GB_T 20984-2022 信息安全技术 信息安全风险评估方法.pdf

  • GB_T 20984-2022 信息安全技术 信息安全风险评估方法.pdf为pdf格式
  • 文件大小:4.6 M
  • 下载速度:极速
  • 文件评级
  • 更新时间:2022-10-17
  • 发 布 人: CHIMU007
  • 文档部分内容预览:
  • 新规范

    5.2.1.2业务识别

    5.2.1.2.1识别内容

    业务是实现组织发展规划的具体活动上海标准规范范本,业务识别是风险评估的关键环节。业务识别内容包括业务 的属性、定位、完整性和关联性识别。业务识别主要识别业务的功能、对象、流程和范围等。业务的定位 主要识别业务在发展规划中的地位。业务的完整性主要识别其为独立业务或非独立业务。业务的关联 性识别主要识别与其他业务之间的关系。表1提供了一种业务识别内容的参考

    GB/T209842022

    5.2.1.2.2业务重要性赋值

    应根据业务的重要程度进行等级划分,并对其重要性进行赋值。表2提供了一种业务重 的参考。

    表2业务重要性赋值表

    业务的关联性会对业务的重要性造成影响。若被评估业务与高于其重要性赋值的业务具有紧密 系,则该业务重要性赋值应在原赋值基础上进行赋值调整。附录D中表D.1给出了一种存在紧 业务影响时的业务重要性赋值调整方法

    5.2.1.3系统资产识别

    5.2.1.3.1识别内容

    系统资产识别包括资产分类和业 系统资产识别的主要内容 系统资产分类包括信息系统、数据资源和通信网络,业务承载性包括承载类别和关联程度

    5.2.1.3.2系统资产价值赋值

    系统资产价值应依据资 务承载性、业务重要性,进行 算,并设定相应的评级方法进行价值等级 越重要。表4中给出了系统资 等级划分的描述。资产保密性、完整 性赋值方法见附录D

    表4系统资产价值等级表

    5.2.1.4系统组件和单元资产识别

    5.2.1.4.1识别内容

    系统组件和单元资产应分类识别,系统组件和单元资产分类包括系统组件、系统单元、人力资源和 其他资产。表5给出了系统组件和单元资产识别的主要内容描述

    GB/T209842022

    表5系统组件和单元资产识别表

    5.2.1.4.2系统组件和单元资产价值赋值

    系统组件和单元资产价值应依据其保密性、完整性、可用性赋值进行综合计算,并设定相应的评 进行价值等级划分,等级越高表示资产越重要。表6中给出了系统组件和单元资产价值等级划 述。资产保密性、完整性、可用性赋值方法见附录D。

    表6系统组件和单元资产价值等级表

    5.2.2.1威胁识别内容

    威胁识别的内容包括威胁的来源、主体、种类、动机、时机和频率

    识别的内容包括威胁的来源、主体、种类、动机、日

    在对威胁进行分类前,应识别威胁的来源。威胁来源包括环境、意外和人为三类,附录E给出了威 胁识别的参考方法。表E.1给出了一种威胁来源的分类方法。 根据威胁来源的不同,威胁可划分为信息损害和未授权行为等威胁种类。表E.2给出了一种威胁 种类划分的参考。 威胁主体依据人为和环境进行区分,人为的分为国家、组织团体和个人,环境的分为一般的自然灾 害、较为严重的自然灾害和严重的自然灾害 威胁动机是指引导、激发人为威胁进行某种活动,对组织业务、资产产生影响的内部动力和原因 威胁动机可划分为恶意和非恶意,恶意包括攻击、破坏、窃取等,非恶意包括误操作、好奇心等。表E.3 给出了一种威胁动机分类的参考。 威胁时机可划分为普通时期、特殊时期和自然规律。 威胁频率应根据经验和有关的统计数据来进行判断,综合考虑以下四个方面,形成特定评估环境中 各种威胁出现的频率: a)以往安全事件报告中出现过的威胁及其频率统计; b)实际环境中通过检测工具以及各种日志发现的威胁及其频率统计: c)实际环境中监测发现的威胁及其频率统计; d)近期公开发布的社会或特定行业威胁及其频率统计,以及发布的威胁预警

    威胁赋值应基于威胁行为,依据威胁的行为能力和频率,结合威胁发生的时机,进行综合计算,关 相应的评级方法进行等级划分,等级越高表示威胁利用脆弱性的可能性越大。表7中给出了威月 等级划分的描述。

