第十四章安全管理與評估(2015).

1、1第十四章 信息安全管理與評估一、安全管理概述二、信息安全管理策略三、信息安全管理標準四、信息安全工程方法（SSE-CMM）五、基于等級保護的信息安全管理體系六、安全風險管理七、本章小結(jié)2一、安全管理概述1.1 安全管理的概念管理是指為提高群體實現(xiàn)目標的效率而采取的活動和行為。包括制定計劃（規(guī)劃）、建立機構(gòu)（組織）、落實措施（部署）、開展培訓（提高能力）、檢查效果（評估）和實施改進（改進）等。收集信息評估組織部署 首先要明確管理策略，然后才是開展管理活動。3系統(tǒng)B安全管理是以管理對象的安全為任務(wù)和目標的管理。安全管理的任務(wù)是保證管理對象的安全。安全管理的目標是達到管理對象所需的安全級別，將風險

2、控制在可以接受的程度。信息安全管理是以信息及其載體即信息系統(tǒng)為對象的安全管理。信息安全管理的任務(wù)是保證信息的使用安全和信息載體的運行安全。信息安全管理的目標是達到信息系統(tǒng)所需的安全級別，將風險控制在用戶可以接受的程度。41.2 安全管理的重要性在信息時代，信息是一種資產(chǎn)。隨著人們對信息資源利用價值的認識不斷提高，信息資產(chǎn)的價值在不斷提升，信息安全的問題越發(fā)受到重視。針對各種風險的安全技術(shù)和產(chǎn)品不斷涌現(xiàn)，如防火墻、入侵檢測、漏洞掃描、病毒防治、數(shù)據(jù)加密、身份認證、訪問控制、安全審計等，這些都是信息安全控制的重要手段，并且還在不斷地豐富和完善。但是，卻容易給人們造成一種錯覺，似乎足夠的安全技術(shù)和產(chǎn)

3、品就能夠完全確保一個組織的信息安全。其實不然，僅通過技術(shù)手段實現(xiàn)的安全能力是有限的，主要體現(xiàn)在以下三個方面。5u許多安全技術(shù)和產(chǎn)品遠遠沒有達到人們需要的水準。例如，微軟的Windows NT、IBM的AIX等常見的企業(yè)級操作系統(tǒng)，大部分只達到了美國國防部TCSEC C2級安全認證，而且核心技術(shù)和知識產(chǎn)權(quán)都是國外的，不能滿足國家涉密信息系統(tǒng)或商業(yè)敏感信息系統(tǒng)的需求。u在計算機病毒與病毒防治軟件的對抗過程中，經(jīng)常是在一種新的計算機病毒出現(xiàn)并已經(jīng)造成大量損失后，才能開發(fā)出查殺該病毒的軟件，也就是說，技術(shù)往往落后于新風險的出現(xiàn)。u即使某些安全技術(shù)和產(chǎn)品在指標上達到了實際應(yīng)用的某些安全需求，如果配置和管

4、理不當，還是不能真正地實現(xiàn)這些安全需求。例如，雖然在網(wǎng)絡(luò)邊界設(shè)置了防火墻，但出于風險分析欠缺、安全策略不明或是系統(tǒng)管理人員培訓不足等原因，防火墻的配置出現(xiàn)嚴重漏洞，其安全功效將大打折扣。再如，雖然引入了身份認證機制，但由于用戶安全意識薄弱，再加上管理不嚴，使得口令設(shè)置或保存不當，造成口令泄漏，那么依靠口令檢查的身份認證機制會完全失效。6僅靠技術(shù)不能獲得整體的信息安全，需要有效的安全管理來支持和補充，才能確保技術(shù)發(fā)揮其應(yīng)有的安全作用，真正實現(xiàn)整體的信息安全?！叭旨夹g(shù)、七分管理”，在安全領(lǐng)域更是如此。1.3 安全管理模型 安全管理的最終目標是將系統(tǒng)（即管理對象）的安全風險降低到用戶可接受的程度，

5、保證系統(tǒng)的安全運行和使用。風險的識別與評估是安全管理的基礎(chǔ)，風險的控制是安全管理的目的，安全管理實際上是風險管理的過程。由此可見，安全管理策略的制定依據(jù)就是系統(tǒng)的風險分析和安全要求。新的風險在不斷出現(xiàn)，系統(tǒng)的安全需求也在不斷變化，也就是說，安全問題是動態(tài)的。因此，安全管理應(yīng)該是一個不斷改進的持續(xù)發(fā)展過程。7安全管理模型遵循管理的一般循環(huán)模式，即計劃（Plan）、執(zhí)行（Do）、檢查（Check）和行動（Action）的持續(xù)改進模式，簡稱PDCA模式。每一次的安全管理活動循環(huán)都是在已有的安全管理策略指導下進行的，每次循環(huán)都會通過檢查環(huán)節(jié)發(fā)現(xiàn)新的問題，然后采取行動予以改進，從而形成了安全管理策略和活

6、動的螺旋式提升。8信息安全管理也遵循PDCA持續(xù)改進模式。信息安全管理策略包括管理的任務(wù)、目標、對象、原則、程序和方法；信息安全管理活動包括制定計劃、建立機構(gòu)、落實措施、開展培訓、檢查效果和實施改進等。u制定計劃制定信息安全管理的具體實施、運行和維護計劃；u建立機構(gòu)建立相應(yīng)的安全管理機構(gòu)；u落實措施選擇適當?shù)陌踩夹g(shù)和產(chǎn)品并實施；u開展培訓對所有相關(guān)人員進行必要的安全教育和培訓；u檢查效果對所構(gòu)建的信息安全管理體系進行符合性檢查；u實施改進對檢查結(jié)果進行評審，評價現(xiàn)有信息安全管理體系的有效性，針對存在的問題采取改進措施。9二、信息安全管理策略信息安全管理策略應(yīng)包括信息安全管理的任務(wù)、目標、對象

