全国服务热线:18684048962(微信同号)
GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》 解析文章69
发表时间:2023-08-01 09:40 GB/T 20984-2007《信息安全技术 信息安全风险评估规范》是中国国家标准之一,旨在规范信息安全风险评估的过程和实施方法。 以下是该标准的几个关键点: 1、基本术语和定义: 标准对信息安全风险评估相关的基本术语和定义进行了明确阐述,包括资产、威胁、脆弱性、安全事件、风险等。 2、风险评估模型: 标准采用了资产威胁模型和脆弱性风险模型两种方法来评估信息安全风险,具体取决于组织的信息安全需求和风险承受能力。 3、风险评估过程: 标准将信息安全风险评估分为四个阶段,分别是准备、评估、报告和跟进阶段,每个阶段需要实施一系列活动和工作任务。 4、评估工具和方法: 标准推荐了一系列评估工具和方法,如资产估值、威胁评估、脆弱性扫描、风险矩阵等,但实施者应根据实际情况选择合适的工具和方法。 5、人员和职责: 标准要求组织应指定专门的人员负责实施风险评估,并建立相应的管理机制,确保风险评估的准确性和有效性。 总之,GB/T 20984-2007《信息安全技术 信息安全风险评估规范》为国家标准,为组织开展信息安全风险评估提供了指导和规范,有助于组织提高信息安全保障能力,防范信息安全风险。 标签:信息安全、风险评估 |