版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
信息安全風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理報(bào)告人:范紅二00四年九月2023/1/192匯報(bào)內(nèi)容一、前言二、信息安全風(fēng)險(xiǎn)管理概述三、信息安全風(fēng)險(xiǎn)管理各組成部分四、信息安全風(fēng)險(xiǎn)管理的運(yùn)用五、結(jié)束語2023/1/193一、前言
2023/1/194二、信息安全風(fēng)險(xiǎn)管理概述
1、信息安全風(fēng)險(xiǎn)管理的目的和意義2、信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象3、信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程4、信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系5、信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任
2023/1/195二、信息安全風(fēng)險(xiǎn)管理概述
1、信息安全風(fēng)險(xiǎn)管理的目的和意義2、信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象3、信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程4、信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系5、信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任
2023/1/196信息安全風(fēng)險(xiǎn)管理的目的和意義
信息安全風(fēng)險(xiǎn)管理是信息安全保障工作中的一項(xiàng)基礎(chǔ)性工作。
1、信息安全風(fēng)險(xiǎn)管理體現(xiàn)在信息安全保障體系的技術(shù)、組織和管理等方面。
2、信息安全風(fēng)險(xiǎn)管理貫穿信息系統(tǒng)生命周期的全部過程。
3、信息安全風(fēng)險(xiǎn)管理依據(jù)等級(jí)保護(hù)的思想和適度安全的原則,平衡成本與效益,合理部署和利用信息安全的信任體系、監(jiān)控體系和應(yīng)急處理等重要的基礎(chǔ)設(shè)施,確定合適的安全措施,從而確保機(jī)構(gòu)具有完成其使命的信息安全保障能力。2023/1/197二、信息安全風(fēng)險(xiǎn)管理概述
1、信息安全風(fēng)險(xiǎn)管理的目的和意義2、信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象3、信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程4、信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系5、信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任
2023/1/198信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象2023/1/199二、信息安全風(fēng)險(xiǎn)管理概述
1、信息安全風(fēng)險(xiǎn)管理的目的和意義2、信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象3、信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程4、信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系5、信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任
2023/1/1910信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程2023/1/111二、信息安全全風(fēng)險(xiǎn)管理概概述1、信息安全全風(fēng)險(xiǎn)管理的的目的和意義義2、信息安全全風(fēng)險(xiǎn)管理的的范圍和對(duì)象象3、信息安全全風(fēng)險(xiǎn)管理的的內(nèi)容和過程程4、信息安全全風(fēng)險(xiǎn)管理與與信息系統(tǒng)生生命周期和信息安全5、信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任
2023/1/1三維維結(jié)結(jié)構(gòu)構(gòu)關(guān)關(guān)系系2023/1/113二、、信信息息安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理概概述述1、2、信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象3、信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程4、信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系5、信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任
2023/1/114信息息安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理相相關(guān)關(guān)人人員員的的角角色色和和責(zé)責(zé)任任層面信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理角色內(nèi)外部責(zé)任角色內(nèi)外部責(zé)任決策層主管者內(nèi)負(fù)責(zé)信息系統(tǒng)的重大決策。主管者內(nèi)負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的重大決策。管理層管理者內(nèi)負(fù)責(zé)信息系統(tǒng)的規(guī)劃,以及建設(shè)、運(yùn)行、維護(hù)和監(jiān)控等方面的組織和協(xié)調(diào)。管理者內(nèi)負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的規(guī)劃,以及實(shí)施和監(jiān)控過程中的組織和協(xié)調(diào)。執(zhí)行層建設(shè)者內(nèi)或外負(fù)責(zé)信息系統(tǒng)的設(shè)計(jì)和實(shí)施。