前言
近年来,信息安全风险评估工作逐步在国家基础信息网络及重要行业信息系统中普遍推行,信息安全风险评估是信息安全保障工作的基础和重要环节,日前, GB/T 20984-2022 《信息安全技术 信息安全风险评估方法》发布,将于2022年11月1日正式实施,全部代替2007版。
对GB/T 20984-2007《信息安全技术 信息安全风险评估规范》和GB/T 20984-2022 《信息安全技术 信息安全风险评估方法》主要差异进行叙述。
什么是信息安全风险评估?
信息安全风险评估是指对特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害进行识别、分析和评价的整个过程。
新旧标准的主要变化
名称变更
原名称:《信息安全技术 信息安全风险评估规范》
现在名称:《信息安全技术 信息安全风险评估方法》
风险实施流程
2007版的风险实施流程分为风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析六个阶段。
2022版的实施流程分为评估准备、风险识别、风险分析和风险评价四个阶段。其中资产识别是风险评估的核心环节,将资产识别工作前置,先识别资产,再识别威胁、脆弱性和已有安全措施。如下图所示:
新版标准中,风险分析和风险评价两个阶段的内容由旧版标准中风险分析阶段的风险计算和风险结果判定优化而来,并移除了旧版标准中风险处理计划和残余风险评估的内容。此外,新版标准定义了沟通与协商机制,要求风险评估实施团队在进行评估工作时与内部相关方和外部相关方均保持沟通。与旧版标准对比,新版标准的流程更加直观清晰、可操作性更强。
在资产识别过程中增加业务识别
2007版评估标准中,根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。
2022版本中,新增业务识别。业务是实现组织发展规划的具体活动,业务识别是风险评估的关键环节。资产按照层次划分为业务资产、系统资产、系统组件和单元资产。资产识别从三个层次进行识别,识别业务资产→识别系统资产→识别系统组件和单元资产,如下图所示:
简化了风险要素关系图
2007版和2022版的风险基本要素相同,均为资产、风险、安全措施、威胁和脆弱性。2022版简化了风险要素关系图,没有在图中体现业务战略、资产价值、安全需求、安全事件、残余风险等与风险基本要素相关的属性,如下图所示:
完善了风险要素的属性
如下表所示:
风险计算
2007版根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。
2022版将风险值分为资产风险值和业务风险值。首先,根据计算出的安全事件发生的可能性以及安全事件造成的损失,计算系统资产风险值。然后,根据业务所涵盖的系统资产风险综合计算得出业务风险值。