信息安全風險評估規范

信息安全風險評估：依據有關信息安全技術與管理標準，對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。它要評估資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響。

本標準提出了風險評估的基本概念、要素關系、分析原理、實施流程和評估方法，以及風險評估在信息系統生命周期不同階段的實施要點和工作形式。本標準適用于規范組織開展的風險評估工作。

信息安全風險評估分為自評估和檢查評估兩種形式。信息安全風險評估應以自評估為主，自評估和檢查評估相互結合、互為補充。

信息安全風險評估規范

▼

（全文略，頁數：30）

風險評估準備是整個風險評估過程有效性的保證。組織實施風險評估是一種戰略性的考慮，其結果將受到組織的業務戰略、業務流程、安全需求、系統規模和結構等方面的影響。

保密性、完整性和可用性是評價資產的三個安全屬性。風險評估中資產的價值不是以資產的經濟價值來衡量，而是由資產在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產具有不同的價值，而資產面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產安全屬性的達成程度產生影響。為此，應對組織中的資產進行識別。

風險評估范圍可能是組織全部的信息及與信息處理相關的各類資產、管理機構，也可能是某個獨立的信息系統、關鍵業務流程、與客戶知識產權相關的系統或部門等。

附：GB/T 20984-2007 信息安全技術 信息安全風險評估規范.pdf（VIP專享）