執(zhí)行者內(nèi)或外負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的實(shí)施。運(yùn)行者內(nèi)負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行和操作。維護(hù)者內(nèi)或外負(fù)責(zé)信息系統(tǒng)的日常維護(hù),包括維修和升級(jí)。監(jiān)控者內(nèi)負(fù)責(zé)信息系統(tǒng)的監(jiān)視和控制。監(jiān)控者內(nèi)負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理過程和結(jié)果的監(jiān)視和控制。支持層專業(yè)者外為信息系統(tǒng)提供專業(yè)咨詢、培訓(xùn)、診斷和工具等服務(wù)。專業(yè)者外為信息安全風(fēng)險(xiǎn)管理提供專業(yè)咨詢、培訓(xùn)、診斷和工具等服務(wù)。用戶層使用者內(nèi)或外利用信息系統(tǒng)完成自身的任務(wù)。受益者內(nèi)或外反饋信息安全風(fēng)險(xiǎn)管理的效果。2023/1/115三、信信息安安全風(fēng)風(fēng)險(xiǎn)管管理各各組成成部分分1、對(duì)象象確立立2、風(fēng)險(xiǎn)險(xiǎn)評(píng)估估3、風(fēng)4、審核批準(zhǔn)5、溝通與咨詢6、監(jiān)控與審查2023/1/116三、信息息安全風(fēng)風(fēng)險(xiǎn)管理理各組成成部分1、對(duì)象確確立2、風(fēng)險(xiǎn)評(píng)評(píng)估3、風(fēng)險(xiǎn)控控制4、審核批批準(zhǔn)5、溝通與與咨詢6、監(jiān)控與與審查2023/1/117對(duì)象確立立概述對(duì)象確立立是信息息安全風(fēng)風(fēng)險(xiǎn)管理理的第一一步驟,,根據(jù)要要保護(hù)系系統(tǒng)的業(yè)業(yè)務(wù)目標(biāo)標(biāo)和特性性,確定定風(fēng)險(xiǎn)管管理對(duì)象象。其目目的是為為了明確確信息安安全風(fēng)險(xiǎn)險(xiǎn)管理的的范圍和和對(duì)象,,以及對(duì)對(duì)象的特特性和安安全要求求。2023/1/118對(duì)象確立過程程2023/1/119風(fēng)險(xiǎn)管理準(zhǔn)備備2023/1/120信息系統(tǒng)調(diào)查查2023/1/121信息系統(tǒng)分析析2023/1/122信息安全分析析2023/1/123對(duì)象確立的的文檔階段輸出文檔文檔內(nèi)容風(fēng)險(xiǎn)管理準(zhǔn)備《風(fēng)險(xiǎn)管理計(jì)劃書》風(fēng)險(xiǎn)管理的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等。信息系統(tǒng)調(diào)查《信息系統(tǒng)的描述報(bào)告》信息系統(tǒng)的業(yè)務(wù)目標(biāo)、業(yè)務(wù)特性、管理特性和技術(shù)特性等。信息系統(tǒng)分析《信息系統(tǒng)的分析報(bào)告》信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素等。信息安全分析《信息系統(tǒng)的安全要求報(bào)告》信息系統(tǒng)的安全環(huán)境和安全要求等。2023/1/124三、信息安安全風(fēng)險(xiǎn)管管理各組成成部分1、對(duì)象確立立2、風(fēng)險(xiǎn)評(píng)估估3、風(fēng)險(xiǎn)控制制4、審核批準(zhǔn)準(zhǔn)5、溝通與咨咨詢6、監(jiān)控與審審查2023/1/125風(fēng)險(xiǎn)評(píng)估概概述風(fēng)險(xiǎn)評(píng)估是是信息安全全風(fēng)險(xiǎn)管理理的第二步步,針對(duì)確確立的風(fēng)險(xiǎn)險(xiǎn)管理對(duì)象象所面臨的的風(fēng)險(xiǎn)進(jìn)行行識(shí)別、分分析和評(píng)價(jià)價(jià)。2023/1/126風(fēng)險(xiǎn)評(píng)估估過程2023/1/127風(fēng)險(xiǎn)評(píng)估準(zhǔn)備備2023/1/128風(fēng)險(xiǎn)因素識(shí)別別2023/1/129風(fēng)險(xiǎn)程度分析析2023/1/130風(fēng)險(xiǎn)險(xiǎn)等等級(jí)級(jí)評(píng)評(píng)價(jià)價(jià)2023/1/131風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估的的文文檔檔階段輸出文檔文檔內(nèi)容風(fēng)險(xiǎn)評(píng)估準(zhǔn)備《風(fēng)險(xiǎn)評(píng)估計(jì)劃書》風(fēng)險(xiǎn)評(píng)估的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等?!讹L(fēng)險(xiǎn)評(píng)估程序》風(fēng)險(xiǎn)評(píng)估的工作流程、輸入數(shù)據(jù)和輸出結(jié)果等。《入選風(fēng)險(xiǎn)評(píng)估方法和工具列表》合適的風(fēng)險(xiǎn)評(píng)估方法和工具列表。風(fēng)險(xiǎn)因素識(shí)別《需要保護(hù)的資產(chǎn)清單》對(duì)機(jī)構(gòu)使命具有關(guān)鍵和重要作用的需要保護(hù)的資產(chǎn)清單?!睹媾R的威脅列表》機(jī)構(gòu)的信息資產(chǎn)面臨的威脅列表?!洞嬖诘拇嗳跣粤斜怼窓C(jī)構(gòu)的信息資產(chǎn)存在的脆弱性列表。2023/1/132風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估的的文文檔檔風(fēng)險(xiǎn)程度分析《已有安全措施分析報(bào)告》確認(rèn)已有的安全措施,包括技術(shù)層面(即物理平臺(tái)、系統(tǒng)平臺(tái)、通信平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái))的安全功能、組織層面(即結(jié)構(gòu)、崗位和人員)的安全控制和管理層面(即策略、規(guī)章和制度)的安全對(duì)策。《威脅源分析報(bào)告》從利益、復(fù)仇、好奇和自負(fù)等驅(qū)使因素,分析威脅源動(dòng)機(jī)的強(qiáng)弱?!锻{行為分析報(bào)告》從攻擊的強(qiáng)度、廣度、速度和深度等方面,分析威脅行為能力的高低?!