信息安全工程03-1：信息安全評(píng)估與風(fēng)險(xiǎn)管理-2015

1、3-1 信息安全風(fēng)險(xiǎn)評(píng)估2022/8/282內(nèi)容3.1 信息安全風(fēng)險(xiǎn)管理概述3.2 信息安全風(fēng)險(xiǎn)管理各組成部分3. 3 信息安全風(fēng)險(xiǎn)管理的運(yùn)用2022/8/2833.1 信息安全風(fēng)險(xiǎn)管理概述 3.1.1 信息安全風(fēng)險(xiǎn)管理的目的和意義3.1.2 信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象3.1.3 信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程3.1.4 信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系3.1.5 信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任2022/8/2843.1.1 信息安全風(fēng)險(xiǎn)管理的目的和意義 信息安全風(fēng)險(xiǎn)管理是信息安全保障工作中的一項(xiàng)基礎(chǔ)性工作 。1、信息安全風(fēng)險(xiǎn)管理體現(xiàn)在信息安全保障體系的技術(shù)、組織和管理等

2、方面。 2、信息安全風(fēng)險(xiǎn)管理貫穿信息系統(tǒng)生命周期的全部過(guò)程。 3、信息安全風(fēng)險(xiǎn)管理依據(jù)等級(jí)保護(hù)的思想和適度安全的原則，平衡成本與效益，合理部署和利用信息安全的信任體系、監(jiān)控體系和應(yīng)急處理等重要的基礎(chǔ)設(shè)施，確定合適的安全措施，從而確保機(jī)構(gòu)具有完成其使命的信息安全保障能力。2022/8/2853.1.2 信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象2022/8/2863.1.3 信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程 2022/8/287三維結(jié)構(gòu)關(guān)系3.1.4 信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系2022/8/2883.1.5 信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任 層面信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理角色內(nèi)外部責(zé)任角色內(nèi)

3、外部責(zé)任決策層主管者內(nèi)負(fù)責(zé)信息系統(tǒng)的重大決策。主管者內(nèi)負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的重大決策。管理層管理者內(nèi)負(fù)責(zé)信息系統(tǒng)的規(guī)劃，以及建設(shè)、運(yùn)行、維護(hù)和監(jiān)控等方面的組織和協(xié)調(diào)。管理者內(nèi)負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的規(guī)劃，以及實(shí)施和監(jiān)控過(guò)程中的組織和協(xié)調(diào)。執(zhí)行層建設(shè)者內(nèi)或外負(fù)責(zé)信息系統(tǒng)的設(shè)計(jì)和實(shí)施。執(zhí)行者內(nèi)或外負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的實(shí)施。運(yùn)行者內(nèi)負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行和操作。維護(hù)者內(nèi)或外負(fù)責(zé)信息系統(tǒng)的日常維護(hù)，包括維修和升級(jí)。監(jiān)控者內(nèi)負(fù)責(zé)信息系統(tǒng)的監(jiān)視和控制。監(jiān)控者內(nèi)負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理過(guò)程和結(jié)果的監(jiān)視和控制。支持層專(zhuān)業(yè)者外為信息系統(tǒng)提供專(zhuān)業(yè)咨詢、培訓(xùn)、診斷和工具等服務(wù)。專(zhuān)業(yè)者外為信息安全風(fēng)險(xiǎn)管理提供專(zhuān)業(yè)咨詢、培

4、訓(xùn)、診斷和工具等服務(wù)。用戶層使用者內(nèi)或外利用信息系統(tǒng)完成自身的任務(wù)。受益者內(nèi)或外反饋信息安全風(fēng)險(xiǎn)管理的效果。2022/8/2893.2 信息安全風(fēng)險(xiǎn)管理各組成部分 3.2.1 對(duì)象確立3.2.2 風(fēng)險(xiǎn)評(píng)估3.2.3 風(fēng)險(xiǎn)控制3.2.4 審核批準(zhǔn)3.2.5 溝通與咨詢3.2.6 監(jiān)控與審查2022/8/28103.2.1 對(duì)象確立對(duì)象確立是信息安全風(fēng)險(xiǎn)管理的第一步驟，根據(jù)要保護(hù)系統(tǒng)的業(yè)務(wù)目標(biāo)和特性，確定風(fēng)險(xiǎn)管理對(duì)象。其目的是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象，以及對(duì)象的特性和安全要求。2022/8/2811對(duì)象確立過(guò)程2022/8/2812風(fēng)險(xiǎn)管理準(zhǔn)備2022/8/2813信息系統(tǒng)調(diào)查 202

5、2/8/2814信息系統(tǒng)分析2022/8/2815信息安全分析2022/8/2816對(duì)象確立的文檔階段輸出文檔文檔內(nèi)容風(fēng)險(xiǎn)管理準(zhǔn)備風(fēng)險(xiǎn)管理計(jì)劃書(shū)風(fēng)險(xiǎn)管理的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等。信息系統(tǒng)調(diào)查信息系統(tǒng)的描述報(bào)告信息系統(tǒng)的業(yè)務(wù)目標(biāo)、業(yè)務(wù)特性、管理特性和技術(shù)特性等。信息系統(tǒng)分析信息系統(tǒng)的分析報(bào)告信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素等。信息安全分析信息系統(tǒng)的安全要求報(bào)告信息系統(tǒng)的安全環(huán)境和安全要求等。2022/8/2817風(fēng)險(xiǎn)評(píng)估概述 風(fēng)險(xiǎn)評(píng)估是信息安全風(fēng)險(xiǎn)管理的第二步，針對(duì)確立的風(fēng)險(xiǎn)管理對(duì)象所面臨的風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析和評(píng)價(jià)。3.2.2 風(fēng)險(xiǎn)評(píng)估2022/8/2818風(fēng)險(xiǎn)評(píng)估過(guò)

