YD-T 1730-2024 电信网和互联网安全风险评估规范

YD ICS 35.030 CCS L70 YD/T 1730 —202X 代替YD/T 1730-2008 电信网和互联网安全风险评估规范 Risk assessment specification for securtiy of telecom network and Internet （报批稿） XXXX - XX - XX发布 XXXX - XX - XX实施中华人民共和国工业和信息化部发布中华人民共和国通信行业标准 YD/T 1730—202X I目次前言 ............................................................................. III 1 范围 ................................................................................. 1 2 规范性引用文件 ....................................................................... 1 3 术语和定义 ........................................................................... 1 4 风险评估框架及流程 ................................................................... 2 4.1 风险要素关系 ....................................................................... 2 4.2 风险评估流程 ....................................................................... 3 5 风险评估实施 ......................................................................... 3 5.1 评估准备 ........................................................................... 3 5.2 风险识别 ........................................................................... 3 5.2.1 业务识别 ....................................................................... 3 5.2.1.1 业务识别内容 ............................................................... 4 5.2.1.2 业务重要性赋值 ............................................................. 4 5.2.2 资产识别 ....................................................................... 4 5.2.2.1 识别内容 ................................................................... 4 5.2.2.2 资产重要性等级划分 ......................................................... 5 5.2.3 威胁识别 ....................................................................... 5 5.2.3.1 识别内容 ................................................................... 5 5.2.3.2 威胁可能性等级划分 ......................................................... 5 5.2.4 脆弱性识别 ..................................................................... 6 5.2.4.1 识别内容 ................................................................... 6 5.2.4.2 脆弱性严重程度赋值 ......................................................... 6 5.2.5 已有安全措施确认 ............................................................... 7 5.2.5.1 识别内容 ................................................................... 7 5.2.5.2 脆弱性被利用的可能性等级划分 ............................................... 7 5.3 风险分析与计算 ..................................................................... 7 5.3.1 风险分析原理 ................................................................... 7 5.3.2 风险计算 ....................................................................... 8 5.4 风险评价 ........................................................................... 9 5.4.1 评价准则建立 ................................................................... 9 5.4.2 资产风险评价 ................................................................... 9 5.4.3 业务风险评价 ................................................................... 9 5.5 沟通与咨询 ........................................................................ 10 5.6 评估文档记录 ...................................................................... 10 YD/T 1730—2022 II6 风险评估在电信网和互联网及相关系统生命周期各阶段的要求 .............................. 10 6.1 生命周期描述 ...................................................................... 10 6.2 规划阶段的风险评估 ................................................................ 11 6.3 设计阶段的风险评估 ................................................................ 11 6.4 实施阶段的风险评估 ................................................................ 11 6.5 运行阶段的风险评估 ................................................................ 12 6.6 废弃阶段的风险评估 ................................................................ 13 7 风险评估的工作形式 .................................................................. 13 7.1 自评估 ............................................................................ 13 7.2 检查评估 ..............................................