Q/GDW 1596-2015代替Q/GDW 596-2011
国家电网公司信息安全风险评估实施细则
Risk assessment rules for information security in State Grid Corporation of China
2016-11-09实施
2016-11-09发布
前 言
为了适应国家电网公司信息化建设及信息系统安全防护发展需求，依据GB/T20984—2007《信息安全技术 信息安全风险评估规范》和 GB/T31509—2015《信息安全技术 信息安全风险评估实施指南》，结合公司信息安全管理相关要求和 O/GDW 1594—2011《国家电网公司管理信息系统安全防护技术要求》，对 O/GDW596—2011《国家电网公司信息安全风险评估实施细则》进行修订形成本标准。
本标准代替 Q/GDW 596—2011，与O/GDW 596—2011相比主要技术性差异如下;
——第3章中，增加了术语"资产评估"、"资产赋值"，删除术语"业务战略"、"残余风险"，修改术语"机密性"为"保密性"，根据GB/T25069、GB/T20984 对所有术语定义进行了梳理，给出了术语定义来源∶
——增加了第4章，对标准中出现的缩略语进行了解释;
——增加了第5章，对信息安全风险评估的整体流程及本标准与公司其它标准的关系进行了解释;
——增加了规范性附录A，内容是原标准第6章中的脆弱性评估表;
——删除了原标准"规范性引用文件"中列出的实际未引用的标准文件;
——删除了原标准中与要求无关的解释性内容，部分内容转化为术语进行了定义;
——删除了原标准第 4章中的公司信息系统资产赋值表，以免公司敏感信息泄露;
——修改了风险评估实施流程和资产评估、威胁评估、脆弱性评估的实施内容，其中风险评估实施过程中通用的要求均修改为按照GB/T31509—2015相关要求执行;
——修改了脆弱性评估实施和赋值方法据，并依据公司近年来发布的信息安全管理和防护技术要求对附录A 内容进行了重新梳理。原标准中"运维脆弱性"纳入"管理脆弱性"中。
本标准由国家电网公司信息通信部提出并解释。
本标准由国家电网公司科技部归口。
1 范围
本标准规定了公司管理信息系统安全风险评估实施的基本原则、流程和资产评估、威胁评估、脆弱性评估的具体方法。
本标准适用于公司总部和各单位开展信息安全风险评估、信息安全检香、信息安全评价等工作。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。