信息安全技术 信息安全风险评估规范.doc

信息安全技术_信息安全风险评估规范ICS L 80 中华人民共和国国家标准 GB/T 20984—2007 信息安全技术信息安全风险评估规范 Information security technology— Risk assessment specification for information security 2007-06-14发布 2007-11-01实施中华人民共和国国家质量监督检验检疫总局发布中国国家标准化管理委员会 GB/T 20984—2007 目次前言................................................................................. II 引言................................................................................ III 1 范围................................................................................ 1 2 规范性引用文件...................................................................... 1 3 术语和定义.......................................................................... 1 4 风险评估框架及流程.................................................................. 3 风险要素关系...................................................................... 3 风险分析原理...................................................................... 4 实施流程.......................................................................... 4 5 风险评估实施........................................................................ 5 风险评估准备...................................................................... 5 资产识别.......................................................................... 7 威胁识别.......................................................................... 9 脆弱性识别....................................................................... 11 已有安全措施确认................................................................. 12 风险分析......................................................................... 12 风险评估文档记录................................................................. 14 6 信息系统生命周期各阶段的风险评估................................................... 15 信息系统生命周期概述............................................................. 15 规划阶段的风险评估............................................................... 15 设计阶段的风险评估............................................................... 15 实施阶段的风险评估........................