《信息安全技术 信息安全风险评估方法》（GB/T 20984—2022）解读

标准名称的修订。遵照《标准化工作导则 第1部分：标准化文件的结构和起草规则》（GB/T1.1—2020）第4章关于标准文件类别的定义，将名称修改为《信息安全技术 信息安全风险评估方法》。

风险评估理念的调整。在网络空间对抗加剧的大背景下，将原有以保护“资产”为核心，以“脆弱性”发现为侧重的风险评估理念，调整到以保“业务”为核心，以御“威胁”为牵引的风险评估方法。

风险评估流程的调整。站在组织视角科学界定业务的重要性，结合业务所处的内外部环境，统筹识别威胁源和攻击路径，客观评价安全防护措施有效性和威胁攻击路径中存在的防护薄弱环节，并综合分析组织面临的安全风险。

风险呈现视角的调整。新标准将传统的基于单个资产的碎片化风险呈现方式，调整为以支撑业务安全风险管控为目标的整体化、双层次风险展现方式。

风险评估对象的调整。新标准将传统面向系统资产的风险评估方法调整为面向业务和系统资产。同时，将系统资产的范畴扩展为信息系统、数据资源和基础网络。

资产识别和分析。在资产识别过程中，应基于业务的范围和边界，开展业务资产、系统资产、系统组件和单元资产层级的划分和识别。

威胁识别和分析。在威胁识别过程中，应基于组织的业务特点和内外部环境，分析存在的威胁源和攻击路径。同时，依据威胁的行为能力、频率和时机进行威胁分析。

安全措施有效性分析。新标准将安全措施分为预防性安全措施和保护性安全措施两种。应结合威胁攻击路径，并行开展脆弱性和已有安全防护措施识别，并对已有安全措施的有效性进行确认。

风险分析和计算。在进行风险分析和计算时，针对不同时机的威胁源动机和能力变化、同层级资产之间的重要性关联传导、不同层级资产之间的重要性继承等，进行系统风险的分析和风险值计算。

风险评价和呈现。最终的评价同资产分层保持一致，基于系统资产风险评价结果，通过业务依赖关系推导业务风险结果。