信息安全经典评估标准

中华人民共和国国家标准 ICS 35.040 L 80GB/T 20984—2007信息安全技术信息安全风险评估规范Information security technology —Risk assessment specification for information security2007-06-14发布 2007-11-01实施GB/T 20984—2007目次前言 (II)引言 (III)1范围 (1)2规范性引用文件 (1)3术语和定义 (1)4风险评估框架及流程 (3)4.1风险要素关系 (3)4.2风险分析原理 (4)4.3实施流程 (4)5风险评估实施 (5)5.1风险评估准备 (5)5.2资产识别 (7)5.3威胁识别 (9)5.4脆弱性识别 (11)5.5已有安全措施确认 (12)5.6风险分析 (12)5.7风险评估文档记录 (14)6信息系统生命周期各阶段的风险评估 (15)6.1信息系统生命周期概述 (15)6.2规划阶段的风险评估 (15)6.3设计阶段的风险评估 (15)6.4实施阶段的风险评估 (16)6.5运行维护阶段的风险评估 (16)6.6废弃阶段的风险评估 (17)7风险评估的工作形式 (17)7.1概述 (17)7.2自评估 (17)7.3检查评估 (17)附录A （资料性附录）风险的计算方法 (19)A.1 使用矩阵法计算风险 (19)A.2 使用相乘法计算风险 (22)附录B （资料性附录）风险评估的工具 (26)B.1 风险评估与管理工具 (26)B.2 系统基础平台风险评估工具 (27)B.3 风险评估辅助工具 (27)参考文献 (28)IGB/T 20984—2007前言（略）IIGB/T 20984—2007引言随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强，信息安全问题受到普遍关注。

运用风险评估去识别安全风险，解决信息安全问题得到了广泛的认识和应用。

信息安全风险评估级别
信息安全风险评估的级别通常根据其对信息系统和业务的影响程度来进行划分。

一般情况下，可以分为以下几个级别：
1. 低级别：对信息系统和业务影响较小的风险，可能会导致一些轻微的信息泄露或系统故障，但对整体运营影响较小，可以通过一些简单的措施进行控制和处理。

2. 中级别：对信息系统和业务影响较为显著的风险，可能会导致一定程度的信息泄露、数据损坏或系统故障，对业务运营造成一定的影响，需要采取较为细致的控制和处理措施。

3. 高级别：对信息系统和业务影响较为严重的风险，可能会导致严重的信息泄露、数据损坏或系统故障，对业务运营造成重大影响甚至瘫痪，需要采取高度严密的控制和应急处理措施。

4. 致命级别：对信息系统和业务影响极其严重的风险，可能会导致灾难性的信息泄露、数据损坏或系统崩溃，对业务运营造成毁灭性的影响，需要采取极端严格的控制和紧急处理措施。

这些级别只是一种常见的划分方式，具体情况还需要根据实际业务和信息系统的特点来确定。

信息安全技术—信息安全风险评估方法下载温馨提示：该文档是我店铺精心编制而成，希望大家下载以后，能够帮助大家解决实际的问题。

文档下载后可定制随意修改，请根据实际需要进行相应的调整和使用，谢谢!并且，本店铺为大家提供各种各样类型的实用资料，如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等，如想了解不同资料格式和写法，敬请关注!Download tips: This document is carefully compiled by the editor. I hope that after you download them, they can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you!In addition, our shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!信息安全风险评估是信息安全管理体系中的重要环节，在数字化时代，各种信息系统和网络设备的不断发展，也给信息安全带来了更多的挑战。

信息安全风险评估三级
（原创版）
目录
一、信息安全风险评估概述
二、信息安全风险评估的三个级别
三、一级信息安全风险评估
四、二级信息安全风险评估
五、三级信息安全风险评估
六、总结
正文
信息安全风险评估是信息安全管理的重要组成部分，通过对信息系统的脆弱性、威胁和风险进行评估，以确定信息系统的安全性。