7、、原則、程序和方法這些內(nèi)容。1. 信息安全管理的任務(wù)信息安全管理的任務(wù)是保證信息的使用安全和信息載體的運行安全。v信息的使用安全是通過實現(xiàn)信息的機密性、完整性和可用性這些安全屬性來保證的。v信息載體包括處理載體、傳輸載體、存儲載體和入出載體，其運行安全就是指計算系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、存儲系統(tǒng)和外設(shè)系統(tǒng)能夠安全地運行。102. 信息安全管理的目標達到信息系統(tǒng)所需的安全級別，將風險控制在用戶可以接受的程度。3. 信息安全管理的對象從內(nèi)涵上講是指信息及其載體信息系統(tǒng)，從外延上說其范圍由實際應(yīng)用環(huán)境來界定。4. 信息安全管理的原則信息安全管理遵循如下基本原則：（1） 策略指導原則所有的信息安全管理活動都應(yīng)該

8、在統(tǒng)一的策略指導下進行。11（2） 風險評估原則信息安全管理策略的制定要依據(jù)風險評估的結(jié)果。（3） 預防為主原則在信息系統(tǒng)的規(guī)劃、設(shè)計、采購、集成和安裝中要同步考慮信息安全問題，不可心存僥幸或事后彌補。（4） 適度安全原則要平衡安全控制的費用與風險危害的損失，注重實效，將風險降至用戶可接受的程度即可，沒有必要追求絕對的、高昂代價的安全，實際上也沒有絕對的安全。（5） 立足國內(nèi)原則考慮到國家安全和經(jīng)濟利益，安全技術(shù)和產(chǎn)品首先要立足國內(nèi)，不能未經(jīng)許可，未能消化改造直接使用境外的安全保密技術(shù)和產(chǎn)品設(shè)備，特別是信息安全方面的關(guān)鍵技術(shù)和核心技術(shù)尤其如此。12（6） 成熟技術(shù)原則盡量選用成熟的技術(shù)，以得到

9、可靠的安全保證。采用新技術(shù)時要慎重，要重視其成熟的程度。（7） 規(guī)范標準原則安全系統(tǒng)要遵循統(tǒng)一的操作規(guī)范和技術(shù)標準，以保證互連通和互操作，否則，就會形成一個個安全孤島，沒有統(tǒng)一的整體安全可言。（8） 均衡防護原則安全防護如同木桶裝水，一是，只要木桶的木板有一塊壞板，水就會從里面泄漏出來；二是，木桶中的水只和最低一塊木板看齊，其他木板再高也無用。所以，安全防護措施要注意均衡性，注意是否存在薄弱環(huán)節(jié)或漏洞。（9） 分權(quán)制衡原則要害部位的管理權(quán)限不應(yīng)交給一個人管理，否則，一旦出現(xiàn)問題將全線崩潰。分權(quán)可以相互制約，提高安全性。13（10） 全體參與原則安全問題不只是安全管理人員的事情，全體相關(guān)人員都有

10、責任。如果安全管理人員制定的安全制度和措施得不到相關(guān)人員的切實執(zhí)行，安全隱患依然存在，安全問題就不會得到真正解決。（11） 應(yīng)急恢復原則安全防護不怕一萬就怕萬一，因此安全管理要有應(yīng)急響應(yīng)預案，并且要進行必要的演練，一旦出現(xiàn)問題就能夠馬上采取應(yīng)急措施，阻止風險的蔓延和惡化，將損失減少到最低程度。天災(zāi)人禍在所難免，因此在災(zāi)難不能同時波及的地區(qū)設(shè)立備份中心，保持備份中心與主系統(tǒng)數(shù)據(jù)的一致性。一旦主系統(tǒng)遇到災(zāi)難而癱瘓，便可立即啟動備份系統(tǒng)，使系統(tǒng)從災(zāi)難中得以恢復，保證系統(tǒng)的連續(xù)工作。（12） 持續(xù)發(fā)展原則為了應(yīng)對新的風險，對風險要實施動態(tài)管理。因此，要求安全系統(tǒng)具有延續(xù)性、可擴展性，能夠持續(xù)改進，始終

11、將風險控制在可接受的水平。145. 信息安全管理的程序信息安全管理的程序遵循PDCA循環(huán)模式的4大基本步驟： 計劃（Plan）。制定工作計劃，明確責任分工，安排工作進度，突出工作重點，形成工作文件。 執(zhí)行（Do）。按照計劃展開各項工作，包括建立權(quán)威的安全機構(gòu)，落實必要的安全措施，開展全員的安全培訓等。v定義和實施風險處理計劃v選擇適當?shù)目刂拼胧﹙定義如何衡量控制措施的有效性v實施培訓和意識宣傳計劃 v管理信息安全管理體系的運作v管理信息安全管理體系運作資源v部署安全事件檢測和響應(yīng)流程15165. 信息安全管理的程序 檢查（Check）。對上述工作所構(gòu)建的信息安全管理體系進行符合性檢查，包括是否

12、符合法律法規(guī)的要求，是否符合安全管理的原則，是否符合安全技術(shù)的標準，是否符合風險控制的指標等，并報告結(jié)果。執(zhí)行監(jiān)控和審查程序測量控制措施的有效性評審風險評估和殘余風險內(nèi)部信息安全管理體系審核信息安全管理體系的管理評審在審核和調(diào)查結(jié)果的基礎(chǔ)上更新安全計劃記錄可能會影響到信息安全管理體系效能的行動和事件 行動（Action）。依據(jù)上述檢查結(jié)果，對現(xiàn)有信息安全管理策略的適宜性進行評審與評估，評價現(xiàn)有信息安全管理體系的有效性，采取改進措施。實施已確定的信息安全管理體系的改進采取適當?shù)募m正措施和預防措施同有關(guān)各方溝通行動及改進點確保達到預期的改善目標166. 信息安全管理的方法信息安全管理根據(jù)具體管理對

13、象的不同，采用不同的具體管理方法。信息安全管理的具體對象包括機構(gòu)、人員、軟件、設(shè)備、介質(zhì)、涉密信息、技術(shù)文檔、網(wǎng)絡(luò)連接、門戶網(wǎng)站、應(yīng)急恢復、安全審計、場地設(shè)施等。17三、 信息安全管理標準BS7799標準是由英國標準協(xié)會（BSI）制定的信息安全管理標準，是國際上具有代表性的信息安全管理體系標準。該標準包括以下兩部分：BS7799-1:1999信息安全管理實施規(guī)則；BS7799-2:1999信息安全管理體系規(guī)范。其中，BS7799-1:1999于2000年12月通過國際標準化組織（ISO）認可，正式成為國際標準，即ISO/IEC19799:2000信息技術(shù)信息安全管理實施規(guī)則。181992年，英