洞嗳跣苑治鰣?bào)告》按威脅/脆弱性對(duì),分析脆弱性被威脅利用的難以程度?!顿Y產(chǎn)價(jià)值分析報(bào)告》從敏感性、關(guān)鍵性和昂貴性等方面,分析資產(chǎn)價(jià)值的大小?!队绊懗潭确治鰣?bào)告》從資產(chǎn)損失、使命妨礙和人員傷亡等方面,分析影響程度的深淺。2023/1/133風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估的的文文檔檔風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)《威脅源等級(jí)列表》威脅源動(dòng)機(jī)的等級(jí)列表?!锻{行為等級(jí)列表》威脅行為能力的等級(jí)列表。《脆弱性等級(jí)列表》脆弱性被利用的等級(jí)列表。《資產(chǎn)價(jià)值等級(jí)列表》資產(chǎn)價(jià)值的等級(jí)列表?!队绊懗潭鹊燃?jí)列表》影響程度的等級(jí)列表?!讹L(fēng)險(xiǎn)評(píng)估報(bào)告》匯總上述分析報(bào)告和等級(jí)列表,綜合評(píng)價(jià)風(fēng)險(xiǎn)的等級(jí)。2023/1/134三、信信息安安全風(fēng)風(fēng)險(xiǎn)管管理各各組成成部分分1、對(duì)象象確立立2、風(fēng)險(xiǎn)險(xiǎn)評(píng)估估3、風(fēng)險(xiǎn)險(xiǎn)控制制4、審核核批準(zhǔn)準(zhǔn)5、溝通通與咨咨詢6、監(jiān)控控與審審查2023/1/135風(fēng)險(xiǎn)控制概概述風(fēng)險(xiǎn)控制是信信息安全風(fēng)險(xiǎn)險(xiǎn)管理的第三三步驟,依據(jù)據(jù)風(fēng)險(xiǎn)評(píng)估的的結(jié)果,選擇擇和實(shí)施合適適的安全措施施。風(fēng)險(xiǎn)控制方式式主要有規(guī)避、轉(zhuǎn)移和和降低三種方式。2023/1/136風(fēng)險(xiǎn)控制需求求及其相應(yīng)的的風(fēng)險(xiǎn)控制措措施PPDRR風(fēng)險(xiǎn)控制需求風(fēng)險(xiǎn)控制措施策略Policy設(shè)備管理制度建立健全各種安全相關(guān)的規(guī)章制定和操作規(guī)范,使得保護(hù)、檢測(cè)和響應(yīng)環(huán)節(jié)有章可循、切實(shí)有效。機(jī)房出入守則系統(tǒng)安全管理守則系統(tǒng)安全配置明細(xì)網(wǎng)絡(luò)安全管理守則網(wǎng)絡(luò)安全配置明細(xì)應(yīng)用安全管理守則應(yīng)用安全配置明細(xì)應(yīng)急響應(yīng)計(jì)劃安全事件處理準(zhǔn)則2023/1/137主要要的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)控控制制需需求求及及其其相相應(yīng)應(yīng)的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)控控制制措措施施保護(hù)Protection機(jī)房嚴(yán)格按照GB50174-1993《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、GB9361-1988《計(jì)算站場(chǎng)地安全要求》、GB2887-1982《計(jì)算機(jī)站場(chǎng)地技術(shù)要求》和GB/T2887-2000《計(jì)算機(jī)場(chǎng)地通用規(guī)范》等國家標(biāo)準(zhǔn)建設(shè)和維護(hù)計(jì)算機(jī)機(jī)房。門控安裝門控系統(tǒng)保安建設(shè)保安制度和保安隊(duì)伍。電磁屏蔽在必要的地方設(shè)置抗電磁干擾和防電磁泄漏的設(shè)施。病毒防殺全面部署防病毒系統(tǒng)。漏洞補(bǔ)丁及時(shí)下載和安裝最新的漏洞補(bǔ)丁模塊。安全配置嚴(yán)格遵守各系統(tǒng)單元的安全配置明細(xì),避免配置中的安全漏洞。身份認(rèn)證根據(jù)不同的安全強(qiáng)度,分別采用身份標(biāo)識(shí)/口令、數(shù)字鑰匙、數(shù)字證書、生物識(shí)別、雙因子等級(jí)別的身份認(rèn)證系統(tǒng),對(duì)設(shè)備、用戶、服務(wù)等主客體進(jìn)行身份認(rèn)證。訪問控制根據(jù)不同的安全強(qiáng)度,分別采用自主型、強(qiáng)制型等級(jí)別的訪問控制系統(tǒng),對(duì)設(shè)備、用戶等主體訪問客體的權(quán)限進(jìn)行控制。數(shù)據(jù)加密根據(jù)不同的安全強(qiáng)度,分別采用商密、普密、機(jī)密等級(jí)別的數(shù)據(jù)加密系統(tǒng),對(duì)傳輸數(shù)據(jù)和存儲(chǔ)數(shù)據(jù)進(jìn)行加密。邊界控制在網(wǎng)絡(luò)邊界布置防火墻,阻止來自外界非法訪問。數(shù)字水印對(duì)于需要版權(quán)保護(hù)的圖片、聲音、文字等形式的信息,采用數(shù)字水印技術(shù)加以保護(hù)。數(shù)字簽名在需要防止事后否認(rèn)時(shí),可采用數(shù)字簽名技術(shù)。內(nèi)容凈化部署內(nèi)容過濾系統(tǒng)。安全機(jī)構(gòu)、安全崗位、安全責(zé)任建立健全安全機(jī)構(gòu),合理設(shè)置安全崗位,明確劃分安全責(zé)任。2023/1/138主要要的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)控控制制需需求求及及其其相相應(yīng)應(yīng)的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)控控制制措措施施檢測(cè)Detection監(jiān)視、監(jiān)測(cè)和報(bào)警在適當(dāng)?shù)奈恢冒仓帽O(jiān)視器和報(bào)警器,在各系統(tǒng)單元中配備監(jiān)測(cè)系統(tǒng)和報(bào)警系統(tǒng),以實(shí)時(shí)發(fā)現(xiàn)安全事件并及時(shí)報(bào)警。數(shù)據(jù)校驗(yàn)通過數(shù)據(jù)校驗(yàn)技術(shù),發(fā)現(xiàn)數(shù)據(jù)篡改。主機(jī)入侵檢測(cè)部署主機(jī)入侵檢測(cè)系統(tǒng),發(fā)現(xiàn)主機(jī)入侵行為。主機(jī)狀態(tài)監(jiān)測(cè)部署主機(jī)狀態(tài)監(jiān)測(cè)系統(tǒng),隨時(shí)掌握主機(jī)運(yùn)行狀態(tài)。