信息安全風險評估與風險管理fh

信息安全風險評估與風險管理報告人:范紅二00四年九月2023/1/192匯報內(nèi)容一、前言二、信息安全風險管理概述三、信息安全風險管理各組成部分四、信息安全風險管理的運用五、結束語2023/1/193一、前言

2023/1/194二、信息安全風險管理概述

1、信息安全風險管理的目的和意義2、信息安全風險管理的范圍和對象3、信息安全風險管理的內(nèi)容和過程4、信息安全風險管理與信息系統(tǒng)生命周期和信息安全目標的關系5、信息安全風險管理的角色和責任

2023/1/195二、信息安全風險管理概述

1、信息安全風險管理的目的和意義2、信息安全風險管理的范圍和對象3、信息安全風險管理的內(nèi)容和過程4、信息安全風險管理與信息系統(tǒng)生命周期和信息安全目標的關系5、信息安全風險管理的角色和責任

2023/1/196信息安全風險管理的目的和意義

信息安全風險管理是信息安全保障工作中的一項基礎性工作。

1、信息安全風險管理體現(xiàn)在信息安全保障體系的技術、組織和管理等方面。

2、信息安全風險管理貫穿信息系統(tǒng)生命周期的全部過程。

3、信息安全風險管理依據(jù)等級保護的思想和適度安全的原則，平衡成本與效益，合理部署和利用信息安全的信任體系、監(jiān)控體系和應急處理等重要的基礎設施，確定合適的安全措施，從而確保機構具有完成其使命的信息安全保障能力。2023/1/197二、信息安全風險管理概述

1、信息安全風險管理的目的和意義2、信息安全風險管理的范圍和對象3、信息安全風險管理的內(nèi)容和過程4、信息安全風險管理與信息系統(tǒng)生命周期和信息安全目標的關系5、信息安全風險管理的角色和責任

2023/1/198信息安全風險管理的范圍和對象2023/1/199二、信息安全風險管理概述

1、信息安全風險管理的目的和意義2、信息安全風險管理的范圍和對象3、信息安全風險管理的內(nèi)容和過程4、信息安全風險管理與信息系統(tǒng)生命周期和信息安全目標的關系5、信息安全風險管理的角色和責任

2023/1/1910信息安全風險管理的內(nèi)容和過程2023/1/111二、信息安全全風險管理概概述1、信息安全全風險管理的的目的和意義義2、信息安全全風險管理的的范圍和對象象3、信息安全全風險管理的的內(nèi)容和過程程4、信息安全全風險管理與與信息系統(tǒng)生生命周期和信息安全5、信息安全風險管理的角色和責任

2023/1/1三維維結結構構關關系系2023/1/113二、、信信息息安安全全風風險險管管理理概概述述1、2、信息安全風險管理的范圍和對象3、信息安全風險管理的內(nèi)容和過程4、信息安全風險管理與信息系統(tǒng)生命周期和信息安全目標的關系5、信息安全風險管理的角色和責任

