【經(jīng)管類】信息安全評(píng)估與風(fēng)險(xiǎn)管理

1、SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .1信息安全風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理國(guó)家信息中心信息安全服務(wù)與

2、研究中心范紅二00四年九月SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .2匯報(bào)內(nèi)容一、前言一、前言二、信息安全風(fēng)險(xiǎn)管理概述二、信息安全風(fēng)險(xiǎn)管理概述三、信息安全風(fēng)險(xiǎn)管理各組成部分三、信息安全風(fēng)險(xiǎn)管理各組成部分四、信息安全風(fēng)險(xiǎn)管理的運(yùn)用四、信息安全風(fēng)險(xiǎn)管理的運(yùn)用五、結(jié)束語(yǔ)五、結(jié)束語(yǔ)SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC

3、 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .3一、前言 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .4二、信息安全風(fēng)險(xiǎn)管理概述 1 1、 信息安全風(fēng)險(xiǎn)管理的目的和意義信息安全風(fēng)險(xiǎn)管理的目的和意義2 2、 信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象信

4、息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象3 3、 信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程4 4、 信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系期和信息安全目標(biāo)的關(guān)系5 5、 信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .5二、信息安全風(fēng)險(xiǎn)管理概述 1 1、 信息安全風(fēng)險(xiǎn)

5、管理的目的和意義信息安全風(fēng)險(xiǎn)管理的目的和意義2 2、 信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象3 3、 信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程4 4、 信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系期和信息安全目標(biāo)的關(guān)系5 5、 信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC

6、SIC INFOSEC SIC .6信息安全風(fēng)險(xiǎn)管理的目的和意義 信息安全風(fēng)險(xiǎn)管理是信息安全保障工作中的一信息安全風(fēng)險(xiǎn)管理是信息安全保障工作中的一項(xiàng)基礎(chǔ)性工作項(xiàng)基礎(chǔ)性工作 。1 1、信息安全風(fēng)險(xiǎn)管理體現(xiàn)在信息安全保障體系、信息安全風(fēng)險(xiǎn)管理體現(xiàn)在信息安全保障體系的技術(shù)、組織和管理等方面。的技術(shù)、組織和管理等方面。 2 2、信息安全風(fēng)險(xiǎn)管理貫穿信息系統(tǒng)生命周期的、信息安全風(fēng)險(xiǎn)管理貫穿信息系統(tǒng)生命周期的全部過程。全部過程。 3 3、信息安全風(fēng)險(xiǎn)管理依據(jù)等級(jí)保護(hù)的思想和適、信息安全風(fēng)險(xiǎn)管理依據(jù)等級(jí)保護(hù)的思想和適度安全的原則，平衡成本與效益，合理部署和利用信度安全的原則，平衡成本與效益，合理部署和利用信

7、息安全的信任體系、監(jiān)控體系和應(yīng)急處理等重要的基息安全的信任體系、監(jiān)控體系和應(yīng)急處理等重要的基礎(chǔ)設(shè)施，確定合適的安全措施，從而確保機(jī)構(gòu)具有完礎(chǔ)設(shè)施，確定合適的安全措施，從而確保機(jī)構(gòu)具有完成其使命的信息安全保障能力。成其使命的信息安全保障能力。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .7二、信息安全風(fēng)險(xiǎn)管理概述 1 1、 信息安全風(fēng)險(xiǎn)管理的目的和意義信息安全風(fēng)險(xiǎn)管理的目

8、的和意義2 2、 信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象3 3、 信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程4 4、 信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系期和信息安全目標(biāo)的關(guān)系5 5、 信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .8

9、信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .9二、信息安全風(fēng)險(xiǎn)管理概述 1 1、 信息安全風(fēng)險(xiǎn)管理的目的和意義信息安全風(fēng)險(xiǎn)管理的目的和意義2 2、 信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象3 3、 信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程4 4、 信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命

10、周期和信息安全目標(biāo)的關(guān)系期和信息安全目標(biāo)的關(guān)系5 5、 信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .10信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC IN

11、FOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .11二、信息安全風(fēng)險(xiǎn)管理概述 1 1、 信息安全風(fēng)險(xiǎn)管理的目的和意義信息安全風(fēng)險(xiǎn)管理的目的和意義2 2、 信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象3 3、 信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程4 4、 信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系期和信息安全目標(biāo)的關(guān)系5 5、 信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC

12、 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .12三維結(jié)構(gòu)關(guān)系SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .13二、信息安全風(fēng)險(xiǎn)管理概述 1 1、 信息安全風(fēng)險(xiǎn)管理的目的和意義信息安全風(fēng)險(xiǎn)管理的目的和意義2 2、 信息安全風(fēng)險(xiǎn)管理的范圍和

13、對(duì)象信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象3 3、 信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程4 4、 信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系期和信息安全目標(biāo)的關(guān)系5 5、 信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .14信息安全風(fēng)險(xiǎn)管理相關(guān)人員的角色和責(zé)任 層

