标准规范下载简介

GB／T 20984-2022 信息安全技术 信息安全风险评估方法.pdf简介：

GB／T 20984-2022 信息安全技术 信息安全风险评估方法.pdf部分内容预览：

C.2风险评估与管理工具

需要分别采取定性和定量的方法完成。 基于模型的风险评估与管理工具是在对系统各组成部分、安全要素充分研究的基础上，对典型系统 得到评价的结果

C.3系统基础平台风险评估工具

C.4风险评估辅助工具

e）安全审计工具：用于记录网络行为，分析系统或网络安全现状；它的审计记录可以作为风险评 估中的安全现状数据，并可用于判断评估对象威胁信息的来源。 f 拓扑发现工具：通过接入点接入被评估网络，完成被评估网络中的资产发现功能，并提供网络 资产的相关信息，包括操作系统版本、型号等。拓扑发现工具主要是自动完成网络硬件设备的 识别、发现功能。 g） 资产信息收集系统：通过提供调查表形式，完成被评估信息系统数据、管理、人员等资产信息的 收集功能，了解到组织的主要业务、重要资产、威胁、管理上的缺陷、采用的控制措施和安全策 略的执行情况。此类系统主要采取电子调查表形式JGJ 107-1996 钢筋机械连接通用技术规程，需要被评估系统管理人员参与填写，并自 动完成资产信息获取。 h）机房检测工具：对机房环境进行检测的一类工具，用以发现当前机房的情况，具体包括温度检 测、湿度检测等。 i）其他：如用于评估过程参考的评估指标库、知识库、漏洞库、算法库、模型库等。

D.1业务重要性赋值调整表

业务重要性赋值调整见表D.1.

表D.1业务重要性赋值调整表

D.2资产保密性赋值方

表D.2资产保密性赋值表

D.3资产完整性赋值方法

根据资产在完整性上的不同要求，将其分为5个不同的等级，分别对应资产在完整性上应达成 同程度或者完整性缺失时对资产造成的影响。表D.3提供了一种完整性赋值的参考。

表D.3资产完整性赋值表

D.4资产可用性赋值方法

根据资产在可用性上的不同要求，将其分为5个不同的等级，分别对应资产在可用性上应达成的 度或者可用性缺失时对资产造成的影响。表D.4提供了一种可用性赋值的参考

表D.4资产可用性赋值表

D.5系统资产业务承载性赋值方法

根据系统资产对所承载业务的影响不同，将其分为5个不同的等级，分别对应系统资产在业务承载 性上应达成的不同程度或者资产安全属性被破坏时对业务的影响程度。表D.5提供了一种系统资产业 务承载性赋值的参考

统资产业务承载性赋值

威胁来源分类见表E.1。

表E.1威胁来源列表

表E.2威胁种类列表

威胁动机分类见表E.3。

表E.3威胁动机分类

E.4特定威胁行为能力赋值

胁行为能力赋值见表E.

T／CECS797-2021 建筑工程合同管理标准及条文说明.pdf表E.4特定威胁行为能力赋值表

E.5威胁行为、种类、来源对应

威胁行为、种类、来源对应见表E.5

表E.5威胁行为、种类、来源对应表

E.6威胁种类、资产、威胁行为关联分析示例

E.6威胁种类、资产、威胁行为关联分析示例表

E.7威胁频率的赋值方法

威胁频率赋值方法见表E.7。

T∕CECS G：T10-2018 汽车试验场特种道路设计与施工技术规程表E.7感胁频率赋值表