    威胁能力是指威胁来源完成对组织业务、资产产生影响的活动所具备的资源和综合素质。组织及 业务所处的地域和环境决定了威胁的来源、种类、动机,进而决定了威胁的能力;应对威胁能力进行等级 划分,级别越高表示威胁能力越强,表E.4给出了一种特定威胁行为能力赋值的参考。其中,威胁动机 对威胁能力有调整作用、 威胁的种类和资产决定了威胁的行为。表E.5给出了威胁行为列表的参考,E.6给出了一种资产 威胁种类、威胁行为关联分析的示例。 威胁出现的频率应进行等级化处理,不同等级分别代表威胁出现频率的高低。等级数值越大,威肋 出现的频率越高。威胁的频率应参考组织、行业和区域有关的统计数据进行判断。表E.7给出了一种 威胁频率的赋值方法。其中,威胁时机对威胁频率有调整作用

    6.2.3已有安全措施识另

    GB/T209842022

    弱性导致安全事件 发生后对组织或系统造成的影响。 在识别脆弱性的同时,评估人 安全措施的有效性进行确认。安全措施的确认应评 估其有效性,即是否直正地降低 抵御广威脚

    5.2.4.1脆弱性识别内容

    如果脆弱性没有对应的威胁,则无需实施控制措施,但应注意并监视他们是否发生变化。相反,如 果威胁没有对应的脆弱性,也不会导致风险。应注意,控制措施的不合理实施、控制措施故障或控制措 施的误用本身也是脆弱性。控制措施因其运行的环境,可能有效或无效。 脆弱性可从技术和管理两个方面进行审视。技术脆弱性涉及IT环境的物理层、网络层、系统层、 应用层等各个层面的安全问题或隐患。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方 面,前者与具体技术活动相关,后者与管理环境相关 脆弱性识别可以以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的脆弱性,并对 脆弱性的严重程度进行评估;也可以从物理、网络、系统、应用等层次进行识别,然后与资产、威胁对应起 来。脆弱性识别的依据可以是国际或国家安全标准,也可以是行业规范、应用流程的安全要求。对应用 在不同环境中的相同的脆弱性,其影响程度是不同的,评估方应从组织安全策略的角度考,判断资产 的脆弱性被利用难易程度及其影响程度。同时,应识别信息系统所采用的协议、应用流程的完备与否、 与其他网络的互联等 对不同的识别对象,其脆弱性识别的具体要求应参照相应的技术或管理标准实施。表8给出了, 种脆弱性识别内容的参考

    表8脆弱性识别内容表

    脆弱性赋值时包括两部分,一部分是脆弱性被利用难易程度赋值,一部分是影响程度赋值

    5.2.4.2脆弱性被利用难易程度赋值

    统技术或管理上脆弱性被利用难 担安全措施确认并不需要和脆弱性识别过程那样具体 资产、组件的脆弱性,而是一类具体措施的集合

    依据抛羽性利和已有安全指施别结 得出脆弱性被利用难易程度,并进行等级化处理,不同的等 级代表脆弱性被利用难易程度高低。等级数值越大,脆弱性越容易被利用。表9给出了脆弱性被利用 难易程度的一种赋值方法

    表9脆弱性被利用难易程度赋值表

    5.2.4.3影响程度赋值

    影响程度赋值是指脆弱性被威胁利用导致安全事件发生后对资产价值所造成影响的轻重程度分析 并赋值的过程。识别和分析资产可能受到的影响时,需要考虑受影响资产的层面。可从业务层面、系统 层面、系统组件和单元三个层面进行分析。 影响程度赋值需要综合考虑安全事件对资产保密性、完整性和可用性的影响。影响程度赋值采用 等级划分处理方式,不同的等级分别代表对资产影响的高低。等级数值越大,影响程度越高。表10给 出了影响程度的一种赋值方法

    表10影响程度赋值表

    组织应在风险识别基础上开展风险分析,风险分析应: a 根据威胁的能力和频率,以及脆弱性被利用难易程度,计算安全事件发生的可能性; b 根据安全事件造成的影响程度和资产价值,计算安全事件发生后对评估对象造成的损失; C 根据安全事件发生的可能性以及安全事件发生后造成的损失,计算系统资产面临的风险值 d 根据业务所涵盖的系统资产风险值综合计算得出业务风险值。 具体风险计算过程见附录F