6、程2022/8/2819風(fēng)險(xiǎn)評(píng)估準(zhǔn)備2022/8/2820風(fēng)險(xiǎn)因素識(shí)別惡意破壞供電失敗硬件故障靜電偷竊可能的威脅列表如何進(jìn)行風(fēng)險(xiǎn)評(píng)估？脆弱性資產(chǎn)重要性風(fēng)險(xiǎn)基線風(fēng)險(xiǎn)評(píng)估模型？非正式風(fēng)險(xiǎn)評(píng)估模型？詳細(xì)風(fēng)險(xiǎn)評(píng)估模型？威脅常見(jiàn)脆弱點(diǎn)列表對(duì)建筑物、門(mén)、窗等缺乏物理保護(hù)；軟件測(cè)試不充分或沒(méi)有；通信線路缺乏保護(hù)；缺乏安全意識(shí)；服務(wù)維護(hù)責(zé)任不清。風(fēng)險(xiǎn)評(píng)估首先應(yīng)啟始于理解組織的安全需求了解組織經(jīng)營(yíng)戰(zhàn)略了解組織企業(yè)文化了解組織業(yè)務(wù)流程信息安全總體策略定義風(fēng)險(xiǎn)評(píng)估模型將各個(gè)信息安全措 施結(jié)合進(jìn)各業(yè)務(wù)流 程，達(dá)到體系整合 目的。確定推行組織方式和方法理解組織近期經(jīng)營(yíng)管理目標(biāo)理解對(duì)組織經(jīng)營(yíng)管理目標(biāo)影響最為重 要的業(yè)務(wù)理

7、解影響這些最重要業(yè)務(wù)的信息安全 要求哪些信息安全系統(tǒng)對(duì)這些有 致命的影響，如果沒(méi)有這些信息安全 系統(tǒng)這些業(yè)務(wù)將難以實(shí)現(xiàn)？理解組織高層管理崇高核心價(jià)值觀感受組織內(nèi)部企業(yè)文化氛圍，了解員 工做事的行為準(zhǔn)則與核心價(jià)值觀的一 致性 理解組織為實(shí)現(xiàn)組織目標(biāo)的業(yè)務(wù)流程描述組織總體業(yè)務(wù)流程框架理解信息安全對(duì)業(yè)務(wù)流程的影響理解現(xiàn)有業(yè)務(wù)流程的控制措施風(fēng)險(xiǎn)評(píng)估方法包括以下幾類(lèi):基線風(fēng)險(xiǎn)評(píng)估模型非正式風(fēng)險(xiǎn)評(píng)估模型詳細(xì)風(fēng)險(xiǎn)評(píng)估模型綜合風(fēng)險(xiǎn)評(píng)估模型基本方法選用標(biāo)準(zhǔn)控制措施對(duì)照組織信息安全體系內(nèi) 所有 業(yè)務(wù)流利弊分析不需要花費(fèi)太多資源和時(shí)間如果基線標(biāo)準(zhǔn)設(shè)定太高或太 低,對(duì)安全的控制或者是多余 或者是不足風(fēng)險(xiǎn)控制的平衡難以

8、實(shí)現(xiàn)基本方法深度地對(duì)所有系統(tǒng)的資產(chǎn) 進(jìn)行識(shí)別重要性評(píng)估、威脅與脆弱 性評(píng)估。風(fēng)險(xiǎn)評(píng)估與排序利弊分析全面、周密地識(shí)別風(fēng)險(xiǎn) 花費(fèi)大量時(shí)間和精力 基本方法基于對(duì)信息安全管理的經(jīng)驗(yàn) 和知識(shí)，沒(méi)有正式的結(jié)構(gòu)化 方法利弊分析時(shí)間快、不需要太多技術(shù)但會(huì)遺漏重要的風(fēng)險(xiǎn)對(duì)風(fēng)險(xiǎn)可接受及不可接受難以 合理判定基本方法高風(fēng)險(xiǎn)流程/系統(tǒng)判定應(yīng)用基線風(fēng)險(xiǎn)評(píng)估模型評(píng)價(jià) 低風(fēng)險(xiǎn)流程/系統(tǒng)應(yīng)用詳細(xì)風(fēng)險(xiǎn)評(píng)估模型評(píng)價(jià) 高風(fēng)險(xiǎn)流程/系統(tǒng)利弊分析快速、簡(jiǎn)單識(shí)別主要風(fēng)險(xiǎn)區(qū)域 從戰(zhàn)略角度控制風(fēng)險(xiǎn)時(shí)間、資源可以優(yōu)先控制高 風(fēng)險(xiǎn)區(qū)域建議采用的風(fēng)險(xiǎn)評(píng)估方法了解組織戰(zhàn)略目標(biāo)業(yè)務(wù)流程低風(fēng)險(xiǎn)過(guò)程/系統(tǒng)基線風(fēng)險(xiǎn)評(píng)估了解組織戰(zhàn)略目標(biāo)業(yè)務(wù)流程區(qū)分高風(fēng)險(xiǎn)、低

9、風(fēng)險(xiǎn)過(guò)程/系統(tǒng)應(yīng)用不同風(fēng)險(xiǎn)評(píng)估模型評(píng)估不同風(fēng)險(xiǎn)級(jí)別的過(guò)程/系統(tǒng)描述組織業(yè)務(wù)流程框架/系統(tǒng)高風(fēng)險(xiǎn)過(guò)程/系統(tǒng)詳細(xì)風(fēng)險(xiǎn)評(píng)估識(shí)別已采用的控制措施比較現(xiàn)有措施與基本控制準(zhǔn)則對(duì)照ISO17799要求，建立基本措施準(zhǔn)則采用措施或接受風(fēng)險(xiǎn)資產(chǎn)分類(lèi)及識(shí)別重要性評(píng)估威脅評(píng)估脆弱性評(píng)估現(xiàn)有措施風(fēng)險(xiǎn)評(píng)估選擇控制措施接受風(fēng)險(xiǎn)識(shí)別評(píng)審各種制約情況在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，需要有明確的風(fēng)險(xiǎn)評(píng)估準(zhǔn)則準(zhǔn)則一流程（系統(tǒng)）高風(fēng)險(xiǎn)判定標(biāo)準(zhǔn)，將考慮該流程（系統(tǒng)）對(duì)組織經(jīng)營(yíng)戰(zhàn)略和目標(biāo)的 影響程度組織其他流程（系統(tǒng)）對(duì)該流程（系統(tǒng)） 的依賴 程度，即該流程（系統(tǒng)）的功能（保密性、可用性、完整性、可靠性）對(duì) 公司業(yè)務(wù)的有效執(zhí)行是致命的。對(duì)某些過(guò)程（