14、面層面信息系統(tǒng)信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理信息安全風(fēng)險(xiǎn)管理角色角色內(nèi)外部?jī)?nèi)外部責(zé)任責(zé)任角色角色內(nèi)外部?jī)?nèi)外部責(zé)任責(zé)任決策層主管者內(nèi)負(fù)責(zé)信息系統(tǒng)的重大決策。主管者內(nèi)負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的重大決策。管理層管理者內(nèi)負(fù)責(zé)信息系統(tǒng)的規(guī)劃，以及建設(shè)、運(yùn)行、維護(hù)和監(jiān)控等方面的組織和協(xié)調(diào)。管理者內(nèi)負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的規(guī)劃，以及實(shí)施和監(jiān)控過程中的組織和協(xié)調(diào)。執(zhí)行層建設(shè)者內(nèi)或外負(fù)責(zé)信息系統(tǒng)的設(shè)計(jì)和實(shí)施。執(zhí)行者內(nèi)或外負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的實(shí)施。運(yùn)行者內(nèi)負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行和操作。維護(hù)者內(nèi)或外負(fù)責(zé)信息系統(tǒng)的日常維護(hù)，包括維修和升級(jí)。監(jiān)控者內(nèi)負(fù)責(zé)信息系統(tǒng)的監(jiān)視和控制。監(jiān)控者內(nèi)負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理過程和結(jié)果的監(jiān)視和控制。支

15、持層專業(yè)者外為信息系統(tǒng)提供專業(yè)咨詢、培訓(xùn)、診斷和工具等服務(wù)。專業(yè)者外為信息安全風(fēng)險(xiǎn)管理提供專業(yè)咨詢、培訓(xùn)、診斷和工具等服務(wù)。用戶層使用者內(nèi)或外利用信息系統(tǒng)完成自身的任務(wù)。受益者內(nèi)或外反饋信息安全風(fēng)險(xiǎn)管理的效果。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .15三、信息安全風(fēng)險(xiǎn)管理各組成部分 1 1、對(duì)象確立、對(duì)象確立2 2、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)評(píng)估3 3、風(fēng)險(xiǎn)控制、風(fēng)險(xiǎn)控制4

16、 4、審核批準(zhǔn)、審核批準(zhǔn)5 5、溝通與咨詢、溝通與咨詢6 6、監(jiān)控與審查、監(jiān)控與審查SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .16三、信息安全風(fēng)險(xiǎn)管理各組成部分 1 1、對(duì)象確立、對(duì)象確立2 2、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)評(píng)估3 3、風(fēng)險(xiǎn)控制、風(fēng)險(xiǎn)控制4 4、審核批準(zhǔn)、審核批準(zhǔn)5 5、溝通與咨詢、溝通與咨詢6 6、監(jiān)控與審查、監(jiān)控與審查SIC INFOSEC SIC INFOS

17、EC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .17對(duì)象確立概述對(duì)象確立是信息安全風(fēng)險(xiǎn)管理的第一對(duì)象確立是信息安全風(fēng)險(xiǎn)管理的第一步驟，根據(jù)要保護(hù)系統(tǒng)的業(yè)務(wù)目標(biāo)和特性步驟，根據(jù)要保護(hù)系統(tǒng)的業(yè)務(wù)目標(biāo)和特性，確定風(fēng)險(xiǎn)管理對(duì)象。其目的是為了明確，確定風(fēng)險(xiǎn)管理對(duì)象。其目的是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象，以及對(duì)信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象，以及對(duì)象的特性和安全要求。象的特性和安全要求。SIC INFOSEC SIC

18、INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .18對(duì)象確立過程SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .19風(fēng)險(xiǎn)管理準(zhǔn)備SIC INFOSEC SIC INFOSEC SI

19、C INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .20信息系統(tǒng)調(diào)查 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .21信息系統(tǒng)分析SIC INFOSEC SIC INFOSEC SIC INFOSEC

20、 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .22信息安全分析SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .23對(duì)象確立的文檔階段階段輸出文檔輸出文檔文檔內(nèi)容文檔內(nèi)容風(fēng)險(xiǎn)管理準(zhǔn)備風(fēng)險(xiǎn)管理計(jì)劃書風(fēng)險(xiǎn)管理的目的、意義、

21、范圍、目標(biāo)、組織結(jié)構(gòu)、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等。信息系統(tǒng)調(diào)查信息系統(tǒng)的描述報(bào)告信息系統(tǒng)的業(yè)務(wù)目標(biāo)、業(yè)務(wù)特性、管理特性和技術(shù)特性等。信息系統(tǒng)分析信息系統(tǒng)的分析報(bào)告信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素等。信息安全分析信息系統(tǒng)的安全要求報(bào)告信息系統(tǒng)的安全環(huán)境和安全要求等。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .24三、信息安全風(fēng)險(xiǎn)管理各組成部分 1 1、對(duì)象確立、對(duì)象確立2 2、風(fēng)