2023/1/114信息息安安全全風風險險管管理理相相關關人人員員的的角角色色和和責責任任層面信息系統(tǒng)信息安全風險管理角色內(nèi)外部責任角色內(nèi)外部責任決策層主管者內(nèi)負責信息系統(tǒng)的重大決策。主管者內(nèi)負責信息安全風險管理的重大決策。管理層管理者內(nèi)負責信息系統(tǒng)的規(guī)劃，以及建設、運行、維護和監(jiān)控等方面的組織和協(xié)調(diào)。管理者內(nèi)負責信息安全風險管理的規(guī)劃，以及實施和監(jiān)控過程中的組織和協(xié)調(diào)。執(zhí)行層建設者內(nèi)或外負責信息系統(tǒng)的設計和實施。執(zhí)行者內(nèi)或外負責信息安全風險管理的實施。運行者內(nèi)負責信息系統(tǒng)的日常運行和操作。維護者內(nèi)或外負責信息系統(tǒng)的日常維護，包括維修和升級。監(jiān)控者內(nèi)負責信息系統(tǒng)的監(jiān)視和控制。監(jiān)控者內(nèi)負責信息安全風險管理過程和結果的監(jiān)視和控制。支持層專業(yè)者外為信息系統(tǒng)提供專業(yè)咨詢、培訓、診斷和工具等服務。專業(yè)者外為信息安全風險管理提供專業(yè)咨詢、培訓、診斷和工具等服務。用戶層使用者內(nèi)或外利用信息系統(tǒng)完成自身的任務。受益者內(nèi)或外反饋信息安全風險管理的效果。2023/1/115三、信信息安安全風風險管管理各各組成成部分分1、對象象確立立2、風險險評估估3、風4、審核批準5、溝通與咨詢6、監(jiān)控與審查2023/1/116三、信息息安全風風險管理理各組成成部分1、對象確確立2、風險評評估3、風險控控制4、審核批批準5、溝通與與咨詢6、監(jiān)控與與審查2023/1/117對象確立立概述對象確立立是信息息安全風風險管理理的第一一步驟，，根據(jù)要要保護系系統(tǒng)的業(yè)業(yè)務目標標和特性性，確定定風險管管理對象象。其目目的是為為了明確確信息安安全風險險管理的的范圍和和對象，，以及對對象的特特性和安安全要求求。2023/1/118對象確立過程程2023/1/119風險管理準備備2023/1/120信息系統(tǒng)調(diào)查查2023/1/121信息系統(tǒng)分析析2023/1/122信息安全分析析2023/1/123對象確立的的文檔階段輸出文檔文檔內(nèi)容風險管理準備《風險管理計劃書》風險管理的目的、意義、范圍、目標、組織結構、經(jīng)費預算和進度安排等。信息系統(tǒng)調(diào)查《信息系統(tǒng)的描述報告》信息系統(tǒng)的業(yè)務目標、業(yè)務特性、管理特性和技術特性等。信息系統(tǒng)分析《信息系統(tǒng)的分析報告》信息系統(tǒng)的體系結構和關鍵要素等。信息安全分析《信息系統(tǒng)的安全要求報告》信息系統(tǒng)的安全環(huán)境和安全要求等。2023/1/124三、信息安安全風險管管理各組成成部分1、對象確立立2、風險評估估3、風險控制制4、審核批準準5、溝通與咨咨詢6、監(jiān)控與審審查2023/1/125風險評估概概述風險評估是是信息安全全風險管理理的第二步步，針對確確立的風險險管理對象象所面臨的的風險進行行識別、分分析和評價價。2023/1/126風險評估估過程2023/1/127風險評估準備備2023/1/128風險因素識別別2023/1/129風險程度分析析2023/1/130風險險等等級級評評價價2023/1/131風險險評評估估的的文文檔檔階段輸出文檔文檔內(nèi)容風險評估準備《風險評估計劃書》風險評估的目的、意義、范圍、目標、組織結構、經(jīng)費預算和進度安排等?！讹L險評估程序》風險評估的工作流程、輸入數(shù)據(jù)和輸出結果等?！度脒x風險評估方法和工具列表》合適的風險評估方法和工具列表。風險因素識別《需要保護的資產(chǎn)清單》對機構使命具有關鍵和重要作用的需要保護的資產(chǎn)清單?！