10、系統(tǒng)）投資成本大小準(zhǔn)則二基線風(fēng)險(xiǎn)評(píng)估準(zhǔn)則，將考慮：對(duì)照ISO17799標(biāo)準(zhǔn)控制措施措施要求針對(duì)低風(fēng)險(xiǎn)流程/系統(tǒng)建立基線風(fēng)險(xiǎn)措 施標(biāo)準(zhǔn)建立基線風(fēng)險(xiǎn)評(píng)估檢查表準(zhǔn)則三詳細(xì)風(fēng)險(xiǎn)評(píng)估準(zhǔn)則（將應(yīng)用量化打分標(biāo)準(zhǔn)），包括：資產(chǎn)分類(lèi)準(zhǔn)則（描述組織資產(chǎn)類(lèi)別）資產(chǎn)重要性評(píng)估準(zhǔn)則（從保密性、可用性、完整性、公司聲譽(yù)影響、法規(guī)要求等 方面）確定資產(chǎn)評(píng)估準(zhǔn)則威脅/脆弱性評(píng)估準(zhǔn)則(從發(fā)生可能性、損害程度等）確定威脅/脆弱性評(píng)估準(zhǔn)則風(fēng)險(xiǎn)評(píng)估優(yōu)先度準(zhǔn)則（確定風(fēng)險(xiǎn)接受與不可接受優(yōu)先排序準(zhǔn)則）實(shí)施控制措施準(zhǔn)則（針對(duì)選擇的控制措施，從時(shí)間、成本限制角度考慮，確定優(yōu)先 選擇順序人信息業(yè)務(wù)過(guò)程應(yīng)用系統(tǒng)服務(wù)廠房詳細(xì)的風(fēng)險(xiǎn)評(píng)估開(kāi)始于資產(chǎn)的識(shí)

11、別資產(chǎn)分類(lèi)資產(chǎn)分類(lèi)公司形象人員信息/信息系統(tǒng)過(guò)程產(chǎn)品/服務(wù)應(yīng)用廠房針對(duì)重要的資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估資產(chǎn)重要性評(píng)估資產(chǎn)在失去保密性造成的影響？資產(chǎn)失去完整性造成的影響？資產(chǎn)失去可用性造成的影響？資產(chǎn)本身的價(jià)值？威脅識(shí)別與評(píng)估資產(chǎn)面臨哪些威脅？威脅造成的后果有過(guò)大？這樣的威脅發(fā)生的可能性 有多大？脆弱性識(shí)別與評(píng)估資本本身有哪些脆弱性？這些脆弱性被威脅利用的 難易程度？現(xiàn)有控制措施識(shí)別針對(duì)威脅/脆弱性，已經(jīng)采 取了哪些措施？ 這些措施是否被有效執(zhí)行？風(fēng)險(xiǎn)評(píng)估與排序風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)排序與處置優(yōu)先處理高級(jí)別的風(fēng)險(xiǎn)風(fēng)險(xiǎn)值低風(fēng)險(xiǎn)值中風(fēng)險(xiǎn)值高接受采取措施減少損失采取措施避免損失選擇的控制措施應(yīng)考慮成本投入預(yù)防風(fēng)險(xiǎn)所需要

12、的成本風(fēng)險(xiǎn)發(fā)生造成的影響對(duì)組織造成多大的影響？需要付出多少代價(jià)？風(fēng)險(xiǎn)與成本兩者達(dá)到一個(gè)平衡風(fēng)險(xiǎn)評(píng)估與處置重要的數(shù)據(jù)威脅脆弱性存儲(chǔ)器故障數(shù)據(jù)易丟失控制措施備份（是否充分）？風(fēng)險(xiǎn)數(shù)據(jù)損失2022/8/2833風(fēng)險(xiǎn)程度分析2022/8/2834風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)2022/8/2835風(fēng)險(xiǎn)評(píng)估的文檔階段輸出文檔文檔內(nèi)容風(fēng)險(xiǎn)評(píng)估準(zhǔn)備風(fēng)險(xiǎn)評(píng)估計(jì)劃書(shū)風(fēng)險(xiǎn)評(píng)估的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等。風(fēng)險(xiǎn)評(píng)估程序風(fēng)險(xiǎn)評(píng)估的工作流程、輸入數(shù)據(jù)和輸出結(jié)果等。入選風(fēng)險(xiǎn)評(píng)估方法和工具列表合適的風(fēng)險(xiǎn)評(píng)估方法和工具列表。風(fēng)險(xiǎn)因素識(shí)別需要保護(hù)的資產(chǎn)清單對(duì)機(jī)構(gòu)使命具有關(guān)鍵和重要作用的需要保護(hù)的資產(chǎn)清單。面臨的威脅列

13、表機(jī)構(gòu)的信息資產(chǎn)面臨的威脅列表。存在的脆弱性列表機(jī)構(gòu)的信息資產(chǎn)存在的脆弱性列表。2022/8/2836風(fēng)險(xiǎn)評(píng)估的文檔風(fēng)險(xiǎn)程度分析已有安全措施分析報(bào)告確認(rèn)已有的安全措施，包括技術(shù)層面（即物理平臺(tái)、系統(tǒng)平臺(tái)、通信平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)）的安全功能、組織層面（即結(jié)構(gòu)、崗位和人員）的安全控制和管理層面（即策略、規(guī)章和制度）的安全對(duì)策。威脅源分析報(bào)告從利益、復(fù)仇、好奇和自負(fù)等驅(qū)使因素，分析威脅源動(dòng)機(jī)的強(qiáng)弱。威脅行為分析報(bào)告從攻擊的強(qiáng)度、廣度、速度和深度等方面，分析威脅行為能力的高低。脆弱性分析報(bào)告按威脅/脆弱性對(duì)，分析脆弱性被威脅利用的難以程度。資產(chǎn)價(jià)值分析報(bào)告從敏感性、關(guān)鍵性和昂貴性等方面，分析資產(chǎn)

14、價(jià)值的大小。影響程度分析報(bào)告從資產(chǎn)損失、使命妨礙和人員傷亡等方面，分析影響程度的深淺。2022/8/2837風(fēng)險(xiǎn)評(píng)估的文檔風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)威脅源等級(jí)列表威脅源動(dòng)機(jī)的等級(jí)列表。威脅行為等級(jí)列表威脅行為能力的等級(jí)列表。脆弱性等級(jí)列表脆弱性被利用的等級(jí)列表。資產(chǎn)價(jià)值等級(jí)列表資產(chǎn)價(jià)值的等級(jí)列表。影響程度等級(jí)列表影響程度的等級(jí)列表。風(fēng)險(xiǎn)評(píng)估報(bào)告匯總上述分析報(bào)告和等級(jí)列表，綜合評(píng)價(jià)風(fēng)險(xiǎn)的等級(jí)。2022/8/2838風(fēng)險(xiǎn)控制概述 風(fēng)險(xiǎn)控制是信息安全風(fēng)險(xiǎn)管理的第三步驟，依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，選擇和實(shí)施合適的安全措施。風(fēng)險(xiǎn)控制方式主要有規(guī)避、轉(zhuǎn)移和降低三種方式。3.2.3 風(fēng)險(xiǎn)控制2022/8/2839風(fēng)險(xiǎn)控制需求及

