书 书 书犐犆犛 ３５ ． ０３０ 犆犆犛犔 ８０ 中华人民共和国国家标准 犌犅 ／ 犜 ２０９８４ — ２０２２ 代替 犌犅 ／ 犜 ２０９８４ — ２００７ 信息安全技术 　 信息安全风险评估方法 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔 — 犚犻狊犽犪狊狊犲狊狊犿犲狀狋犿犲狋犺狅犱犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔 ２０２２  ０４  １５ 发布 ２０２２  １１  ０１ 实施 国家市场监督管理总局 国家标准化管理委员会 发布目 　　 次 前言 Ⅰ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 、 缩略语 １ ……………………………………………………………………………………… 　 ３．１ 　 术语和定义 １ ………………………………………………………………………………………… 　 ３．２ 　 缩略语 ２ ……………………………………………………………………………………………… ４ 　 风险评估框架及流程 ２ …………………………………………………………………………………… 　 ４．１ 　 风险要素关系 ２ ……………………………………………………………………………………… 　 ４．２ 　 风险分析原理 ３ ……………………………………………………………………………………… 　 ４．３ 　 风险评估流程 ３ ……………………………………………………………………………………… ５ 　 风险评估实施 ４ …………………………………………………………………………………………… 　 ５．１ 　 风险评估准备 ４ ……………………………………………………………………………………… 　 ５．２ 　 风险识别 ５ …………………………………………………………………………………………… 　 ５．３ 　 风险分析 １１ …………………………………………………………………………………………… 　 ５．４ 　 风险评价 １１ …………………………………………………………………………………………… 　 ５．５ 　 沟通与协商 １３ ………………………………………………………………………………………… 　 ５．６ 　 风险评估文档记录 １３ ………………………………………………………………………………… 附录 Ａ （ 资料性 ） 　 评估对象生命周期各阶段的风险评估 １４ ……………………………………………… 附录 Ｂ （ 资料性 ） 　 风险评估的工作形式 １７ ………………………………………………………………… 附录 Ｃ （ 资料性 ） 　 风险评估的工具 １８ ……………………………………………………………………… 附录 Ｄ （ 资料性 ） 　 资产识别 ２１ ……………………………………………………………………………… 附录 Ｅ （ 资料性 ） 　 威胁识别 ２３ ……………………………………………………………………………… 附录 Ｆ （ 资料性 ） 　 风险计算示例 ２６ ………………………………………………………………………… 参考文献 ２７ …………………………………………………………………………………………………… 犌犅 ／ 犜 ２０９８４ — ２０２２ 前 　　 言 　　 本文件按照 ＧＢ ／ Ｔ１．１ — ２０２０ 《 标准化工作导则 　 第 １ 部分 ： 标准化文件的结构和起草规则 》 的规定起草 。 本文件代替 ＧＢ ／ Ｔ２０９８４ — ２００７ 《 信息安全技术 　 信息安全风险评估规范 》， 与 ＧＢ ／ Ｔ２０９８４ — ２００７ 相比 ， 除结构调整和编辑性改动外 ， 主要技术变化如下 ： ａ ） 　 增加了 “ 业务 ” 和 “ 信息系统生命周期 ”（ 见 ３．４ 和 ３．７ ）； ｂ ） 　 删除了 “ 业务战略 ” 的术语和定义 （ 见 ２００７ 年版的 ３．４ ）； ｃ ） 　 删除了 “ 资产 ”“ 资产价值 ”“ 可用性 ”“ 保密性 ”“ 信息系统 ”“ 完整性 ”“ 残余风险 ”“ 安全事件 ”“ 威胁 ” 和 “ 脆弱性 ” 的术语和定义 （ 见 ２００７ 年版的 ３．１ 、 ３．２ 、 ３．３ 、 ３．５ 、 ３．８ 、 ３．１０ 、 ３．１２ 、 ３．１４ 、 ３．１７ 和 ３．１８ ）； ｄ ） 　 更改了风险评估框架及流程中的风险要素关系 、 风险分析原理和评估实施流程 （ 见第 ４ 章 ， ２００７ 年版的第 ４ 章 ）； ｅ ） 　 更改了风险评估实施过程中风险要素识别和关联分析内容 （ 见 ５．２ 和 ５．３ ， ２００７ 年版的 ５．２ 、 ５．３ 、 ５．４ 、 ５．５ 和 ５．