    5.4.1系统资产风险评价

    根据风险评价准则对系统资产风险计算结果进行等级处理。表11给出了一种系统资产风险 分方法。

    GB/T209842022

    表11系统资产风险等级划分表

    5.4.2业务风险评价

    根据风险评价准则对业务风险计算结果进行等级处理,在进行业务风险评价时,可从社会影响和 响两个层面进行分析。社会影响涵盖国家安全,社会秩序,公共利益,公民、法人和其他组织的合 等方面;组织影响涵盖职能履行、业务开展、触犯国家法律法规、财产损失等方面。表12给出了 于后果的业务风险等级划分方法

    表12业务风险等级划分表

    表12业务风险等级划分表(续)

    5.6风险评估文档记录

    5.6.1风险评估文档记录要求

    记录风险评估过程的相关文档,应符合以下要求(包括但不限于): a 确保文档发布前是得到批准的; b) 确保文档的更改和现行修订状态是可识别的(有版本控制措施); C 确保文档的分发得到适当控制,并确保在使用时可获得有关版本的适用文档: d 防止作废文档的非预期使用,若因任何目的需保留作废文档时,应对这些文档进行适当的 标识。 对于风险评估过程中形成的相关文档,还应规定其标识、存储、保护、检索、保存期限以及处置所需 的控制。相关文档是否需要以及详略程度由组织的管理者来决定

    5.6.2风险评估文档

    风险评估文档是指在风险评估过程中产生的过程文档和结果文档,包括(但不仅限于此): a 风险评估方案:阐述风险评估目标、范围、人员、评估方法、评估结果的形式和实施进度等; b 资产识别清单:根据组织所确定的资产分类方法进行资产识别,形成资产识别清单(包括业务 资产、系统资产、系统组件和单元资产),明确资产的责任人和责任部门; C 重要资产清单:根据资产识别和赋值的结果,形成重要资产列表,包括重要资产名称、描述、类 型、重要程度、责任人、责任部门等; 威胁列表:根据威胁识别和赋值的结果,形成威胁列表,包括威胁来源、种类、威胁行为、能力和 频率等; e 已有安全措施列表:对已采取的安全措施进行识别并形成已有安全措施列表,包括已有安全措 施名称、类型、功能描述及实施效果等; 脆弱性列表:根据脆弱性识别和赋值的结果,形成脆弱性列表,包括具体脆弱性的名称、描述 类型、被利用难易程度及影响程度等; g 风险列表:根据威胁利用脆弱性导致安全事件的情况,形成风险列表,包括具体风险的名称、描 述等; 风险评估报告:对风险评估过程和结果进行总结,详细说明评估对象、风险评估方法、资产、威 胁、脆弱性和已有安全措施的识别结果、风险分析、风险统计和结论等内容; ) 风险评估记录:风险评估过程中的各种现场记录应可复现评估过程,以作为产生歧义后解决间 题的依据。

    GB/T209842022

    附录A (资料性) 评估对象生命周期各阶段的风险评估

    评估对象生命周期各阶段的风险评估

    风险评估应贯穿于评估对象生命周期客阶段中。评估对象生命周期客阶段中涉及的风险评估原则 知方法是一致的,但由于各阶段实施内容、对象、安全需求不同,使得风险评估的对象、目的、要求等各方 面也有所不同。在规划设计阶段,通过风险评估以确定评估对象的安全目标;在建设验收阶段,通过风 验评估以确定评估对象的安全目标达成与否;在运行维护阶段,要持续的实施风险评估以识别评估对象 面临的不断变化的风险和脆弱性,从而确定安全措施的有效性,确保安全目标得以实现。因此,每个阶 段风险评估的具体实施应根据该阶段的特点有所侧重的进行

    A.2规划阶段的风险评估

    规划阶段风险评估的目的是识别评估对象的业务规划,以支撑评估对象安全需求及安全规划等。 见划阶段的评估应能够描述评估对象建成后对现有业务模式的作用,包括技术、管理等方面,并根据其 作用确定评估对象建设应达到的安全目标。 本阶段评估中,资产、脆弱性不需要识别;威胁应根据未来应用对象、应用环境、业务状况、操作要求 等方面进行分析。评估看重在以下儿方面: a 是否依据相关规则,建立了与业务规划相一致的安全规划,并得到最高管理者的认可; 是否依据业务建立与之相契合的安全策略,并得到最高安全管理者的认可; ) 系统规划中是否明确评估对象开发的组织、业务变更的管理、开发优先级; d 系统规划中是否考虑评估对象的威胁、环境,并制定总体的安全方针; e) 系统规划中是否描述评估对象预期使用的信息,包括预期的信息系统、资产的重要性、潜在的 价值、可能的使用限制、对业务的支持程度等; 系统规划中是否描述所有与评估对象安全相关的运行环境,包括物理和人员的安全配置,以及 明确相关的法规、组织安全策略、专门技术和知识等。 现划阶段的评估结果应体现在评估对象整体规划或项目建议书中