15、其相應(yīng)的風(fēng)險(xiǎn)控制措施PPDRR風(fēng)險(xiǎn)控制需求風(fēng)險(xiǎn)控制措施策略Policy設(shè)備管理制度建立健全各種安全相關(guān)的規(guī)章制定和操作規(guī)范，使得保護(hù)、檢測(cè)和響應(yīng)環(huán)節(jié)有章可循、切實(shí)有效。機(jī)房出入守則系統(tǒng)安全管理守則系統(tǒng)安全配置明細(xì)網(wǎng)絡(luò)安全管理守則網(wǎng)絡(luò)安全配置明細(xì)應(yīng)用安全管理守則應(yīng)用安全配置明細(xì)應(yīng)急響應(yīng)計(jì)劃安全事件處理準(zhǔn)則2022/8/2840主要的風(fēng)險(xiǎn)控制需求及其相應(yīng)的風(fēng)險(xiǎn)控制措施保護(hù)Protection機(jī)房嚴(yán)格按照GB 50174-1993電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范、GB 9361-1988計(jì)算站場(chǎng)地安全要求、GB 2887-1982計(jì)算機(jī)站場(chǎng)地技術(shù)要求和GB/T 2887-2000計(jì)算機(jī)場(chǎng)地通用規(guī)范等國(guó)家標(biāo)準(zhǔn)建

16、設(shè)和維護(hù)計(jì)算機(jī)機(jī)房。門(mén)控安裝門(mén)控系統(tǒng)保安建設(shè)保安制度和保安隊(duì)伍。電磁屏蔽在必要的地方設(shè)置抗電磁干擾和防電磁泄漏的設(shè)施。病毒防殺全面部署防病毒系統(tǒng)。漏洞補(bǔ)丁及時(shí)下載和安裝最新的漏洞補(bǔ)丁模塊。安全配置嚴(yán)格遵守各系統(tǒng)單元的安全配置明細(xì)，避免配置中的安全漏洞。身份認(rèn)證根據(jù)不同的安全強(qiáng)度，分別采用身份標(biāo)識(shí)/口令、數(shù)字鑰匙、數(shù)字證書(shū)、生物識(shí)別、雙因子等級(jí)別的身份認(rèn)證系統(tǒng)，對(duì)設(shè)備、用戶、服務(wù)等主客體進(jìn)行身份認(rèn)證。訪問(wèn)控制根據(jù)不同的安全強(qiáng)度，分別采用自主型、強(qiáng)制型等級(jí)別的訪問(wèn)控制系統(tǒng)，對(duì)設(shè)備、用戶等主體訪問(wèn)客體的權(quán)限進(jìn)行控制。數(shù)據(jù)加密根據(jù)不同的安全強(qiáng)度，分別采用商密、普密、機(jī)密等級(jí)別的數(shù)據(jù)加密系統(tǒng)，對(duì)傳輸數(shù)據(jù)

17、和存儲(chǔ)數(shù)據(jù)進(jìn)行加密。邊界控制在網(wǎng)絡(luò)邊界布置防火墻，阻止來(lái)自外界非法訪問(wèn)。數(shù)字水印對(duì)于需要版權(quán)保護(hù)的圖片、聲音、文字等形式的信息，采用數(shù)字水印技術(shù)加以保護(hù)。數(shù)字簽名在需要防止事后否認(rèn)時(shí)，可采用數(shù)字簽名技術(shù)。內(nèi)容凈化部署內(nèi)容過(guò)濾系統(tǒng)。安全機(jī)構(gòu)、安全崗位、安全責(zé)任建立健全安全機(jī)構(gòu)，合理設(shè)置安全崗位，明確劃分安全責(zé)任。2022/8/2841主要的風(fēng)險(xiǎn)控制需求及其相應(yīng)的風(fēng)險(xiǎn)控制措施檢測(cè)Detection監(jiān)視、監(jiān)測(cè)和報(bào)警在適當(dāng)?shù)奈恢冒仓帽O(jiān)視器和報(bào)警器，在各系統(tǒng)單元中配備監(jiān)測(cè)系統(tǒng)和報(bào)警系統(tǒng)，以實(shí)時(shí)發(fā)現(xiàn)安全事件并及時(shí)報(bào)警。數(shù)據(jù)校驗(yàn)通過(guò)數(shù)據(jù)校驗(yàn)技術(shù)，發(fā)現(xiàn)數(shù)據(jù)篡改。主機(jī)入侵檢測(cè)部署主機(jī)入侵檢測(cè)系統(tǒng)，發(fā)現(xiàn)主機(jī)入侵行

18、為。主機(jī)狀態(tài)監(jiān)測(cè)部署主機(jī)狀態(tài)監(jiān)測(cè)系統(tǒng)，隨時(shí)掌握主機(jī)運(yùn)行狀態(tài)。網(wǎng)絡(luò)入侵檢測(cè)部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為。網(wǎng)絡(luò)狀態(tài)監(jiān)測(cè)部署網(wǎng)絡(luò)狀態(tài)監(jiān)測(cè)系統(tǒng)，隨時(shí)掌握網(wǎng)絡(luò)運(yùn)行狀態(tài)。安全審計(jì)在各系統(tǒng)單元中配備安全審計(jì)，以發(fā)現(xiàn)深層安全漏洞和安全事件。安全監(jiān)督、安全檢查實(shí)行持續(xù)有效的安全監(jiān)督，預(yù)演應(yīng)急響應(yīng)計(jì)劃。2022/8/2842主要的風(fēng)險(xiǎn)控制需求及其相應(yīng)的風(fēng)險(xiǎn)控制措施響應(yīng)Response恢復(fù)Recovery故障修復(fù)、事故排除確保隨時(shí)能夠獲取故障修復(fù)和事故排除的技術(shù)人員和軟硬件工具。設(shè)施備份與恢復(fù)對(duì)于關(guān)鍵設(shè)施，配備設(shè)施備份與恢復(fù)系統(tǒng)。系統(tǒng)備份與恢復(fù)對(duì)于關(guān)鍵系統(tǒng)，配備系統(tǒng)備份與恢復(fù)系統(tǒng)。數(shù)據(jù)備份與恢復(fù)對(duì)于關(guān)鍵數(shù)