22、險(xiǎn)評(píng)估、風(fēng)險(xiǎn)評(píng)估3 3、風(fēng)險(xiǎn)控制、風(fēng)險(xiǎn)控制4 4、審核批準(zhǔn)、審核批準(zhǔn)5 5、溝通與咨詢、溝通與咨詢6 6、監(jiān)控與審查、監(jiān)控與審查SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .25風(fēng)險(xiǎn)評(píng)估概述 風(fēng)險(xiǎn)評(píng)估是信息安全風(fēng)險(xiǎn)管理的第二風(fēng)險(xiǎn)評(píng)估是信息安全風(fēng)險(xiǎn)管理的第二步，針對(duì)確立的風(fēng)險(xiǎn)管理對(duì)象所面臨的風(fēng)步，針對(duì)確立的風(fēng)險(xiǎn)管理對(duì)象所面臨的風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析和評(píng)價(jià)。險(xiǎn)進(jìn)行識(shí)別、分析和評(píng)

23、價(jià)。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .26風(fēng)險(xiǎn)評(píng)估過程SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .27風(fēng)險(xiǎn)評(píng)估準(zhǔn)備SIC INFO

24、SEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .28風(fēng)險(xiǎn)因素識(shí)別SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .29風(fēng)險(xiǎn)程度分析SIC INFOSEC SIC IN

25、FOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .30風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .31風(fēng)險(xiǎn)評(píng)估的文檔階段階段輸出文檔輸出文檔文檔內(nèi)容文檔內(nèi)容風(fēng)險(xiǎn)評(píng)估準(zhǔn)備風(fēng)

26、險(xiǎn)評(píng)估計(jì)劃書風(fēng)險(xiǎn)評(píng)估的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等。風(fēng)險(xiǎn)評(píng)估程序風(fēng)險(xiǎn)評(píng)估的工作流程、輸入數(shù)據(jù)和輸出結(jié)果等。入選風(fēng)險(xiǎn)評(píng)估方法和工具列表合適的風(fēng)險(xiǎn)評(píng)估方法和工具列表。風(fēng)險(xiǎn)因素識(shí)別需要保護(hù)的資產(chǎn)清單對(duì)機(jī)構(gòu)使命具有關(guān)鍵和重要作用的需要保護(hù)的資產(chǎn)清單。面臨的威脅列表機(jī)構(gòu)的信息資產(chǎn)面臨的威脅列表。存在的脆弱性列表機(jī)構(gòu)的信息資產(chǎn)存在的脆弱性列表。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC

27、SIC INFOSEC SIC .32風(fēng)險(xiǎn)評(píng)估的文檔風(fēng)險(xiǎn)程度分析已有安全措施分析報(bào)告確認(rèn)已有的安全措施，包括技術(shù)層面（即物理平臺(tái)、系統(tǒng)平臺(tái)、通信平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)）的安全功能、組織層面（即結(jié)構(gòu)、崗位和人員）的安全控制和管理層面（即策略、規(guī)章和制度）的安全對(duì)策。威脅源分析報(bào)告從利益、復(fù)仇、好奇和自負(fù)等驅(qū)使因素，分析威脅源動(dòng)機(jī)的強(qiáng)弱。威脅行為分析報(bào)告從攻擊的強(qiáng)度、廣度、速度和深度等方面，分析威脅行為能力的高低。脆弱性分析報(bào)告按威脅/脆弱性對(duì)，分析脆弱性被威脅利用的難以程度。資產(chǎn)價(jià)值分析報(bào)告從敏感性、關(guān)鍵性和昂貴性等方面，分析資產(chǎn)價(jià)值的大小。影響程度分析報(bào)告從資產(chǎn)損失、使命妨礙和人員傷亡等方面

28、，分析影響程度的深淺。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .33風(fēng)險(xiǎn)評(píng)估的文檔風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)威脅源等級(jí)列表威脅源動(dòng)機(jī)的等級(jí)列表。威脅行為等級(jí)列表威脅行為能力的等級(jí)列表。脆弱性等級(jí)列表脆弱性被利用的等級(jí)列表。資產(chǎn)價(jià)值等級(jí)列表資產(chǎn)價(jià)值的等級(jí)列表。影響程度等級(jí)列表影響程度的等級(jí)列表。風(fēng)險(xiǎn)評(píng)估報(bào)告匯總上述分析報(bào)告和等級(jí)列表，綜合評(píng)價(jià)風(fēng)險(xiǎn)的等級(jí)。SIC INFOSEC SI

29、C INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .34三、信息安全風(fēng)險(xiǎn)管理各組成部分 1 1、對(duì)象確立、對(duì)象確立2 2、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)評(píng)估3 3、風(fēng)險(xiǎn)控制、風(fēng)險(xiǎn)控制4 4、審核批準(zhǔn)、審核批準(zhǔn)5 5、溝通與咨詢、溝通與咨詢6 6、監(jiān)控與審查、監(jiān)控與審查SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC I

