信息安全風(fēng)險(xiǎn)評估與風(fēng)險(xiǎn)管理fh

信息安全風(fēng)險(xiǎn)評估與風(fēng)險(xiǎn)管理報(bào)告人:范紅二00四年九月2023/1/192匯報(bào)內(nèi)容一、前言二、信息安全風(fēng)險(xiǎn)管理概述三、信息安全風(fēng)險(xiǎn)管理各組成部分四、信息安全風(fēng)險(xiǎn)管理的運(yùn)用五、結(jié)束語2023/1/193一、前言

2023/1/194二、信息安全風(fēng)險(xiǎn)管理概述

1、信息安全風(fēng)險(xiǎn)管理的目的和意義2、信息安全風(fēng)險(xiǎn)管理的范圍和對象3、信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程4、信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系5、信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任

2023/1/195二、信息安全風(fēng)險(xiǎn)管理概述

1、信息安全風(fēng)險(xiǎn)管理的目的和意義2、信息安全風(fēng)險(xiǎn)管理的范圍和對象3、信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程4、信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系5、信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任

2023/1/196信息安全風(fēng)險(xiǎn)管理的目的和意義

信息安全風(fēng)險(xiǎn)管理是信息安全保障工作中的一項(xiàng)基礎(chǔ)性工作。

1、信息安全風(fēng)險(xiǎn)管理體現(xiàn)在信息安全保障體系的技術(shù)、組織和管理等方面。

2、信息安全風(fēng)險(xiǎn)管理貫穿信息系統(tǒng)生命周期的全部過程。

3、信息安全風(fēng)險(xiǎn)管理依據(jù)等級保護(hù)的思想和適度安全的原則，平衡成本與效益，合理部署和利用信息安全的信任體系、監(jiān)控體系和應(yīng)急處理等重要的基礎(chǔ)設(shè)施，確定合適的安全措施，從而確保機(jī)構(gòu)具有完成其使命的信息安全保障能力。2023/1/197二、信息安全風(fēng)險(xiǎn)管理概述

1、信息安全風(fēng)險(xiǎn)管理的目的和意義2、信息安全風(fēng)險(xiǎn)管理的范圍和對象3、信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程4、信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系5、信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任

2023/1/198信息安全風(fēng)險(xiǎn)管理的范圍和對象2023/1/199二、信息安全風(fēng)險(xiǎn)管理概述

1、信息安全風(fēng)險(xiǎn)管理的目的和意義2、信息安全風(fēng)險(xiǎn)管理的范圍和對象3、信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程4、信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系5、信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任

2023/1/1910信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程2023/1/111二、信息安全全風(fēng)險(xiǎn)管理概概述1、信息安全全風(fēng)險(xiǎn)管理的的目的和意義義2、信息安全全風(fēng)險(xiǎn)管理的的范圍和對象象3、信息安全全風(fēng)險(xiǎn)管理的的內(nèi)容和過程程4、信息安全全風(fēng)險(xiǎn)管理與與信息系統(tǒng)生生命周期和信息安全5、信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任

2023/1/1三維維結(jié)結(jié)構(gòu)構(gòu)關(guān)關(guān)系系2023/1/113二、、信信息息安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理概概述述1、2、信息安全風(fēng)險(xiǎn)管理的范圍和對象3、信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程4、信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系5、信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任