    A.3设计阶段的风险评估

    设计阶段的风险评估需要根据规划阶段所明确的运行环境、业务重要性、资产重要性,提出安全功 能需求设计阶段的风险评估结果应对设计方案中所提供的安全功能符合性进行判断,作为实施过程风 险控制的依据 本阶段评估中,应详细评估设计方案中面临威胁的描述,将评估对象使用的具体设备、软件等资产 及其安全功能形成需求列表。对设计方案的评估着重在以下几方面: a) 设计方案是否符合评估对象建设规划,并得到最高管理者的认可: b) 设计方案是否对评估对象建设后面临的威胁进行了分析,重点分析来自物理环境和自然的威 胁,以及由于内、外部人侵等造成的威胁; 设计方案中的安全需求是否符合规划阶段的安全目标,并基于威胁的分析,制定评估对象的总 体安全策略; d 设计方案是否采取了一定的手段来应对可能的故障; e 设计方案是否对设计原型中的技术实现以及人员、组织管理等方面的脆弱性进行评估,包括设

    计过程中的管理脆弱性和技术平台固有的脆弱性 设计方案是否考虑随着其他系统接入而可能产生的风险; g) 系统性能是否满足用户需求,并考虑到峰值的影响,是否在技术上考虑了满足系统性能要求的 方法; h 应用系统(含数据库)是否根据业务需要进行了安全设计; ) 设计方案是否根据开发的规模、时间及系统的特点选择开发方法,并根据设计开发计划及用户 需求,对系统涉及的软件、硬件与网络进行分析和选型; j) 设计活动中所采用的安全控制措施、安全技术保障手段对风险的影响。在安全需求变更和设 计变更后,也需要重复这项评估, 设计阶段的评估可以以安全建设方案评审的方式进行,判定方案所提供的安全功能与信息技术安 全技术标准的符合性。评估结果应体现在评估又 或建设实施方案中

    A.4实施阶段的风险评估

    实施阶段风险评估的目的是根据安全需求和运行环境对系统开发、实施过程进行风险识别,并对建 成后的安全功能进行验证。根据设计阶段分析的威胁和制定的安全措施,在实施及验收时进行质量 控制。 基于设计阶段的资产列表、安全措施,实施阶段应对规划阶段的安全威胁进行进一步细分,同时评 古安全措施的实现程度,从而确定安全措施能否抵御现有威胁、脆弱性的影响。实施阶段风险评估主要 对业务及其相关信息系统的开发、技术与产品获取,系统交付实施两个过程进行评估。开发、技术与产 品获取过程的评估要点包括: a)法律、政策、适用标准和指导方针:直接或间接影响评估对象安全需求的特定法律;影响评估对 象安全需求、产品选择的政府政策、国际或国家标准; ) 评估对象的功能需要:安全需求是否有效地支持系统的功能; C 成本效益风险:是否根据评估对象的资产、威胁和脆弱性的分析结果,确定在符合相关法律、政 策、标准和功能需要的前提下选择最合适的安全措施: d)评估保证级别:是否明确系统建设后应进行怎样的测试和检查,从而确定是否满足项目建设 实施规范的要求

    系统交付实施过程的评估要点包括: 根据实际建设的系统,详细分析资产、面临的威胁和脆弱性; b 根据系统建设目标和安全需求,对系统的安全功能进行验收测试;评价安全措施能否抵御安全 威胁; C 评估是否建立了与整体安全策略一致的组织管理制度; 对系统实现的风险控制效果与预期设计的符合性进行判断,如存在较大的不符合,应重新进行 评估对象安全策略的设计与调整。 本阶段风险评估可以采取对照实施方案和标准要求的方式,对实际建设结果进行测试、分析

