安全研究

News information

标准解读丨GB/T 20984-2022《信息安全技术 信息安全风险评估方法》

<<返回

2022年10月11日 09:50

前言:

GB/T 20984-2022《信息安全技术 信息安全风险评估方法》(以下简称新版标准)由国家市场监督管理总局、国家标准化管理委员会批准发布(2022年第6号中国国家标准公告),于2022年11月1日起正式实施,该标准代替GB/T 20984-2007《信息安全技术信息安全风险评估规范》(以下简称旧版标准),是GB/T 20984自2007年发布以来的首次修改。



01.
什么是信息安全风险评估?



信息安全风险评估是指对特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害进行识别、分析和评价的整个过程。



02.
新版标准的主要内容是什么?



新版标准描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。


在资产识别中,基于业务的范围和边界,分析对业务资产、系统资产、系统组件和单元资产进行识别与分析赋值。业务成为风险评估的最高管控对象。


在威胁识别中,从威胁的来源、主体、动机等角度出发,根据威胁的行为能力和频率,结合威胁的不同时机进行识别和分析。


在已有安全措施分析中,将安全措施进行保护性和预防性的分类,结合威胁对已有安全措施的有效性进行分析。


在脆弱性识别中,从管理和技术两个角度出发,对脆弱性被威胁利用的难易程度以及脆弱性被利用后对资产造成的损失进行分析。


在风险分析与评价中,依据风险计算模型对单个资产的风险进行风险值的计算与等级划分,并按照一定的规则,从资产的风险现状推断出业务的风险情况。



03.
新版标准相比旧版标准有哪些改变呢?




1、更改了标准名称


原来的《信息安全技术 信息安全风险评估规范》改为《信息安全技术 信息安全风险评估方法》,标准编号仍然为20984,年号更改为2022。



2、优化了风险评估流程


新版标准的风险评估流程分为评估准备、风险识别、风险分析和风险评价四个阶段。其中,风险识别阶段包括资产识别、威胁识别、已有安全措施识别和脆弱性识别四个部分的内容。


新版标准中,风险分析和风险评价两个阶段的内容由旧版标准中风险分析阶段的风险计算和风险结果判定优化而来,并移除了旧版标准中风险处理计划和残余风险评估的内容。此外,新版标准定义了沟通与协商机制,要求风险评估实施团队在进行评估工作时与内部相关方和外部相关方均保持沟通。与旧版标准对比,新版标准的流程更加直观清晰、可操作性更强。


1.png

▲旧版流程


2.png

▲新版流程



3、调整了风险识别的内容
新版标准对风险识别的内容进行了比较大的修改。


  • 在资产识别中将按层次划分成业务资产、系统资产、系统组件和单元资产

不同层次的关系成为重要的分析内容。资产保护对象从多个“单一资产”为核心到以企业的“业务”为核心。


3.png


  • 威胁识别中的赋值方法得到优化

旧版标准仅提出从威胁出现频率的角度进行赋值。新版标准则要求在进行威胁赋值时要依据威胁的行为能力和频率,并结合威胁发生的时机进行综合评价。


  • 修改了脆弱性赋值机制

旧版标准在进行脆弱性赋值时考虑的是脆弱性的严重程度,新版标准则规定须在充分考虑已有安全措施的作用下,分别对脆弱性被利用的难易程度赋值和脆弱性影响程度进行赋值。



4、改进了风险分析原理


在风险分析原理中,新版标准的风险值依旧通过对安全事件发生的可能性和安全事件造成的损失计算而来。


不一样的是,旧版标准中安全事件发生的可能性由威胁出现的频率和脆弱性严重程度决定,安全事件造成的损失由脆弱性严重程度和资产价值决定。而在新版标准中,威胁的赋值和脆弱性被利用的难易程度决定安全事件发生的可能性,脆弱性的影响程度和资产价值决定安全事件造成的损失。具体变化如下:


4.png

▲旧版风险计算原理


5.png

▲新版风险计算原理


此外,风险的描述视角也进行了调整。新标准将原先基于单个资产的碎片化风险呈现方式,调整为以对业务整体安全风险进行管控为目标,从资产到业务的风险逐级进行分析的评价机制。



04.
新版标准的发布有什么意义?



近年来,党和国家高度重视网络安全工作,《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》等重要法律法规相继颁布实施,同时,伴随着信息技术深入到生活的各个方面,网络安全工作已成为国家、社会、组织中不可缺少的一部分。


为应对网络安全形势的变化,满足法律法规的最新要求,解决旧版标准在个别场景下存在局限性的问题,新版标准应声而来。


新版标准为网络安全保护工作部门、重要行业和领域的主管部门、信息系统运营单位、安全服务厂商等开展信息安全风险评估工作提供参考依据,为网络安全建设工作提供技术指导和效果评价方法,能极大促进网络安全工作的实施。



05.
六方云风险评估服务介绍:



为帮助各类组织和单位全面、有效地梳理信息安全现状,评估各业务的整体风险,指导进行整改建设工作,六方云面向各行业、各领域的企业推出风险评估服务。



1、服务内容:


协助用户梳理系统资产,根据相关要求进行资产识别、威胁识别、已有安全措施识别、脆弱性识别工作,并对用户单位存在的风险进行分析和评价,为用户网络安全工作提出整改建议。



2、服务优势:


  • 标准化的风险评估流程和内容

六方云依据GB/T 20984-2022《信息安全技术信息安全风险评估方法》、GB/T 31509-2015《信息安全技术信息安全风险评估实施指南》制定风险评估服务流程,在评估工作中严格依照风险评估准备、风险识别、风险分析和风险评价的流程进行。


  • 科学的评估方法

六方云风险评估服务在实施过程中主要采取人工访谈、文档查阅、基线检查、渗透测试、漏洞扫描、漏洞静态分析等手段。在对企业的系统进行深度调研后,风险评估实施人员将依据企业系统的业务运行情况选择合理、安全的手段进行评估。


  • 深度的“工控安全”体检

六方云对《信息安全技术工业控制系统风险评估实施指南》(GB/T 36466-2018)及《工业控制系统信息安全防护指南》以及各行业、各领域的标准和相关要求进行过深入的研究,评估工作以贴合客户的工业控制系统实际需求为出发点,帮助客户理清工业控制系统的安全现状与国家法规、行业标准的差距,指导客户建立工业控制系统的安全防护体系。此外,六方云工控实验室致力于对工业控制系统的安全研究,为工控安全风险评估提供有力的技术支持。