政策解读 | 解密关于风险评估新旧标准更替的六大方向十项重点变化

2022-07-08 来源:长扬科技


2022年4月,GB/T20984-2022《信息安全风险评估办法》(以下简称“新标准”)正式发布,并替代原GB/T20984-2007《信息安全风险评估规范》(以下简称“旧标准”)成为新的信息安全风险评估工作实施指导标准。关于新旧标准的变化和意义众说纷纭,今天,长扬科技就为大家解密关于风险评估标准的六大方向十项重点变化。


从文件整体上来看,本次标准的变更涉及标准名称、文件目录、相关术语和定义、风险评估框架及流程、风险评估实施及附录六大方向变化。其中风险评估框架及流程、风险评估实施作风险评估工作的核心部分,分别涉及风险要素关系、风险评估实施流程关系、资产识别,风险分析变化及风险评价四项重点变化。具体变化说明和分析说明如下:


1.标准名称变化

变化说明:由原来GB/T 20984-2007《信息安全技术 信息安全风险评估规范》修改为GB/T 20984-2022《信息安全技术 信息安全风险评估方法》。


分析说明:新标准采用“方法”命名,并明确风险评估的准备、识别、分析、评价四个工作内容和定义,同时增加沟通与协商以增强对风险事件的关注。旨为风险评估工作的开展提供一套系统性的方法。本项变化对于在实际开展风险评估工作当中更具有现实的指导意义。


2.文件目录的变化

变化说明:新标准由原来的7章26节调整为5章16节。


分析说明:新标准将旧标准5,6,7节进行修改和补充,从整体框架上明确提出了关于风险评估实施的步骤方法和每一步工作内容。具体包括更改了风险评估框架及流程中的风险要素关系、风险分析原理和评估实施流程。更改了风险评估实施过程中风险要素识别和关联分析内容,将旧标准评估对象生命周期各阶段的风险评估和风险评估的工作形式调整到规范性附录A和资料性附录B中。


3.相关术语和定义变化

变化说明:新标准删除了旧标准中“业务战略”“资产”“资产价值”“可用性”“保密性”“信息系统”“完整性”“残余风险”“安全事件”“威胁”和“脆弱性”的术语和定义。新标准增加了“业务”和“信息系统生命周期”术语定义。新标准修改了旧标准中“信息安全风险”“风险评估”“自评估”“检查评估”的术语和定义。


分析说明:相关术语和定义的变化与新标准的框架和内容变化直接相关,新标准将资产识别、威胁识别、已有安全措施识别和脆弱性识别汇总为风险识别,并在风险识别中增加了业务识别内容。同时在新标准的实施过程当中,提出了关于评估对象所有者、上级主管部门、业务主管部门、国家相关监管部门等内外部机构的沟通交流。


4.风险评估框架及流程变化

 4.1.风险要素关系变化

微信图片_20220708111230.jpg

新标准风险要素及其关系图


微信图片_20220708111319.jpg

 旧标准风险评估要素关系图



变化说明:新标准中,风险评估的要素包括资产、脆弱性、威胁和安全措施四大要素。对比旧标准,新标准将风险要素及其关系图合二为一,取消旧标准中“业务战略”“资产价值”“安全需求”“安全事件”“残余风险”与四大要素的相关属性。


分析说明:其意义在于更加全面清晰的阐明了四大要素与风险评估的关联属性,更加便于风险评估者执行过程中的理解,利于风险评估的统一和准确性,具有明确的指导意义和价值。


 4.2.风险评估实施流程的关系变化

微信图片_20220708111426.jpg

新标准风险评估实施流程图



微信图片_20220708111503.jpg

旧标准风险评估实施流程图



变化说明:第一个变化,新标准中实施流程包括评估准备、风险识别、风险分析、风险评价、沟通与协调和风险评估文档记录六个方面。在旧标准基础上简化了威胁识别、脆弱性识别和已有安全措施识别。并将资产识别前置,强调其作为风险评估过程中的核心环节。第二个变化,新标准中新增沟通协商部分,并和风险评估文档记录一起贯穿整个风险评估过程。而在旧标准中没有沟通协商部分,同时风险评估文档仅包括风险评估文件记录。


分析说明:新标准中风险评估实施流程对风险识别按阶段进行分类,使得整个识别流程更加清晰统一,过程记录文档要求涵盖全流程对风险实施评估者来说也提高了工作要求。同时增加沟通与协调并重,并涵盖评估工作的全流程,一定意义上说明标准开始注重本项工作涉及的各部门之间的联动。


5.风险评估实施

开展风险评估工作时,前期风险评估准备工作与旧标准大体相仿,但是在资产识别和风险分析过程中有重大变化,具体如下:


 5.1.资产识别变化

微信图片_20220708111611.png

新标准资产层次图


前文也提到,新标准将资产识别前置了,其作为风险评估的核心环节、风险识别的核心部分,对风险评价结果起到重要作用。


变化说明:旧标准根据资产的表现形式,将资产按数据、软件、 硬件、服务、人员等分类型进行识别。新标准根据资产的层次,将资产按业务资产、系统资产、系统组件和单元资产进行识别。且在标准中明确各自的识别内容表和赋值标准表。包括识别内容、示例、赋值、标识和定义。具体如下:


(1)业务识别是风险评估的关键环节,识别内容包括业务的属性、定位、完整性和关联性四个方面。业务属性主要识别的是业务的功能、对象、流程和范围等。业务定位主要识别业务在发展规划中的地位。业务完整性主要识别其为独立业务还是非独立业务。业务关联性主要识别与其他业务之间的关系。业务识别的数据来源可以通过访谈、文档查阅、资料查阅和对信息系统进行梳理总结整理进行补充。需要注意的是,业务的赋值应根据业务的重要性等级进行重要性赋值,若被评估业务与高于其重要性赋值的业务具有紧密关联关系,则被评估业务的重要性赋值要在原赋值基础上进行调整。 


微信图片_20220708111724.png

新标准业务识别内容表

微信图片_20220708111757.png

新标准业务重要性复赋值表


(2)系统资产识别包括系统资产分类和系统业务承载性识别两个方面。系统资产分类包括信息系统、数据资源和通信网络,业务承载性包括承载类别和关联程度。主要注意的是,系统资产价值应依据资产的保密性、完整性和可用性赋值,结合业务的承载性、业务重要性进行综合计算,并设定相应的评级方法进行价值等级划分,等级越高表示资产越重要。


微信图片_20220708111838.png

新标准系统资产识别表

微信图片_20220708111925.png

新标准系统资产价值等级表


(3)系统组件和单元资产价值识别包括系统组件、系统单元、人力资源和其他资产。在其赋值时,应依据其保密性、完整性、可用性赋值进行综合计算,并设定相应的评级方法进行价值等级划分,等级越高表示资产越重要。

微信图片_20220708112000.png

微信图片_20220708112023.png

关于威胁识别和脆弱性识别,整体上没有关键内容的变动且在新标准中给出了完整的识别方法和赋值要求,附录中内容也提供识别参考,按照标准理解即可,故不重复解读。


5.2.风险分析变化

新标准中对风险分析变化是在风险识别基础上开展风险分析,且风险分析应为:计算安全事件发生的可能性、计算安全事件发生后对评估对象造成的损失、计算系统资产面临的风险值、根据业务所涵盖的系统资产风险值综合计算得出业务的风险值。


其计算如下:

a.   安全事件发生的可能性=L[威胁赋值,脆弱性被利用难易程度]=L(T,Av)

b.   安全事件造成的损失=F[资产价值,影响程度]=F(Vc,Di)

c.   资产风险值=R[安全事件发生的可能性,安全事件造成的损失]=R(L(T,Av),F(Vc,Di))

d.   业务风险值=Rb[系统资产风险值,系统资产风险值,...,系统资产风险值]=Rb(RA1,RA2,..,RAn)

相比旧标准来说,多了业务风险值的计算。


5.3.风险评价变化

新标准相对旧标准多了系统资产风险评价、业务风险评价。

微信图片_20220708112330.png

系统资产风险等级划分表


业务风险评价

在业务风险评价时,可以从社会影响和组织影响两个层面进行分析,社会影响涵盖国家安全、社会秩序、公共利益、公民、法人和其他组织的合法权益等方面,组织影响涵盖职能履行、业务开展、触犯国家法律法规、财产损失等方面


微信图片_20220708112413.png

业务风险等级划分表


6.附录变化

新标准增加了评估对象生命周期各阶段的风险评估、风险评估的工作形式、资产识别、威胁识别四项在风险评估中的重要组成部分资料性附录,这些作为新标准中风险评估的补充,有助于风险评估实施者对本项标准的理解,具有极大的参考意义。

微信图片_20220708112527.png


7.总结说明

新旧标准更替,风险评估工作必不可少。由之前的GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》修订为GB∕T 20984-2022 《信息安全技术 信息安全风险评估方法》,相隔十五载。岁月验证,风险评估工作是将加强信息安全建设持续且必不可少的部分。同时旧准采用“规范”命名,说明这是进行风险评估活动所遵循的标准;新标准采用“方法”命名,说明这是为了达到风险评估的目的而采取的方式方法,更加贴近风险评估实际操作,对于在实际开展风险评估工作当中更具有现实的指导意义。


评估方法全面“升级”,加强网络安全建设势在必行。新标准在风险识别中增加了业务识别,并将其作为风险评估工作的核心部分。同时在威胁识别,风险分析风险评价等步骤均进行细化和补充。在本次“升级”的背后,是为了更加精准地实现对风险的主动防御,‍为贴合企业业务系统建立实际防护需求的一体化主动防御体系提供强有力的依据。


长扬科技深耕工业互联网安全、工控网络安全和“工业互联网+安全生产”领域,也是新标准领导下的风险评估实践专家。


紧贴最新GB/T20984-2022《信息安全风险评估办法》,以“涓滴不遗,精准评估”为指导思想,公司自主开发长扬科技信息安全风险评估服务体系。涵盖评估准备、风险识别、风险分析、风险评价四大核心流程的各个环节,同时将沟通与协商和过程文档管理两大流程贯穿始终。目前,本套服务体系已经在国内某能源企业和某石化企业开展试点工作并取得良好的成绩。


下一步,长扬科技将“以点带面”,将此套服务体系广泛推广于电力、石油石化、轨道交通、城市市政、智能制造、钢铁冶金等行业,助力企业防范和化解信息安全风险。在实现快速发展的同时,长扬科技也将以专注、专业、扎实的工作态度,持续提升在工业互联网及工控安全领域的技术能力及服务水平,为增强我国工业互联网网络安全自主创新能力、推动产业结构化升级、实施网络强国战略做出贡献。



ISO9001

质量管理体系认证

ISO14001

环境管理体系认证

ISO27001

信息安全管理体系认证

ISO20000

信息技术服务管理体系认证

信息系统

安全运维服务资质