睹媾R的威脅列表》機構的信息資產(chǎn)面臨的威脅列表。《存在的脆弱性列表》機構的信息資產(chǎn)存在的脆弱性列表。2023/1/132風險險評評估估的的文文檔檔風險程度分析《已有安全措施分析報告》確認已有的安全措施，包括技術層面（即物理平臺、系統(tǒng)平臺、通信平臺、網(wǎng)絡平臺和應用平臺）的安全功能、組織層面（即結構、崗位和人員）的安全控制和管理層面（即策略、規(guī)章和制度）的安全對策?！锻{源分析報告》從利益、復仇、好奇和自負等驅使因素，分析威脅源動機的強弱?！锻{行為分析報告》從攻擊的強度、廣度、速度和深度等方面，分析威脅行為能力的高低?！洞嗳跣苑治鰣蟾妗钒赐{/脆弱性對，分析脆弱性被威脅利用的難以程度?！顿Y產(chǎn)價值分析報告》從敏感性、關鍵性和昂貴性等方面，分析資產(chǎn)價值的大小?！队绊懗潭确治鰣蟾妗窂馁Y產(chǎn)損失、使命妨礙和人員傷亡等方面，分析影響程度的深淺。2023/1/133風險險評評估估的的文文檔檔風險等級評價《威脅源等級列表》威脅源動機的等級列表?！锻{行為等級列表》威脅行為能力的等級列表?！洞嗳跣缘燃壛斜怼反嗳跣员焕玫牡燃壛斜??！顿Y產(chǎn)價值等級列表》資產(chǎn)價值的等級列表。《影響程度等級列表》影響程度的等級列表?！讹L險評估報告》匯總上述分析報告和等級列表，綜合評價風險的等級。2023/1/134三、信信息安安全風風險管管理各各組成成部分分1、對象象確立立2、風險險評估估3、風險險控制制4、審核核批準準5、溝通通與咨咨詢6、監(jiān)控控與審審查2023/1/135風險控制概概述風險控制是信信息安全風險險管理的第三三步驟，依據(jù)據(jù)風險評估的的結果，選擇擇和實施合適適的安全措施施。風險控制方式式主要有規(guī)避、轉移和和降低三種方式。2023/1/136風險控制需求求及其相應的的風險控制措措施PPDRR風險控制需求風險控制措施策略Policy設備管理制度建立健全各種安全相關的規(guī)章制定和操作規(guī)范，使得保護、檢測和響應環(huán)節(jié)有章可循、切實有效。機房出入守則系統(tǒng)安全管理守則系統(tǒng)安全配置明細網(wǎng)絡安全管理守則網(wǎng)絡安全配置明細應用安全管理守則應用安全配置明細應急響應計劃安全事件處理準則2023/1/137主要要的的風風險險控控制制需需求求及及其其相相應應的的風風險險控控制制措措施施保護Protection機房嚴格按照GB50174-1993《電子計算機機房設計規(guī)范》、GB9361-1988《計算站場地安全要求》、GB2887-1982《計算機站場地技術要求》和GB/T2887-2000《計算機場地通用規(guī)范》等國家標準建設和維護計算機機房。門控安裝門控系統(tǒng)保安建設保安制度和保安隊伍。電磁屏蔽在必要的地方設置抗電磁干擾和防電磁泄漏的設施。病毒防殺全面部署防病毒系統(tǒng)。漏洞補丁及時下載和安裝最新的漏洞補丁模塊。安全配置嚴格遵守各系統(tǒng)單元的安全配置明細，避免配置中的安全漏洞。身份認證根據(jù)不同的安全強度，分別采用身份標識/口令、數(shù)字鑰匙、數(shù)字證書、生物識別、雙因子等級別的身份認證系統(tǒng)，對設備、用戶、服務等主客體進行身份認證。訪問控制根據(jù)不同的安全強度，分別采用自主型、強制型等級別的訪問控制系統(tǒng)，對設備、用戶等主體訪問客體的權限進行控制。數(shù)據(jù)加密根據(jù)不同的安全強度，分別采用商密、普密、機密等級別的數(shù)據(jù)加密系統(tǒng)，對傳輸數(shù)據(jù)和存儲數(shù)據(jù)進行加密。邊界控制在網(wǎng)絡邊界布置防火墻，阻止來自外界非法訪問。數(shù)字水印對于需要版權保護的圖片、聲音、文字等形式的信息，采用數(shù)字水印技術加以保護。數(shù)字簽名在需要防止事后否認時，可采用數(shù)字簽名技術。內(nèi)容凈化部署內(nèi)容過濾系統(tǒng)。