背景
《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估方法》(GB/T20984—2022)已于2022年4月15日發(fā)布,將于2022年11月1日正式實(shí)施。作為我國信息安全領(lǐng)域的基礎(chǔ)性標(biāo)準(zhǔn),該標(biāo)準(zhǔn)自第一版發(fā)布以來,有效指導(dǎo)了我國信息安全風(fēng)險(xiǎn)評估工作開展,成為了國家各級(jí)網(wǎng)絡(luò)安全主管機(jī)關(guān)、各行業(yè)主管部門開展信息安全管理工作的重要抓手,為國家網(wǎng)絡(luò)安全保障體系的搭建、保障我國數(shù)字經(jīng)濟(jì)的高質(zhì)量發(fā)展作出了貢獻(xiàn)。
為進(jìn)一步適應(yīng)國家網(wǎng)絡(luò)安全戰(zhàn)略需要,在全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)的指導(dǎo)下,國家信息中心組織開展了GB/T20984—2007的修訂工作。標(biāo)準(zhǔn)編制組以落實(shí)新時(shí)代法律法規(guī)和政策文件對信息安全風(fēng)險(xiǎn)評估工作的新要求,適應(yīng)新時(shí)代云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等新技術(shù)新應(yīng)用對信息安全風(fēng)險(xiǎn)評估工作的新需求,引領(lǐng)國際信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)的新發(fā)展為目標(biāo),形成了GB/T20984—2022標(biāo)準(zhǔn)。
標(biāo)準(zhǔn)主要變化
GB/T20984—2022的主要變化可以概括為“四主一被”五個(gè)方面。其中,“一被”是指一個(gè)被動(dòng)變化,主要體現(xiàn)在標(biāo)準(zhǔn)名稱的變化;“四主”是指四個(gè)主動(dòng)變化,主要體現(xiàn)在風(fēng)險(xiǎn)評估理念的調(diào)整、風(fēng)險(xiǎn)評估流程的調(diào)整、風(fēng)險(xiǎn)呈現(xiàn)視角的調(diào)整,以及風(fēng)險(xiǎn)評估對象的調(diào)整。具體如下:
- 標(biāo)準(zhǔn)名稱的修訂。遵照《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》(GB/T1.1—2020)第4章關(guān)于標(biāo)準(zhǔn)文件類別的定義,將名稱修改為《信息安全技術(shù)
信息安全風(fēng)險(xiǎn)評估方法》。
- 風(fēng)險(xiǎn)評估理念的調(diào)整。在網(wǎng)絡(luò)空間對抗加劇的大背景下,將原有以保護(hù)“資產(chǎn)”為核心,以“脆弱性”發(fā)現(xiàn)為側(cè)重的風(fēng)險(xiǎn)評估理念,調(diào)整到以保“業(yè)務(wù)”為核心,以御“威脅”為牽引的風(fēng)險(xiǎn)評估方法。
- 風(fēng)險(xiǎn)評估流程的調(diào)整。站在組織視角科學(xué)界定業(yè)務(wù)的重要性,結(jié)合業(yè)務(wù)所處的內(nèi)外部環(huán)境,統(tǒng)籌識(shí)別威脅源和攻擊路徑,客觀評價(jià)安全防護(hù)措施有效性和威脅攻擊路徑中存在的防護(hù)薄弱環(huán)節(jié),并綜合分析組織面臨的安全風(fēng)險(xiǎn)。
- 風(fēng)險(xiǎn)呈現(xiàn)視角的調(diào)整。新標(biāo)準(zhǔn)將傳統(tǒng)的基于單個(gè)資產(chǎn)的碎片化風(fēng)險(xiǎn)呈現(xiàn)方式,調(diào)整為以支撐業(yè)務(wù)安全風(fēng)險(xiǎn)管控為目標(biāo)的整體化、雙層次風(fēng)險(xiǎn)展現(xiàn)方式。
- 風(fēng)險(xiǎn)評估對象的調(diào)整。新標(biāo)準(zhǔn)將傳統(tǒng)面向系統(tǒng)資產(chǎn)的風(fēng)險(xiǎn)評估方法調(diào)整為面向業(yè)務(wù)和系統(tǒng)資產(chǎn)。同時(shí),將系統(tǒng)資產(chǎn)的范疇擴(kuò)展為信息系統(tǒng)、數(shù)據(jù)資源和基礎(chǔ)網(wǎng)絡(luò)。
標(biāo)準(zhǔn)應(yīng)用的重點(diǎn)和難點(diǎn)
在新標(biāo)準(zhǔn)的應(yīng)用過程中,針對資產(chǎn)識(shí)別和分析、威脅識(shí)別和分析、安全措施有效性分析、風(fēng)險(xiǎn)分析和計(jì)算、風(fēng)險(xiǎn)評價(jià)和呈現(xiàn)等方面需要重點(diǎn)關(guān)注,也是在標(biāo)準(zhǔn)落地執(zhí)行過程中的難點(diǎn)。
- 資產(chǎn)識(shí)別和分析。在資產(chǎn)識(shí)別過程中,應(yīng)基于業(yè)務(wù)的范圍和邊界,開展業(yè)務(wù)資產(chǎn)、系統(tǒng)資產(chǎn)、系統(tǒng)組件和單元資產(chǎn)層級(jí)的劃分和識(shí)別。
- 威脅識(shí)別和分析。在威脅識(shí)別過程中,應(yīng)基于組織的業(yè)務(wù)特點(diǎn)和內(nèi)外部環(huán)境,分析存在的威脅源和攻擊路徑。同時(shí),依據(jù)威脅的行為能力、頻率和時(shí)機(jī)進(jìn)行威脅分析。
- 安全措施有效性分析。新標(biāo)準(zhǔn)將安全措施分為預(yù)防性安全措施和保護(hù)性安全措施兩種。應(yīng)結(jié)合威脅攻擊路徑,并行開展脆弱性和已有安全防護(hù)措施識(shí)別,并對已有安全措施的有效性進(jìn)行確認(rèn)。
- 風(fēng)險(xiǎn)分析和計(jì)算。在進(jìn)行風(fēng)險(xiǎn)分析和計(jì)算時(shí),針對不同時(shí)機(jī)的威脅源動(dòng)機(jī)和能力變化、同層級(jí)資產(chǎn)之間的重要性關(guān)聯(lián)傳導(dǎo)、不同層級(jí)資產(chǎn)之間的重要性繼承等,進(jìn)行系統(tǒng)風(fēng)險(xiǎn)的分析和風(fēng)險(xiǎn)值計(jì)算。
- 風(fēng)險(xiǎn)評價(jià)和呈現(xiàn)。最終的評價(jià)同資產(chǎn)分層保持一致,基于系統(tǒng)資產(chǎn)風(fēng)險(xiǎn)評價(jià)結(jié)果,通過業(yè)務(wù)依賴關(guān)系推導(dǎo)業(yè)務(wù)風(fēng)險(xiǎn)結(jié)果。
轉(zhuǎn)自:公安部網(wǎng)絡(luò)安全等級(jí)保護(hù)中心微信公眾號(hào)
原作者:國家信息中心 陳永剛
軟件及信息系統(tǒng)檢驗(yàn)檢測服務(wù):
詳詢:028-87674900或173 6105 5003?
關(guān)注我司微信公眾號(hào),了解更多信息
客服微信
