GB/T 20984—2022.
1范圍
GB/T 20984描述了信息安全風險評估的基本概念﹑風險要素關系、風險分析原理、風險評估實施o程和評估方法,以及風險評估在信息系統(tǒng)生命周期不同階段的實施要點和工作形式。
GB/T 20984適用于各類組織開展信息安全風險評估工作。
2規(guī)范性引用文件
下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應的版本適用于本文件;不注日期的引用文件,其較新版本(包括所有的修改版)適用于本文件。
GB/T 25069信息安全技術術語
GB/T 33132——2016信息安全技術信息安全風險處理實施指南
3術語和定義,縮略語
3.1術語和定義
GB/T25069界定的以及下列術語和定義適用于本文件。
3.1.1
信息安全風險information security risk
特定威脅利用單個或一組資產(chǎn)脆弱性的可能性以及由此可能給組織帶來的損害。注:它以事態(tài)的可能性及其后果的組合來度量。
[來源;GB/T 31722—2015,3.2]
3.1.2
風險評估risk assessment
5.5溝通與協(xié)商
風險評估實施團隊應在風險評估過程中與內(nèi)部相關方和外部相關方保持溝通并對溝通內(nèi)容予以記錄,溝通的內(nèi)容應包括:
a)為理解風險及相關問題和決策而就風險及其相關因素相互交流信息和意見;b)相關方已表達的對風險事件的關注,意見以及相應的反應。
5.6風險評估文檔記錄
5.6.1風險評估文檔記錄要求
記錄風險評估過程的相關文檔,應符合以下要求(包括但不限于):
a）確保文檔發(fā)布前是得到批準的;
b)確保文檔的更改和現(xiàn)行修訂狀態(tài)是可識別的（有版本控制措施);
c)確保文檔的分發(fā)得到適當控制,并確保在使用時可獲得有關版本的適用文檔;
d)防止作廢文檔的非預期使用,若因任何目的需保留作廢文檔時,應對這些文檔進行適當?shù)?br />標識。
對于風險評估過程中形成的相關文檔,還應規(guī)定其標識、存儲、保護、檢索,保存期限以及處置所需的控制。相關文檔是否需要以及詳略程度由組織的管理者來決定。

檢測流程步驟

溫馨提示：以上內(nèi)容僅供參考使用，更多檢測需求請咨詢客服。