安全機構、安全崗位、安全責任建立健全安全機構，合理設置安全崗位，明確劃分安全責任。2023/1/138主要要的的風風險險控控制制需需求求及及其其相相應應的的風風險險控控制制措措施施檢測Detection監(jiān)視、監(jiān)測和報警在適當?shù)奈恢冒仓帽O(jiān)視器和報警器，在各系統(tǒng)單元中配備監(jiān)測系統(tǒng)和報警系統(tǒng)，以實時發(fā)現(xiàn)安全事件并及時報警。數(shù)據(jù)校驗通過數(shù)據(jù)校驗技術，發(fā)現(xiàn)數(shù)據(jù)篡改。主機入侵檢測部署主機入侵檢測系統(tǒng)，發(fā)現(xiàn)主機入侵行為。主機狀態(tài)監(jiān)測部署主機狀態(tài)監(jiān)測系統(tǒng)，隨時掌握主機運行狀態(tài)。網(wǎng)絡入侵檢測部署網(wǎng)絡入侵檢測系統(tǒng)，發(fā)現(xiàn)網(wǎng)絡入侵行為。網(wǎng)絡狀態(tài)監(jiān)測部署網(wǎng)絡狀態(tài)監(jiān)測系統(tǒng)，隨時掌握網(wǎng)絡運行狀態(tài)。安全審計在各系統(tǒng)單元中配備安全審計，以發(fā)現(xiàn)深層安全漏洞和安全事件。安全監(jiān)督、安全檢查實行持續(xù)有效的安全監(jiān)督，預演應急響應計劃。2023/1/139主要的風風險控制制需求及及其相應應的風險險控制措措施響應Response恢復Recovery故障修復、事故排除確保隨時能夠獲取故障修復和事故排除的技術人員和軟硬件工具。設施備份與恢復對于關鍵設施，配備設施備份與恢復系統(tǒng)。系統(tǒng)備份與恢復對于關鍵系統(tǒng)，配備系統(tǒng)備份與恢復系統(tǒng)。數(shù)據(jù)備份與恢復對于關鍵數(shù)據(jù)，配備數(shù)據(jù)備份與恢復系統(tǒng)。信道備份與恢復對于關鍵信道，配備設信道份與恢復系統(tǒng)。應用備份與恢復對于關鍵應用，配備應用備份與恢復系統(tǒng)。應急響應按照應急響應計劃處理應急事件。安全事件處理按照安全事件處理找出原因、追究責任、總結經(jīng)驗、提出改進。2023/1/140風險控控制過過程2023/1/141現(xiàn)存風風險判判斷2023/1/142控制目標確確立2023/1/143控制措施選選擇2023/1/144控制措施實實施2023/1/145風險控制制的文檔檔階段輸出文檔文檔內(nèi)容現(xiàn)存風險判斷《風險接受等級劃分表》風險接受等級的劃分，即把風險評估得出的風險等級劃分為可接受和不可接受兩種?！冬F(xiàn)存風險接受判斷書》現(xiàn)存風險是否可接受的判斷結果?？刂颇繕舜_立《風險控制需求分析報告》從技術層面（即物理平臺、系統(tǒng)平臺、通信平臺、網(wǎng)絡平臺和應用平臺）、組織層面（即結構、崗位和人員）和管理層面（即策略、規(guī)章和制度），分析風險控制的需求?！讹L險控制目標列表》風險控制目標的列表，包括控制對象及其最低保護等級。2023/1/146風險控制制的文檔檔控制措施選擇《入選風險控制方式說明報告》選擇合適的風險控制方式（包括規(guī)避方式、轉移方式和降低方式），并說明選擇的理由以及被選控制方式的使用方法和注意事項等?！度脒x風險控制措施說明報告》選擇合適的風險控制措施，并說明選擇的理由以及被選控制措施的成本、使用方法和注意事項等?？刂拼胧嵤讹L險控制實施計劃書》風險控制的范圍、對象、目標、組織結構、成本預算和進度安排等?！讹L險控制實施記錄》風險控制措施實施的過程和結果。2023/1/147三、信息息安全風風險管理理各組成成部分1、對象確確立2、風險評評估3、風險控控制4、審核批批準5、溝通與與咨詢6、監(jiān)控與與審查2023/1/148審核批準準概述審核批準準是信息息安全風風險管理理的第四四步驟，，審核批批準包括括審核和和批準兩兩部分：：審核是是指通過過審查、、測試、、評審等等手段，，檢驗風風險評估估和風險險控制的的結果是是否滿足足信息系系統(tǒng)的安安全要求求；批準準是指機機構的決決策層依依據(jù)審核核的結果果，做出出是否認認可的決決定。