国家标准GB/T20984—2007：信息安全风险评估实施指南

"该文件是中华人民共和国国家标准GB/T20984—2007《信息安全技术 信息安全风险评估规范》，它于2007年6月14日发布，同年11月1日开始实施，旨在提供信息安全风险评估的标准方法和流程，帮助各类组织识别并管理信息安全风险。 该规范首先定义了风险评估的相关术语和框架，明确了风险评估涉及的三个核心要素：资产、威胁和脆弱性。风险分析原理包括对这些要素的系统分析，通过矩阵法或相乘法等方法计算风险的可能性和影响，以确定风险等级。 规范详细阐述了风险评估的实施步骤，包括准备阶段、资产识别、威胁识别、脆弱性识别、已有安全措施的确认、风险分析以及风险评估文档记录。每个阶段都提供了具体的指导，例如在资产识别阶段，需要确定信息系统的各个组成部分和其价值；在威胁识别阶段，要考虑来自内外部的各种潜在威胁；在脆弱性识别阶段，则需识别可能导致安全事件的系统弱点。 此外，规范还关注了信息系统生命周期各阶段的风险评估，包括规划、设计、实施、运行维护和废弃阶段，强调风险评估应贯穿整个信息系统生命周期，以确保在不同阶段都能有效应对风险。 风险评估的工作形式分为自评估和检查评估两种，自评估由组织内部进行，检查评估则可能由外部专业机构执行，以提供更客观的评估结果。 附录提供了风险计算方法的示例和风险评估工具的分类，包括风险评估与管理工具、系统基础平台风险评估工具和辅助工具，帮助实际操作中的风险评估工作。 GB/T20984—2007《信息安全技术 信息安全风险评估规范》是中国在信息安全风险管理领域的基础标准，它为组织提供了科学、系统的方法来评估和管理信息安全风险，确保信息资产的安全性和业务的连续性。"