2023/1/114信息息安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理相相關(guān)關(guān)人人員員的的角角色色和和責(zé)責(zé)任任層面信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理角色內(nèi)外部責(zé)任角色內(nèi)外部責(zé)任決策層主管者內(nèi)負(fù)責(zé)信息系統(tǒng)的重大決策。主管者內(nèi)負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的重大決策。管理層管理者內(nèi)負(fù)責(zé)信息系統(tǒng)的規(guī)劃，以及建設(shè)、運(yùn)行、維護(hù)和監(jiān)控等方面的組織和協(xié)調(diào)。管理者內(nèi)負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的規(guī)劃，以及實(shí)施和監(jiān)控過程中的組織和協(xié)調(diào)。執(zhí)行層建設(shè)者內(nèi)或外負(fù)責(zé)信息系統(tǒng)的設(shè)計(jì)和實(shí)施。執(zhí)行者內(nèi)或外負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的實(shí)施。運(yùn)行者內(nèi)負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行和操作。維護(hù)者內(nèi)或外負(fù)責(zé)信息系統(tǒng)的日常維護(hù)，包括維修和升級。監(jiān)控者內(nèi)負(fù)責(zé)信息系統(tǒng)的監(jiān)視和控制。監(jiān)控者內(nèi)負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理過程和結(jié)果的監(jiān)視和控制。支持層專業(yè)者外為信息系統(tǒng)提供專業(yè)咨詢、培訓(xùn)、診斷和工具等服務(wù)。專業(yè)者外為信息安全風(fēng)險(xiǎn)管理提供專業(yè)咨詢、培訓(xùn)、診斷和工具等服務(wù)。用戶層使用者內(nèi)或外利用信息系統(tǒng)完成自身的任務(wù)。受益者內(nèi)或外反饋信息安全風(fēng)險(xiǎn)管理的效果。2023/1/115三、信信息安安全風(fēng)風(fēng)險(xiǎn)管管理各各組成成部分分1、對象象確立立2、風(fēng)險(xiǎn)險(xiǎn)評估估3、風(fēng)4、審核批準(zhǔn)5、溝通與咨詢6、監(jiān)控與審查2023/1/116三、信息息安全風(fēng)風(fēng)險(xiǎn)管理理各組成成部分1、對象確確立2、風(fēng)險(xiǎn)評評估3、風(fēng)險(xiǎn)控控制4、審核批批準(zhǔn)5、溝通與與咨詢6、監(jiān)控與與審查2023/1/117對象確立立概述對象確立立是信息息安全風(fēng)風(fēng)險(xiǎn)管理理的第一一步驟，，根據(jù)要要保護(hù)系系統(tǒng)的業(yè)業(yè)務(wù)目標(biāo)標(biāo)和特性性，確定定風(fēng)險(xiǎn)管管理對象象。其目目的是為為了明確確信息安安全風(fēng)險(xiǎn)險(xiǎn)管理的的范圍和和對象，，以及對對象的特特性和安安全要求求。2023/1/118對象確立過程程2023/1/119風(fēng)險(xiǎn)管理準(zhǔn)備備2023/1/120信息系統(tǒng)調(diào)查查2023/1/121信息系統(tǒng)分析析2023/1/122信息安全分析析2023/1/123對象確立的的文檔階段輸出文檔文檔內(nèi)容風(fēng)險(xiǎn)管理準(zhǔn)備《風(fēng)險(xiǎn)管理計(jì)劃書》風(fēng)險(xiǎn)管理的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等。信息系統(tǒng)調(diào)查《信息系統(tǒng)的描述報(bào)告》信息系統(tǒng)的業(yè)務(wù)目標(biāo)、業(yè)務(wù)特性、管理特性和技術(shù)特性等。信息系統(tǒng)分析《信息系統(tǒng)的分析報(bào)告》信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素等。