30、NFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .35風(fēng)險(xiǎn)控制概述 風(fēng)險(xiǎn)控制是信息安全風(fēng)險(xiǎn)管理的第三步驟，風(fēng)險(xiǎn)控制是信息安全風(fēng)險(xiǎn)管理的第三步驟，依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，選擇和實(shí)施合適的安全措依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，選擇和實(shí)施合適的安全措施。施。風(fēng)險(xiǎn)控制方式主要有規(guī)避、轉(zhuǎn)移和降低三種風(fēng)險(xiǎn)控制方式主要有規(guī)避、轉(zhuǎn)移和降低三種方式方式。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFO

31、SEC SIC INFOSEC SIC INFOSEC SIC .36風(fēng)險(xiǎn)控制需求及其相應(yīng)的風(fēng)險(xiǎn)控制措施PPDRR風(fēng)險(xiǎn)控制需求風(fēng)險(xiǎn)控制需求風(fēng)險(xiǎn)控制措施風(fēng)險(xiǎn)控制措施策略Policy設(shè)備管理制度建立健全各種安全相關(guān)的規(guī)章制定和操作規(guī)范，使得保護(hù)、檢測(cè)和響應(yīng)環(huán)節(jié)有章可循、切實(shí)有效。機(jī)房出入守則系統(tǒng)安全管理守則系統(tǒng)安全配置明細(xì)網(wǎng)絡(luò)安全管理守則網(wǎng)絡(luò)安全配置明細(xì)應(yīng)用安全管理守則應(yīng)用安全配置明細(xì)應(yīng)急響應(yīng)計(jì)劃安全事件處理準(zhǔn)則SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSE

32、C SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .37主要的風(fēng)險(xiǎn)控制需求及其相應(yīng)的風(fēng)險(xiǎn)控制措施保護(hù)Protection機(jī)房嚴(yán)格按照GB 50174-1993電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范、GB 9361-1988計(jì)算站場(chǎng)地安全要求、GB 2887-1982計(jì)算機(jī)站場(chǎng)地技術(shù)要求和GB/T 2887-2000計(jì)算機(jī)場(chǎng)地通用規(guī)范等國(guó)家標(biāo)準(zhǔn)建設(shè)和維護(hù)計(jì)算機(jī)機(jī)房。門控安裝門控系統(tǒng)保安建設(shè)保安制度和保安隊(duì)伍。電磁屏蔽在必要的地方設(shè)置抗電磁干擾和防電磁泄漏的設(shè)施。病毒防殺全面部署防病毒系統(tǒng)。漏洞補(bǔ)丁及時(shí)下載和安裝最新的漏洞補(bǔ)丁模塊。安全配置嚴(yán)格遵守各系統(tǒng)單元的安全配置明細(xì)，避免配

33、置中的安全漏洞。身份認(rèn)證根據(jù)不同的安全強(qiáng)度，分別采用身份標(biāo)識(shí)/口令、數(shù)字鑰匙、數(shù)字證書、生物識(shí)別、雙因子等級(jí)別的身份認(rèn)證系統(tǒng)，對(duì)設(shè)備、用戶、服務(wù)等主客體進(jìn)行身份認(rèn)證。訪問控制根據(jù)不同的安全強(qiáng)度，分別采用自主型、強(qiáng)制型等級(jí)別的訪問控制系統(tǒng)，對(duì)設(shè)備、用戶等主體訪問客體的權(quán)限進(jìn)行控制。數(shù)據(jù)加密根據(jù)不同的安全強(qiáng)度，分別采用商密、普密、機(jī)密等級(jí)別的數(shù)據(jù)加密系統(tǒng)，對(duì)傳輸數(shù)據(jù)和存儲(chǔ)數(shù)據(jù)進(jìn)行加密。邊界控制在網(wǎng)絡(luò)邊界布置防火墻，阻止來自外界非法訪問。數(shù)字水印對(duì)于需要版權(quán)保護(hù)的圖片、聲音、文字等形式的信息，采用數(shù)字水印技術(shù)加以保護(hù)。數(shù)字簽名在需要防止事后否認(rèn)時(shí)，可采用數(shù)字簽名技術(shù)。內(nèi)容凈化部署內(nèi)容過濾系統(tǒng)。安全機(jī)

34、構(gòu)、安全崗位、安全責(zé)任建立健全安全機(jī)構(gòu)，合理設(shè)置安全崗位，明確劃分安全責(zé)任。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .38主要的風(fēng)險(xiǎn)控制需求及其相應(yīng)的風(fēng)險(xiǎn)控制措施檢測(cè)Detection監(jiān)視、監(jiān)測(cè)和報(bào)警在適當(dāng)?shù)奈恢冒仓帽O(jiān)視器和報(bào)警器，在各系統(tǒng)單元中配備監(jiān)測(cè)系統(tǒng)和報(bào)警系統(tǒng)，以實(shí)時(shí)發(fā)現(xiàn)安全事件并及時(shí)報(bào)警。數(shù)據(jù)校驗(yàn)通過數(shù)據(jù)校驗(yàn)技術(shù)，發(fā)現(xiàn)數(shù)據(jù)篡改。主機(jī)入侵檢測(cè)部署主機(jī)入侵檢測(cè)