審核既可可以由機機構內(nèi)部部完成，，也可以以委托外外部專業(yè)業(yè)機構來來完成，，這主要要取決于于信息系系統(tǒng)的性性質和機機構自身身的專業(yè)業(yè)能力。。批準一一般必須須由機構構內(nèi)部或或更高層層的主管管機構的的決策層層來執(zhí)行行。2023/1/149審核批準過程程及其在信息息安全風險管管理中的位置置2023/1/150審核申請2023/1/151審核處理2023/1/152批準申請2023/1/153批準處理2023/1/154持續(xù)監(jiān)監(jiān)督2023/1/155審核批批準的的文檔檔階段輸出文檔文檔內(nèi)容審核申請《審核申請書》審核的范圍、對象、目標和進度要求，以及申請者的基本信息和簽字等?！秾徍瞬牧稀凤L險評估過程和風險控制過程輸出的文檔、軟件和硬件等結果?！秾徍耸芾砘貓?zhí)》同意受理、補充材料的要求和提交時間（如果需要）、審核的進度安排和收費標準，以及審核機構的名稱和簽章等。審核處理《審查結果報告》審查的范圍、對象、意見和結論（即是否通過），以及審查人員的名字和簽字等?！稖y試結果報告》測試的范圍、對象、意見和結論（即是否通過），以及測試人員的名字和簽字等。《專家鑒定報告》鑒定的范圍、對象（及其基本情況）和結論，以及專家名單和簽字等?！秾徍私Y論報告》審核的范圍、對象、意見、結論（即是否通過）和有效期，以及審核機構的名稱和簽章等。2023/1/156審核批批準的的文檔檔批準申請《批準申請書》批準的范圍、對象和期望，以及申請者的基本信息和簽字等?！杜鷾适芾砘貓?zhí)》同意受理、補充材料的要求和提交時間（如果需要），以及批準機構的名稱和簽章等。批準處理《批準決定書》批準的范圍、對象、意見、結論（即是否通過）和有效期，以及批準機構的名稱和簽章等。持續(xù)監(jiān)督《審核到期通知書》到期的時間和重新申請的要求，以及審核機構的名稱和簽章?！杜鷾实狡谕ㄖ獣返狡诘臅r間和重新申請的要求，以及批準機構的名稱和簽章。《機構變化因素的描述報告》機構及其信息系統(tǒng)變化因素的列表、說明和安全隱患分析等?！董h(huán)境變化因素的描述報告》信息安全相關環(huán)境變化因素的列表、說明和安全隱患分析等。2023/1/157三、信信息安安全風風險管管理各各組成成部分分1、對象象確立立2、風險險評估估3、風險險控制制4、審核核批準準5、監(jiān)控控與審審查6、溝通通與咨咨詢2023/1/158監(jiān)控控與與審審查查的的概概述述監(jiān)控控與與審審查查對對信信息息安安全全風風險險管管理理主主循循環(huán)環(huán)的的四四個個步步驟驟（（即即對對象象確確立立、、風風險險評評估估、、風風險險控控制制和和審審核核批批準準））進進行行監(jiān)監(jiān)控控和和審審查查。。監(jiān)監(jiān)控控是是監(jiān)監(jiān)視視和和控控制制，，一一是是監(jiān)監(jiān)視視和和控控制制風風險險管管理理過過程程，，即即過過程程質質量量管管理理，，以以保保證證過過程程的的有有效效性性；；二二是是分分析析和和平平衡衡成成本本效效益益，，即即成成本本效效益益管管理理，，以以保保證證成成本本的的有有效效性性。。審審查查是是跟跟蹤蹤受受保保護護系系統(tǒng)統(tǒng)自自身身或或所所處處環(huán)環(huán)境境的的變變化化，，以以保保證證結結果果的的有有效效性性。。