14、國貿(mào)易和工業(yè)部出版“信息安全管理實用準則”1995年，英國標準協(xié)會對它進行修改，并以BS7799標準出版2000年，BS7799認證為ISO17799標準2002年，BS7799第二部分出版2005年，新的ISO17799標準出版，BS7799第二部分成為ISO270012007年，ISO17799/IEC2005標準直接更改標準編號為ISO/IEC2700219ISO 27001標準系列27000 信息安全管理體系原理和術(shù)語27001信息安全管理體系要求27002信息安全管理實踐規(guī)則27003信息安全管理體系實施指南27004信息安全管理測量與指標27005信息安全風險管理27006信息安全

15、管理體系審核認證機構(gòu)要求27011適用于電信組織27031電信就緒之業(yè)務(wù)持續(xù)性指南20預備中27007信息安全管理體系審核指南27008信息安全管理體系審核指南（控管措施）27010用于行業(yè)間溝通27013將ISO/IEC20000-1與27001整合27014信息安全治理框架27015金融和保險服務(wù)業(yè)27032互聯(lián)網(wǎng)安全指南27033網(wǎng)絡(luò)安全指南27034應(yīng)用安全指南27035安全事件管理27036安全外包指南27037數(shù)據(jù)證據(jù)的鑒定、收集和保持213.1 標準的組成與結(jié)構(gòu)BS7799共分兩部分：第一部分為BS7799-1:1999信息安全管理實施規(guī)則，即ISO/IEC19799:2000信

16、息技術(shù)信息安全管理實施規(guī)則，是組織建立并實施信息安全管理體系的一個指導性準則，主要是為組織實施有效的信息安全管理所需的控制提供通用的最佳實施規(guī)則。第二部分為BS7799-2:1999信息安全管理體系規(guī)范，規(guī)定了建立、實施和維護信息安全管理體系（Information Security Management System，ISMS）的要求，指出組織需通過風險評估和自身需求來確定最適宜的安全控制對象，采取最適當?shù)陌踩刂拼胧?。BS7799-2:1999明確提出安全控制要求，BS7799-1:1999對應(yīng)給出了通用的安全控制方法，因此可以說，BS7799-1:1999為BS7799-2:1999的具

17、體實施提供了指南。22BS7799由4個主要段落組成，即范圍、術(shù)語和定義、體系要求和控制細則。其中控制細則包括11大控制方面、36個控制目標、134種控制方式，涉及與信息安全有關(guān)的方方面面。關(guān)于控制細則的使用，一方面，組織可以根據(jù)自己的實際需要進行選用；另一方面，標準中的控制目標和控制方式并非信息安全管理的全部，組織可以根據(jù)需要考慮另外的控制目標和控制方式。23BS7799 詳細內(nèi)容列表目的內(nèi)容范圍、術(shù)語和定義、信息安全體系要求、控制細則安全方針提供管理方向和支持建立安全方針文檔安全組織建立組織內(nèi)的安全管理體系框架內(nèi)部信息安全責任、信息采集設(shè)施安全、可被第三方利用的信息資產(chǎn)安全，外部信息安全評

18、審、外包合同安全資產(chǎn)分類與控制建立維護資 產(chǎn)安全的保護系統(tǒng)基礎(chǔ) 利用資產(chǎn)清單、分類處理、信息標簽等對信息資產(chǎn)進行保護人員安全減少人為造成的風險減少錯誤、偷竊、欺騙或資源誤用等人為風險；保密協(xié)議；安全教育培訓、安全事故與教訓總結(jié)、懲罰措施物理與環(huán)境安全防止對IT服務(wù)的未經(jīng)許可的介入，防止損害和干擾服務(wù)阻止對工作區(qū)與物理設(shè)備的非法進入；防止業(yè)務(wù)機密和信息的非法訪問、損壞、干擾；磁泄漏等24BS7799 詳細內(nèi)容列表目的內(nèi)容通信與運營管理訪問控制控制對業(yè)務(wù)信息的訪問系統(tǒng)開發(fā)與維護保證系統(tǒng)開發(fā)維護安全確保信息安全保護深入到OS中；阻止應(yīng)用系統(tǒng)中的用戶 數(shù)據(jù)的丟失、修改或誤用；確保信息機密性、可靠性和完

19、整性、確保IT項目工程及其支持活動在安全的方式下進行，維護應(yīng)用程序軟件和數(shù)據(jù)的安全。信息安全事故管理保證信息安全事故的用時報告和處理確保與信息系統(tǒng)有關(guān)的信息安全事故和弱點能夠以某種方式傳達，以及時采取糾正措施；確保采用一致的和有效的方法對信息安全事故進行管理商務(wù)持續(xù)性管理防業(yè)務(wù)中斷和災(zāi)難事故影響保護關(guān)鍵業(yè)務(wù)過程受到重大失誤或災(zāi)難的影響依從符合法律、法規(guī)和合同253.2 信息安全管理體系要求1.總則總則（general）是標準對信息安全管理體系的總體要求。信息安全管理體系是組織管理體系的一部分，專門用于組織的信息資產(chǎn)風險管理，確保組織的信息安全，包括為制定、實施、評審和保持信息安全方針所需要的組

20、織機構(gòu)、目標、職責、程序、過程和資源。26 標準要求組織通過制定信息安全方針、確定體系范圍、明確管理職責，通過風險評估確定控制目標與控制方式等活動建立信息安全管理體系。 信息安全管理體系一旦建立，組織應(yīng)按體系規(guī)定的要求進行運作，保證體系運作的有效性。 信息安全管理體系應(yīng)形成一定的文件，如方針、適用性聲明文件和實施安全控制所必須的程序文件。 綜上所述，組織應(yīng)建立并保持一個文件化的信息安全管理體系，其中應(yīng)闡述被保護的資產(chǎn)、風險管理的方法、控制目標及控制方式和需要的保證程度。272.建立管理構(gòu)架建立管理構(gòu)架（Establishing Management Frame）屬于對信息安全管理體系策劃的一個

