信息安全风险评估规范

为了提出有针对性的抵御威胁的防护对策和整改措施，防范和化解信息安全风险，将风险控制在可接受的水平，对GB/T 20984-2007进行修订。本标准提出了基于业务，面向信息系统生命周期（规划、设计、实施、运行维护和废弃）的风险评估方法，分析了业务及其支撑的信息系统所面临的威胁及其存在的脆弱性，全面评估安全事件造成的危害程度。