1
/
の
12
PayPal, credit cards. Download editable-PDF and invoice in 1 second!
GB/T 20984-2022 英語 PDF (GBT20984-2022)
GB/T 20984-2022 英語 PDF (GBT20984-2022)
通常価格
$470.00 USD
通常価格
セール価格
$470.00 USD
単価
/
あたり
配送料はチェックアウト時に計算されます。
受取状況を読み込めませんでした
配信: 3 秒。真の PDF + 請求書をダウンロードしてください。
1分で見積もりを取得: GB/T 20984-2022をクリック
過去のバージョン: GB/T 20984-2022
True-PDF をプレビュー(空白の場合は再読み込み/スクロール)
GB/T 20984-2022: 情報セキュリティ技術 - 情報セキュリティのリスク評価方法
GB/T 20984-2022
国家標準の
中華人民共和国
ICS35.030
CCS L80
GB/T 20984-2007 の置き換え
情報セキュリティ技術 - リスク評価手法
情報セキュリティ
発行日: 2022年4月15日
実施日: 2022年11月1日
発行元:国家市場監督管理総局
中華人民共和国標準化管理局。
目次
序文…3
1 範囲 ... 5
2 規範的参照 ... 5
3 用語と定義、略語...5
3.1 用語と定義 ... 5
3.2 略語 ... 7
4 リスク評価の枠組みとプロセス ... 8
4.1 リスク要因間の関係 ... 8
4.2 リスク分析の原則 ... 9
4.3 リスク評価プロセス ... 9
5 リスク評価の実施 ... 11
5.1 リスク評価の準備 ... 11
5.2 リスクの特定 ... 12
5.3 リスク分析 ... 22
5.4 リスク評価 ... 22
5.5 コミュニケーションと交渉 ... 24
5.6 リスク評価文書 ... 24
付録A(参考)評価対象ライフサイクルの各段階でのリスク評価
... 27
付録B(参考)リスク評価の作業形態...33
付録C(参考)リスク評価ツール...35
付録D(参考)資産の識別...40
付録E(参考)脅威の特定...43
付録F(参考)リスク計算の例...47
文献 ... 49
情報セキュリティ技術 - リスク評価手法
情報セキュリティ
1 範囲
この文書では、情報セキュリティリスク評価の基本的な概念について説明します。
リスク要因の関係、リスク分析の原則、実施プロセス
リスク評価の実施要点と評価方法、
情報システムライフサイクルのさまざまな段階でのリスク評価の作業形式。
この文書は、情報セキュリティリスク管理を実施するあらゆるタイプの組織に適用されます。
評価。
2 規範的参照
以下の文書の内容は、このテキストの規範的参照を通じて、
この文書に不可欠な規定を構成する。その中で、日付の付いた参照については、
この文書には、その日付に対応する版のみが適用されます。日付のない
参照の場合、最新版(すべての修正を含む)がこの文書に適用されます。
GB/T 25069 情報セキュリティ技術 - 用語
GB/T 33132-2016 情報セキュリティ技術 - 実装ガイド
情報セキュリティリスク処理
3 用語と定義、略語
3.1 用語と定義
GB/T 25069で定義された用語と定義、および以下の用語と定義がこれに適用される。
書類。
3.1.1
情報セキュリティリスク
特定の脅威が、単一または複数の組織の脆弱性を悪用する可能性
資産とそれが組織に与える損害について説明します。
注: これは、事態の発生可能性とその結果の組み合わせによって測定されます。
[出典: GB/T 31722-2015、3.2]
3.1.2
リスクアセスメント
リスクの特定、リスク分析、リスク評価のプロセス全体。
[出典: GB/T 29246-2017、2.71]
注: このドキュメントは、特に情報セキュリティ リスク評価について言及しています。
3.1.3
組織
独自の責任、権限、関係を持つ個人またはグループ
目標を達成する。
注: 組織の概念には、個人事業主、会社、法人などが含まれますが、これらに限定されません。
個人、会社、企業、代理店、パートナーシップ、慈善団体、機関、またはその一部もしくは組み合わせ
法人化されているか否か、公的であるか私的であるかを問わず、その組織。
[出典: GB/T 29246-2017、2.57、修正]
3.1.4
仕事
開発計画を達成するために組織が実行する運用活動。
注: このアクティビティには明確な目標があり、一定期間にわたって実行されます。
3.1.5
セキュリティ要件
組織の適切な機能を確保するためのセキュリティ管理の要件
事業計画。
3.1.6
セキュリティ管理
資産を保護するために実施されるさまざまな慣行、手順、メカニズム
脅威から防御し、脆弱性を軽減し、セキュリティインシデントの影響を軽減し、
