GB/T 20984-2022《信息安全技術 信息安全風險評估方法》(以下簡稱新版標準)由國家市場監督管理總局���、國家標準化管理委員會批準發布(2022年第6號中國國家標準公告)���,于2022年11月1日起正式實施�,該標準代替GB/T 20984-2007《信息安全技術信息安全風險評估規范》(以下簡稱舊版標準)�����,是GB/T 20984自2007年發布以來的首次修改�。
信息安全風險評估是指對特定威脅利用單個或一組資產脆弱性的可能性以及由此可能給組織帶來的損害進行識別����、分析和評價的整個過程�。
新版標準描述了信息安全風險評估的基本概念�����、風險要素關系�����、風險分析原理�����、風險評估實施流程和評估方法���,以及風險評估在信息系統生命周期不同階段的實施要點和工作形式�����。
在資產識別中����,基于業務的范圍和邊界����,分析對業務資產����、系統資產��、系統組件和單元資產進行識別與分析賦值��。業務成為風險評估的最高管控對象�����。
在威脅識別中��,從威脅的來源��、主體��、動機等角度出發�����,根據威脅的行為能力和頻率����,結合威脅的不同時機進行識別和分析���。
在已有安全措施分析中����,將安全措施進行保護性和預防性的分類���,結合威脅對已有安全措施的有效性進行分析�。
在脆弱性識別中��,從管理和技術兩個角度出發��,對脆弱性被威脅利用的難易程度以及脆弱性被利用后對資產造成的損失進行分析��。
在風險分析與評價中���,依據風險計算模型對單個資產的風險進行風險值的計算與等級劃分����,并按照一定的規則��,從資產的風險現狀推斷出業務的風險情況��。
原來的《信息安全技術 信息安全風險評估規范》改為《信息安全技術 信息安全風險評估方法》�����,標準編號仍然為20984�����,年號更改為2022�����。
新版標準的風險評估流程分為評估準備��、風險識別�、風險分析和風險評價四個階段�����。其中�,風險識別階段包括資產識別����、威脅識別���、已有安全措施識別和脆弱性識別四個部分的內容�����。
新版標準中�,風險分析和風險評價兩個階段的內容由舊版標準中風險分析階段的風險計算和風險結果判定優化而來�,并移除了舊版標準中風險處理計劃和殘余風險評估的內容�。此外��,新版標準定義了溝通與協商機制����,要求風險評估實施團隊在進行評估工作時與內部相關方和外部相關方均保持溝通���。與舊版標準對比�,新版標準的流程更加直觀清晰�����、可操作性更強���。
▲舊版流程
▲新版流程
新版標準對風險識別的內容進行了比較大的修改����。
不同層次的關系成為重要的分析內容����。資產保護對象也從多個“單一資產”為核心到以企業的“業務”為核心��。
舊版標準僅提出從威脅出現頻率的角度進行賦值����。新版標準則要求在進行威脅賦值時要依據威脅的行為能力和頻率�����,并結合威脅發生的時機進行綜合評價�。
舊版標準在進行脆弱性賦值時考慮的是脆弱性的嚴重程度���,新版標準則規定須在充分考慮已有安全措施的作用下����,分別對脆弱性被利用的難易程度賦值和脆弱性影響程度進行賦值����。
在風險分析原理中��,新版標準的風險值依舊通過對安全事件發生的可能性和安全事件造成的損失計算而來�。
不一樣的是���,舊版標準中安全事件發生的可能性由威脅出現的頻率和脆弱性嚴重程度決定�,安全事件造成的損失由脆弱性嚴重程度和資產價值決定�����。而在新版標準中�����,威脅的賦值和脆弱性被利用的難易程度決定安全事件發生的可能性�,脆弱性的影響程度和資產價值決定安全事件造成的損失��。具體變化如下:
▲舊版風險計算原理
▲新版風險計算原理
此外���,風險的描述視角也進行了調整����。新標準將原先基于單個資產的碎片化風險呈現方式����,調整為以對業務整體安全風險進行管控為目標�,從資產到業務的風險逐級進行分析的評價機制���。
近年來����,黨和國家高度重視網絡安全工作����,《中華人民共和國網絡安全法》���、《中華人民共和國數據安全法》�、《關鍵信息基礎設施安全保護條例》等重要法律法規相繼頒布實施�����,同時����,伴隨著信息技術深入到生活的各個方面�����,網絡安全工作已成為國家����、社會�、組織中不可缺少的一部分�。
為應對網絡安全形勢的變化�,滿足法律法規的最新要求�����,解決舊版標準在個別場景下存在局限性的問題���,新版標準應聲而來�����。
新版標準為網絡安全保護工作部門���、重要行業和領域的主管部門�、信息系統運營單位����、安全服務廠商等開展信息安全風險評估工作提供參考依據�����,為網絡安全建設工作提供技術指導和效果評價方法��,能極大促進網絡安全工作的實施�。
為幫助各類組織和單位全面����、有效地梳理信息安全現狀��,評估各業務的整體風險�����,指導進行整改建設工作����,六方云面向各行業�����、各領域的企業推出風險評估服務�。
協助用戶梳理系統資產���,根據相關要求進行資產識別�����、威脅識別����、已有安全措施識別�����、脆弱性識別工作�����,并對用戶單位存在的風險進行分析和評價����,為用戶網絡安全工作提出整改建議�。
六方云依據GB/T 20984-2022《信息安全技術信息安全風險評估方法》����、GB/T 31509-2015《信息安全技術信息安全風險評估實施指南》制定風險評估服務流程�����,在評估工作中嚴格依照風險評估準備���、風險識別��、風險分析和風險評價的流程進行����。
六方云風險評估服務在實施過程中主要采取人工訪談����、文檔查閱��、基線檢查�����、滲透測試����、漏洞掃描��、漏洞靜態分析等手段���。在對企業的系統進行深度調研后����,風險評估實施人員將依據企業系統的業務運行情況選擇合理�、安全的手段進行評估��。
六方云對《信息安全技術工業控制系統風險評估實施指南》(GB/T 36466-2018)及《工業控制系統信息安全防護指南》以及各行業���、各領域的標準和相關要求進行過深入的研究��,評估工作以貼合客戶的工業控制系統實際需求為出發點��,幫助客戶理清工業控制系統的安全現狀與國家法規��、行業標準的差距��,指導客戶建立工業控制系統的安全防護體系�����。此外�,六方云工控實驗室致力于對工業控制系統的安全研究���,為工控安全風險評估提供有力的技術支持���。
