2022年11月1日，新的風險評估國標標準《GB/T 20984-2022 資訊保安技術 資訊保安風險評估方法》（以下簡稱新版標準）即將實施，該標準代替了《GB/T 20984-2007 資訊保安技術資訊保安風險評估規範》（以下簡稱舊版標準），也是GB/T 20984自2007年釋出以來的首次修改。那麼新的國標都有哪些變化呢？今天小至就來淺談一下…

新國標的變化

變化一：流程更加清晰

新版標準的風險評估流程分為評估準備、風險識別、風險分析和風險評價四個階段，其中風險分析和風險評價兩個階段的內容由舊版標準中風險分析階段的風險計算和風險結果判定最佳化而來。同時，移除了舊版標準中風險處理計劃和殘餘風險評估的內容。整體來看，新版標準的流程更加清晰、可操作性更強。

變化二：風險要素更加聚焦

新版本中，將風險的評估聚焦於資產、風險、脆弱性、安全措施及威脅這幾個要素，在新的網路空間安全對抗中，更加突出以保“業務”為核心，重點評估核心“風險”，以對抗“威脅”的風險評估方法。

而在舊版標準彙總，則更加強調以保護“資產”為核心，用評估“脆弱性”的方法來評估風險。與此同時還強調了業務戰略、資產價值、安全需求、安全事件、殘餘風險等與風險基本要素相關的屬性，這也導致了實際模型更加複雜難懂。

變化三：風險視角更偏業務

舊標準基於傳統的相對碎片化的資產管理模式，管理過程會更加複雜，難以整合。新標準中新增加業務識別要求，在“資產識別”中將資產的識別過程，按層次劃分成“組織”、“業務”、“系統”和“資產”。資產保護物件從多個“資產”為核心變成了企業的“業務”為核心，所以新版本標準更加突出風險的管理為以支撐業務安全風險管控為目標，風險呈現的視角更加整體化、層次化。

變化四：

在新版標準中，簡化了風險分析過程，正文中沒有給出具體計算方法，但在文末，給出了評估的例子，依舊是透過對安全事件發生的可能性和安全事件造成的損失，計算得出風險值。

舊版標準中安全事件發生的可能性由“威脅”出現的頻率和脆弱性嚴重程度決定（“安全事件造成的損失=L（威脅出現頻率，脆弱性）=L（T,V）”），安全事件造成的損失由脆弱性嚴重程度和資產價值（“安全事件造成的損失=F(資產價值,脆弱性嚴重程度)=F(Ia,Va )”）決定。

而在新版標準中，安全事件發生的可能性由威脅的賦值和脆弱性被利用的難易程度決定（“安全事件發生的可能性=L[威脅賦值,脆弱性被利用難易程度]=L(T,Av)”），安全事件造成的損失由脆弱性的影響程度和資產價值決定（“安全事件造成的損失=F[資產價值,影響程度]=F(Vc,Di)”）。

雖然計算風險的標準基本不變，仍然由上述兩個因素（“風險值=R[安全事件發生的可能性,安全事件造成的損失]=R(L(T,Av),F(Vc,Di))”）決定，但更加強調了“業務風險值”的計算，計算過程中強調了針對不同威脅源的動機和能力變化、同層級資產之間的重要性關聯、不同層級資產之間的重要性繼承，同時還強調了業務不僅對組織有影響，還需要關注對於社會的影響情況。

眾至科技依據多年的風險評估經驗，以FAIR（Factor Analysis of Information Risk，資訊風險因素分析）方法論為核心，並重點針對本次即將施行的新國標標準進行了重點解讀與融合，創新研發針對企業網路安全風險的主動風險管理體系，形成了對網路安全風險評級方法的2.0升級版本。

眾至科技主動風險管理體系遵循新國標準則，貫穿於網路安全保險核保階段的風險評估流程，覆蓋“風險調研-風險識別-風險評估-風險整改”四大環節，在資產識別和分析、威脅識別和分析、安全措施有效性分析、風險分析和計算、風險評價和呈現等方面進行多因子、多角度的綜合性評價，實現對未知安全威脅的主動提前預防。