范围
本标准提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法,以及风险评估在
信息系统生命周期不同阶段的实施要点和工作形式。
本标准适用于规范组织开展的风险评估工作。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件,其随后所
有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方
研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 9361 计算站场地安全要求
GB 17859-1999 计算机信息系统安全保护等级划分准则
GB/T 18336-2001 信息技术 安全技术 信息技术安全性评估准则(idt ISO/IEC 15408:1999)
GB/T 19716-2005 信息技术 信息安全管理实用规则(ISO/IEC 17799:2000,MOD)
3 术语和定义
下列术语和定义适用于本标准。
3.1
资产 asset
对组织具有价值的信息或资源,是安全策略保护的对象。
3.2
资产价值 asset value
资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。
3.3
可用性 availability
数据或资源的特性,被授权实体按要求能访问和使用数据或资源。
3.4
业务战略 business strategy
组织为实现其发展目标而制定的一组规则或要求。
3.5
机密性 confidentiality
数据所具有的特性,即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的程度。
3.6
信息安全风险 information security risk
人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造
GB/T 20984—2007
2
成的影响。
3.7
(信息安全)风险评估 (information security)risk assessment
依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性
和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可
能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
3.8
信息系统 information system
由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行
采集、加工、存储、传输、检索等处理的人机系统。
典型的信息系统由三部分组成:硬件系统(计算机硬件系统和网络硬件系统);系统软件(计算机
系统软件和网络系统软件);应用软件(包括由其处理、存储的信息)。
3.9
检查评估 inspection assessment
由被评估组织的上级主管机关或业务主管机关发起的,依据国家有关法规与标准,对信息系统及其
管理进行的具有强制性的检查活动。
3.10
完整性 integrity
保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。
3.11
组织 organization
由作用不同的个体为实施共同的业务目标而建立的结构。一个单位是一个组织,某个业务部门也可
以是一个组织。
3.12
残余风险 residual risk
采取了安全措施后,信息系统仍然可能存在的风险。
3.13
自评估 self-assessment
由组织自身发起,依据国家有关法规与标准,对信息系统及其管理进行的风险评估活动。
3.14
安全事件 security incident
指系统、服务或网络的一种可识别状态的发生,它可能是对信息安全策略的违反或防护措施的失效,
或未预知的不安全状况。
3.15
安全措施 security measure
保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、
规程和机制。
GB/T 20984—2007
3
3.16
安全需求 security requirement
为保证组织业务战略的正常运作而在安全措施方面提出的要求。
3.17
威胁 threat
可能导致对系统或组织危害的不希望事故潜在起因。
3.18
脆弱性 vulnerability
可能被威胁所利用的资产或若干资产的薄弱环节。