    A.6运行阶段的风险评估

    运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种较为全面的风险评 估内容包括对真实运行的资产、威胁、脆弱性等各方面。 a)资产评估:包括对业务、系统资产、系统组件和单元资产的评估。业务评估包括业务定位、 关联性、完整性、业务流程分析;系统资产评估包括系统分类和业务承载连续性的评估;系

    GB/T209842022

    件和单元资产是在真实环境下较为细致的评估,包括实施阶段采购的软硬件资产、系统运行过 程中生成的信息资产、相关的人员与服务等,本阶段资产识别是前期资产识别的补充与增加。 b) 威胁评估:应全面地分析威胁的可能性和严重程度。对威胁导致安全事件的评估可以参照威 胁来源动机、能力和安全事件的发生频率。 脆弱性评估:是全面的脆弱性评估。包括运行环境中物理、网络、系统、应用、安全保障设备、管 理等各方面的脆弱性。技术脆弱性评估可以采取核查、扫描、案例验证、渗透性测试的方式实 施;安全保障设备的脆弱性评估,应包括安全功能的实现情况和安全保障设备本身的脆弱性; 管理脆弱性评估可以采取文档、记录核查等方式进行验证, d)风险计算:根据本文件的相关方法,对风险进行定性或定量的风险分析,描述不同业务、系统资 产的风险高低状况。 运行维护阶段的风险评估应定期执行;当组织的业务流程、系统状况发生重大变更时,也应进行风 评估,重大变更包括以下情况(但不限于): a)增加新的应用或应用发生较大变更; 网络结构和连接状况发生较大变更; 技术平台大规模的更新; d) 系统扩容或改造; 发生重大安全事件后,或基于某些运行记录怀疑将发生重大安全事件; f 组织结构发生重大变动对系统产生了影响

    A.7废弃阶段的风险评估

    废弃阶段风险评估着重在以下几方面: a 确保硬件和软件等资产及残留信息得到了适当的处置,并确保系统组件被合理地丢弃或更换: b) 如果被废弃的系统是某个系统的一部分,或与其他系统存在物理或逻辑上的连接,还需考虑系 统废弃后与其他系统的连接是否被关闭; C 如果在系统变更中废弃,除对废弃部分外,还应对变更的部分进行评估,以确定是否会增加风 险或引入新的风险; d)是否建立了流程,确保更新过程在一个安全、系统化的状态下完成。 本阶段应重点对废弃资产对组织的影响进行分析,并根据不同的影响制定不同的处理方式。对由 统废弃可能带来的新的威胁进行分析,并改进新系统或管理模式。对废弃资产的处理过程应在有 监督之下实施,同时对废弃的执行人员进行安全教育,评估对象的维护技术人员和管理人员均应参 阶段的评估

    自评估是指评估对象的拥有、运营或使用单位发起的对本单位进行的风险评估。自评估应在本文 牛的指导下,结合评估对象特定的安全要求实施。周期性进行的自评估可以在评估流程上适当简化,重 点针对自上次评估后评估对象发生变化后引入的新威胁,以及脆弱性的完整识别,以便于两次评估结果 的对比。但评估对象发生A.6中所列的重大变更时,应依据本文件进行完整的评估。 自评估可由发起方实施或委托风险评估服务技术支持方实施。由发起方实施的评估可以降低实施 的费用、提高相关人员的安全意识,但可能由于缺乏风险评估的专业技能,其结果不够深入准确;同时, 受到组织内部各种因素的影响,其评估结果的客观性易受影响。委托风险评估服务技术支持方实施的 评估,过程比较规范、评估结果的客观性比较好,可信程度较高;但由于受到行业知识技能及业务了解的 限制,对评估对象的了解,尤其是在业务方面的特殊要求存在一定的局限。由于引人风险评估服务技术 支持方本身就是一个风险因素,因此,对其背景与资质、评估过程与结果的保密要求等方面应进行控制 此外,为保证风险评估的实施,与评估对象相连的相关方也应配合,以防止给其他方的使用带来困 难或引人新的风险

    GB/T209842022

    风险评估工具是风险评估的辅助手段,是保证风险评估结果可信度的一个重要因素。风险评估工 其的使用不但在一定程度上解决了手动评估的局限性,最主要的是它能够将专家知识进行集中,使专家 的经验知识被广泛地应用 根据在风险评估过程中的主要任务和作用原理的不同,风险评估的工具可以分成风险评估与管理 工具、系统基础平台风险评估工具、风险评估辅助 具二 尖。 风险评估与管理工具是一套集成了风险评 古各类知识和判据的管理信息系统,以规范风险评估的过程和操作方法;或者是用于收集评估所需要的 数据和资料,基于专家经验,对输入输出进行模型分析。系统基础平台风险评估工具主要用于对信息系 统的主要部件(如操作系统、数据库系统、网络设备等)的脆弱性进行分析,或实施基于脆弱性的攻击 风险评估辅助工具则实现对数据的采集、现状分析和趋势分析等单项功能,为风险评估各要素的赋值 定级提供依据

