GB/T指推荐性国家标准,本标准提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法,以及风险评估在信息系统的生命周期不同阶段的实施要点和工作形式,适用于规范组织开展的风险评估工作,包括如下几部分:
业务战略是依托于资产来实现的,资产价值越高依托程度也就越高,相反对风险的容忍度也就越低;风险是由威胁带来的,威胁越多风险也就越大甚至演变成安全事件;脆弱性是资产的属性,它是安全措施未被很好满足的情况下产生的,脆弱性被威胁利用后会给资产带来安全风险;由于对抗风险的需求存在,会衍生出一系列的安全举措(基于资产成本考虑ROI),来抵御或预防威胁,然后当安全举措失效后会产生残余风险,残余风险需要被例行监控起来以免造成安全事件;