6、信息安全技术信息安全风险评估方法

GB/T20984-2022前言本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件代替GB/T20984一2007《信息安全技术信息安全风险评估规范》，与GB/T20984一2007相比，除结构调整和编辑性改动外，主要技术变化如下：)增加了“业务”和“信息系统生命周期”（见3.4和3.7）：b)删除了“业务战略”的术语和定义（见2007年版的3.4）：。)删除了资产”“资产价值”“可用性”“保密性”“信息系统”“完整性”“残余风险”“安全事件”“威胁”和“脆弱性”的术语和定义（见2007年版的3.1、3.2、3.3、3.5、38、3.10、3.12、3.14、3.17和3.18):)更改了风险评估框架及流程中的风险要素关系、风险分析原理和评估实施流程（见第4章，2007年版的第4章)：e)更改了风险评估实施过程中风险要素识别和关联分析内容（见5.2和5.3,2007年版的5.2、5.3、5.4、5.5和5.6)：)将原标准中评估对象生命周期各阶段的风险评估和风险评估的工作形式调整到规范性附求A和资料性附录B中（见附录A和附录B,2007年版的第6章和第7章）。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位：国家信息中心、北京安信天行科技有限公司、信息产业信息安全测评中心、北京信息安全测评中心、中国信息安全测评中心、中国网络安全审查技术与认证中心、中国电子技术标准化研究院、公安部信息安全等级保护评估中心、公安部第一研究所、上海观安信息技术股份有限公司、成都民航电子技术有限责任公司、河南金盾信安检测评估中心有限公司、深圳市南山区政务服务数据管理局、云南公路联网收费管理有限公司、国网宁夏电力有限公司、国网新疆电力有限公司。本文件主要起草人：禄凯、詹榜华、陈永刚、刘丰、陈青民、赵增振、张益、高亚楠、任金强、刘龙涛、刘德林、刘凯俊、孙明亮、杜宇鸽、翟亚红、王惠莅、任卫红、彭海龙、李秋香、安佳伟、马勇、张军、汤志强、段明磊、杨童、肖强、张宏杰、刘育辰、陈涛、李峰。本文件及其所代替文件的历次版本发布情况为：2007年首次发布为GB/T20984一2007：一本次为第一次修订。