《信息安全技术 信息安全风险评估方法》（GB/T 20984—2022）解读

作者：国家信息中心陈永刚

背景

《信息安全技术信息安全风险评估方法》（GB/T 20984—2022）已于2022年4月15日发布，将于2022年11月1日正式实施。作为我国信息安全领域的基础性标准，该标准自第一版发布以来，有效指导了我国信息安全风险评估工作开展，成为了国家各级网络安全主管机关、各行业主管部门开展信息安全管理工作的重要抓手，为国家网络安全保障体系的搭建、保障我国数字经济的高质量发展作出了贡献。

为进一步适应国家网络安全战略需要，在全国信息安全标准化技术委员会的指导下，国家信息中心组织开展了GB/T 20984—2007的修订工作。标准编制组以落实新时代法律法规和政策文件对信息安全风险评估工作的新要求，适应新时代云计算、物联网、大数据、人工智能等新技术新应用对信息安全风险评估工作的新需求，引领国际信息安全风险评估标准的新发展为目标，形成了GB/T 20984—2022标准。

标准主要变化

GB/T20984—2022的主要变化可以概括为“四主一被”五个方面。其中，“一被”是指一个被动变化，主要体现在标准名称的变化；“四主”是指四个主动变化，主要体现在风险评估理念的调整、风险评估流程的调整、风险呈现视角的调整，以及风险评估对象的调整。具体如下：

标准名称的修订。遵照《标准化工作导则第1部分：标准化文件的结构和起草规则》（GB/T1.1—2020）第4章关于标准文件类别的定义，将名称修改为《信息安全技术信息安全风险评估方法》。

风险评估理念的调整。在网络空间对抗加剧的大背景下，将原有以保护“资产”为核心，以“脆弱性”发现为侧重的风险评估理念，调整到以保“业务”为核心，以御“威胁”为牵引的风险评估方法。

风险评估流程的调整。站在组织视角科学界定业务的重要性，结合业务所处的内外部环境，统筹识别威胁源和攻击路径，客观评价安全防护措施有效性和威胁攻击路径中存在的防护薄弱环节，并综合分析组织面临的安全风险。

风险呈现视角的调整。新标准将传统的基于单个资产的碎片化风险呈现方式，调整为以支撑业务安全风险管控为目标的整体化、双层次风险展现方式。

风险评估对象的调整。新标准将传统面向系统资产的风险评估方法调整为面向业务和系统资产。同时，将系统资产的范畴扩展为信息系统、数据资源和基础网络。

标准应用的重点和难点

在新标准的应用过程中，针对资产识别和分析、威胁识别和分析、安全措施有效性分析、风险分析和计算、风险评价和呈现等方面需要重点关注，也是在标准落地执行过程中的难点。

资产识别和分析。在资产识别过程中，应基于业务的范围和边界，开展业务资产、系统资产、系统组件和单元资产层级的划分和识别。

威胁识别和分析。在威胁识别过程中，应基于组织的业务特点和内外部环境，分析存在的威胁源和攻击路径。同时，依据威胁的行为能力、频率和时机进行威胁分析。

安全措施有效性分析。新标准将安全措施分为预防性安全措施和保护性安全措施两种。应结合威胁攻击路径，并行开展脆弱性和已有安全防护措施识别，并对已有安全措施的有效性进行确认。