網(wǎng)絡(luò)入侵檢測(cè)部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為。網(wǎng)絡(luò)狀態(tài)監(jiān)測(cè)部署網(wǎng)絡(luò)狀態(tài)監(jiān)測(cè)系統(tǒng),隨時(shí)掌握網(wǎng)絡(luò)運(yùn)行狀態(tài)。安全審計(jì)在各系統(tǒng)單元中配備安全審計(jì),以發(fā)現(xiàn)深層安全漏洞和安全事件。安全監(jiān)督、安全檢查實(shí)行持續(xù)有效的安全監(jiān)督,預(yù)演應(yīng)急響應(yīng)計(jì)劃。2023/1/139主要的風(fēng)風(fēng)險(xiǎn)控制制需求及及其相應(yīng)應(yīng)的風(fēng)險(xiǎn)險(xiǎn)控制措措施響應(yīng)Response恢復(fù)Recovery故障修復(fù)、事故排除確保隨時(shí)能夠獲取故障修復(fù)和事故排除的技術(shù)人員和軟硬件工具。設(shè)施備份與恢復(fù)對(duì)于關(guān)鍵設(shè)施,配備設(shè)施備份與恢復(fù)系統(tǒng)。系統(tǒng)備份與恢復(fù)對(duì)于關(guān)鍵系統(tǒng),配備系統(tǒng)備份與恢復(fù)系統(tǒng)。數(shù)據(jù)備份與恢復(fù)對(duì)于關(guān)鍵數(shù)據(jù),配備數(shù)據(jù)備份與恢復(fù)系統(tǒng)。信道備份與恢復(fù)對(duì)于關(guān)鍵信道,配備設(shè)信道份與恢復(fù)系統(tǒng)。應(yīng)用備份與恢復(fù)對(duì)于關(guān)鍵應(yīng)用,配備應(yīng)用備份與恢復(fù)系統(tǒng)。應(yīng)急響應(yīng)按照應(yīng)急響應(yīng)計(jì)劃處理應(yīng)急事件。安全事件處理按照安全事件處理找出原因、追究責(zé)任、總結(jié)經(jīng)驗(yàn)、提出改進(jìn)。2023/1/140風(fēng)險(xiǎn)控控制過過程2023/1/141現(xiàn)存風(fēng)風(fēng)險(xiǎn)判判斷2023/1/142控制目標(biāo)確確立2023/1/143控制措施選選擇2023/1/144控制措施實(shí)實(shí)施2023/1/145風(fēng)險(xiǎn)控制制的文檔檔階段輸出文檔文檔內(nèi)容現(xiàn)存風(fēng)險(xiǎn)判斷《風(fēng)險(xiǎn)接受等級(jí)劃分表》風(fēng)險(xiǎn)接受等級(jí)的劃分,即把風(fēng)險(xiǎn)評(píng)估得出的風(fēng)險(xiǎn)等級(jí)劃分為可接受和不可接受兩種?!冬F(xiàn)存風(fēng)險(xiǎn)接受判斷書》現(xiàn)存風(fēng)險(xiǎn)是否可接受的判斷結(jié)果??刂颇繕?biāo)確立《風(fēng)險(xiǎn)控制需求分析報(bào)告》從技術(shù)層面(即物理平臺(tái)、系統(tǒng)平臺(tái)、通信平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái))、組織層面(即結(jié)構(gòu)、崗位和人員)和管理層面(即策略、規(guī)章和制度),分析風(fēng)險(xiǎn)控制的需求。《風(fēng)險(xiǎn)控制目標(biāo)列表》風(fēng)險(xiǎn)控制目標(biāo)的列表,包括控制對(duì)象及其最低保護(hù)等級(jí)。2023/1/146風(fēng)險(xiǎn)控制制的文檔檔控制措施選擇《入選風(fēng)險(xiǎn)控制方式說明報(bào)告》選擇合適的風(fēng)險(xiǎn)控制方式(包括規(guī)避方式、轉(zhuǎn)移方式和降低方式),并說明選擇的理由以及被選控制方式的使用方法和注意事項(xiàng)等?!度脒x風(fēng)險(xiǎn)控制措施說明報(bào)告》選擇合適的風(fēng)險(xiǎn)控制措施,并說明選擇的理由以及被選控制措施的成本、使用方法和注意事項(xiàng)等??刂拼胧?shí)施《風(fēng)險(xiǎn)控制實(shí)施計(jì)劃書》風(fēng)險(xiǎn)控制的范圍、對(duì)象、目標(biāo)、組織結(jié)構(gòu)、成本預(yù)算和進(jìn)度安排等。《風(fēng)險(xiǎn)控制實(shí)施記錄》風(fēng)險(xiǎn)控制措施實(shí)施的過程和結(jié)果。2023/1/147三、信息息安全風(fēng)風(fēng)險(xiǎn)管理理各組成成部分1、對(duì)象確確立2、風(fēng)險(xiǎn)評(píng)評(píng)估3、風(fēng)險(xiǎn)控控制4、審核批批準(zhǔn)5、溝通與與咨詢6、監(jiān)控與與審查2023/1/148審核批準(zhǔn)準(zhǔn)概述審核批準(zhǔn)準(zhǔn)是信息息安全風(fēng)風(fēng)險(xiǎn)管理理的第四四步驟,,審核批批準(zhǔn)包括括審核和和批準(zhǔn)兩兩部分::審核是是指通過過審查、、測(cè)試、、評(píng)審等等手段,,檢驗(yàn)風(fēng)風(fēng)險(xiǎn)評(píng)估估和風(fēng)險(xiǎn)險(xiǎn)控制的的結(jié)果是是否滿足足信息系系統(tǒng)的安安全要求求;批準(zhǔn)準(zhǔn)是指機(jī)機(jī)構(gòu)的決決策層依依據(jù)審核核的結(jié)果果,做出出是否認(rèn)認(rèn)可的決決定。審核既可可以由機(jī)機(jī)構(gòu)內(nèi)部部完成,,也可以以委托外外部專業(yè)業(yè)機(jī)構(gòu)來來完成,,這主要要取決于于信息系系統(tǒng)的性性質(zhì)和機(jī)機(jī)構(gòu)自身身的專業(yè)業(yè)能力。。批準(zhǔn)一一般必須須由機(jī)構(gòu)構(gòu)內(nèi)部或或更高層層的主管管機(jī)構(gòu)的的決策層層來執(zhí)行行。2023/1/149審核批準(zhǔn)過程程及其在信息息安全風(fēng)險(xiǎn)管管理中的位置置2023/1/150審核申請(qǐng)2023/1/151審核處理2023/1/152批準(zhǔn)申請(qǐng)2023/1/153批準(zhǔn)處理2023/1/154持續(xù)監(jiān)監(jiān)督2023/1/155審核批批準(zhǔn)的的文檔檔階段輸出文檔文檔內(nèi)容審核申請(qǐng)《審核申請(qǐng)書》審核的范圍、對(duì)象、目標(biāo)和進(jìn)度要求,以及申請(qǐng)者的基本信息和簽字等?!秾徍瞬牧稀凤L(fēng)險(xiǎn)評(píng)估過程和風(fēng)險(xiǎn)控制過程輸出的文檔、軟件和硬件等結(jié)果。