《中华人民共和国网络安全法》等多个法律、法规和政策的出台,为满足国家网络安全相关法律法规提出的保障要求,适应新业务、新技术带来变化,《GB/T 20984-2022 信息安全技术 信息安全风险评估方法》(以下简称“2022版“)于2022年4月发布,将于2022年11月1日正式实施,全部代替2007版。
二、新标准的主要变化
名称变更
原名称:《信息安全技术 信息安全风险评估规范》
现在名称:《信息安全技术 信息安全风险评估方法》
风险实施流程
2007版的风险实施流程分为风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析六个阶段。
2022版的实施流程分为评估准备、风险识别、风险分析和风险评价四个阶段。其中资产识别是风险评估的核心环节,将资产识别工作前置,先识别资产,再识别威胁、脆弱性和已有安全措施。如下图所示:
在资产识别过程中增加业务识别
2007版评估标准中,根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。
2022版本中,新增业务识别。业务是实现组织发展规划的具体活动,业务识别是风险评估的关键环节。资产按照层次划分为业务资产、系统资产、系统组件和单元资产。资产识别从三个层次进行识别,识别业务资产→识别系统资产→识别系统组件和单元资产,如下图所示:
简化了风险要素关系图
2007版和2022版的风险基本要素相同,均为资产、风险、安全措施、威胁和脆弱性。2022版简化了风险要素关系图,没有在图中体现业务战略、资产价值、安全需求、安全事件、残余风险等与风险基本要素相关的属性,如下图所示:
完善了风险要素的属性
如下表所示:
风险计算
2007版根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。
2022版将风险值分为资产风险值和业务风险值。首先,根据计算出的安全事件发生的可能性以及安全事件造成的损失,计算系统资产风险值。然后,根据业务所涵盖的系统资产风险综合计算得出业务风险值。
结语
信息安全风险评估理念与方法的完善,将进一步提升网络安全的保障能力与水平。
作为新一代场景化网络安全综合解决方案供应商、国家高新技术企业,国舜安全服务体系包含安全技术服务、安全培训服务、安全咨询服务、攻防演练服务、安全运营服务、专项安全评估服务等多元化服务内容。
其中,信息安全风险评估服务由国舜高级测评工程师和咨询顾问组成评估团队,采用专业的漏洞测试工具和成熟的工作模板,从风险管理角度,运用科学的方法和手段,系统的分析信息系统面临的威胁和脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;助力防范和化解信息安全,将风险控制在可接受的水平,从而保障企业机构信息安全。
转自:Tsunamis
拓展阅读●●
原文始发于微信公众号(国舜股份):一文看懂:2022版《信息安全风险评估方法》发生了哪些新变化?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论