风险评估程序包括哪四个程序(风险评估程序主要包括)

2022年11月1日，新的风险评估国标标准《GB/T 20984-2022 信息安全技术 信息安全风险评估方法》(以下简称新版标准)即将实施，该标准代替了《GB/T 20984-2007 信息安全技术信息安全风险评估规范》(以下简称旧版标准)，也是GB/T 20984自2007年发布以来的首次修改。那么新的国标都有哪些变化呢?今天小至就来浅谈一下…

新国标的变化

变化一：流程更加清晰

新版标准的风险评估流程分为评估准备、风险识别、风险分析和风险评价四个阶段，其中风险分析和风险评价两个阶段的内容由旧版标准中风险分析阶段的风险计算和风险结果判定优化而来。同时，移除了旧版标准中风险处理计划和残余风险评估的内容。整体来看，新版标准的流程更加清晰、可操作性更强。

变化二：风险要素更加聚焦

新版本中，将风险的评估聚焦于资产、风险、脆弱性、安全措施及威胁这几个要素，在新的网络空间安全对抗中，更加突出以保“业务”为核心，重点评估核心“风险”，以对抗“威胁”的风险评估方法。

而在旧版标准汇总，则更加强调以保护“资产”为核心，用评估“脆弱性”的方法来评估风险。与此同时还强调了业务战略、资产价值、安全需求、安全事件、残余风险等与风险基本要素相关的属性，这也导致了实际模型更加复杂难懂。

变化三：风险视角更偏业务

旧标准基于传统的相对碎片化的资产管理模式，管理过程会更加复杂，难以整合。新标准中新增加业务识别要求，在“资产识别”中将资产的识别过程，按层次划分成“组织”、“业务”、“系统”和“资产”。资产保护对象从多个“资产”为核心变成了企业的“业务”为核心，所以新版本标准更加突出风险的管理为以支撑业务安全风险管控为目标，风险呈现的视角更加整体化、层次化。

变化四：

在新版标准中，简化了风险分析过程，正文中没有给出具体计算方法，但在文末，给出了评估的例子，依旧是通过对安全事件发生的可能性和安全事件造成的损失，计算得出风险值。

旧版标准中安全事件发生的可能性由“威胁”出现的频率和脆弱性严重程度决定(“安全事件造成的损失=L(威胁出现频率，脆弱性)=L(T,V)”)，安全事件造成的损失由脆弱性严重程度和资产价值(“安全事件造成的损失=F(资产价值,脆弱性严重程度)=F(Ia,Va )”)决定。

而在新版标准中，安全事件发生的可能性由威胁的赋值和脆弱性被利用的难易程度决定(“安全事件发生的可能性=L[威胁赋值,脆弱性被利用难易程度]=L(T,Av)”)，安全事件造成的损失由脆弱性的影响程度和资产价值决定(“安全事件造成的损失=F[资产价值,影响程度]=F(Vc,Di)”)。

虽然计算风险的标准基本不变，仍然由上述两个因素(“风险值=R[安全事件发生的可能性,安全事件造成的损失]=R(L(T,Av),F(Vc,Di))”)决定，但更加强调了“业务风险值”的计算，计算过程中强调了针对不同威胁源的动机和能力变化、同层级资产之间的重要性关联、不同层级资产之间的重要性继承，同时还强调了业务不仅对组织有影响，还需要关注对于社会的影响情况。

众至科技依据多年的风险评估经验，以FAIR(Factor Analysis of Information Risk，信息风险因素分析)方法论为核心，并重点针对本次即将施行的新国标标准进行了重点解读与融合，创新研发针对企业网络安全风险的主动风险管理体系，形成了对网络安全风险评级方法的2.0升级版本。

众至科技主动风险管理体系遵循新国标准则，贯穿于网络安全保险核保阶段的风险评估流程，覆盖“风险调研-风险识别-风险评估-风险整改”四大环节，在资产识别和分析、威胁识别和分析、安全措施有效性分析、风险分析和计算、风险评价和呈现等方面进行多因子、多角度的综合性评价，实现对未知安全威胁的主动提前预防。