19、據(jù)，配備數(shù)據(jù)備份與恢復(fù)系統(tǒng)。信道備份與恢復(fù)對(duì)于關(guān)鍵信道，配備設(shè)信道份與恢復(fù)系統(tǒng)。應(yīng)用備份與恢復(fù)對(duì)于關(guān)鍵應(yīng)用，配備應(yīng)用備份與恢復(fù)系統(tǒng)。應(yīng)急響應(yīng)按照應(yīng)急響應(yīng)計(jì)劃處理應(yīng)急事件。安全事件處理按照安全事件處理找出原因、追究責(zé)任、總結(jié)經(jīng)驗(yàn)、提出改進(jìn)。2022/8/2843風(fēng)險(xiǎn)控制過(guò)程2022/8/2844現(xiàn)存風(fēng)險(xiǎn)判斷2022/8/2845控制目標(biāo)確立2022/8/2846控制措施選擇2022/8/2847控制措施實(shí)施2022/8/2848風(fēng)險(xiǎn)控制的文檔階段輸出文檔文檔內(nèi)容現(xiàn)存風(fēng)險(xiǎn)判斷風(fēng)險(xiǎn)接受等級(jí)劃分表風(fēng)險(xiǎn)接受等級(jí)的劃分，即把風(fēng)險(xiǎn)評(píng)估得出的風(fēng)險(xiǎn)等級(jí)劃分為可接受和不可接受兩種?，F(xiàn)存風(fēng)險(xiǎn)接受判斷書(shū)現(xiàn)存風(fēng)險(xiǎn)是否可

20、接受的判斷結(jié)果?？刂颇繕?biāo)確立風(fēng)險(xiǎn)控制需求分析報(bào)告從技術(shù)層面（即物理平臺(tái)、系統(tǒng)平臺(tái)、通信平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)）、組織層面（即結(jié)構(gòu)、崗位和人員）和管理層面（即策略、規(guī)章和制度），分析風(fēng)險(xiǎn)控制的需求。風(fēng)險(xiǎn)控制目標(biāo)列表風(fēng)險(xiǎn)控制目標(biāo)的列表，包括控制對(duì)象及其最低保護(hù)等級(jí)。2022/8/2849風(fēng)險(xiǎn)控制的文檔控制措施選擇入選風(fēng)險(xiǎn)控制方式說(shuō)明報(bào)告選擇合適的風(fēng)險(xiǎn)控制方式（包括規(guī)避方式、轉(zhuǎn)移方式和降低方式），并說(shuō)明選擇的理由以及被選控制方式的使用方法和注意事項(xiàng)等。入選風(fēng)險(xiǎn)控制措施說(shuō)明報(bào)告選擇合適的風(fēng)險(xiǎn)控制措施，并說(shuō)明選擇的理由以及被選控制措施的成本、使用方法和注意事項(xiàng)等?？刂拼胧?shí)施風(fēng)險(xiǎn)控制實(shí)施計(jì)劃書(shū)風(fēng)險(xiǎn)控制

21、的范圍、對(duì)象、目標(biāo)、組織結(jié)構(gòu)、成本預(yù)算和進(jìn)度安排等。風(fēng)險(xiǎn)控制實(shí)施記錄風(fēng)險(xiǎn)控制措施實(shí)施的過(guò)程和結(jié)果。2022/8/2850審核批準(zhǔn)概述 審核批準(zhǔn)是信息安全風(fēng)險(xiǎn)管理的第四步驟，審核批準(zhǔn)包括審核和批準(zhǔn)兩部分：審核是指通過(guò)審查、測(cè)試、評(píng)審等手段，檢驗(yàn)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的結(jié)果是否滿足信息系統(tǒng)的安全要求；批準(zhǔn)是指機(jī)構(gòu)的決策層依據(jù)審核的結(jié)果，做出是否認(rèn)可的決定。審核既可以由機(jī)構(gòu)內(nèi)部完成，也可以委托外部專(zhuān)業(yè)機(jī)構(gòu)來(lái)完成，這主要取決于信息系統(tǒng)的性質(zhì)和機(jī)構(gòu)自身的專(zhuān)業(yè)能力。批準(zhǔn)一般必須由機(jī)構(gòu)內(nèi)部或更高層的主管機(jī)構(gòu)的決策層來(lái)執(zhí)行。3.2.4 審核批準(zhǔn)2022/8/2851審核批準(zhǔn)過(guò)程及其在信息安全風(fēng)險(xiǎn)管理中的位置 20

22、22/8/2852審核申請(qǐng)2022/8/2853審核處理2022/8/2854批準(zhǔn)申請(qǐng)2022/8/2855批準(zhǔn)處理2022/8/2856持續(xù)監(jiān)督2022/8/2857審核批準(zhǔn)的文檔階段輸出文檔文檔內(nèi)容審核申請(qǐng)審核申請(qǐng)書(shū)審核的范圍、對(duì)象、目標(biāo)和進(jìn)度要求，以及申請(qǐng)者的基本信息和簽字等。審核材料風(fēng)險(xiǎn)評(píng)估過(guò)程和風(fēng)險(xiǎn)控制過(guò)程輸出的文檔、軟件和硬件等結(jié)果。審核受理回執(zhí)同意受理、補(bǔ)充材料的要求和提交時(shí)間（如果需要）、審核的進(jìn)度安排和收費(fèi)標(biāo)準(zhǔn)，以及審核機(jī)構(gòu)的名稱和簽章等。審核處理審查結(jié)果報(bào)告審查的范圍、對(duì)象、意見(jiàn)和結(jié)論（即是否通過(guò)），以及審查人員的名字和簽字等。測(cè)試結(jié)果報(bào)告測(cè)試的范圍、對(duì)象、意見(jiàn)和結(jié)論（即是