2023/1/159監(jiān)控控與與審審查查過過程程2023/1/160貫穿穿對對象象確確立立階段監(jiān)控審查過程有效性成本有效性結果有效性風險管理準備風險管理計劃制定的流程及其相關文檔風險管理計劃的成本與效果《風險管理計劃書》的時效信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查的流程及其相關文檔信息系統(tǒng)調(diào)查的成本與效果《信息系統(tǒng)的描述報告》的時效信息系統(tǒng)分析信息系統(tǒng)分析的流程及其相關文檔信息系統(tǒng)分析的成本與效果《信息系統(tǒng)的分析報告》的時效信息安全分析信息系統(tǒng)安全要求分析的流程及其相關文檔信息系統(tǒng)安全要求分析的成本與效果《信息系統(tǒng)的安全要求報告》的時效2023/1/161貫穿風險險評估階段監(jiān)控審查過程有效性成本有效性結果有效性風險評估準備風險評估的計劃制定、程序確定以及方法和工具選擇的流程及其相關文檔風險評估的計劃、程序以及入選方法和工具的成本與效果《風險評估計劃》、《風險評估程序》和《入選風險評估方法和工具列表》的時效風險因素識別資產(chǎn)、威脅列和脆弱性識別的流程及其相關文檔資產(chǎn)、威脅列和脆弱性識別的成本與效果《需要保護的資產(chǎn)清單》、《面臨的威脅列表》和《存在的脆弱性列表》的時效2023/1/162貫穿風險評估估風險程度分析已有安全措施、威脅源、威脅行為、脆弱性、資產(chǎn)價值和影響程度分析的流程及其相關文檔已有安全措施、威脅源、威脅行為、脆弱性、資產(chǎn)價值和影響程度分析的成本與效果《已有安全措施分析報告》、《威脅源分析報告》、《威脅行為分析報告》、《脆弱性分析報告》、《資產(chǎn)價值分析報告》和《影響程度分析報告》的時效風險等級評價威脅源等級、威脅行為等級、脆弱性等級、資產(chǎn)價值等級和影響程度等級評價以及《風險評估報告》生成的流程及其相關文檔威脅源等級、威脅行為等級、脆弱性等級、資產(chǎn)價值等級和影響程度等級評價以及《風險評估報告》生成的成本與效果《威脅源等級列表》、《威脅行為等級列表》、《脆弱性等級列表》、《資產(chǎn)價值等級列表》、《影響程度等級列表》和《風險評估報告》的時效2023/1/163貫穿風險控制制階段監(jiān)控審查過程有效性成本有效性結果有效性現(xiàn)存風險判斷可接受風險等級確定和現(xiàn)存風險接受判斷的流程及其相關文檔可接受風險等級確定和現(xiàn)存風險接受判斷的成本與效果《風險接受等級劃分表》和《現(xiàn)存風險接受判斷書》的時效控制目標確立風險控制需求分析和風險控制目標確立的流程及其相關文檔風險控制需求分析和風險控制目標確立的成本與效果《風險控制需求分析報告》和《風險控制目標列表》的時效2023/1/164貫穿風險控制制控制措施選擇風險控制方式和措施選擇的流程及其相關文檔入選風險控制方式和措施的成本與效果《入選風險控制方式說明報告》和《入選風險控制措施說明報告》的時效控制措施實施風險控制實施計劃制定和風險控制措施實施的流程及其相關文檔風險控制實施計劃制定和風險控制措施實施的成本與效果《風險控制實施計劃書》和《風險控制實施記錄》的時效2023/1/165貫穿審核批批準階段監(jiān)控審查過程有效性成本有效性結果有效性審核申請審核申請和受理的流程及其相關文檔審核申請和受理的成本與效果《審核申請書》、《審核材料》和《審核受理回執(zhí)》的時效審核處理審核材料審查、審核對象測試、專家鑒定和審核結論給出的流程及其相關文檔審核材料審查、審核對象測試、專家鑒定和審核結論給出的成本與效果《審查結果報告》、《測試結果報告》、《專家鑒定報告》和《審核結論報告》的時效2023/1/166貫穿審核批批準批準申請批準申請和受理的流程及其相關文檔批準申請和受理的成本與效果《批準申請書》和《批準受理回執(zhí)》的時效批準處理審閱批準材料和批準決定做出的流程及其相關文檔審閱批準材料和批準決定做出的成本與效果《批準決定書》的時效持續(xù)監(jiān)督《審核結論報告》和《批準決定書》到期檢查和機構及其環(huán)境變化檢查的流程及其相關文檔《審核結論報告》和《批準決定書》到期檢查和機構及其環(huán)境變化檢查的成本與效果《機構變化因素的描述報告》和《環(huán)境變化因素的描述報告》的時效2023/1/167監(jiān)控與審查查的文檔過程輸出文檔文檔內(nèi)容對象確立《對象確立的監(jiān)控與審查記錄》對象確立過程中監(jiān)控和審查的范圍、對象、時間、過程、結果和措施等。