35、系統(tǒng)，發(fā)現(xiàn)主機(jī)入侵行為。主機(jī)狀態(tài)監(jiān)測(cè)部署主機(jī)狀態(tài)監(jiān)測(cè)系統(tǒng)，隨時(shí)掌握主機(jī)運(yùn)行狀態(tài)。網(wǎng)絡(luò)入侵檢測(cè)部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為。網(wǎng)絡(luò)狀態(tài)監(jiān)測(cè)部署網(wǎng)絡(luò)狀態(tài)監(jiān)測(cè)系統(tǒng)，隨時(shí)掌握網(wǎng)絡(luò)運(yùn)行狀態(tài)。安全審計(jì)在各系統(tǒng)單元中配備安全審計(jì)，以發(fā)現(xiàn)深層安全漏洞和安全事件。安全監(jiān)督、安全檢查實(shí)行持續(xù)有效的安全監(jiān)督，預(yù)演應(yīng)急響應(yīng)計(jì)劃。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .39主要的風(fēng)

36、險(xiǎn)控制需求及其相應(yīng)的風(fēng)險(xiǎn)控制措施響應(yīng)Response恢復(fù)Recovery故障修復(fù)、事故排除確保隨時(shí)能夠獲取故障修復(fù)和事故排除的技術(shù)人員和軟硬件工具。設(shè)施備份與恢復(fù)對(duì)于關(guān)鍵設(shè)施，配備設(shè)施備份與恢復(fù)系統(tǒng)。系統(tǒng)備份與恢復(fù)對(duì)于關(guān)鍵系統(tǒng)，配備系統(tǒng)備份與恢復(fù)系統(tǒng)。數(shù)據(jù)備份與恢復(fù)對(duì)于關(guān)鍵數(shù)據(jù)，配備數(shù)據(jù)備份與恢復(fù)系統(tǒng)。信道備份與恢復(fù)對(duì)于關(guān)鍵信道，配備設(shè)信道份與恢復(fù)系統(tǒng)。應(yīng)用備份與恢復(fù)對(duì)于關(guān)鍵應(yīng)用，配備應(yīng)用備份與恢復(fù)系統(tǒng)。應(yīng)急響應(yīng)按照應(yīng)急響應(yīng)計(jì)劃處理應(yīng)急事件。安全事件處理按照安全事件處理找出原因、追究責(zé)任、總結(jié)經(jīng)驗(yàn)、提出改進(jìn)。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INF

37、OSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .40風(fēng)險(xiǎn)控制過程SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .41現(xiàn)存風(fēng)險(xiǎn)判斷SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC I

38、NFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .42控制目標(biāo)確立SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .43控制措施選擇SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC

39、 INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .44控制措施實(shí)施SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .45風(fēng)險(xiǎn)控制的文檔階段階段輸出文檔輸出文檔文檔內(nèi)容文檔內(nèi)容現(xiàn)存風(fēng)險(xiǎn)判斷風(fēng)險(xiǎn)接受等級(jí)劃分表風(fēng)險(xiǎn)接受等級(jí)的劃分，即把風(fēng)險(xiǎn)評(píng)估得出的風(fēng)險(xiǎn)等級(jí)劃分為可接受和不可接受兩種。

40、現(xiàn)存風(fēng)險(xiǎn)接受判斷書現(xiàn)存風(fēng)險(xiǎn)是否可接受的判斷結(jié)果?？刂颇繕?biāo)確立風(fēng)險(xiǎn)控制需求分析報(bào)告從技術(shù)層面（即物理平臺(tái)、系統(tǒng)平臺(tái)、通信平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)）、組織層面（即結(jié)構(gòu)、崗位和人員）和管理層面（即策略、規(guī)章和制度），分析風(fēng)險(xiǎn)控制的需求。風(fēng)險(xiǎn)控制目標(biāo)列表風(fēng)險(xiǎn)控制目標(biāo)的列表，包括控制對(duì)象及其最低保護(hù)等級(jí)。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .46風(fēng)險(xiǎn)控制的文檔控制措施選擇

41、入選風(fēng)險(xiǎn)控制方式說明報(bào)告選擇合適的風(fēng)險(xiǎn)控制方式（包括規(guī)避方式、轉(zhuǎn)移方式和降低方式），并說明選擇的理由以及被選控制方式的使用方法和注意事項(xiàng)等。入選風(fēng)險(xiǎn)控制措施說明報(bào)告選擇合適的風(fēng)險(xiǎn)控制措施，并說明選擇的理由以及被選控制措施的成本、使用方法和注意事項(xiàng)等?？刂拼胧?shí)施風(fēng)險(xiǎn)控制實(shí)施計(jì)劃書風(fēng)險(xiǎn)控制的范圍、對(duì)象、目標(biāo)、組織結(jié)構(gòu)、成本預(yù)算和進(jìn)度安排等。風(fēng)險(xiǎn)控制實(shí)施記錄風(fēng)險(xiǎn)控制措施實(shí)施的過程和結(jié)果。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC

42、 SIC INFOSEC SIC INFOSEC SIC .47三、信息安全風(fēng)險(xiǎn)管理各組成部分 1 1、對(duì)象確立、對(duì)象確立2 2、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)評(píng)估3 3、風(fēng)險(xiǎn)控制、風(fēng)險(xiǎn)控制4 4、審核批準(zhǔn)、審核批準(zhǔn)5 5、溝通與咨詢、溝通與咨詢6 6、監(jiān)控與審查、監(jiān)控與審查SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .48審核批準(zhǔn)概述 審核批準(zhǔn)是信息安全風(fēng)險(xiǎn)管理的第四步驟，審核批審核

43、批準(zhǔn)是信息安全風(fēng)險(xiǎn)管理的第四步驟，審核批準(zhǔn)包括審核和批準(zhǔn)兩部分：審核是指通過審查、測(cè)試、準(zhǔn)包括審核和批準(zhǔn)兩部分：審核是指通過審查、測(cè)試、評(píng)審等手段，檢驗(yàn)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的結(jié)果是否滿足評(píng)審等手段，檢驗(yàn)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的結(jié)果是否滿足信息系統(tǒng)的安全要求；批準(zhǔn)是指機(jī)構(gòu)的決策層依據(jù)審核信息系統(tǒng)的安全要求；批準(zhǔn)是指機(jī)構(gòu)的決策層依據(jù)審核的結(jié)果，做出是否認(rèn)可的決定。的結(jié)果，做出是否認(rèn)可的決定。審核既可以由機(jī)構(gòu)內(nèi)部完成，也可以委托外部專業(yè)審核既可以由機(jī)構(gòu)內(nèi)部完成，也可以委托外部專業(yè)機(jī)構(gòu)來完成，這主要取決于信息系統(tǒng)的性質(zhì)和機(jī)構(gòu)自身機(jī)構(gòu)來完成，這主要取決于信息系統(tǒng)的性質(zhì)和機(jī)構(gòu)自身的專業(yè)能力。批準(zhǔn)一般必須由機(jī)構(gòu)內(nèi)

44、部或更高層的主管的專業(yè)能力。批準(zhǔn)一般必須由機(jī)構(gòu)內(nèi)部或更高層的主管機(jī)構(gòu)的決策層來執(zhí)行。機(jī)構(gòu)的決策層來執(zhí)行。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .49審核批準(zhǔn)過程及其在信息安全風(fēng)險(xiǎn)管理中的位置 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC

45、 INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .50審核申請(qǐng)SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .51審核處理SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC I

46、NFOSEC SIC INFOSEC SIC INFOSEC SIC .52批準(zhǔn)申請(qǐng)SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .53批準(zhǔn)處理SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INF

47、OSEC SIC INFOSEC SIC .54持續(xù)監(jiān)督SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .55審核批準(zhǔn)的文檔階段階段輸出文檔輸出文檔文檔內(nèi)容文檔內(nèi)容審核申請(qǐng)審核申請(qǐng)書審核的范圍、對(duì)象、目標(biāo)和進(jìn)度要求，以及申請(qǐng)者的基本信息和簽字等。審核材料風(fēng)險(xiǎn)評(píng)估過程和風(fēng)險(xiǎn)控制過程輸出的文檔、軟件和硬件等結(jié)果。審核受理回執(zhí)同意受理、補(bǔ)充材料的要求和提交時(shí)間（如果需要）、審核的

48、進(jìn)度安排和收費(fèi)標(biāo)準(zhǔn)，以及審核機(jī)構(gòu)的名稱和簽章等。審核處理審查結(jié)果報(bào)告審查的范圍、對(duì)象、意見和結(jié)論（即是否通過），以及審查人員的名字和簽字等。測(cè)試結(jié)果報(bào)告測(cè)試的范圍、對(duì)象、意見和結(jié)論（即是否通過），以及測(cè)試人員的名字和簽字等。專家鑒定報(bào)告鑒定的范圍、對(duì)象（及其基本情況）和結(jié)論，以及專家名單和簽字等。審核結(jié)論報(bào)告審核的范圍、對(duì)象、意見、結(jié)論（即是否通過）和有效期，以及審核機(jī)構(gòu)的名稱和簽章等。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOS

49、EC SIC INFOSEC SIC INFOSEC SIC .56審核批準(zhǔn)的文檔批準(zhǔn)申請(qǐng)批準(zhǔn)申請(qǐng)書批準(zhǔn)的范圍、對(duì)象和期望，以及申請(qǐng)者的基本信息和簽字等。批準(zhǔn)受理回執(zhí)同意受理、補(bǔ)充材料的要求和提交時(shí)間（如果需要），以及批準(zhǔn)機(jī)構(gòu)的名稱和簽章等。批準(zhǔn)處理批準(zhǔn)決定書批準(zhǔn)的范圍、對(duì)象、意見、結(jié)論（即是否通過）和有效期，以及批準(zhǔn)機(jī)構(gòu)的名稱和簽章等。持續(xù)監(jiān)督審核到期通知書到期的時(shí)間和重新申請(qǐng)的要求，以及審核機(jī)構(gòu)的名稱和簽章。批準(zhǔn)到期通知書到期的時(shí)間和重新申請(qǐng)的要求，以及批準(zhǔn)機(jī)構(gòu)的名稱和簽章。機(jī)構(gòu)變化因素的描述報(bào)告機(jī)構(gòu)及其信息系統(tǒng)變化因素的列表、說明和安全隱患分析等。環(huán)境變化因素的描述報(bào)告信息安全相關(guān)環(huán)境變