23、否通過(guò)），以及測(cè)試人員的名字和簽字等。專(zhuān)家鑒定報(bào)告鑒定的范圍、對(duì)象（及其基本情況）和結(jié)論，以及專(zhuān)家名單和簽字等。審核結(jié)論報(bào)告審核的范圍、對(duì)象、意見(jiàn)、結(jié)論（即是否通過(guò)）和有效期，以及審核機(jī)構(gòu)的名稱和簽章等。2022/8/2858審核批準(zhǔn)的文檔批準(zhǔn)申請(qǐng)批準(zhǔn)申請(qǐng)書(shū)批準(zhǔn)的范圍、對(duì)象和期望，以及申請(qǐng)者的基本信息和簽字等。批準(zhǔn)受理回執(zhí)同意受理、補(bǔ)充材料的要求和提交時(shí)間（如果需要），以及批準(zhǔn)機(jī)構(gòu)的名稱和簽章等。批準(zhǔn)處理批準(zhǔn)決定書(shū)批準(zhǔn)的范圍、對(duì)象、意見(jiàn)、結(jié)論（即是否通過(guò)）和有效期，以及批準(zhǔn)機(jī)構(gòu)的名稱和簽章等。持續(xù)監(jiān)督審核到期通知書(shū)到期的時(shí)間和重新申請(qǐng)的要求，以及審核機(jī)構(gòu)的名稱和簽章。批準(zhǔn)到期通知書(shū)到期的時(shí)間和

24、重新申請(qǐng)的要求，以及批準(zhǔn)機(jī)構(gòu)的名稱和簽章。機(jī)構(gòu)變化因素的描述報(bào)告機(jī)構(gòu)及其信息系統(tǒng)變化因素的列表、說(shuō)明和安全隱患分析等。環(huán)境變化因素的描述報(bào)告信息安全相關(guān)環(huán)境變化因素的列表、說(shuō)明和安全隱患分析等。2022/8/2859監(jiān)控與審查的概述 監(jiān)控與審查對(duì)信息安全風(fēng)險(xiǎn)管理主循環(huán)的四個(gè)步驟（即對(duì)象確立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制和審核批準(zhǔn)）進(jìn)行監(jiān)控和審查。監(jiān)控是監(jiān)視和控制，一是監(jiān)視和控制風(fēng)險(xiǎn)管理過(guò)程，即過(guò)程質(zhì)量管理，以保證過(guò)程的有效性；二是分析和平衡成本效益，即成本效益管理，以保證成本的有效性。審查是跟蹤受保護(hù)系統(tǒng)自身或所處環(huán)境的變化，以保證結(jié)果的有效性。3.2.5 監(jiān)控與審查2022/8/2860監(jiān)控與審查過(guò)程

25、 2022/8/2861貫穿對(duì)象確立階段監(jiān)控審查過(guò)程有效性成本有效性 結(jié)果有效性風(fēng)險(xiǎn)管理準(zhǔn)備風(fēng)險(xiǎn)管理計(jì)劃制定的流程及其相關(guān)文檔風(fēng)險(xiǎn)管理計(jì)劃的成本與效果風(fēng)險(xiǎn)管理計(jì)劃書(shū)的時(shí)效信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查的流程及其相關(guān)文檔信息系統(tǒng)調(diào)查的成本與效果信息系統(tǒng)的描述報(bào)告的時(shí)效信息系統(tǒng)分析信息系統(tǒng)分析的流程及其相關(guān)文檔信息系統(tǒng)分析的成本與效果信息系統(tǒng)的分析報(bào)告的時(shí)效信息安全分析信息系統(tǒng)安全要求分析的流程及其相關(guān)文檔信息系統(tǒng)安全要求分析的成本與效果信息系統(tǒng)的安全要求報(bào)告的時(shí)效2022/8/2862貫穿風(fēng)險(xiǎn)評(píng)估階段監(jiān)控審查過(guò)程有效性成本有效性 結(jié)果有效性風(fēng)險(xiǎn)評(píng)估準(zhǔn)備風(fēng)險(xiǎn)評(píng)估的計(jì)劃制定、程序確定以及方法和工具選擇的流

26、程及其相關(guān)文檔風(fēng)險(xiǎn)評(píng)估的計(jì)劃、程序以及入選方法和工具的成本與效果風(fēng)險(xiǎn)評(píng)估計(jì)劃、風(fēng)險(xiǎn)評(píng)估程序和入選風(fēng)險(xiǎn)評(píng)估方法和工具列表的時(shí)效風(fēng)險(xiǎn)因素識(shí)別資產(chǎn)、威脅列和脆弱性識(shí)別的流程及其相關(guān)文檔資產(chǎn)、威脅列和脆弱性識(shí)別的成本與效果需要保護(hù)的資產(chǎn)清單、面臨的威脅列表和存在的脆弱性列表的時(shí)效2022/8/2863貫穿風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)程度分析已有安全措施、威脅源、威脅行為、脆弱性、資產(chǎn)價(jià)值和影響程度分析的流程及其相關(guān)文檔已有安全措施、威脅源、威脅行為、脆弱性、資產(chǎn)價(jià)值和影響程度分析的成本與效果已有安全措施分析報(bào)告、威脅源分析報(bào)告、威脅行為分析報(bào)告、脆弱性分析報(bào)告、資產(chǎn)價(jià)值分析報(bào)告和影響程度分析報(bào)告的時(shí)效風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)威脅

27、源等級(jí)、威脅行為等級(jí)、脆弱性等級(jí)、資產(chǎn)價(jià)值等級(jí)和影響程度等級(jí)評(píng)價(jià)以及風(fēng)險(xiǎn)評(píng)估報(bào)告生成的流程及其相關(guān)文檔威脅源等級(jí)、威脅行為等級(jí)、脆弱性等級(jí)、資產(chǎn)價(jià)值等級(jí)和影響程度等級(jí)評(píng)價(jià)以及風(fēng)險(xiǎn)評(píng)估報(bào)告生成的成本與效果威脅源等級(jí)列表、威脅行為等級(jí)列表、脆弱性等級(jí)列表、資產(chǎn)價(jià)值等級(jí)列表、影響程度等級(jí)列表和風(fēng)險(xiǎn)評(píng)估報(bào)告的時(shí)效2022/8/2864貫穿風(fēng)險(xiǎn)控制階段監(jiān)控審查過(guò)程有效性成本有效性 結(jié)果有效性現(xiàn)存風(fēng)險(xiǎn)判斷可接受風(fēng)險(xiǎn)等級(jí)確定和現(xiàn)存風(fēng)險(xiǎn)接受判斷的流程及其相關(guān)文檔可接受風(fēng)險(xiǎn)等級(jí)確定和現(xiàn)存風(fēng)險(xiǎn)接受判斷的成本與效果風(fēng)險(xiǎn)接受等級(jí)劃分表和現(xiàn)存風(fēng)險(xiǎn)接受判斷書(shū)的時(shí)效控制目標(biāo)確立風(fēng)險(xiǎn)控制需求分析和風(fēng)險(xiǎn)控制目標(biāo)確立的流程及其相