信息安全分析《信息系統(tǒng)的安全要求報(bào)告》信息系統(tǒng)的安全環(huán)境和安全要求等。2023/1/124三、信息安安全風(fēng)險(xiǎn)管管理各組成成部分1、對象確立立2、風(fēng)險(xiǎn)評估估3、風(fēng)險(xiǎn)控制制4、審核批準(zhǔn)準(zhǔn)5、溝通與咨咨詢6、監(jiān)控與審審查2023/1/125風(fēng)險(xiǎn)評估概概述風(fēng)險(xiǎn)評估是是信息安全全風(fēng)險(xiǎn)管理理的第二步步，針對確確立的風(fēng)險(xiǎn)險(xiǎn)管理對象象所面臨的的風(fēng)險(xiǎn)進(jìn)行行識別、分分析和評價(jià)價(jià)。2023/1/126風(fēng)險(xiǎn)評估估過程2023/1/127風(fēng)險(xiǎn)評估準(zhǔn)備備2023/1/128風(fēng)險(xiǎn)因素識別別2023/1/129風(fēng)險(xiǎn)程度分析析2023/1/130風(fēng)險(xiǎn)險(xiǎn)等等級級評評價(jià)價(jià)2023/1/131風(fēng)險(xiǎn)險(xiǎn)評評估估的的文文檔檔階段輸出文檔文檔內(nèi)容風(fēng)險(xiǎn)評估準(zhǔn)備《風(fēng)險(xiǎn)評估計(jì)劃書》風(fēng)險(xiǎn)評估的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等?！讹L(fēng)險(xiǎn)評估程序》風(fēng)險(xiǎn)評估的工作流程、輸入數(shù)據(jù)和輸出結(jié)果等?！度脒x風(fēng)險(xiǎn)評估方法和工具列表》合適的風(fēng)險(xiǎn)評估方法和工具列表。風(fēng)險(xiǎn)因素識別《需要保護(hù)的資產(chǎn)清單》對機(jī)構(gòu)使命具有關(guān)鍵和重要作用的需要保護(hù)的資產(chǎn)清單?！睹媾R的威脅列表》機(jī)構(gòu)的信息資產(chǎn)面臨的威脅列表?！洞嬖诘拇嗳跣粤斜怼窓C(jī)構(gòu)的信息資產(chǎn)存在的脆弱性列表。2023/1/132風(fēng)險(xiǎn)險(xiǎn)評評估估的的文文檔檔風(fēng)險(xiǎn)程度分析《已有安全措施分析報(bào)告》確認(rèn)已有的安全措施，包括技術(shù)層面（即物理平臺、系統(tǒng)平臺、通信平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺）的安全功能、組織層面（即結(jié)構(gòu)、崗位和人員）的安全控制和管理層面（即策略、規(guī)章和制度）的安全對策?！锻{源分析報(bào)告》從利益、復(fù)仇、好奇和自負(fù)等驅(qū)使因素，分析威脅源動機(jī)的強(qiáng)弱?！锻{行為分析報(bào)告》從攻擊的強(qiáng)度、廣度、速度和深度等方面，分析威脅行為能力的高低。《脆弱性分析報(bào)告》按威脅/脆弱性對，分析脆弱性被威脅利用的難以程度?！顿Y產(chǎn)價(jià)值分析報(bào)告》從敏感性、關(guān)鍵性和昂貴性等方面，分析資產(chǎn)價(jià)值的大小。《影響程度分析報(bào)告》從資產(chǎn)損失、使命妨礙和人員傷亡等方面，分析影響程度的深淺。2023/1/133風(fēng)險(xiǎn)險(xiǎn)評評估估的的文文檔檔風(fēng)險(xiǎn)等級評價(jià)《威脅源等級列表》威脅源動機(jī)的等級列表?！锻{行為等級列表》威脅行為能力的等級列表?！洞嗳跣缘燃壛斜怼反嗳跣员焕玫牡燃壛斜??！顿Y產(chǎn)價(jià)值等級列表》資產(chǎn)價(jià)值的等級列表?！队绊懗潭鹊燃壛斜怼酚绊懗潭鹊牡燃壛斜怼！讹L(fēng)險(xiǎn)評估報(bào)告》匯總上述分析報(bào)告和等級列表，綜合評價(jià)風(fēng)險(xiǎn)的等級。2023/1/134三、信信息安安全風(fēng)風(fēng)險(xiǎn)管管理各各組成成部分分1、對象象確立立2、風(fēng)險(xiǎn)險(xiǎn)評估估3、風(fēng)險(xiǎn)險(xiǎn)控制制4、審核核批準(zhǔn)準(zhǔn)5、溝通通與咨咨詢6、監(jiān)控控與審審查2023/1/135風(fēng)險(xiǎn)控制概概述風(fēng)險(xiǎn)控制是信信息安全風(fēng)險(xiǎn)險(xiǎn)管理的第三三步驟，依據(jù)據(jù)風(fēng)險(xiǎn)評估的的結(jié)果，選擇擇和實(shí)施合適適的安全措施施。