GB/T 20984—2022.

1范围

GB/T 20984描述了信息安全风险评估的基本概念﹑风险要素关系、风险分析原理、风险评估实施o程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。

GB/T 20984适用于各类组织开展信息安全风险评估工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改版)适用于本文件。

GB/T 25069信息安全技术术语

GB/T 33132——2016信息安全技术信息安全风险处理实施指南

3术语和定义,缩略语

3.1术语和定义

GB/T25069界定的以及下列术语和定义适用于本文件。

3.1.1

信息安全风险information security risk

特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害。注:它以事态的可能性及其后果的组合来度量。

[来源;GB/T 31722—2015,3.2]

3.1.2

风险评估risk assessment

5.5沟通与协商

风险评估实施团队应在风险评估过程中与内部相关方和外部相关方保持沟通并对沟通内容予以记录,沟通的内容应包括:

a)为理解风险及相关问题和决策而就风险及其相关因素相互交流信息和意见;b)相关方已表达的对风险事件的关注,意见以及相应的反应。

5.6风险评估文档记录

5.6.1风险评估文档记录要求

记录风险评估过程的相关文档,应符合以下要求(包括但不限于):

a）确保文档发布前是得到批准的;

b)确保文档的更改和现行修订状态是可识别的（有版本控制措施);

c)确保文档的分发得到适当控制,并确保在使用时可获得有关版本的适用文档;

d)防止作废文档的非预期使用,若因任何目的需保留作废文档时,应对这些文档进行适当的

标识。

对于风险评估过程中形成的相关文档,还应规定其标识、存储、保护、检索,保存期限以及处置所需的控制。相关文档是否需要以及详略程度由组织的管理者来决定。