信息安全风险评估分为三个级别，分别为一级、二级和三级。

一级信息安全风险评估主要针对基本的信息系统，评估范围相对较小，主要关注系统的可用性和完整性。

这一级别的评估主要通过问卷调查、检查表和现场考察等方式进行，以了解信息系统的基本情况，发现潜在的安全风险。

二级信息安全风险评估针对的是较为复杂的信息系统，评估范围相对较广，关注系统的可用性、完整性和保密性。

这一级别的评估需要对信息系统的各个方面进行深入分析，以识别系统的弱点和潜在威胁，为制定安全策略提供依据。

三级信息安全风险评估则是针对关键信息系统和涉及国家安全的信
息系统进行的评估。

这一级别的评估具有更高的要求和标准，需要对信息系统的各个方面进行全面、深入的分析，以确保信息系统的安全性。

三级评估涉及的方面包括系统的可用性、完整性、保密性和抗干扰能力等。

总之，信息安全风险评估是信息安全管理的重要手段，通过对信息系统的脆弱性、威胁和风险进行评估，以确保信息系统的安全性。

信息安全风险评估分为三个级别，分别为一级、二级和三级，不同级别的评估具有不同的要求和目标。

信息安全风险评估规范信息安全风险评估是企业信息安全管理的重要环节，它可以帮助企业全面了解自身信息系统的安全风险状况，有针对性地采取措施加以防范和控制。

本文将介绍信息安全风险评估的规范，以指导企业进行有效的信息安全风险评估。

首先，信息安全风险评估应当以全面性为原则。

评估范围应覆盖企业所有的信息系统和相关资源，包括硬件设备、软件系统、网络设施、数据资产等。

同时，还应考虑到外部环境因素对信息系统安全的影响，如政策法规变化、恶意攻击事件、自然灾害等，确保评估的全面性和准确性。

其次，信息安全风险评估需要科学的评估方法和工具支持。

评估方法应当基于风险管理的理论和实践，结合企业的实际情况，灵活选择适合的评估模型和工具。

同时，评估过程中应当充分借助专业的技术手段，如漏洞扫描工具、安全监测系统等，提高评估的科学性和准确性。

第三，信息安全风险评估需要有专业的评估团队和人员支持。

评估团队应当由具有信息安全专业背景和经验丰富的专业人员组成，能够独立、客观地进行评估工作。

评估人员应当具备扎实的理论基础和丰富的实践经验，能够准确识别和评估各类安全风险，提供专业的评估报告和建议。

此外，信息安全风险评估需要注重评估结果的有效性和实用性。

评估报告应当清晰地呈现评估结果和分析结论，为企业决策提供有力的支持。

评估结果应当能够指导企业制定有效的安全策略和措施，减少安全风险的发生，提高信息系统的安全性和可靠性。

最后，信息安全风险评估需要定期进行，并与企业的安全管理体系相结合。

评估应当定期进行，以跟踪信息系统安全风险的变化和演变，及时调整安全策略和措施。

评估结果应当与企业的安全管理体系相结合，形成闭环管理机制，不断提升企业的信息安全管理水平。

综上所述，信息安全风险评估规范是企业信息安全管理的重要环节，它需要全面、科学、专业地进行，以提供有效的安全保障和支持企业的可持续发展。

希望企业能够重视信息安全风险评估工作，不断完善和提升信息安全管理水平，确保信息系统的安全性和稳定性。

GB安全风险评估规范
GB/T 25017-2019《信息安全技术信息安全风险评估规范》是
中国国家标准化管理委员会发布的一项标准，用于指导和规范信息系统的安全风险评估工作。