《審核受理回執(zhí)》同意受理、補(bǔ)充材料的要求和提交時(shí)間(如果需要)、審核的進(jìn)度安排和收費(fèi)標(biāo)準(zhǔn),以及審核機(jī)構(gòu)的名稱和簽章等。審核處理《審查結(jié)果報(bào)告》審查的范圍、對(duì)象、意見和結(jié)論(即是否通過),以及審查人員的名字和簽字等?!稖y(cè)試結(jié)果報(bào)告》測(cè)試的范圍、對(duì)象、意見和結(jié)論(即是否通過),以及測(cè)試人員的名字和簽字等?!秾<诣b定報(bào)告》鑒定的范圍、對(duì)象(及其基本情況)和結(jié)論,以及專家名單和簽字等。《審核結(jié)論報(bào)告》審核的范圍、對(duì)象、意見、結(jié)論(即是否通過)和有效期,以及審核機(jī)構(gòu)的名稱和簽章等。2023/1/156審核批批準(zhǔn)的的文檔檔批準(zhǔn)申請(qǐng)《批準(zhǔn)申請(qǐng)書》批準(zhǔn)的范圍、對(duì)象和期望,以及申請(qǐng)者的基本信息和簽字等?!杜鷾?zhǔn)受理回執(zhí)》同意受理、補(bǔ)充材料的要求和提交時(shí)間(如果需要),以及批準(zhǔn)機(jī)構(gòu)的名稱和簽章等。批準(zhǔn)處理《批準(zhǔn)決定書》批準(zhǔn)的范圍、對(duì)象、意見、結(jié)論(即是否通過)和有效期,以及批準(zhǔn)機(jī)構(gòu)的名稱和簽章等。持續(xù)監(jiān)督《審核到期通知書》到期的時(shí)間和重新申請(qǐng)的要求,以及審核機(jī)構(gòu)的名稱和簽章。《批準(zhǔn)到期通知書》到期的時(shí)間和重新申請(qǐng)的要求,以及批準(zhǔn)機(jī)構(gòu)的名稱和簽章?!稒C(jī)構(gòu)變化因素的描述報(bào)告》機(jī)構(gòu)及其信息系統(tǒng)變化因素的列表、說明和安全隱患分析等?!董h(huán)境變化因素的描述報(bào)告》信息安全相關(guān)環(huán)境變化因素的列表、說明和安全隱患分析等。2023/1/157三、信信息安安全風(fēng)風(fēng)險(xiǎn)管管理各各組成成部分分1、對(duì)象象確立立2、風(fēng)險(xiǎn)險(xiǎn)評(píng)估估3、風(fēng)險(xiǎn)險(xiǎn)控制制4、審核核批準(zhǔn)準(zhǔn)5、監(jiān)控控與審審查6、溝通通與咨咨詢2023/1/158監(jiān)控控與與審審查查的的概概述述監(jiān)控控與與審審查查對(duì)對(duì)信信息息安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理主主循循環(huán)環(huán)的的四四個(gè)個(gè)步步驟驟((即即對(duì)對(duì)象象確確立立、、風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估、、風(fēng)風(fēng)險(xiǎn)險(xiǎn)控控制制和和審審核核批批準(zhǔn)準(zhǔn)))進(jìn)進(jìn)行行監(jiān)監(jiān)控控和和審審查查。。監(jiān)監(jiān)控控是是監(jiān)監(jiān)視視和和控控制制,,一一是是監(jiān)監(jiān)視視和和控控制制風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理過過程程,,即即過過程程質(zhì)質(zhì)量量管管理理,,以以保保證證過過程程的的有有效效性性;;二二是是分分析析和和平平衡衡成成本本效效益益,,即即成成本本效效益益管管理理,,以以保保證證成成本本的的有有效效性性。。審審查查是是跟跟蹤蹤受受保保護(hù)護(hù)系系統(tǒng)統(tǒng)自自身身或或所所處處環(huán)環(huán)境境的的變變化化,,以以保保證證結(jié)結(jié)果果的的有有效效性性。。2023/1/159監(jiān)控控與與審審查查過過程程2023/1/160貫穿穿對(duì)對(duì)象象確確立立階段監(jiān)控審查過程有效性成本有效性結(jié)果有效性風(fēng)險(xiǎn)管理準(zhǔn)備風(fēng)險(xiǎn)管理計(jì)劃制定的流程及其相關(guān)文檔風(fēng)險(xiǎn)管理計(jì)劃的成本與效果《風(fēng)險(xiǎn)管理計(jì)劃書》的時(shí)效信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查的流程及其相關(guān)文檔信息系統(tǒng)調(diào)查的成本與效果《信息系統(tǒng)的描述報(bào)告》的時(shí)效信息系統(tǒng)分析信息系統(tǒng)分析的流程及其相關(guān)文檔信息系統(tǒng)分析的成本與效果《信息系統(tǒng)的分析報(bào)告》的時(shí)效信息安全分析信息系統(tǒng)安全要求分析的流程及其相關(guān)文檔信息系統(tǒng)安全要求分析的成本與效果《信息系統(tǒng)的安全要求報(bào)告》的時(shí)效2023/1/161貫穿風(fēng)險(xiǎn)險(xiǎn)評(píng)估階段監(jiān)控審查過程有效性成本有效性結(jié)果有效性風(fēng)險(xiǎn)評(píng)估準(zhǔn)備風(fēng)險(xiǎn)評(píng)估的計(jì)劃制定、程序確定以及方法和工具選擇的流程及其相關(guān)文檔風(fēng)險(xiǎn)評(píng)估的計(jì)劃、程序以及入選方法和工具的成本與效果《風(fēng)險(xiǎn)評(píng)估計(jì)劃》、《風(fēng)險(xiǎn)評(píng)估程序》和《入選風(fēng)險(xiǎn)評(píng)估方法和工具列表》的時(shí)效風(fēng)險(xiǎn)因素識(shí)別資產(chǎn)、威脅列和脆弱性識(shí)別的流程及其相關(guān)文檔資產(chǎn)、威脅列和脆弱性識(shí)別的成本與效果《需要保護(hù)的資產(chǎn)清單》、《面臨的威脅列表》和《存在的脆弱性列表》的時(shí)效2023/1/162貫穿風(fēng)險(xiǎn)評(píng)估估風(fēng)險(xiǎn)程度分析已有安全措施、威脅源、威脅行為、脆弱性、資產(chǎn)價(jià)值和影響程度分析的流程及其相關(guān)文檔已有安全措施、威脅源、威脅行為、脆弱性、資產(chǎn)價(jià)值和影響程度分析的成本與效果《已有安全措施分析報(bào)告》、《威脅源分析報(bào)告》、《威脅行為分析報(bào)告》、《脆弱性分析報(bào)告》、《資產(chǎn)價(jià)值分析報(bào)告》和《影響程度分析報(bào)告》的時(shí)效風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)威脅源等級(jí)、威脅行為等級(jí)、脆弱性等級(jí)、資產(chǎn)價(jià)值等級(jí)和影響程度等級(jí)評(píng)價(jià)以及《風(fēng)險(xiǎn)評(píng)估報(bào)告》生成的流程及其相關(guān)文檔威脅源等級(jí)、威脅行為等級(jí)、脆弱性等級(jí)、資產(chǎn)價(jià)值等級(jí)和影響程度等級(jí)評(píng)價(jià)以及《風(fēng)險(xiǎn)評(píng)估報(bào)告》生成的成本與效果《威脅源等級(jí)列表》、《威脅行為等級(jí)列表》、《脆弱性等級(jí)列表》、《資產(chǎn)價(jià)值等級(jí)列表》、《影響程度等級(jí)列表》和《風(fēng)險(xiǎn)評(píng)估報(bào)告》的時(shí)效2023/1/163貫穿風(fēng)險(xiǎn)控制制階段監(jiān)控審查過程有效性成本有效性結(jié)果有效性現(xiàn)存風(fēng)險(xiǎn)判斷可接受風(fēng)險(xiǎn)等級(jí)確定和現(xiàn)存風(fēng)險(xiǎn)接受判斷的流程及其相關(guān)文檔可接受風(fēng)險(xiǎn)等級(jí)確定和現(xiàn)存風(fēng)險(xiǎn)接受判斷的成本與效果《風(fēng)險(xiǎn)接受等級(jí)劃分表》和《現(xiàn)存風(fēng)險(xiǎn)接受判斷書》的時(shí)效控制目標(biāo)確立風(fēng)險(xiǎn)控制需求分析和風(fēng)險(xiǎn)控制目標(biāo)確立的流程及其相關(guān)文檔風(fēng)險(xiǎn)控制需求分析和風(fēng)險(xiǎn)控制目標(biāo)確立的成本與效果《風(fēng)險(xiǎn)控制需求分析報(bào)告》和《風(fēng)險(xiǎn)控制目標(biāo)列表》的時(shí)效2023/1/164貫穿風(fēng)險(xiǎn)控制制控制措施選擇風(fēng)險(xiǎn)控制方式和措施選擇的流程及其相關(guān)文檔入選風(fēng)險(xiǎn)控制方式和措施的成本與效果《入選風(fēng)險(xiǎn)控制方式說明報(bào)告》和《入選風(fēng)險(xiǎn)控制措施說明報(bào)告》的時(shí)效控制措施實(shí)施風(fēng)險(xiǎn)控制實(shí)施計(jì)劃制定和風(fēng)險(xiǎn)控制措施實(shí)施的流程及其相關(guān)文檔風(fēng)險(xiǎn)控制實(shí)施計(jì)劃制定和風(fēng)險(xiǎn)控制措施實(shí)施的成本與效果《風(fēng)險(xiǎn)控制實(shí)施計(jì)劃書》和《風(fēng)險(xiǎn)控制實(shí)施記錄》的時(shí)效2023/1/165貫穿審核批批準(zhǔn)階段監(jiān)控審查過程有效性成本有效性結(jié)果有效性審核申請(qǐng)審核申請(qǐng)和受理的流程及其相關(guān)文檔審核申請(qǐng)和受理的成本與效果《審核申請(qǐng)書》、《審核材料》和《審核受理回執(zhí)》的時(shí)效審核處理審核材料審查、審核對(duì)象測(cè)試、專家鑒定和審核結(jié)論給出的流程及其相關(guān)文檔審核材料審查、審核對(duì)象測(cè)試、專家鑒定和審核結(jié)論給出的成本與效果《審查結(jié)果報(bào)告》、《測(cè)試結(jié)果報(bào)告》、《專家鑒定報(bào)告》和《審核結(jié)論報(bào)告》的時(shí)效2023/1/166貫穿審核批批準(zhǔn)批準(zhǔn)申請(qǐng)批準(zhǔn)申請(qǐng)和受理的流程及其相關(guān)文檔批準(zhǔn)申請(qǐng)和受理的成本與效果《批準(zhǔn)申請(qǐng)書》和《批準(zhǔn)受理回執(zhí)》的時(shí)效批準(zhǔn)處理審閱批準(zhǔn)材料和批準(zhǔn)決定做出的流程及其相關(guān)文檔審閱批準(zhǔn)材料和批準(zhǔn)決定做出的成本與效果《批準(zhǔn)決定書》的時(shí)效持續(xù)監(jiān)督《審核結(jié)論報(bào)告》和《批準(zhǔn)決定書》到期檢查和機(jī)構(gòu)及其環(huán)境變化檢查的流程及其相關(guān)文檔《審核結(jié)論報(bào)告》和《批準(zhǔn)決定書》到期檢查和機(jī)構(gòu)及其環(huán)境變化檢查的成本與效果《機(jī)構(gòu)變化因素的描述報(bào)告》和《環(huán)境變化因素的描述報(bào)告》的時(shí)效2023/1/167監(jiān)控與審查查的文檔過程輸出文檔文檔內(nèi)容對(duì)象確立《對(duì)象確立的監(jiān)控與審查記錄》對(duì)象確立過程中監(jiān)控和審查的范圍、對(duì)象、時(shí)間、過程、結(jié)果和措施等。風(fēng)險(xiǎn)評(píng)估《風(fēng)險(xiǎn)評(píng)估的監(jiān)控與審查記錄》風(fēng)險(xiǎn)評(píng)估過程中監(jiān)控和審查的范圍、對(duì)象、時(shí)間、過程、結(jié)果和措施等。風(fēng)險(xiǎn)控制《風(fēng)險(xiǎn)控制的監(jiān)控與審查記錄》風(fēng)險(xiǎn)控制過程中監(jiān)控和審查的范圍、對(duì)象、時(shí)間、過程、結(jié)果和措施等。審核批準(zhǔn)《審核批準(zhǔn)的監(jiān)控與審查記錄》審核批準(zhǔn)過程中監(jiān)控和審查的范圍、對(duì)象、時(shí)間、過程、結(jié)果和措施等。2023/1/168三、信息安全全風(fēng)險(xiǎn)管理各各組成部分1、對(duì)象確立2、風(fēng)險(xiǎn)評(píng)估3、風(fēng)險(xiǎn)控制4、審核批準(zhǔn)5、監(jiān)控與審查查6、溝通與咨詢?cè)?023/1/169溝通與咨詢的的概述溝通與咨詢?yōu)闉樾畔踩L(fēng)風(fēng)險(xiǎn)管理主循循環(huán)的四個(gè)步步驟(即對(duì)象象確立、風(fēng)險(xiǎn)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)險(xiǎn)控制和審核核批準(zhǔn))中相相關(guān)人員提供供溝通和咨詢?cè)儭贤ㄊ菫闉橹苯訁⑴c人人員提供交流流途徑,以保保持他們之間間的協(xié)調(diào)一致致,共同實(shí)現(xiàn)現(xiàn)安全目標(biāo)。。咨詢是為所所有相關(guān)人員員提供學(xué)習(xí)途途徑,以提高高他們的風(fēng)險(xiǎn)險(xiǎn)意識(shí)、知識(shí)識(shí)和技能,配配合實(shí)現(xiàn)安全全目標(biāo)。