21、要求，即按照以下步驟確定控制目標與控制方式： 制定組織的信息安全方針（組織安全管理要求，方向性的指導）。 界定信息安全管理體系的適用范圍。 對組織可能遭受的風險進行系統(tǒng)地評估。 根據(jù)方針和風險程度，決定風險管理內(nèi)容。 選擇適合組織商務(wù)運作的控制目標和控制方式，包括從BS7799-1:1999中選出的控制和識別出的其他控制。 準備適用性聲明，它是對組織選擇的控制目標和控制方式的評論性文件，并經(jīng)過管理層的批準。28因為組織本身結(jié)構(gòu)、信息資產(chǎn)所處的環(huán)境、商業(yè)流程、安全控制技術(shù)、法律法規(guī)等方面均有可能發(fā)生變化，因而會有新的安全威脅和薄弱點出現(xiàn)，導致新的風險。因此，為保持對風險實施動態(tài)控制，確保組織信息

22、安全的持續(xù)，要求組織定期對上述過程進行評審，不斷改進和完善控制目標和控制方式，在此基礎(chǔ)上對適用性聲明進行評價或修訂。值得強調(diào)的是，信息安全管理體系的成功建立與實施，及它對組織的價值很大程度上取決于風險評估的質(zhì)量。293.實施 組織要按照所選擇的控制目標和控制方式進行有效的安全控制，即按照方針、程序等要求開展信息處理、安全管理各項活動。 實施（implementation）的有效性包括以下兩方面的含義：u控制活動應(yīng)嚴格按照要求執(zhí)行u活動的結(jié)果應(yīng)達到預期的目標要求，即風險控制的結(jié)果是可以接受的。304.文件化 信息安全管理體系文件（documentation）是按標準要求建立管理框架的證據(jù)，它一般

23、包括方針、適用性聲明、方針手冊、管理及實施程序、作業(yè)指導書和記錄等。315.文件控制組織應(yīng)建立一個文件控制（Document Control）程序，對信息安全管理體系文件進行以下方面的控制：u明確文件控制活動的各項職責；u文件發(fā)布前應(yīng)履行審批手續(xù)；u進行發(fā)放管理，確保授權(quán)的人員隨時獲得；u定期評審，必要時予以修訂，以符合組織的安全方針；u進行版本控制，保證現(xiàn)場使用的文件為最新有效版本；u當文件廢止且有法律或知識保護目的要求時，應(yīng)保存并標識，防止誤用；u文件應(yīng)易讀，標明日期（包括修訂日期）；u按規(guī)定方式對文件進行標識（文件編號）；u按規(guī)定時間保存；u體系文件本身也屬于信息資產(chǎn)，其中含有敏感信息，

24、應(yīng)確定其密級并進行密級標識。326.記錄組織應(yīng)建立記錄（record）程序，對具有符合性的記錄進行標識、維護、保留和處置方面的控制。組織應(yīng)按照規(guī)定的保存期限保存信息安全記錄，以證明活動符合本規(guī)定要求及適合體系和組織的要求。如來訪者登記、審核記錄和訪問授權(quán)等。對記錄的管理要求和控制如下：v記錄應(yīng)清晰易讀，對相關(guān)活動具有標識和可追溯性；v記錄應(yīng)以便于檢索的方式保存。v記錄的保存應(yīng)符合有關(guān)的法律法規(guī)要求；須長期保存的記錄應(yīng)存放于一個適宜的環(huán)境，防止損壞、變質(zhì)和丟失；電子媒體的記錄應(yīng)進行備份等；v記錄也屬于信息資產(chǎn)，對于含有敏感信息的記錄應(yīng)進行密級標識并進行適當?shù)目刂啤?33.3 控制細則 控制細則包

25、括安全方針、安全組織、資產(chǎn)分類與控制、人員安全、物理與環(huán)境安全、通信與運作管理、訪問控制、系統(tǒng)開發(fā)與維護、商務(wù)持續(xù)性管理、依從共11大控制方面、36個控制目標、134種控制方式，涉及與信息安全有關(guān)的方方面面。 組織應(yīng)根據(jù)風險評估結(jié)果從中選定適宜的控制目標和控制方式，對于不適宜的條款應(yīng)在適用性聲明中給予說明。3435u安全方針：v目標：制定指導方針，通過在組織內(nèi)對信息安全方針的發(fā)布和保證來證明對信息安全支持和承諾。v信息安全方針包括：信息安全定義、總體目標與范圍以及信息共享的安全機制；為達到此目的的管理意向；對組織有重大意義的安全方針、原則、標準和符合性的簡要說明；對信息安全管理的總體和具體責任

26、的規(guī)定；制定用戶應(yīng)該遵守的安全規(guī)定支持安全方針的文件。36u安全組織：v目標：建立組織內(nèi)的管理體系以便安全管理。v信息安全組織內(nèi)容包括：組織信安委和專家組，信安委批準安全方案、分配安全職責和協(xié)調(diào)組織內(nèi)部信息安全的實施。專家組提出有效的安全建議。加強與外專家聯(lián)系，跟蹤行業(yè)趨勢，監(jiān)督執(zhí)行安全標準和安全評估，在處理安全事件時提供必要聯(lián)系渠道。鼓勵多學科的信息安全方法的發(fā)展，如經(jīng)理人、用戶、行政人員、應(yīng)用軟件設(shè)計者、審計人員和保安人員以及行業(yè)專家之間的協(xié)作。控制第三方對本組織的信息處理設(shè)備的訪問。如果業(yè)務(wù)上需要第三方的訪問，應(yīng)當進行風險評估以確定安全隱患和控制要求外包合同中表明信息系統(tǒng)、網(wǎng)絡(luò)和桌面環(huán)境

27、方面的風險、安全控制和流程。控制細則資產(chǎn)分類與控制：目標：維護組織資產(chǎn)的適當保護系統(tǒng)。內(nèi)容包括：利用資產(chǎn)清單、分類處理、信息標簽等對信息資產(chǎn)進行保護。以所有重要的信息資產(chǎn)都要進行說明并指定責任者，以確定適當?shù)木S護控制措施。信息分類可以確認信息的保護等級，并采取適當?shù)谋Ｗo手段。37控制細則人員安全：目標：減少人為造成的風險。內(nèi)容包括：崗位安全職責和人員作用條款。減少人為錯誤、盜竊和設(shè)施誤用造成的風險。設(shè)置用戶培訓條款，確保用戶清楚知道信息安全的危險性和相關(guān)事項，以便在工作中支持組織的方針。設(shè)置安全事件及故障處理條款（應(yīng)急響應(yīng)）38控制細則物理和環(huán)境安全：目標：防止對關(guān)于IT服務(wù)的未經(jīng)許可的介入、