50、化因素的列表、說明和安全隱患分析等。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .57三、信息安全風(fēng)險(xiǎn)管理各組成部分 1 1、對(duì)象確立、對(duì)象確立2 2、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)評(píng)估3 3、風(fēng)險(xiǎn)控制、風(fēng)險(xiǎn)控制4 4、審核批準(zhǔn)、審核批準(zhǔn)5 5、監(jiān)控與審查、監(jiān)控與審查6 6、溝通與咨詢、溝通與咨詢SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOS

51、EC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .58監(jiān)控與審查的概述 監(jiān)控與審查對(duì)信息安全風(fēng)險(xiǎn)管理主循環(huán)的四個(gè)步監(jiān)控與審查對(duì)信息安全風(fēng)險(xiǎn)管理主循環(huán)的四個(gè)步驟（即對(duì)象確立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制和審核批準(zhǔn)）驟（即對(duì)象確立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制和審核批準(zhǔn)）進(jìn)行監(jiān)控和審查。監(jiān)控是監(jiān)視和控制，一是監(jiān)視和控進(jìn)行監(jiān)控和審查。監(jiān)控是監(jiān)視和控制，一是監(jiān)視和控制風(fēng)險(xiǎn)管理過程，即過程質(zhì)量管理，以保證過程的有制風(fēng)險(xiǎn)管理過程，即過程質(zhì)量管理，以保證過程的有效性；二是分析和平衡成本效益，即成

52、本效益管理，效性；二是分析和平衡成本效益，即成本效益管理，以保證成本的有效性。審查是跟蹤受保護(hù)系統(tǒng)自身或以保證成本的有效性。審查是跟蹤受保護(hù)系統(tǒng)自身或所處環(huán)境的變化，以保證結(jié)果的有效性。所處環(huán)境的變化，以保證結(jié)果的有效性。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .59監(jiān)控與審查過程 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC IN

53、FOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .60貫穿對(duì)象確立階段階段監(jiān)控監(jiān)控審查審查過程有效性成本有效性 結(jié)果有效性風(fēng)險(xiǎn)管理準(zhǔn)備風(fēng)險(xiǎn)管理計(jì)劃制定的流程及其相關(guān)文檔風(fēng)險(xiǎn)管理計(jì)劃的成本與效果風(fēng)險(xiǎn)管理計(jì)劃書的時(shí)效信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查的流程及其相關(guān)文檔信息系統(tǒng)調(diào)查的成本與效果信息系統(tǒng)的描述報(bào)告的時(shí)效信息系統(tǒng)分析信息系統(tǒng)分析的流程及其相關(guān)文檔信息系統(tǒng)分析的成本與效果信息系統(tǒng)的分析報(bào)告的時(shí)效信息安全分析信息系統(tǒng)安全要求分析的流程及其相關(guān)文檔信息系統(tǒng)安全要求分

54、析的成本與效果信息系統(tǒng)的安全要求報(bào)告的時(shí)效SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .61貫穿風(fēng)險(xiǎn)評(píng)估階段階段監(jiān)控監(jiān)控審查審查過程有效性成本有效性 結(jié)果有效性風(fēng)險(xiǎn)評(píng)估準(zhǔn)備風(fēng)險(xiǎn)評(píng)估的計(jì)劃制定、程序確定以及方法和工具選擇的流程及其相關(guān)文檔風(fēng)險(xiǎn)評(píng)估的計(jì)劃、程序以及入選方法和工具的成本與效果風(fēng)險(xiǎn)評(píng)估計(jì)劃、風(fēng)險(xiǎn)評(píng)估程序和入選風(fēng)險(xiǎn)評(píng)估方法和工具列表的時(shí)效風(fēng)險(xiǎn)因素識(shí)別資產(chǎn)、威脅列和

55、脆弱性識(shí)別的流程及其相關(guān)文檔資產(chǎn)、威脅列和脆弱性識(shí)別的成本與效果需要保護(hù)的資產(chǎn)清單、面臨的威脅列表和存在的脆弱性列表的時(shí)效SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .62貫穿風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)程度分析已有安全措施、威脅源、威脅行為、脆弱性、資產(chǎn)價(jià)值和影響程度分析的流程及其相關(guān)文檔已有安全措施、威脅源、威脅行為、脆弱性、資產(chǎn)價(jià)值和影響程度分析的成本與效果已有安全措施分析報(bào)告、