28、關(guān)文檔風(fēng)險(xiǎn)控制需求分析和風(fēng)險(xiǎn)控制目標(biāo)確立的成本與效果風(fēng)險(xiǎn)控制需求分析報(bào)告和風(fēng)險(xiǎn)控制目標(biāo)列表的時(shí)效2022/8/2865貫穿風(fēng)險(xiǎn)控制控制措施選擇風(fēng)險(xiǎn)控制方式和措施選擇的流程及其相關(guān)文檔入選風(fēng)險(xiǎn)控制方式和措施的成本與效果入選風(fēng)險(xiǎn)控制方式說(shuō)明報(bào)告和入選風(fēng)險(xiǎn)控制措施說(shuō)明報(bào)告的時(shí)效控制措施實(shí)施風(fēng)險(xiǎn)控制實(shí)施計(jì)劃制定和風(fēng)險(xiǎn)控制措施實(shí)施的流程及其相關(guān)文檔風(fēng)險(xiǎn)控制實(shí)施計(jì)劃制定和風(fēng)險(xiǎn)控制措施實(shí)施的成本與效果風(fēng)險(xiǎn)控制實(shí)施計(jì)劃書(shū)和風(fēng)險(xiǎn)控制實(shí)施記錄的時(shí)效2022/8/2866貫穿審核批準(zhǔn)階段監(jiān)控審查過(guò)程有效性成本有效性 結(jié)果有效性審核申請(qǐng)審核申請(qǐng)和受理的流程及其相關(guān)文檔審核申請(qǐng)和受理的成本與效果審核申請(qǐng)書(shū)、審核材料和審

29、核受理回執(zhí)的時(shí)效審核處理審核材料審查、審核對(duì)象測(cè)試、專(zhuān)家鑒定和審核結(jié)論給出的流程及其相關(guān)文檔審核材料審查、審核對(duì)象測(cè)試、專(zhuān)家鑒定和審核結(jié)論給出的成本與效果審查結(jié)果報(bào)告、測(cè)試結(jié)果報(bào)告、專(zhuān)家鑒定報(bào)告和審核結(jié)論報(bào)告的時(shí)效2022/8/2867貫穿審核批準(zhǔn)批準(zhǔn)申請(qǐng)批準(zhǔn)申請(qǐng)和受理的流程及其相關(guān)文檔批準(zhǔn)申請(qǐng)和受理的成本與效果批準(zhǔn)申請(qǐng)書(shū)和批準(zhǔn)受理回執(zhí)的時(shí)效批準(zhǔn)處理審閱批準(zhǔn)材料和批準(zhǔn)決定做出的流程及其相關(guān)文檔審閱批準(zhǔn)材料和批準(zhǔn)決定做出的成本與效果批準(zhǔn)決定書(shū)的時(shí)效持續(xù)監(jiān)督審核結(jié)論報(bào)告和批準(zhǔn)決定書(shū)到期檢查和機(jī)構(gòu)及其環(huán)境變化檢查的流程及其相關(guān)文檔審核結(jié)論報(bào)告和批準(zhǔn)決定書(shū)到期檢查和機(jī)構(gòu)及其環(huán)境變化檢查的成本與效果機(jī)構(gòu)

30、變化因素的描述報(bào)告和環(huán)境變化因素的描述報(bào)告的時(shí)效2022/8/2868監(jiān)控與審查的文檔過(guò)程輸出文檔文檔內(nèi)容對(duì)象確立對(duì)象確立的監(jiān)控與審查記錄對(duì)象確立過(guò)程中監(jiān)控和審查的范圍、對(duì)象、時(shí)間、過(guò)程、結(jié)果和措施等。風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估的監(jiān)控與審查記錄風(fēng)險(xiǎn)評(píng)估過(guò)程中監(jiān)控和審查的范圍、對(duì)象、時(shí)間、過(guò)程、結(jié)果和措施等。風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)控制的監(jiān)控與審查記錄風(fēng)險(xiǎn)控制過(guò)程中監(jiān)控和審查的范圍、對(duì)象、時(shí)間、過(guò)程、結(jié)果和措施等。審核批準(zhǔn)審核批準(zhǔn)的監(jiān)控與審查記錄審核批準(zhǔn)過(guò)程中監(jiān)控和審查的范圍、對(duì)象、時(shí)間、過(guò)程、結(jié)果和措施等。2022/8/2869溝通與咨詢的概述 溝通與咨詢?yōu)樾畔踩L(fēng)險(xiǎn)管理主循環(huán)的四個(gè)步驟（即對(duì)象確立、風(fēng)險(xiǎn)評(píng)估、風(fēng)

31、險(xiǎn)控制和審核批準(zhǔn)）中相關(guān)人員提供溝通和咨詢。溝通是為直接參與人員提供交流途徑，以保持他們之間的協(xié)調(diào)一致，共同實(shí)現(xiàn)安全目標(biāo)。咨詢是為所有相關(guān)人員提供學(xué)習(xí)途徑，以提高他們的風(fēng)險(xiǎn)意識(shí)、知識(shí)和技能，配合實(shí)現(xiàn)安全目標(biāo)。3.2.6 溝通與咨詢2022/8/2870溝通與咨詢的方式方式接受方?jīng)Q策層管理層執(zhí)行層支持層用戶層發(fā)出方?jīng)Q策層交流指導(dǎo)和檢查指導(dǎo)和檢查表態(tài)表態(tài)管理層匯報(bào)交流指導(dǎo)和檢查宣傳和介紹宣傳和介紹執(zhí)行層匯報(bào)匯報(bào)交流宣傳和介紹培訓(xùn)和咨詢支持層培訓(xùn)和咨詢培訓(xùn)和咨詢培訓(xùn)和咨詢交流培訓(xùn)和咨詢用戶層反饋反饋反饋反饋交流2022/8/2871溝通與咨詢的過(guò)程2022/8/2872貫穿對(duì)象確立階段參與人員涉及內(nèi)