風險評估《風險評估的監(jiān)控與審查記錄》風險評估過程中監(jiān)控和審查的范圍、對象、時間、過程、結果和措施等。風險控制《風險控制的監(jiān)控與審查記錄》風險控制過程中監(jiān)控和審查的范圍、對象、時間、過程、結果和措施等。審核批準《審核批準的監(jiān)控與審查記錄》審核批準過程中監(jiān)控和審查的范圍、對象、時間、過程、結果和措施等。2023/1/168三、信息安全全風險管理各各組成部分1、對象確立2、風險評估3、風險控制4、審核批準5、監(jiān)控與審查查6、溝通與咨詢詢2023/1/169溝通與咨詢的的概述溝通與咨詢?yōu)闉樾畔踩L風險管理主循循環(huán)的四個步步驟（即對象象確立、風險險評估、風險險控制和審核核批準）中相相關人員提供供溝通和咨詢詢。溝通是為為直接參與人人員提供交流流途徑，以保保持他們之間間的協(xié)調(diào)一致致，共同實現(xiàn)現(xiàn)安全目標。。咨詢是為所所有相關人員員提供學習途途徑，以提高高他們的風險險意識、知識識和技能，配配合實現(xiàn)安全全目標。2023/1/170溝通與與咨詢詢的方方式方式接受方?jīng)Q策層管理層執(zhí)行層支持層用戶層發(fā)出方?jīng)Q策層交流指導和檢查指導和檢查表態(tài)表態(tài)管理層匯報交流指導和檢查宣傳和介紹宣傳和介紹執(zhí)行層匯報匯報交流宣傳和介紹培訓和咨詢支持層培訓和咨詢培訓和咨詢培訓和咨詢交流培訓和咨詢用戶層反饋反饋反饋反饋交流2023/1/171溝通與與咨詢詢的過過程2023/1/172貫穿對對象確確立階段參與人員涉及內(nèi)容信息系統(tǒng)信息安全風險管理風險管理準備決策層決策層管理層《風險管理計劃書》信息系統(tǒng)調(diào)查管理層執(zhí)行層支持層管理層執(zhí)行層《信息系統(tǒng)的描述報告》信息系統(tǒng)分析管理層執(zhí)行層支持層管理層執(zhí)行層《信息系統(tǒng)的分析報告》信息安全分析管理層執(zhí)行層支持層《信息系統(tǒng)的安全要求報告》2023/1/173貫穿風風險評評估階段參與人員涉及內(nèi)容信息系統(tǒng)信息安全風險管理風險評估準備決策層決策層管理層《風險評估計劃》管理層管理層執(zhí)行層支持層《風險評估程序》《入選風險評估方法和工具列表》風險因素識別管理層執(zhí)行層執(zhí)行層支持層《需要保護的資產(chǎn)清單》《面臨的威脅列表》《存在的脆弱性列表》2023/1/174貫穿風險險評估風險程度分析管理層執(zhí)行層執(zhí)行層支持層《已有安全措施分析報告》《威脅源分析報告》《威脅行為分析報告》《脆弱性分析報告》《資產(chǎn)價值分析報告》《影響程度分析報告》風險等級評價執(zhí)行層支持層《威脅源等級列表》《威脅行為等級列表》《脆弱性等級列表》《資產(chǎn)價值等級列表》《影響程度等級列表》《風險評估報告》2023/1/175貫穿風險險控制階段參與人員涉及內(nèi)容信息系統(tǒng)信息安全風險管理現(xiàn)存風險判斷決策層管理層決策層管理層執(zhí)行層支持層《風險接受等級劃分表》《現(xiàn)存風險接受判斷書》控制目標確立管理層管理層執(zhí)行層支持層《風險控制需求分析報告》《風險控制目標列表》2023/1/176貫穿風險控控制控制措施選擇執(zhí)行層支持層《入選風險控制方式說明報告》《入選風險控制措施說明報告》控制措施實施管理層執(zhí)行層管理層執(zhí)行層支持層《風險控制實施計劃書》《風險控制實施記錄》2023/1/177貫穿審核批批準階段參與人員涉及內(nèi)容信息系統(tǒng)信息安全風險管理審核申請決策層管理層執(zhí)行層《審核申請書》《審核材料》《審核受理回執(zhí)》審核處理管理層執(zhí)行層支持層《審查結果報告》《測試結果報告》《專家鑒定報告》《審核結論報告》2023/1/178貫穿審核批批準批準申請決策層管理層執(zhí)行層《批準申請書》《批準受理回執(zhí)》批準處理決策層決策層管理層《批準決定書》持續(xù)監(jiān)督管理層執(zhí)行層管理層執(zhí)行層《機構變化因素的描述報告》《環(huán)境變化因素的描述報告》2023/1/179溝通通與與咨咨詢詢的的文文檔檔過程輸出文檔文檔內(nèi)容對象確立《對象確立的溝通與咨詢記錄》對象確立過程中溝通和咨詢的范圍、對象、時間、內(nèi)容和結果等。