28、損傷和干擾服務(wù)。內(nèi)容包括：確定安全區(qū)域，防止非授權(quán)訪問、破壞、干擾商務(wù)場所和信息通過保障設(shè)備安全，防止資產(chǎn)丟失、破壞、資產(chǎn)危害及商務(wù)活動中斷；采用通用的控制方式，防止信息或信息處理設(shè)施損壞或失竅。3940u通信與操作方式管理：v目標：保證通訊和操作設(shè)備的正確和安全維護v內(nèi)容包括： 將系統(tǒng)發(fā)生故障的風險降到最低（事先規(guī)劃與準備、在接收和使用新系統(tǒng)之前，規(guī)定相應(yīng)的操作要求）。 保護軟件與信息完整性。設(shè)置預防措施來防止和檢測惡意軟件的引入。 維護信息處理和通訊服務(wù)的完整性和可用性。建立常規(guī)程序，按規(guī)定的備份策略，對數(shù)據(jù)進行備份，執(zhí)行及時的恢復工作、登錄事件和失敗事件以及監(jiān)視設(shè)備的環(huán)境。 確保對網(wǎng)絡(luò)信

29、息和基礎(chǔ)設(shè)施的保護，對跨組織邊界的網(wǎng)絡(luò)的格外關(guān)注；對于通過公共網(wǎng)絡(luò)的敏感信息要有額外的控制措施。 防止資產(chǎn)損失和商業(yè)活動的中斷。對各種媒體都應(yīng)該加以管理，并且給與物理上保護。 防止丟失、修改或誤用組織之間交換的信息，對組織之間信息和軟件的交換進行控制，并建立流程和標準來保護傳輸中的信息和媒體。控制細則訪問控制：目標：控制對信息的訪問內(nèi)容包括：按訪問控制的商務(wù)要求，控制信息訪問加強用戶訪問管理，防非授權(quán)訪問明確用戶職責，防非授權(quán)的用戶訪問加強網(wǎng)絡(luò)訪問控制，保護網(wǎng)絡(luò)服務(wù)程序加強OS訪問控制，防非授權(quán)計算機訪問加強應(yīng)用訪問控制，防非授權(quán)訪問系統(tǒng)中的信息通過監(jiān)控系統(tǒng)的訪問與使用，監(jiān)測非授權(quán)行為在移動式

30、計算和電傳工作方面，確保使用移動式計算和電傳工作設(shè)施的信息安全。41控制細則系統(tǒng)開發(fā)與維護：目標：保證系統(tǒng)開發(fā)與維護的安全內(nèi)容包括：明確系統(tǒng)安全要求，確保安全性已構(gòu)成信息系統(tǒng)的一部分加強應(yīng)用系統(tǒng)的安全，防止應(yīng)用系統(tǒng)用戶數(shù)據(jù)的丟失、被修改或誤用；加強密碼技術(shù)控制，保護信息的保密性、可靠性或完整性加強系統(tǒng)文件的安全，確保IT方案及其支持活動以安全的方式進行；加強開發(fā)與支持過程的安全，確保應(yīng)用系統(tǒng)軟件和信息的安全。42控制細則商務(wù)連續(xù)性管理：目標：防止商業(yè)活動中斷和災(zāi)難事故的影響內(nèi)容包括：通過預防與恢復的控制性措施可以使可能受到的災(zāi)難或安全故障所產(chǎn)生的破壞減少到可以接受的程度。分析災(zāi)難、安全事故和服

31、務(wù)丟失產(chǎn)生的后果，制定和實施偶然事故計劃、確保業(yè)務(wù)過程在要求的時間內(nèi)恢復。識別和減少風險，限制破壞性事件的后果，確保主要操作的及時迅速恢復，以及保護關(guān)鍵業(yè)務(wù)過程遭到主要故障或災(zāi)難的影響。43控制細則符合性目標：防止任何違反法令、法規(guī)、合同約定及其他安全要求的行為。內(nèi)容包括：對信息系統(tǒng)的設(shè)計、操作、使用和管理應(yīng)該符合法律、法規(guī)和合同的安全要求。確保系統(tǒng)符合組織的安全策略和標準，定期檢查信息系統(tǒng)的安全性。將系統(tǒng)審核過程的利益最大化，將干擾最小化。44四、基于等級保護的信息安全管理體系中華人民共和國計算機信息系統(tǒng)安全保護條例1994年2月18日，國務(wù)院令147號。提出了等級保護思想，“計算機信息系統(tǒng)

32、實行等級保護”國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見（中辦發(fā)200327號）（2003年8月26日）“綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的信息安全風險等因素，進行相應(yīng)等級的安全建設(shè)和管理”454.1 等級保護概述等級保護含義指根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟安全、社會安全、社會穩(wěn)定和保護公共利益等方面的重要程度，結(jié)合系統(tǒng)面臨的風險、應(yīng)對風險的安全保護要求和成本開銷等因素，將其劃分成不同的安全保護等級，采取相應(yīng)的安全保護措施，以保障信息和信息系統(tǒng)的安全。等級保護基本原則重點保護原則“誰主管、誰負責”原則分區(qū)域保護原則根據(jù)各地區(qū)、各行業(yè)信息系統(tǒng)的重要程度、業(yè)務(wù)特點和不同發(fā)展水平，

33、分類、分級、分階段進行實施，通過劃分不同安全保護等級的區(qū)域，實現(xiàn)不同強度的安全保護。同步建設(shè)、動態(tài)調(diào)整46安全等級劃分關(guān)于信息安全等級保護工作的實施意見（公通字200466號）規(guī)定，按5個安全等級管理第一級自主保護級適用于一般，其受到破壞后，會對公民、法人和其他組織的權(quán)益產(chǎn)生一定的影響，但不危害國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益。第二級指導保護級適用于一定程度上涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的一般信息與信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成一定損害。第三級監(jiān)督保護級適用涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的信息與信息系統(tǒng)，其受到破壞后，會對