该规范适用于各类组织和个人对信息系统进行安全风险评估的活动。

GB/T 25017-2019规范主要包括以下几个方面的内容：
1. 规范的范围和适用对象：明确了该规范适用的对象范围，包括各种信息系统和其相关的组织。

2. 术语和定义：对于规范中使用的术语进行了明确定义，以确保在实际应用中的统一理解和使用。

3. 安全风险评估管理：规范了安全风险评估的管理要求，包括组织的安全风险评估政策和流程、组织风险评估的基本要求和程序、人员能力和安全风险评估工作的记录等。

4. 安全风险评估的方法和技术：阐述了安全风险评估的方法和技术，包括风险评估的基本流程和步骤、风险识别、风险分析和风险评估的方法和技术工具等。

5. 安全风险评估的输出：规定了安全风险评估的输出内容，包括风险评估报告的要求和格式、风险评估结果的分类和分级等。

6. 安全风险评估的验证和验证结果的运用：介绍了安全风险评估的验证方法和验证结果的运用。

GB/T 25017-2019《信息安全技术信息安全风险评估规范》的发布，为各类组织和个人进行信息系统安全风险评估提供了规范和指导，请相关组织和个人在实际应用中遵守相应的流程和要求，以保障信息系统的安全。

信息安全风险自评估网络运行维护事业部目录一. 概述 (1)1.1目标 (1)1.2术语和定义 (1)1.3风险评估参考依据 (1)二. 信息安全自评估原则 (2)2.1标准性原则 (2)2.2可控性原则 (2)2.3评估人员多样原则 (2)2.4最小影响原则 (2)2.5与第三方评估相结合原则 (2)三. 信息安全自评估实施步骤 (3)3.1确定自评估计划 (3)3.2确定自评估小组人员 (3)3.3评估信息获取 (3)3.4分析与计算风险 (4)3.5生成报告 (4)四. 附录 (4)4.1附录1安全风险分析计算过程 (4)4.2附录2XX平台风险现状分析报告 (4)4.3附录3XX平台风险评估报告 (5)4.4附录4信息安全不可接受风险处置计划 (5)一. 概述1.1 目标本文件是业务平台部进行信息安全风险自评估的重要指导依据，依照本文件的要求，业务平台能够基于自身力量，及时识别信息安全风险、通过对风险的可能性和影响进行评估，从而最终及时有效地处置风险，最后起到加强内蒙古电信业务平台信息安全保障能力，提高整体的网络与信息安全水平，保证业务系统的正常运营，提高服务质量的作用。

1.2 术语和定义信息安全风险：某种特定的威胁利用资产或一组资产的脆弱点，导致这些资产受损或破坏的潜在可能。

信息资产：通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。

资产价值：资产是有价值的，资产价值可通过资产的敏感程度、重要程度或关键程度来表示。

威胁：一个单位的信息资产的安全可能受到的侵害。

威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果等。

脆弱性：信息资产及其安全措施在安全方面的不足和弱点。

脆弱性也常常被称为漏洞。

1.3 风险评估参考依据电信网和互联网安全风险评估实施指南ISO/IEC 27005:2008 信息技术–安全技术–信息安全风险管理；ISO/IEC13335-3:1998《IT安全管理技术》；二. 信息安全自评估原则2.1 标准性原则风险自评估工作的标准性原则，指遵循业务平台相关标准开展安全风险自评估工作。

信息安全风险评估分
信息安全风险评估分为以下几个方面：
1. 威胁评估：对可能存在的威胁进行分析，包括内部威胁和外部威胁。

内部威胁可以是员工的不当操作或恶意行为，外部威胁可以是黑客攻击、病毒入侵等。

2. 漏洞评估：对系统和网络的漏洞进行评估，找到安全漏洞和弱点。

包括应用程序的漏洞、系统配置的漏洞等。

3. 业务影响评估：评估信息安全风险对业务的影响程度，包括数据泄露、系统中断、业务中断等。

4. 安全控制评估：评估当前的安全控制措施的有效性和合理性。

确定是否需要增加或改变安全控制措施。

5. 风险评估：对上述评估结果进行综合分析，给出风险等级和优先级。

确定哪些风险最为关键，需要优先处理。

6. 对策评估：评估各种可能的对策，包括技术对策和管理对策。

确定最合适的对策措施，以降低风险。

7. 监测评估：建立风险监测和预警机制，对信息安全风险进行持续评估和监测，及时预警和应对可能的风险事件。