32、容信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理準(zhǔn)備決策層決策層管理層風(fēng)險(xiǎn)管理計(jì)劃書(shū)信息系統(tǒng)調(diào)查管理層執(zhí)行層支持層管理層執(zhí)行層信息系統(tǒng)的描述報(bào)告信息系統(tǒng)分析管理層執(zhí)行層支持層管理層執(zhí)行層信息系統(tǒng)的分析報(bào)告信息安全分析管理層執(zhí)行層支持層信息系統(tǒng)的安全要求報(bào)告2022/8/2873貫穿風(fēng)險(xiǎn)評(píng)估階段參與人員涉及內(nèi)容信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估準(zhǔn)備決策層決策層管理層風(fēng)險(xiǎn)評(píng)估計(jì)劃管理層管理層執(zhí)行層支持層風(fēng)險(xiǎn)評(píng)估程序入選風(fēng)險(xiǎn)評(píng)估方法和工具列表風(fēng)險(xiǎn)因素識(shí)別管理層執(zhí)行層執(zhí)行層支持層需要保護(hù)的資產(chǎn)清單面臨的威脅列表存在的脆弱性列表2022/8/2874貫穿風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)程度分析管理層執(zhí)行層執(zhí)行層支持層已有安全措施分析報(bào)告威

33、脅源分析報(bào)告威脅行為分析報(bào)告脆弱性分析報(bào)告資產(chǎn)價(jià)值分析報(bào)告影響程度分析報(bào)告風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)執(zhí)行層支持層威脅源等級(jí)列表威脅行為等級(jí)列表脆弱性等級(jí)列表資產(chǎn)價(jià)值等級(jí)列表影響程度等級(jí)列表風(fēng)險(xiǎn)評(píng)估報(bào)告2022/8/2875貫穿風(fēng)險(xiǎn)控制階段參與人員涉及內(nèi)容信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理現(xiàn)存風(fēng)險(xiǎn)判斷決策層管理層決策層管理層執(zhí)行層支持層風(fēng)險(xiǎn)接受等級(jí)劃分表現(xiàn)存風(fēng)險(xiǎn)接受判斷書(shū)控制目標(biāo)確立管理層管理層執(zhí)行層支持層風(fēng)險(xiǎn)控制需求分析報(bào)告風(fēng)險(xiǎn)控制目標(biāo)列表2022/8/2876貫穿風(fēng)險(xiǎn)控制控制措施選擇執(zhí)行層支持層入選風(fēng)險(xiǎn)控制方式說(shuō)明報(bào)告入選風(fēng)險(xiǎn)控制措施說(shuō)明報(bào)告控制措施實(shí)施管理層執(zhí)行層管理層執(zhí)行層支持層風(fēng)險(xiǎn)控制實(shí)施計(jì)劃書(shū)風(fēng)險(xiǎn)控制實(shí)施記

34、錄2022/8/2877貫穿審核批準(zhǔn)階段參與人員涉及內(nèi)容信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理審核申請(qǐng)決策層管理層執(zhí)行層審核申請(qǐng)書(shū)審核材料審核受理回執(zhí)審核處理管理層執(zhí)行層支持層審查結(jié)果報(bào)告測(cè)試結(jié)果報(bào)告專(zhuān)家鑒定報(bào)告審核結(jié)論報(bào)告2022/8/2878貫穿審核批準(zhǔn)批準(zhǔn)申請(qǐng)決策層管理層執(zhí)行層批準(zhǔn)申請(qǐng)書(shū)批準(zhǔn)受理回執(zhí)批準(zhǔn)處理決策層決策層管理層批準(zhǔn)決定書(shū)持續(xù)監(jiān)督管理層執(zhí)行層管理層執(zhí)行層機(jī)構(gòu)變化因素的描述報(bào)告環(huán)境變化因素的描述報(bào)告2022/8/2879溝通與咨詢的文檔過(guò)程輸出文檔文檔內(nèi)容對(duì)象確立對(duì)象確立的溝通與咨詢記錄對(duì)象確立過(guò)程中溝通和咨詢的范圍、對(duì)象、時(shí)間、內(nèi)容和結(jié)果等。風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估的溝通與咨詢記錄風(fēng)險(xiǎn)評(píng)估過(guò)程中溝

35、通和咨詢的范圍、對(duì)象、時(shí)間、內(nèi)容和結(jié)果等。風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)控制的溝通與咨詢記錄風(fēng)險(xiǎn)控制過(guò)程中溝通和咨詢的范圍、對(duì)象、時(shí)間、內(nèi)容和結(jié)果等。審核批準(zhǔn)審核批準(zhǔn)的溝通與咨詢記錄審核批準(zhǔn)過(guò)程中溝通和咨詢的范圍、對(duì)象、時(shí)間、內(nèi)容和結(jié)果等。2022/8/28803.3 信息安全風(fēng)險(xiǎn)管理的運(yùn)用 3.3.1 規(guī)劃階段3.3.2 設(shè)計(jì)階段3.3.3 實(shí)施階段3.3.4 運(yùn)維階段3.3.5 廢棄階段2022/8/2881安全需求和目標(biāo)明確安全總體方針確保安全總體方針源自業(yè)務(wù)期望明確項(xiàng)目范圍清晰描述項(xiàng)目范圍內(nèi)所涉及系統(tǒng)的安全現(xiàn)狀提交明確的安全需求文檔清晰描述從系統(tǒng)的那些層次進(jìn)行安全實(shí)現(xiàn)對(duì)實(shí)現(xiàn)的可能性進(jìn)行充分分析、論證明確評(píng)價(jià)準(zhǔn)則并達(dá)成一致3.3.1 規(guī)劃階段2022/8/2882風(fēng)險(xiǎn)管理的過(guò)程概述在項(xiàng)目規(guī)劃階段，風(fēng)險(xiǎn)管理者應(yīng)能清楚、準(zhǔn)確地描述機(jī)構(gòu)的安全總體方針、安全策略、風(fēng)險(xiǎn)管理范圍、當(dāng)前正在進(jìn)行的或計(jì)劃中將要執(zhí)行的風(fēng)險(xiǎn)管理活動(dòng)以及當(dāng)前特殊安全要求等。2022/8/2883風(fēng)險(xiǎn)管理的活動(dòng)序號(hào)風(fēng)險(xiǎn)管理活動(dòng)所處風(fēng)險(xiǎn)管理流程1明確安全總