34、國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成較大損害。第四級強制保護級適用涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的重要信息與信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成嚴重損害。第五級?？乇Ｗo級適用涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的重要信息與信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成特別嚴重損害。474.2 等級保護的實施方法與過程實施方法安全定級基本安全要求分析：對應(yīng)標準，分析檢查系統(tǒng)的基本安全要求系統(tǒng)特定安全要求分析風險評估改進和選擇安全措施實施安全保護措施48等級保護實施過程定級階段總體定級與子系統(tǒng)定級規(guī)劃與設(shè)

35、計階段實施、等級評估與改進階段49系統(tǒng)識別與描述等級確定系統(tǒng)分域保護框架建立選擇和調(diào)整安全措施安全規(guī)劃與方案設(shè)計安全措施實施評審驗收符合等級保護要求？運行監(jiān)控與改進符合等級保護要求？實施、評審與改進規(guī)劃與設(shè)計定級否否是是監(jiān)控系統(tǒng)的變化和系統(tǒng)安全風險的變化，評估系統(tǒng)的安全狀況。如評估后發(fā)現(xiàn)系統(tǒng)及其風險環(huán)境已發(fā)生重大變化，新的安全保護要求與原有的安全等級已不相適應(yīng)，由應(yīng)進行系統(tǒng)重新定級。如系統(tǒng)僅發(fā)生部分變化，而這些改變不涉及系統(tǒng)的信息資產(chǎn)和威脅狀況的根本改變，則只需要調(diào)整和改進相應(yīng)的安全措施。五、安全風險管理5.1基本概念風險風險：人們對未來行為的決策及客觀條件的不確定性而導致的實際結(jié)果與預期結(jié)果

36、的偏差的程度。風險具有如下特點：客觀性。不確定性（發(fā)生/程度/何時/何地）不利性。（對承擔者是不利的，做好對策）可變性。（在一定條件下可以轉(zhuǎn)化。性質(zhì)/大小/一定空間和時間內(nèi)可以消除/新風險產(chǎn)生等）相對性。505.1 基本概念風險管理風險管理：降低風險發(fā)生的概率，或當某種風險突然降臨時，減少損失的管理過程。風險管理承認成功的攻擊將會存在，如非授權(quán)訪問、侵入等。但發(fā)生的可能性和產(chǎn)生后果的嚴重程度將被限制和控制在最小值，這是風險管理的宗旨。風險管理包括為提供有效的損失預防方案而進行的規(guī)劃、組織、領(lǐng)導、協(xié)調(diào)及控制活動。風險管理的意義是使信息系統(tǒng)的主管者和運營者在安全措施的成本與資產(chǎn)價值之間尋求平衡，并

37、最終通過對支持其使命的信息系統(tǒng)及數(shù)據(jù)進行保護而提高其生命能力。515.1 基本概念風險管理的循環(huán)過程風險管理的循環(huán)過程52系統(tǒng)脆弱性檢查風險等級審查風險損失評估報告安全事件安全制定響應(yīng)計劃組成響應(yīng)小組事件結(jié)束下一風險風險總結(jié)經(jīng)驗結(jié)累系統(tǒng)恢復正常運行確定總體響應(yīng)方案制定補救措施消除或隔離威脅修補漏洞恢復數(shù)據(jù)向其他部門報警系統(tǒng)整體檢查5.1 基本概念53風險管理內(nèi)容風險評估風險處理基于風險的決策評估信息系統(tǒng)資產(chǎn)、威脅、脆弱性以及現(xiàn)有的安全措施，分析安全事件上發(fā)生的可能性以及可能的損失，從而確定信息風險，并判斷風險優(yōu)先級，建議處理風險的措施?？紤]信息安全措施的成本，選擇合適的方法處理風險，將風險控制

38、在可接受的程度。由信息系統(tǒng)的主管者或運營者判斷殘余風險是否處在可接受的水平之內(nèi)?；谶@一判斷，主管者或運營者將做出決策，決定是否允許信息系統(tǒng)運行。5.1 基本概念風險管理要素及相互關(guān)系基本要素包括：使命、資產(chǎn)、資產(chǎn)價值、威脅、脆弱性、事件、風險、殘余風險、安全需求、安全措施54使命資產(chǎn)資產(chǎn)價值安全需求安全措施風險殘余風險脆弱性威脅事件演變成殘留被滿足未控制可能誘發(fā)增加導出未被滿足增加暴露擁有增加利用成本抗擊降低依賴5.1 基本概念風險管理的角色與責任55角色角色責任責任國家信息安全主管機關(guān)制定信息安全政策、法規(guī)和標準督促檢查和指導各單位的風險管理工作業(yè)務(wù)主管機關(guān)提出、組織制定并批準本單位的信息

39、安全風險管理策略領(lǐng)導和組織本單位信息系統(tǒng)安全評估工作判斷信息系統(tǒng)的殘余風險是否可接受，決定是否批準信息系統(tǒng)投入運行檢查信息系統(tǒng)運行中產(chǎn)生的安全狀態(tài)報告定期或不定期開展新的風險評估工作信息系統(tǒng)擁有者/運營者制定風險管理策略和安全計劃，報上級審批；組織實施自評估工作；配合檢查評估或委托評估工作，提供必要文檔資料。向主管機關(guān)提出風險評估建議、改善安全措施、處理安全風險5.1 基本概念風險管理的角色與責任56角色角色責任責任信息系統(tǒng)承建者將建設(shè)方案提交給有關(guān)方面進行風險分析，并據(jù)結(jié)果修改完善方案；在方案中有效控制風險、規(guī)范建設(shè)，減少在建設(shè)階段引入新的風險。信息安全服務(wù)/集成機構(gòu)提供獨立的風險評估，提出

40、調(diào)整建議，以減少或根除信息系統(tǒng)中的脆弱性，有效對抗安全威脅，處理風險。保護評估中的敏感信息，防止被無關(guān)人員和單位獲得。使用經(jīng)過安全測評認證的產(chǎn)品協(xié)助制定風險管理策略和安全計劃根據(jù)系統(tǒng)擁有者/運營者的需求，對風險進行處理信息系統(tǒng)的關(guān)聯(lián)機構(gòu)遵守安全策略、法規(guī)、合同等涉及信息系統(tǒng)交互行為的安全要求，減少信息安全風險協(xié)助風險管理工作確定安全邊界在風險評估中提供必要的資料和資源5.1 基本概念風險管理與其他安全保障的關(guān)系風險管理是信息系統(tǒng)安全保障工作的核心。信息系統(tǒng)的任何保障工作的目的就是處理信息安全風險，使殘余風險可接受。風險管理是一個在信息系統(tǒng)生命周期各主要階段實施的連續(xù)性過程。57生命周期階生命周

41、期階段段階段特征階段特征風險管理工作的支持風險管理工作的支持階段1：系統(tǒng)規(guī)劃與啟動提出信息系統(tǒng)目的、需求、規(guī)模和安全要求確定信息系統(tǒng)的安全需求階段2：設(shè)計開發(fā)與采購信息系統(tǒng)的設(shè)計、購買、開發(fā)或建造對設(shè)計進行風險評估，支持后續(xù)的安全分析；可能對系統(tǒng)體系和設(shè)計方案進行更改階段3：集成實現(xiàn)實現(xiàn)信息系統(tǒng)的安全特性，并進行測試與驗證通過風險評估考察信息系統(tǒng)的安全效果，判斷是否滿足要求，做出相關(guān)決策。階段4：運行與維護系統(tǒng)要不斷修改完善，增加硬軟件，或改變單位的運行策略、流程等。在運行過程中出現(xiàn)重大變更時（增加新功能/接口，外部環(huán)境發(fā)生變化等），要對其進行風險評估，處理新產(chǎn)生的風險，并重新判斷是否允許信息

42、系統(tǒng)繼續(xù)運行。階段5：廢棄對信息、硬軟件的廢棄。包括信息的轉(zhuǎn)移、備份、丟棄、銷毀以及對軟硬件進行的報廢處理在報廢或替換系統(tǒng)組件前，要對其進行風險評估，以確保硬件和軟件的廢棄處置方式是恰當?shù)?。此外。還要確保信息系統(tǒng)的升級換代過程能夠平穩(wěn)、可靠運行。5.2 風險評估風險評估是確定一個信息系統(tǒng)面臨的風險級別的過程，是風險管理的基礎(chǔ)。通過風險評估確定系統(tǒng)中的剩余風險，并判斷該風險級別是否可以接受或需要實施附加措施來進一步降低。風險取決于威脅發(fā)生的概率和相應(yīng)的影響。585.2 風險評估59風險評估準備資產(chǎn)識別威脅識別脆弱性識別已有安全措施確認風險計算風險是否接受保持已有安全措施選擇適當?shù)陌踩胧┎⒃u估殘

43、余風險是否接受殘余風險實施風險管理評估過程文檔評估過程文檔評估過程文檔否是否是風險分析5.2 風險評估60資產(chǎn)識別資產(chǎn)分類：根據(jù)評估對象和要求確定。根據(jù)資產(chǎn)表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、 軟件、硬件、文檔、服務(wù)、人員等類資產(chǎn)賦值機密性賦值完整性賦值可用性賦值極高高中等低可忽略重要性賦值（很高、高、中、低、很低）5.2 風險評估61威脅識別威脅分類威脅賦值判斷威脅出現(xiàn)的頻率是威脅識別的主要工作，評估者需要綜合考察以下三個方面，以形成各種威脅出現(xiàn)的頻率：1.以往安全事件報告中出現(xiàn)過的威脅及其頻率統(tǒng)計；2,通過測試工具及日志發(fā)現(xiàn)的威脅及其頻率統(tǒng)計3.近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅

44、及其頻率統(tǒng)計，以及發(fā)布的威脅預警。（很高、高、中、低、很低）來源分析：環(huán)境、人為（惡意、誤操作等）軟硬件故障、物理環(huán)境、無作為或誤操作、管理不到位、惡意代碼和病毒、越權(quán)或濫用、黑客攻擊、物理攻擊、泄密、篡改、抵賴5.2 風險評估62脆弱性識別脆弱性識別內(nèi)容脆弱性賦值根據(jù)對資產(chǎn)損害程度、技術(shù)實現(xiàn)難易程度、脆弱性流行程度，采用等級方式對已識別的脆弱性的嚴重程度進行賦值： 很高被利用將對資產(chǎn)造成完全損害 高被利用將對資產(chǎn)造成重大損害 中被利用將對資產(chǎn)造成一般損害 低被利用將對資產(chǎn)造成較小損害 很低被利用將對資產(chǎn)造成的損害可忽略物理環(huán)境方面：GB/T93612000計算機場地安全要求OS/DB： GB

45、178591999 計算機信息系統(tǒng)安全保護等級劃分準則管理方面：ISO/IEC17799標準類型類型識別對象識別對象識別內(nèi)容識別內(nèi)容技物理環(huán)境機房防火/供配電/靜電/接地與防雷/電磁防護/通信線路保護/機房區(qū)域防護/機房設(shè)備管理術(shù)服務(wù)器（含OS） 物理保護/用戶帳戶/口令策略/資源共享/事件審計/訪問控制/新系統(tǒng)配置/注冊表加固/網(wǎng)絡(luò)安全/系統(tǒng)管理等方面進行識別脆網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計/邊界保護/外部訪問控制策略/內(nèi)部訪問控制策略/網(wǎng)絡(luò)設(shè)備安全配置等方面進行識別弱數(shù)據(jù)庫補丁安裝/鑒別機制/口令/訪問控制/網(wǎng)絡(luò)和服務(wù)設(shè)置/備份恢復機制/審計機制等性應(yīng)用系統(tǒng)審計機制/審計存儲/訪問控制策略/數(shù)據(jù)完整

46、性/通信/鑒別機制/密碼保護等管理技術(shù)管理物理和環(huán)境安全/通信與操作管理/訪問控制/系統(tǒng)開發(fā)與維護/業(yè)務(wù)連續(xù)性脆弱性組織管理安全策略/組織安全/資產(chǎn)分類與控制/人員安全、符合性5.2 風險評估已有安全措施的確認對有效的安全措施繼續(xù)保持，對確認不合適的安全措施應(yīng)核實是否應(yīng)被取消，或用更合適的安全措施替代。 預防性安全措施：降低安全事件發(fā)生可能性安全措施 保護性安全措施：減少因安全事件發(fā)生對系統(tǒng)的影響635.2 風險評估風險分析風險計算原理風險值R（安全事件發(fā)生的可能性，安全事件的損失） R(L(威脅出現(xiàn)頻率，脆弱性),F(資產(chǎn)重要程度，脆弱性嚴重程度)計算方法： 矩陣法：安全事件發(fā)生可能性與安全