風險評估《風險評估的溝通與咨詢記錄》風險評估過程中溝通和咨詢的范圍、對象、時間、內(nèi)容和結果等。風險控制《風險控制的溝通與咨詢記錄》風險控制過程中溝通和咨詢的范圍、對象、時間、內(nèi)容和結果等。審核批準《審核批準的溝通與咨詢記錄》審核批準過程中溝通和咨詢的范圍、對象、時間、內(nèi)容和結果等。2023/1/180四、、信信息息安安全全風風險險管管理理的的運運用用1、規(guī)規(guī)劃劃階階段段2、設設計計階階段段3、實實施施階階段段4、運運維維階階段段5、廢廢棄棄階階段段2023/1/181四、信息安全全風險管理的的運用1、規(guī)劃階段2、設計階段3、實施階段4、運維階段5、廢棄階段2023/1/182安全需求和目目標明確安全總體體方針確保安全總體體方針源自業(yè)業(yè)務期望明確項目范圍圍清晰描述項目目范圍內(nèi)所涉涉及系統(tǒng)的安安全現(xiàn)狀提交明確的安安全需求文檔檔清晰描述從系系統(tǒng)的那些層層次進行安全全實現(xiàn)對實現(xiàn)的可能能性進行充分分分析、論證證明確評價準則則并達成一致致2023/1/183風險險管管理理的的過過程程概概述述在項項目目規(guī)規(guī)劃劃階階段段，，風風險險管管理理者者應應能能清清楚楚、、準準確確地地描描述述機機構構的的安安全全總總體體方方針針、、安安全全策策略略、、風風險險管管理理范范圍圍、、當當前前正正在在進進行行的的或或計計劃劃中中將將要要執(zhí)執(zhí)行行的的風風險險管管理理活活動動以以及及當當前前特特殊殊安安全全要要求求等等。。2023/1/184風險險管管理理的的活活動動序號風險管理活動所處風險管理流程1明確安全總體方針對象確立2安全需求分析對象確立、風險評估3風險評價準則達成一致風險控制、審核批準2023/1/185四、信息息安全風風險管理理的運用用1、規(guī)劃階階段2、設計階階段3、實施階階段4、運維階階段5、廢棄階階段2023/1/186安全需求求和目標標對用以實實現(xiàn)安全全系統(tǒng)的的各類技技術進行行有效性性評估。。對用于實實施方案案的產(chǎn)品品需滿足足安全保保護等級級的要求求對自開發(fā)發(fā)的軟件件要在結結構設計計階段就就充分考考慮安全全風險2023/1/187風險管理的的過程概述述在設計階段段，風險管管理者應能能標識出在在項目結構構實現(xiàn)過程程中潛在的的安全風險險，為設計計說明中的的安全性設設計提供評評判依據(jù)，，并對實施施方案中選選擇的產(chǎn)品品進行合格格檢查，確確保項目設設計階段的的重要環(huán)節(jié)節(jié)均能得到到較好的安安全風險控控制。2023/1/188風險管理的的活動序號風險管理活動所處風險管理流程1安全技術選擇風險控制2安全產(chǎn)品選擇風險控制3軟件設計風險控制風險控制2023/1/189四、信息安安全風險管管理的運用用1、規(guī)劃階段段2、設計階段段3、實施階段段4、運維階段段5、廢棄階段段2023/1/190安全需需求和和目標標實施階階段是是按照照規(guī)劃劃和設設計階階段所所定義義的信信息系系統(tǒng)實實施方方案，，采購購設備備和軟軟件，，開發(fā)發(fā)定制制功能能，集集成、、部署署、配配置和和測試試系統(tǒng)統(tǒng)，培培訓人人員，，并對對是否否允許許系統(tǒng)統(tǒng)投入入運行行進行行審核核批準準。2023/1/191風險管理的的過程概述述實施階段的的風險管理理主要活動動包括檢查查與配置、、安全測試試、人員培培訓及授權權運行，