1. 当前位置:
  2. 首页 >
  3. 地方标准 >
  4. DB44/T 2189.3-2019

DB44/T 2189.3-2019 移动终端信息安全 第3部分:敏感信息风险评估

DB44/T 2189.3-2019 Mobile device information security - Part 3: Risk assessment of sensitive information

广东省地方标准 简体中文 现行 页数:20页 | 格式:PDF

基本信息

标准号
DB44/T 2189.3-2019
标准类型
广东省地方标准
标准状态
现行
中国标准分类号(CCS)
M36 无线电通信设备
国际标准分类号(ICS)
35.060 信息技术用语言
发布日期
2019-09-09
实施日期
2019-12-01
发布单位/组织
广东省市场监督管理局
归口单位
广东省大数据标准化技术委员会(GD/TC120)
适用范围
本部分规定了敏感信息生成阶段、存储阶段、加工阶段、转移阶段、应用阶段、废止与删除阶段的风险评估实施流程、评估内容和评估方法。 本部分适用于移动通信网的智能手机和平板电脑设备。

发布历史

文前页预览

DB44/T 2189.3-2019 移动终端信息安全 第3部分:敏感信息风险评估-第1页
DB44/T 2189.3-2019 移动终端信息安全 第3部分:敏感信息风险评估-第2页
DB44/T 2189.3-2019 移动终端信息安全 第3部分:敏感信息风险评估-第3页
DB44/T 2189.3-2019 移动终端信息安全 第3部分:敏感信息风险评估-第4页
DB44/T 2189.3-2019 移动终端信息安全 第3部分:敏感信息风险评估-第5页
DB44/T 2189.3-2019 移动终端信息安全 第3部分:敏感信息风险评估-第6页

研制信息

起草单位:
工业和信息化部电子第五研究所
起草人:
王韬、王贵虎、杨春晖、林军、冯晓荣、谢克强、华小方。
出版信息:
页数:20页 | 字数:- | 开本: -

内容描述

ICS35.060

M36

DB44

广东省地方标准

DB44/T2189.3—2019

移动终端信息安全

第3部分:敏感信息风险评估

Informataionsecurityofmobileterminal—Part3:Riskevaluationforsensitive

information

2019-09-09发布2019-12-01实施

广东省市场监督管理局发布

DB44/T2189.3—2019

目次

前言.................................................................................III

1范围.................................................................................1

2规范性引用文件.......................................................................1

3术语和定义...........................................................................1

4概述.................................................................................1

5移动终端敏感信息风险评估模型.........................................................1

5.1敏感信息风险要素.................................................................1

5.2敏感信息风险分析示意图...........................................................1

5.3敏感信息风险评估实施流程.........................................................2

6敏感信息风险要素识别.................................................................2

6.1敏感信息生成的风险要素识别.......................................................2

6.2敏感信息存储的风险要素识别.......................................................2

6.3敏感信息加工的风险要素识别.......................................................3

6.4敏感信息转移的风险要素识别.......................................................3

6.5敏感信息应用的风险要素识别.......................................................3

6.6敏感信息废止与删除的风险要素识别.................................................4

7敏感信息风险评估实施.................................................................4

7.1风险评估的准备...................................................................4

7.2资产识别.........................................................................4

7.2.1资产分类.....................................................................5

7.2.2资产赋值.....................................................................5

7.3威胁识别.........................................................................6

7.3.1总则.........................................................................6

7.3.2威胁识别分类.................................................................7

7.3.3威胁赋值.....................................................................7

7.4脆弱性识别.......................................................................8

7.4.1脆弱性识别分类...............................................................8

7.4.2脆弱性赋值...................................................................9

7.5已有安全措施的确认...............................................................9

8敏感信息风险分析....................................................................10

8.1风险分析原理....................................................................10

8.2风险分析过程....................................................................10

8.2.1风险计算方法................................................................10

8.2.2风险等级赋值................................................................10

I

DB44/T2189.3—2019

8.3风险处理........................................................................11

8.4残余风险评估....................................................................11

9敏感信息风险评估文档................................................................11

参考文献........................................................................12

II

DB44/T2189.3—2019

前言

《移动终端信息安全》分为4个部分:

——移动终端信息安全第1部分:敏感信息安全检测技术要求;

——移动终端信息安全第2部分:敏感信息等级保护与测评;

——移动终端信息安全第3部分:敏感信息风险评估;

——移动终端信息安全第4部分:敏感信息安全检测方法。

本部分为第3部分。

本标准按照GB/T1.1-2009给出的规则起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本标准由广东省工业和信息化厅提出。

本标准由广东省大数据标准化技术委员会(GD/TC120)归口。

本标准的主要起草单位:工业和信息化部电子第五研究所。

本标准主要起草人:王韬、王贵虎、杨春晖、林军、冯晓荣、谢克强、华小方。

本部分为首次发布。

III

DB44/T2189.3—2019

移动终端信息安全

第3部分:敏感信息风险评估

1范围

本部分规定了敏感信息生成阶段、存储阶段、加工阶段、转移阶段、应用阶段、废止与删除阶段的

风险评估实施流程、评估内容和评估方法。

本部分适用于移动通信网的智能手机和平板电脑设备。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文

件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

GB/T20984-2007信息安全技术信息安全风险评估规范

GB/Z24364-2009信息安全技术信息安全风险管理指南

DB44/T2189.1-2019移动终端信息安全第1部分:敏感信息安全检测技术要求

3术语和定义

DB44/T2189.1-2019界定的术语和定义适用于本部分。

4概述

敏感信息安全风险评估是针对移动终端敏感信息基于风险理论和方法在移动终端的运用,分析和

理解敏感信息在保密性、完整性、可用性等方面所面临的风险,并在风险的减少、转移和规避等风险控

制方法之间做出决策的过程。敏感信息安全风险评估主要包括评估移动终端敏感信息包含的脆弱性、面

临的威胁以及脆弱性被威胁源利用后产生的实际负面影响,并根据安全事件发生的可能性和负面影响的

程度来识别移动终端敏感信息的安全风险。根据风险评估的结果制定敏感信息安全解决方案,最大限度

避免安全威胁。

5移动终端敏感信息风险评估模型

5.1敏感信息风险要素

敏感信息风险评估的基本要素包括敏感信息资产、安全威胁、脆弱性及已采取的安全措施。与基本

要素相关的属性包括敏感信息价值、安全需求、残余风险、安全事件等各类相关属性。

敏感信息风险评估围绕全生命周期的基本要素进行评估,同时需要充分考虑与基本要素相关的各类

属性。

5.2敏感信息风险分析示意图

1

DB44/T2189.3—2019

敏感信息风险分析包括资产、威胁、脆弱性等基本要素。各个基本要素的属性直接关联安全事件的

可能性与安全事件的损失,形成安全事件的风险值。

敏感信息风险分析如图1所示。

风险要素识别

威胁出现的频率

威胁识别安全事件的

可能性

安全事件的

风险值

脆弱性识别脆弱性严重程度

安全事件的

损失

资产识别敏感信息资产价值

图1敏感信息风险分析示意图

5.3敏感信息风险评估实施流程

风险评估实施流程可按GB/T20984-2007第5.6.4章节的规定。

6敏感信息风险要素识别

6.1敏感信息生成的风险要素识别

生成阶段风险评估应能够描述预期使用的敏感信息,包括预期使用的敏感信息的重要性、潜在的价

值、可能的使用限制、对现有信息主体的作用,并根据其作用确定风险评估应达到的安全目标。

在本阶段评估中,敏感信息资产根据以下方面进行分类与识别:

a)敏感信息的信息主体

推荐标准

关联标准

同系列标准
DB44 2189 第1部分
DB44/T 2189.1-2019 移动终端信息安全 第1部分:敏感信息安全检测技术要求
第1部分 现行
DB44 2189 第2部分
DB44/T 2189.2-2019 移动终端信息安全 第2部分:敏感信息安全等级保护与测评
第2部分 现行
DB44 2189 第4部分
DB44/T 2189.4-2019 移动终端信息安全 第4部分:敏感信息安全检测方法
第4部分 现行

相似标准推荐

更多>