2023/1/170溝通與與咨詢?cè)兊姆椒绞椒绞浇邮芊經(jīng)Q策層管理層執(zhí)行層支持層用戶層發(fā)出方?jīng)Q策層交流指導(dǎo)和檢查指導(dǎo)和檢查表態(tài)表態(tài)管理層匯報(bào)交流指導(dǎo)和檢查宣傳和介紹宣傳和介紹執(zhí)行層匯報(bào)匯報(bào)交流宣傳和介紹培訓(xùn)和咨詢支持層培訓(xùn)和咨詢培訓(xùn)和咨詢培訓(xùn)和咨詢交流培訓(xùn)和咨詢用戶層反饋反饋反饋反饋交流2023/1/171溝通與與咨詢?cè)兊倪^過程2023/1/172貫穿對(duì)對(duì)象確確立階段參與人員涉及內(nèi)容信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理準(zhǔn)備決策層決策層管理層《風(fēng)險(xiǎn)管理計(jì)劃書》信息系統(tǒng)調(diào)查管理層執(zhí)行層支持層管理層執(zhí)行層《信息系統(tǒng)的描述報(bào)告》信息系統(tǒng)分析管理層執(zhí)行層支持層管理層執(zhí)行層《信息系統(tǒng)的分析報(bào)告》信息安全分析管理層執(zhí)行層支持層《信息系統(tǒng)的安全要求報(bào)告》2023/1/173貫穿風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估階段參與人員涉及內(nèi)容信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估準(zhǔn)備決策層決策層管理層《風(fēng)險(xiǎn)評(píng)估計(jì)劃》管理層管理層執(zhí)行層支持層《風(fēng)險(xiǎn)評(píng)估程序》《入選風(fēng)險(xiǎn)評(píng)估方法和工具列表》風(fēng)險(xiǎn)因素識(shí)別管理層執(zhí)行層執(zhí)行層支持層《需要保護(hù)的資產(chǎn)清單》《面臨的威脅列表》《存在的脆弱性列表》2023/1/174貫穿風(fēng)險(xiǎn)險(xiǎn)評(píng)估風(fēng)險(xiǎn)程度分析管理層執(zhí)行層執(zhí)行層支持層《已有安全措施分析報(bào)告》《威脅源分析報(bào)告》《威脅行為分析報(bào)告》《脆弱性分析報(bào)告》《資產(chǎn)價(jià)值分析報(bào)告》《影響程度分析報(bào)告》風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)執(zhí)行層支持層《威脅源等級(jí)列表》《威脅行為等級(jí)列表》《脆弱性等級(jí)列表》《資產(chǎn)價(jià)值等級(jí)列表》《影響程度等級(jí)列表》《風(fēng)險(xiǎn)評(píng)估報(bào)告》2023/1/175貫穿風(fēng)險(xiǎn)險(xiǎn)控制階段參與人員涉及內(nèi)容信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理現(xiàn)存風(fēng)險(xiǎn)判斷決策層管理層決策層管理層執(zhí)行層支持層《風(fēng)險(xiǎn)接受等級(jí)劃分表》《現(xiàn)存風(fēng)險(xiǎn)接受判斷書》控制目標(biāo)確立管理層管理層執(zhí)行層支持層《風(fēng)險(xiǎn)控制需求分析報(bào)告》《風(fēng)險(xiǎn)控制目標(biāo)列表》2023/1/176貫穿風(fēng)險(xiǎn)控控制控制措施選擇執(zhí)行層支持層《入選風(fēng)險(xiǎn)控制方式說明報(bào)告》《入選風(fēng)險(xiǎn)控制措施說明報(bào)告》控制措施實(shí)施管理層執(zhí)行層管理層執(zhí)行層支持層《風(fēng)險(xiǎn)控制實(shí)施計(jì)劃書》《風(fēng)險(xiǎn)控制實(shí)施記錄》2023/1/177貫穿審核批批準(zhǔn)階段參與人員涉及內(nèi)容信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理審核申請(qǐng)決策層管理層執(zhí)行層《審核申請(qǐng)書》《審核材料》《審核受理回執(zhí)》審核處理管理層執(zhí)行層支持層《審查結(jié)果報(bào)告》《測(cè)試結(jié)果報(bào)告》《專家鑒定報(bào)告》《審核結(jié)論報(bào)告》2023/1/178貫穿審核批批準(zhǔn)批準(zhǔn)申請(qǐng)決策層管理層執(zhí)行層《批準(zhǔn)申請(qǐng)書》《批準(zhǔn)受理回執(zhí)》批準(zhǔn)處理決策層決策層管理層《批準(zhǔn)決定書》持續(xù)監(jiān)督管理層執(zhí)行層管理層執(zhí)行層《機(jī)構(gòu)變化因素的描述報(bào)告》《環(huán)境變化因素的描述報(bào)告》2023/1/179溝通通與與咨咨詢?cè)兊牡奈奈臋n檔過程輸出文檔文檔內(nèi)容對(duì)象確立《對(duì)象確立的溝通與咨詢記錄》對(duì)象確立過程中溝通和咨詢的范圍、對(duì)象、時(shí)間、內(nèi)容和結(jié)果等。風(fēng)險(xiǎn)評(píng)估《風(fēng)險(xiǎn)評(píng)估的溝通與咨詢記錄》風(fēng)險(xiǎn)評(píng)估過程中溝通和咨詢的范圍、對(duì)象、時(shí)間、內(nèi)容和結(jié)果等。風(fēng)險(xiǎn)控制《風(fēng)險(xiǎn)控制的溝通與咨詢記錄》風(fēng)險(xiǎn)控制過程中溝通和咨詢的范圍、對(duì)象、時(shí)間、內(nèi)容和結(jié)果等。審核批準(zhǔn)《審核批準(zhǔn)的溝通與咨詢記錄》審核批準(zhǔn)過程中溝通和咨詢的范圍、對(duì)象、時(shí)間、內(nèi)容和結(jié)果等。2023/1/180四、、信信息息安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理的的運(yùn)運(yùn)用用1、規(guī)規(guī)劃劃階階段段2、設(shè)設(shè)計(jì)計(jì)階階段段3、實(shí)實(shí)施施階階段段4、運(yùn)運(yùn)維維階階段段5、廢廢棄棄階階段段2023/1/181四、信息安全全風(fēng)險(xiǎn)管理的的運(yùn)用1、規(guī)劃階段2、設(shè)計(jì)階段3、實(shí)施階段4、運(yùn)維階段5、廢棄階段2023/1/182安全需求和目目標(biāo)明確安全總體體方針確保安全總體體方針源自業(yè)業(yè)務(wù)期望明確項(xiàng)目范圍圍清晰描述項(xiàng)目目范圍內(nèi)所涉涉及系統(tǒng)的安安全現(xiàn)狀提交明確的安安全需求文檔檔清晰描述從系系統(tǒng)的那些層層次進(jìn)行安全全實(shí)現(xiàn)對(duì)實(shí)現(xiàn)的可能能性進(jìn)行充分分分析、論證證明確評(píng)價(jià)準(zhǔn)則則并達(dá)成一致致2023/1/183風(fēng)險(xiǎn)險(xiǎn)管管理理的的過過程程概概述述在項(xiàng)項(xiàng)目目規(guī)規(guī)劃劃階階段段,,風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理者者應(yīng)應(yīng)能能清清楚楚、、準(zhǔn)準(zhǔn)確確地地描描述述機(jī)機(jī)構(gòu)構(gòu)的的安安全全總總體體方方針針、、安安全全策策略略、、風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理范范圍圍、、當(dāng)當(dāng)前前正正在在進(jìn)進(jìn)行行的的或或計(jì)計(jì)劃劃中中將將要要執(zhí)執(zhí)行行的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理活活動(dòng)動(dòng)以以及及當(dāng)當(dāng)前前特特殊殊安安全全要要求求等等。。