情報犯罪と闘う。
3.1.7
4.2 リスク分析の原則
リスク分析の原則は次のとおりです。
a) 脅威の源、種類、動機などと歴史的背景に基づいて
脅威関連のセキュリティインシデントやログなどのデータ統計は、
脅威の能力と頻度
b) 脆弱性のアクセスパスやトリガー要件などに応じて、
実施されたセキュリティ管理とその有効性によって、
脆弱性が悪用される難しさ。
c) セキュリティインシデントが発生した後に資産への影響の程度を判断する。
脆弱性が脅威によって悪用される;
d) 脅威の能力と頻度、および脅威の程度に応じて
脆弱性が悪用される難易度によって、
セキュリティインシデント;
e) 開発計画における資産の位置と、
資産、資産価値を決定する。
f) 影響度と資産価値に応じて、
セキュリティインシデント発生後の評価対象。
g) セキュリティインシデントの可能性とそれによって引き起こされる損失に応じて
セキュリティインシデントの場合、評価対象のリスク値を決定します。
h) リスク評価基準に従ってリスクレベルが決定され、
リスクの決定。
4.3 リスク評価プロセス
リスク評価の実施プロセスを図2に示す。リスク
評価プロセスには以下が含まれます。
a) 評価準備。この段階には以下の内容が含まれます。
1) リスク評価の目的を決定する。
2) リスク評価の対象、範囲および境界を決定する。
3) 評価チームを編成する。
4) 予備調査を実施する。
5) 評価の基準を決定する。
評価対象のセキュリティ目標が変更された場合は、リスク評価を実施する必要がある。
また。
リスク評価の結果は、リスク対応の意思決定を支援することができます。リスク
治療とは、リスクを受け入れること、
リスク回避、リスク移転、リスク低減など、リスク対応は
GB/T 33132-2016 に準拠。
5 リスク評価の実施
5.1 リスク評価の準備
組織のリスク評価の実施は戦略的な考慮事項です。その結果は
組織計画、ビジネス、ビジネスプロセス、セキュリティの影響を受ける
要件、システム規模、構造などが異なるため、
リスク評価を実施するには、以下の作業を準備する必要があります。
a) リスク評価の作業形態を考慮した上で、
ライフサイクル、および評価対象組織のセキュリティ評価要件、
リスク評価の目的を決定する。付録Aにはリスク評価が示されている。
評価対象ライフサイクルの各段階の内容。付録Bには、
リスク評価の作業形態の説明。
b) リスク評価の対象、範囲、境界を決定する。
c) 評価チームを編成し、評価ツールを定義する。付録Cに評価ツールを示す。
リスクアセスメント。
d) 予備調査を実施する。
e) 評価の基準を決定する。
f) リスク評価基準を確立する: 自然環境の考慮に基づいて、リスク評価基準を策定する。
1分で見積もりを取得: GB/T 20984-2022をクリック
過去のバージョン: GB/T 20984-2022
True-PDF をプレビュー(空白の場合は再読み込み/スクロール)
GB/T 20984-2022: 情報セキュリティ技術 - 情報セキュリティのリスク評価方法
GB/T 20984-2022
国家標準の
中華人民共和国
ICS35.030
CCS L80
GB/T 20984-2007 の置き換え
情報セキュリティ技術 - リスク評価手法
情報セキュリティ
発行日: 2022年4月15日
実施日: 2022年11月1日
発行元:国家市場監督管理総局
中華人民共和国標準化管理局。
目次
序文…3
1 範囲 ... 5
2 規範的参照 ... 5
3 用語と定義、略語...5
3.1 用語と定義 ... 5
3.2 略語 ... 7
4 リスク評価の枠組みとプロセス ... 8
4.1 リスク要因間の関係 ... 8
4.2 リスク分析の原則 ... 9
4.3 リスク評価プロセス ... 9
5 リスク評価の実施 ... 11
5.1 リスク評価の準備 ... 11
5.2 リスクの特定 ... 12
5.3 リスク分析 ... 22
5.4 リスク評価 ... 22
5.5 コミュニケーションと交渉 ... 24
5.6 リスク評価文書 ... 24
付録A(参考)評価対象ライフサイクルの各段階でのリスク評価
... 27
付録B(参考)リスク評価の作業形態...33
付録C(参考)リスク評価ツール...35
付録D(参考)資産の識別...40
付録E(参考)脅威の特定...43
付録F(参考)リスク計算の例...47
文献 ... 49
情報セキュリティ技術 - リスク評価手法
情報セキュリティ
1 範囲
この文書では、情報セキュリティリスク評価の基本的な概念について説明します。
リスク要因の関係、リスク分析の原則、実施プロセス
リスク評価の実施要点と評価方法、
情報システムライフサイクルのさまざまな段階でのリスク評価の作業形式。
この文書は、情報セキュリティリスク管理を実施するあらゆるタイプの組織に適用されます。