    C.2风险评估与管理工具

    需要分别采取定性和定量的方法完成 基于模型的风险评估与管理工具是在对系统各组成部分、安全要素充分研究的基础上,对典型系统 的资产、威胁、脆弱性建立量化或半量化的模型, 银据采集信息的输入,得到评价的结果

    C3系统基础平台风险评估工具

    C.4风险评估辅助工具

    科学的风险评估需要大量的实践和经验数据的支持,这些数据的积累是风险评估科学性的基础。 险评估过程中,可以利用一些辅助性的工具和方法来采集数据,帮助完成现状分析和趋势判断 a 国家漏洞库、专业机构发布的漏洞与威统计数据。 b 检查列表和基线检查工具:检查列表是基于特定标准或基线建立的,对特定系统进行审查的项 目条款。通过检查列表,操作者可以快速定位系统目前的安全状况与基线要求之间的差距,该 检查工作可以通过基线检查工具实现。 c) 网络人侵检测系统:全流量威胁检测系统、基于日志的失陷检测工具和人侵检测系统等通过部 署检测引擎,收集、处理整个网络中的通信信息,以获取可能对网络或主机造成危害的入侵攻 击事件;帮助检测各种攻击试探和误操作;同时也可以作为一个警报器,提醒管理员发生的安 全状况。 d 态势感知系统:态势感知系统通过综合分析网络安全要系,评估安全状况,预测其发展趋势,以 可视化的方式展现给用户,并给出相应的报表和应对措施;它的相应报表可以作为安全现状数 据,并用于分析威胁情况

    GB/T209842022

    e)安全审计工具:用于记录网络行为,分析系统或网络安全现状;它的审计记录可以作为风险计 估中的安全现状数据,并可用于判断评估对象威胁信息的来源。 拓扑发现工具:通过接入点接入被评估网络,完成被评估网络中的资产发现功能,并提供网络 资产的相关信息,包括操作系统版本、型号等。拓扑发现工具主要是自动完成网络硬件设备的 识别、发现功能。 g 资产信息收集系统:通过提供调查表形式,完成被评估信息系统数据、管理、人员等资产信息的 收集功能,了解到组织的主要业务、重要资产、威胁、管理上的缺陷、采用的控制措施和安全策 略的执行情况。此类系统主要采取电子调查表形式,需要被评估系统管理人员参与填写,并自 动完成资产信息获取。 h) 机房检测工具:对机房环境进行检测的一类工具,用以发现当前机房的情况,具体包括温度检 测、湿度检测等。 其他:如用于评估过程参考的评估指标库、知识库、漏洞库、算法库、模型库等

    D.1业务重要性赋值调整表

    业务重要性赋值调整见表D.1

    表D.1业务重要性赋值调整表

    表D.1业务重要性赋值调整表

    D.2资产保密性赋值方

    表D.2资产保密性赋值表

    D.3资产完整性赋值方法

    根据资产在完整性上的不同要求,将其分为5个不同的等级,分别对应资产在完整性上应达成 程度或者完整性缺失时对资产造成的影响。表D.3提供了一种完整性赋值的参考。

    表D.3资产完整性赋值表

    GB/T209842022

    D.4资产可用性赋值方法

    根据资产在可用性上的不同要文 对应资产在可用性上应达成的 是度或者可用性缺失时对资产造成的影响。 表D4提供 种可用性赋值的参考。

    表D.4资产可用性赋值表

    检测标准D.5系统资产业务承载性赋值方法

    根据系统资产对所承载业务的影响不同,将其分为5个不同的等级,分别对应系统资产在业务承载 性上应达成的不同程度或者资产安全属性被破坏时对业务的影响程度。表D.5提供了一种系统资产业 务承载性赋值的参考

    表D.5系统资产业务承载性赋值表

    GB/T209842022

    无损检测标准规范范本E.4特定威胁行为能力赋值

    胁行为能力赋值见表E.

    ....
  • 相关专题:

相关下载

常用软件