2023/1/184風(fēng)險(xiǎn)險(xiǎn)管管理理的的活活動(dòng)動(dòng)序號(hào)風(fēng)險(xiǎn)管理活動(dòng)所處風(fēng)險(xiǎn)管理流程1明確安全總體方針對(duì)象確立2安全需求分析對(duì)象確立、風(fēng)險(xiǎn)評(píng)估3風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則達(dá)成一致風(fēng)險(xiǎn)控制、審核批準(zhǔn)2023/1/185四、信息息安全風(fēng)風(fēng)險(xiǎn)管理理的運(yùn)用用1、規(guī)劃階階段2、設(shè)計(jì)階階段3、實(shí)施階階段4、運(yùn)維階階段5、廢棄階階段2023/1/186安全需求求和目標(biāo)標(biāo)對(duì)用以實(shí)實(shí)現(xiàn)安全全系統(tǒng)的的各類技技術(shù)進(jìn)行行有效性性評(píng)估。。對(duì)用于實(shí)實(shí)施方案案的產(chǎn)品品需滿足足安全保保護(hù)等級(jí)級(jí)的要求求對(duì)自開發(fā)發(fā)的軟件件要在結(jié)結(jié)構(gòu)設(shè)計(jì)計(jì)階段就就充分考考慮安全全風(fēng)險(xiǎn)2023/1/187風(fēng)險(xiǎn)管理的的過程概述述在設(shè)計(jì)階段段,風(fēng)險(xiǎn)管管理者應(yīng)能能標(biāo)識(shí)出在在項(xiàng)目結(jié)構(gòu)構(gòu)實(shí)現(xiàn)過程程中潛在的的安全風(fēng)險(xiǎn)險(xiǎn),為設(shè)計(jì)計(jì)說明中的的安全性設(shè)設(shè)計(jì)提供評(píng)評(píng)判依據(jù),,并對(duì)實(shí)施施方案中選選擇的產(chǎn)品品進(jìn)行合格格檢查,確確保項(xiàng)目設(shè)設(shè)計(jì)階段的的重要環(huán)節(jié)節(jié)均能得到到較好的安安全風(fēng)險(xiǎn)控控制。2023/1/188風(fēng)險(xiǎn)管理的的活動(dòng)序號(hào)風(fēng)險(xiǎn)管理活動(dòng)所處風(fēng)險(xiǎn)管理流程1安全技術(shù)選擇風(fēng)險(xiǎn)控制2安全產(chǎn)品選擇風(fēng)險(xiǎn)控制3軟件設(shè)計(jì)風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)控制2023/1/189四、信息安安全風(fēng)險(xiǎn)管管理的運(yùn)用用1、規(guī)劃階段段2、設(shè)計(jì)階段段3、實(shí)施階段段4、運(yùn)維階段段5、廢棄階段段2023/1/190安全需需求和和目標(biāo)標(biāo)實(shí)施階階段是是按照照規(guī)劃劃和設(shè)設(shè)計(jì)階階段所所定義義的信信息系系統(tǒng)實(shí)實(shí)施方方案,,采購購設(shè)備備和軟軟件,,開發(fā)發(fā)定制制功能能,集集成、、部署署、配配置和和測(cè)試試系統(tǒng)統(tǒng),培培訓(xùn)人人員,,并對(duì)對(duì)是否否允許許系統(tǒng)統(tǒng)投入入運(yùn)行行進(jìn)行行審核核批準(zhǔn)準(zhǔn)。2023/1/191風(fēng)險(xiǎn)管理的的過程概述述實(shí)施階段的的風(fēng)險(xiǎn)管理理主要活動(dòng)動(dòng)包括檢查查與配置、、安全測(cè)試試、人員培培訓(xùn)及授權(quán)權(quán)運(yùn)行,
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 面部痤瘡病因介紹
- 營養(yǎng)與代謝障礙皮膚病病因介紹
- 中考政治總復(fù)習(xí)基礎(chǔ)知識(shí)梳理七上第三單元過富有情趣的生活
- 中醫(yī)護(hù)理基本知識(shí)
- 不孕不育知識(shí)普及主題講座
- (2024)液冷服務(wù)器生產(chǎn)建設(shè)項(xiàng)目可行性研究報(bào)告(一)
- 2024-2025學(xué)年人教版九年級(jí)英語復(fù)習(xí) 專題04 閱讀理解之記敘文 【期末必刷15篇】
- 2024-2025學(xué)年人教版八年級(jí)英語上學(xué)期期末復(fù)習(xí) 專題01 Units 1-5 重點(diǎn)詞匯和短語歸納【考點(diǎn)清單】
- 遼寧省鞍山市海城市西部集團(tuán)2024-2025學(xué)年七年級(jí)上學(xué)期12月月考生物試題-A4
- 2024-2025學(xué)年遼寧省錦州市第十二中學(xué)第三次月考化學(xué)問卷-A4
- 【MOOC】中國智慧-華東師范大學(xué) 中國大學(xué)慕課MOOC答案
- 楊家小學(xué)音體美測(cè)查方案范例(2篇)
- 學(xué)期末家長會(huì)
- 統(tǒng)編版(2024)七年級(jí)上冊(cè)道德與法治第四單元追求美好人生測(cè)試卷(含答案)
- 2022-2023學(xué)年廣東省廣州市白云區(qū)九年級(jí)(上)期末語文試卷
- 危險(xiǎn)化學(xué)品生產(chǎn)裝置和儲(chǔ)存設(shè)施風(fēng)險(xiǎn)基準(zhǔn)
- 非遺“潮”起來 課件 2024-2025學(xué)年湘美版(2024)初中美術(shù)七年級(jí)上冊(cè)
- 結(jié)婚婚宴父母答謝詞(3篇)
- 硬筆書法紙(打直接打印)
- 三好學(xué)生競(jìng)選17
- 2024年度-工程造價(jià)培訓(xùn)課件全新
評(píng)論
0/150
提交評(píng)論