56、威脅源分析報(bào)告、威脅行為分析報(bào)告、脆弱性分析報(bào)告、資產(chǎn)價(jià)值分析報(bào)告和影響程度分析報(bào)告的時(shí)效風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)威脅源等級(jí)、威脅行為等級(jí)、脆弱性等級(jí)、資產(chǎn)價(jià)值等級(jí)和影響程度等級(jí)評(píng)價(jià)以及風(fēng)險(xiǎn)評(píng)估報(bào)告生成的流程及其相關(guān)文檔威脅源等級(jí)、威脅行為等級(jí)、脆弱性等級(jí)、資產(chǎn)價(jià)值等級(jí)和影響程度等級(jí)評(píng)價(jià)以及風(fēng)險(xiǎn)評(píng)估報(bào)告生成的成本與效果威脅源等級(jí)列表、威脅行為等級(jí)列表、脆弱性等級(jí)列表、資產(chǎn)價(jià)值等級(jí)列表、影響程度等級(jí)列表和風(fēng)險(xiǎn)評(píng)估報(bào)告的時(shí)效SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSE

57、C SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .63貫穿風(fēng)險(xiǎn)控制階段階段監(jiān)控監(jiān)控審查審查過程有效性成本有效性 結(jié)果有效性現(xiàn)存風(fēng)險(xiǎn)判斷可接受風(fēng)險(xiǎn)等級(jí)確定和現(xiàn)存風(fēng)險(xiǎn)接受判斷的流程及其相關(guān)文檔可接受風(fēng)險(xiǎn)等級(jí)確定和現(xiàn)存風(fēng)險(xiǎn)接受判斷的成本與效果風(fēng)險(xiǎn)接受等級(jí)劃分表和現(xiàn)存風(fēng)險(xiǎn)接受判斷書的時(shí)效控制目標(biāo)確立風(fēng)險(xiǎn)控制需求分析和風(fēng)險(xiǎn)控制目標(biāo)確立的流程及其相關(guān)文檔風(fēng)險(xiǎn)控制需求分析和風(fēng)險(xiǎn)控制目標(biāo)確立的成本與效果風(fēng)險(xiǎn)控制需求分析報(bào)告和風(fēng)險(xiǎn)控制目標(biāo)列表的時(shí)效SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC I

58、NFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .64貫穿風(fēng)險(xiǎn)控制控制措施選擇風(fēng)險(xiǎn)控制方式和措施選擇的流程及其相關(guān)文檔入選風(fēng)險(xiǎn)控制方式和措施的成本與效果入選風(fēng)險(xiǎn)控制方式說明報(bào)告和入選風(fēng)險(xiǎn)控制措施說明報(bào)告的時(shí)效控制措施實(shí)施風(fēng)險(xiǎn)控制實(shí)施計(jì)劃制定和風(fēng)險(xiǎn)控制措施實(shí)施的流程及其相關(guān)文檔風(fēng)險(xiǎn)控制實(shí)施計(jì)劃制定和風(fēng)險(xiǎn)控制措施實(shí)施的成本與效果風(fēng)險(xiǎn)控制實(shí)施計(jì)劃書和風(fēng)險(xiǎn)控制實(shí)施記錄的時(shí)效SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOS

59、EC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .65貫穿審核批準(zhǔn)階段階段監(jiān)控監(jiān)控審查審查過程有效性成本有效性 結(jié)果有效性審核申請(qǐng)審核申請(qǐng)和受理的流程及其相關(guān)文檔審核申請(qǐng)和受理的成本與效果審核申請(qǐng)書、審核材料和審核受理回執(zhí)的時(shí)效審核處理審核材料審查、審核對(duì)象測(cè)試、專家鑒定和審核結(jié)論給出的流程及其相關(guān)文檔審核材料審查、審核對(duì)象測(cè)試、專家鑒定和審核結(jié)論給出的成本與效果審查結(jié)果報(bào)告、測(cè)試結(jié)果報(bào)告、專家鑒定報(bào)告和審核結(jié)論報(bào)告的時(shí)效SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFO

60、SEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC .66貫穿審核批準(zhǔn)批準(zhǔn)申請(qǐng)批準(zhǔn)申請(qǐng)和受理的流程及其相關(guān)文檔批準(zhǔn)申請(qǐng)和受理的成本與效果批準(zhǔn)申請(qǐng)書和批準(zhǔn)受理回執(zhí)的時(shí)效批準(zhǔn)處理審閱批準(zhǔn)材料和批準(zhǔn)決定做出的流程及其相關(guān)文檔審閱批準(zhǔn)材料和批準(zhǔn)決定做出的成本與效果批準(zhǔn)決定書的時(shí)效持續(xù)監(jiān)督審核結(jié)論報(bào)告和批準(zhǔn)決定書到期檢查和機(jī)構(gòu)及其環(huán)境變化檢查的流程及其相關(guān)文檔審核結(jié)論報(bào)告和批準(zhǔn)決定書到期檢查和機(jī)構(gòu)及其環(huán)境變化檢查的成本與效果機(jī)構(gòu)變化因素的描述報(bào)告和環(huán)境變化因素的描述報(bào)告的時(shí)