47、事件損失之間關(guān)系； 相乘法：將安全事件發(fā)生可能性與安全事件損失相乘得到風險值。風險結(jié)果判定64等級等級標識標識描述描述5很高發(fā)生將使系統(tǒng)系統(tǒng)遭到非常嚴重破壞，組織利益非常嚴重損失4高發(fā)生將使系統(tǒng)系統(tǒng)遭到嚴重破壞，組織利益嚴重損失3中發(fā)生將使系統(tǒng)系統(tǒng)遭到較重破壞，組織利益受到損失2低發(fā)生將使系統(tǒng)系統(tǒng)遭到一般破壞，組織利益受到一般損失1很低發(fā)生只會使使系統(tǒng)系統(tǒng)遭到較小破壞5.2 風險評估風險評估記錄評估文件記錄要求確保文件發(fā)布前是得到批準的；確保文件的更改和現(xiàn)行修改狀態(tài)是可識別的；確保使用時可獲得有關(guān)版本的適用文件；確保文件的分發(fā)得到適當?shù)目刂疲环乐棺鲝U文件的非預期使用，若因任何目的需保留作廢文件

48、，應(yīng)對這些文件作適當標識；對于評估過程中產(chǎn)生的文件，應(yīng)規(guī)定其標識、儲存、保護、檢索、保存期限以及處置所需的控制。655.2 風險評估風險評估文件至少包括評估過程文檔和評估結(jié)果文檔。風險評估計劃：闡述風險評估目標、范圍、團隊、評估方法、評估結(jié)果的形式和實施進度等；風險評估程序：明確評估的目的、職責、過程、相關(guān)的文件要求，并準備實施評估需要的文檔；資產(chǎn)識別清單：清單中應(yīng)明確各資產(chǎn)的責任人/部門；重要資產(chǎn)清單：根據(jù)資產(chǎn)識別和賦值的結(jié)果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱、描述、類型、重要程度、責任人/部門等；威脅列表：根據(jù)威脅識別和賦值的結(jié)果，形成威脅名稱、種類來源、動機及出現(xiàn)的頻率等；665.2

49、風險評估風險評估文件脆弱性列表：根據(jù)威脅識別和賦值的結(jié)果，形成脆弱性列表，包括脆弱性名稱、描述、類型及嚴重程度；已有安全措施確認表：包括措施名、類型、功能描述及實施效果；風險評估報告：對評估過程和結(jié)果進行總結(jié)，詳細說明被評估對象，風險評估方法，資產(chǎn)、威脅、脆弱性的識別結(jié)果，風險分析、風險統(tǒng)計和結(jié)論等內(nèi)容；風險處理計劃：對評估結(jié)果中不可接受的風險制定風險處理計劃，選擇適當?shù)目刂颇繕撕痛胧?，明確責任/進度/資源，并通過對殘余風險的評價確保所選擇的安全措施的有效性；風險評估記錄：記錄對重要資產(chǎn)的風險評估過程。675.3 風險處理風險處理方式包括對風險評估過程中建議的安全措施進行優(yōu)先級排序、評估和實施

50、。風險處理是一個系統(tǒng)工程可通過多種方式實現(xiàn)：風險承擔：接受潛在風險，繼續(xù)運行系統(tǒng)，不處理風險；風險降低：實現(xiàn)措施，降低風險（如FW/漏洞掃描系統(tǒng)）風險規(guī)避：不介入風險（如放棄系統(tǒng)某項功能或關(guān)閉系統(tǒng)）風險轉(zhuǎn)移:使用其它措施來補償損失，轉(zhuǎn)移風險（如購買保險）685.3 風險處理風險處理針對性處理方式以及安全措施有很強的針對性，必須依靠風險評估的結(jié)果確定風險處理方式以及具體的安全措施。威脅屬性：威脅主體、能力、資源、動機、途徑、可能性和后果，安全措施可針對不同的屬性。如：威脅源：物理隔離，使攻擊者無法訪問系統(tǒng)威脅者能力：采用強加密手段威脅者的資源：采用層次化保護和縱深防御措施，使攻擊者的資源難以支持

51、其突破信息系統(tǒng)的保護防線；威脅者的途徑：將通信線路和電源線置于墻內(nèi)或天花板內(nèi)其它。695.3 風險處理風險處理過程在風險處理的目的是以最小的成本解決最大的風險，將風險控制在可接受的水平。705.3 風險處理711.對優(yōu)先級進行排序?qū)?yōu)先級進行排序3.實施成本效益分析實施成本效益分析2.評估所建議的安全措評估所建議的安全措施（可用性施（可用性/有效性）有效性）4.選擇安全措施選擇安全措施5.分配責任與任務(wù)分配責任與任務(wù)6.制定安全措施的實現(xiàn)計劃制定安全措施的實現(xiàn)計劃 風險及級別風險及級別 優(yōu)先級排序后的行動優(yōu)先級排序后的行動 建議的安全措施建議的安全措施/選擇的安全措施選擇的安全措施 責任人責任人/任務(wù)人員任務(wù)人員 開始時間開始時間/完成時間完成時間 維護要求維護要求7.實現(xiàn)所選安全措施實現(xiàn)所選安全措施來自風險評估報來自風險評估報告的風險級別告的風險級別風險評估報告風險評估報告由高到低的行由高到低的行動優(yōu)先級動優(yōu)先級可能的安全措可能的安全措施清單施清單成本效益分析成本效益分析所選擇的安全所選擇的安全措施措施責任和任務(wù)人責任和任務(wù)人員清單員清單安全措施實現(xiàn)安全措施實現(xiàn)計劃計劃殘余風險殘余風險5.4 常用的風險計算方法風險矩陣測量法事先建立資產(chǎn)價值/威脅等級/脆弱性等級的對應(yīng)矩陣，然后根據(jù)不同資產(chǎn)的賦值從