評価。
2 規範的参照
以下の文書の内容は、このテキストの規範的参照を通じて、
この文書に不可欠な規定を構成する。その中で、日付の付いた参照については、
この文書には、その日付に対応する版のみが適用されます。日付のない
参照の場合、最新版(すべての修正を含む)がこの文書に適用されます。
GB/T 25069 情報セキュリティ技術 - 用語
GB/T 33132-2016 情報セキュリティ技術 - 実装ガイド
情報セキュリティリスク処理
3 用語と定義、略語
3.1 用語と定義
GB/T 25069で定義された用語と定義、および以下の用語と定義がこれに適用される。
書類。
3.1.1
情報セキュリティリスク
特定の脅威が、単一または複数の組織の脆弱性を悪用する可能性
資産とそれが組織に与える損害について説明します。
注: これは、事態の発生可能性とその結果の組み合わせによって測定されます。
[出典: GB/T 31722-2015、3.2]
3.1.2
リスクアセスメント
リスクの特定、リスク分析、リスク評価のプロセス全体。
[出典: GB/T 29246-2017、2.71]
注: このドキュメントは、特に情報セキュリティ リスク評価について言及しています。
3.1.3
組織
独自の責任、権限、関係を持つ個人またはグループ
目標を達成する。
注: 組織の概念には、個人事業主、会社、法人などが含まれますが、これらに限定されません。
個人、会社、企業、代理店、パートナーシップ、慈善団体、機関、またはその一部もしくは組み合わせ
法人化されているか否か、公的であるか私的であるかを問わず、その組織。
[出典: GB/T 29246-2017、2.57、修正]
3.1.4
仕事
開発計画を達成するために組織が実行する運用活動。
注: このアクティビティには明確な目標があり、一定期間にわたって実行されます。
3.1.5
セキュリティ要件
組織の適切な機能を確保するためのセキュリティ管理の要件
事業計画。
3.1.6
セキュリティ管理
資産を保護するために実施されるさまざまな慣行、手順、メカニズム
脅威から防御し、脆弱性を軽減し、セキュリティインシデントの影響を軽減し、
情報犯罪と闘う。
3.1.7
4.2 リスク分析の原則
リスク分析の原則は次のとおりです。
a) 脅威の源、種類、動機などと歴史的背景に基づいて
脅威関連のセキュリティインシデントやログなどのデータ統計は、
脅威の能力と頻度
b) 脆弱性のアクセスパスやトリガー要件などに応じて、
実施されたセキュリティ管理とその有効性によって、
脆弱性が悪用される難しさ。
c) セキュリティインシデントが発生した後に資産への影響の程度を判断する。
脆弱性が脅威によって悪用される;
d) 脅威の能力と頻度、および脅威の程度に応じて
脆弱性が悪用される難易度によって、
セキュリティインシデント;
e) 開発計画における資産の位置と、
資産、資産価値を決定する。
f) 影響度と資産価値に応じて、
セキュリティインシデント発生後の評価対象。
g) セキュリティインシデントの可能性とそれによって引き起こされる損失に応じて
セキュリティインシデントの場合、評価対象のリスク値を決定します。
h) リスク評価基準に従ってリスクレベルが決定され、
リスクの決定。
4.3 リスク評価プロセス
リスク評価の実施プロセスを図2に示す。リスク
評価プロセスには以下が含まれます。
a) 評価準備。この段階には以下の内容が含まれます。
1) リスク評価の目的を決定する。
2) リスク評価の対象、範囲および境界を決定する。
3) 評価チームを編成する。
4) 予備調査を実施する。
5) 評価の基準を決定する。
評価対象のセキュリティ目標が変更された場合は、リスク評価を実施する必要がある。
また。
リスク評価の結果は、リスク対応の意思決定を支援することができます。リスク
治療とは、リスクを受け入れること、
リスク回避、リスク移転、リスク低減など、リスク対応は
GB/T 33132-2016 に準拠。
5 リスク評価の実施
5.1 リスク評価の準備
組織のリスク評価の実施は戦略的な考慮事項です。その結果は
組織計画、ビジネス、ビジネスプロセス、セキュリティの影響を受ける
要件、システム規模、構造などが異なるため、
リスク評価を実施するには、以下の作業を準備する必要があります。
a) リスク評価の作業形態を考慮した上で、
ライフサイクル、および評価対象組織のセキュリティ評価要件、
リスク評価の目的を決定する。付録Aにはリスク評価が示されている。
評価対象ライフサイクルの各段階の内容。付録Bには、
リスク評価の作業形態の説明。
b) リスク評価の対象、範囲、境界を決定する。
c) 評価チームを編成し、評価ツールを定義する。付録Cに評価ツールを示す。
リスクアセスメント。
d) 予備調査を実施する。
e) 評価の基準を決定する。
f) リスク評価基準を確立する: 自然環境の考慮に基づいて、リスク評価基準を策定する。
共有
