ICS 35.030 CCS L 80
中华人民共和国国家标准
GB/T 20984—2022 代替GB/T20984—2007
信息安全技术 信息安全风险评估方法Information security technology——Risk assessment method for information security
2022-04-15发布2022-11-01实施
国家市场监督管理总局
发 布
国家标准化管理委员会
GB/T 20984—2022
信息安全技术 信息安全风险评估方法
1 范围
本文件描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法，以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。
本文件适用于各类组织开展信息安全风险评估工作。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改版）适用于本文件。
GB/T 25069 信息安全技术 术语
GB/T 33132—2016 信息安全技术 信息安全风险处理实施指南
3 术语和定义、缩略语3.1 术语和定义
GB/T 25069界定的以及下列术语和定义适用于本文件。3.1.1
信息安全风险 information security risk
特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害。注：它以事态的可能性及其后果的组合来度量。【来源：GB/T 31722—2015，3.2】3.1.2
风险评估 risk assessment
风险识别、风险分析和风险评价的整个过程。【来源：GB/T29246—2017，2.71】注：本文件专指信息安全风险评估。3.1.3
组织 organization
具有自身的职责、权威和关系以实现其目标的个人或集体。
注：组织的概念包括但不限于个体经营者、公司、法人、商行、企业、机关、合伙关系、慈善机构或院校，或者其部分或
组合，无论注册成立与否、是公共的还是私营的。【来源：GB/T29246—2017，2.57，有修改】3.1.4
业务 business
组织为实现某项发展规划而开展的运营活动。注：该活动具有明确的目标，并延续一段时间。
GB/T 20984—2022 3.1.5
安全需求 security requirement
为保证组织业务规划的正常运作而在安全措施方面提出的要求。3.1.6
安全措施 security control
保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制。3.1.7
信息系统生命周期 information system lifecycle
信息系统的各个生命阶段，包括规划阶段、设计阶段、实施阶段、运行维护阶段和废弃阶段。【来源：GB/T 31509—2015，3.1.2】3.1.8
自评估 self-assessment
由评估对象所有者自身发起，组成机构内部的评估小组，依据国家有关法规与标准，对评估对象安全管理进行评估的活动。
【来源：GB/T28453—2012，3.2，有修改】3.1.9
检查评估 inspection assessment
由评估对象所有者的上级主管部门、业务主管部门或国家相关监管部门发起，依据国家有关法规与标准，对评估对象安全管理进行的评估活动。
【来源：GB/T 28453—2012，3.3，有修改】3.2 缩略语
下列缩略语适用于本文件。App：应用程序（Application）IT：信息技术（Information Technology）PaaS：平台即服务（Platform as a Service）UPS：不间断电源（Uninterrupted Power Supply）VPN：虚拟专用网络（Virtual Private Network）
4 风险评估框架及流程4.1 风险要素关系
风险评估中基本要素的关系如图1所示。风险评估基本要素包括资产、威胁、脆弱性和安全措施，并基于以上要素开展风险评估。