６ ）； ｆ ） 　 将原标准中评估对象生命周期各阶段的风险评估和风险评估的工作形式调整到规范性附录 Ａ 和资料性附录 Ｂ 中 （ 见附录 Ａ 和附录 Ｂ ， ２００７ 年版的第 ６ 章和第 ７ 章 ）。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别专利的责任 。 本文件由全国信息安全标准化技术委员会 （ ＳＡＣ ／ ＴＣ２６０ ） 提出并归口 。 本文件起草单位 ： 国家信息中心 、 北京安信天行科技有限公司 、 信息产业信息安全测评中心 、 北京信息安全测评中心 、 中国信息安全测评中心 、 中国网络安全审查技术与认证中心 、 中国电子技术标准化研究院 、 公安部信息安全等级保护评估中心 、 公安部第一研究所 、 上海观安信息技术股份有限公司 、 成都民航电子技术有限责任公司 、 河南金盾信安检测评估中心有限公司 、 深圳市南山区政务服务数据管理局 、 云南公路联网收费管理有限公司 、 国网宁夏电力有限公司 、 国网新疆电力有限公司 。 本文件主要起草人 ： 禄凯 、 詹榜华 、 陈永刚 、 刘丰 、 陈青民 、 赵增振 、 张益 、 高亚楠 、 任金强 、 刘龙涛 、 刘德林 、 刘凯俊 、 孙明亮 、 杜宇鸽 、 翟亚红 、 王惠莅 、 任卫红 、 彭海龙 、 李秋香 、 安佳伟 、 马勇 、 张军 、 汤志强 、 段明磊 、 杨童 、 肖强 、 张宏杰 、 刘育辰 、 陈涛 、 李峰 。 本文件及其所代替文件的历次版本发布情况为 ： ——— ２００７ 年首次发布为 ＧＢ ／ Ｔ２０９８４ — ２００７ ； ——— 本次为第一次修订 。 Ⅰ 犌犅 ／ 犜 ２０９８４ — ２０２２ 信息安全技术 　 信息安全风险评估方法 １ 　 范围 本文件描述了信息安全风险评估的基本概念 、 风险要素关系 、 风险分析原理 、 风险评估实施流程和评估方法 ， 以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式 。 本文件适用于各类组织开展信息安全风险评估工作 。 ２ 　 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。 其中 ， 注日期的引用文件 ， 仅该日期对应的版本适用于本文件 ； 不注日期的引用文件 ， 其最新版本 （ 包括所有的修改版 ） 适用于本文件 。 ＧＢ ／ Ｔ２５０６９ 　 信息安全技术 　 术语 ＧＢ ／ Ｔ３３１３２ — ２０１６ 　 信息安全技术 　 信息安全风险处理实施指南 ３ 　 术语和定义 、 缩略语 ３ ． １ 　 术语和定义 ＧＢ ／ Ｔ２５０６９ 界定的以及下列术语和定义适用于本文件 。 ３ ． １ ． １ 信息安全风险 　 犻狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狉犻狊犽 特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害 。 注 ： 它以事态的可能性及其后果的组合来度量 。 ［ 来源 ： ＧＢ ／ Ｔ３１７２２ — ２０１５ ， ３．２ ］ ３ ． １ ． ２ 风险评估 　 狉犻狊犽犪狊狊犲狊狊犿犲狀狋 风险识别 、 风险分析和风险评价的整个过程 。 ［ 来源 ： ＧＢ ／ Ｔ２９２４６ — ２０１７ ， ２．７１ ］ 注 ： 本文件专指信息安全风险评估 。 ３ ． １ ． ３ 组织 　 狅狉犵犪狀犻狕犪狋犻狅狀 具有自身的职责 、 权威和关系以实现其目标的个人或集体 。 注 ： 组织的概念包括但不限于个体经营者 、 公司 、 法人 、 商行 、 企业 、 机关 、 合伙关系 、 慈善机构或院校 ， 或者其部分或 组合 ， 无论注册成立与否 、 是公共的还是私营的 。 ［ 来源 ： ＧＢ ／ Ｔ２９２４６ — ２０１７ ， ２．５７ ， 有修改 ］ ３ ． １ ． ４ 业务 　 犫狌狊犻狀犲狊狊 组织为实现某项发展规划而开展的运营活动 。 注 ： 该活动具有明确的目标 ， 并延续一段时间 。 １ 犌犅 ／ 犜 ２０９８４ — ２０２２ ３ ． １ ． ５ 安全需求 　 狊犲犮狌狉犻狋狔狉犲狇狌犻狉犲犿犲狀狋 为保证组织业务规划的正常运作而在安全措施方面提出的要求 。 ３ ． １ ． ６ 安全措施 　 狊犲犮狌狉犻狋狔犮狅狀狋狉狅犾 保护资产 、 抵御威胁 、 减少脆弱性 、 降低安全事件的影响 ， 以及打击信息犯罪而实施的各种实践 、 规程和机制 。 ３ ． １ ． ７ 信息系统生命周期 　 犻狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿犾犻犳犲犮狔犮犾犲 信息系统的各个生命阶段 ， 包括规划阶段 、 设计阶段 、 实施阶段 、 运行维护阶段和废