風(fēng)險(xiǎn)控制方式式主要有規(guī)避、轉(zhuǎn)移和和降低三種方式。2023/1/136風(fēng)險(xiǎn)控制需求求及其相應(yīng)的的風(fēng)險(xiǎn)控制措措施PPDRR風(fēng)險(xiǎn)控制需求風(fēng)險(xiǎn)控制措施策略Policy設(shè)備管理制度建立健全各種安全相關(guān)的規(guī)章制定和操作規(guī)范，使得保護(hù)、檢測和響應(yīng)環(huán)節(jié)有章可循、切實(shí)有效。機(jī)房出入守則系統(tǒng)安全管理守則系統(tǒng)安全配置明細(xì)網(wǎng)絡(luò)安全管理守則網(wǎng)絡(luò)安全配置明細(xì)應(yīng)用安全管理守則應(yīng)用安全配置明細(xì)應(yīng)急響應(yīng)計(jì)劃安全事件處理準(zhǔn)則2023/1/137主要要的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)控控制制需需求求及及其其相相應(yīng)應(yīng)的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)控控制制措措施施保護(hù)Protection機(jī)房嚴(yán)格按照GB50174-1993《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、GB9361-1988《計(jì)算站場地安全要求》、GB2887-1982《計(jì)算機(jī)站場地技術(shù)要求》和GB/T2887-2000《計(jì)算機(jī)場地通用規(guī)范》等國家標(biāo)準(zhǔn)建設(shè)和維護(hù)計(jì)算機(jī)機(jī)房。門控安裝門控系統(tǒng)保安建設(shè)保安制度和保安隊(duì)伍。電磁屏蔽在必要的地方設(shè)置抗電磁干擾和防電磁泄漏的設(shè)施。病毒防殺全面部署防病毒系統(tǒng)。漏洞補(bǔ)丁及時(shí)下載和安裝最新的漏洞補(bǔ)丁模塊。安全配置嚴(yán)格遵守各系統(tǒng)單元的安全配置明細(xì)，避免配置中的安全漏洞。身份認(rèn)證根據(jù)不同的安全強(qiáng)度，分別采用身份標(biāo)識/口令、數(shù)字鑰匙、數(shù)字證書、生物識別、雙因子等級別的身份認(rèn)證系統(tǒng)，對設(shè)備、用戶、服務(wù)等主客體進(jìn)行身份認(rèn)證。訪問控制根據(jù)不同的安全強(qiáng)度，分別采用自主型、強(qiáng)制型等級別的訪問控制系統(tǒng)，對設(shè)備、用戶等主體訪問客體的權(quán)限進(jìn)行控制。數(shù)據(jù)加密根據(jù)不同的安全強(qiáng)度，分別采用商密、普密、機(jī)密等級別的數(shù)據(jù)加密系統(tǒng)，對傳輸數(shù)據(jù)和存儲數(shù)據(jù)進(jìn)行加密。邊界控制在網(wǎng)絡(luò)邊界布置防火墻，阻止來自外界非法訪問。數(shù)字水印對于需要版權(quán)保護(hù)的圖片、聲音、文字等形式的信息，采用數(shù)字水印技術(shù)加以保護(hù)。數(shù)字簽名在需要防止事后否認(rèn)時(shí)，可采用數(shù)字簽名技術(shù)。內(nèi)容凈化部署內(nèi)容過濾系統(tǒng)。安全機(jī)構(gòu)、安全崗位、安全責(zé)任建立健全安全機(jī)構(gòu)，合理設(shè)置安全崗位，明確劃分安全責(zé)任。2023/1/138主要要的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)控控制制需需求求及及其其相相應(yīng)應(yīng)的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)控控制制措措施施檢測Detection監(jiān)視、監(jiān)測和報(bào)警在適當(dāng)?shù)奈恢冒仓帽O(jiān)視器和報(bào)警器，在各系統(tǒng)單元中配備監(jiān)測系統(tǒng)和報(bào)警系統(tǒng)，以實(shí)時(shí)發(fā)現(xiàn)安全事件并及時(shí)報(bào)警。數(shù)據(jù)校驗(yàn)通過數(shù)據(jù)校驗(yàn)技術(shù)，發(fā)現(xiàn)數(shù)據(jù)篡改。主機(jī)入侵檢測部署主機(jī)入侵檢測系統(tǒng)，發(fā)現(xiàn)主機(jī)入侵行為。主機(jī)狀態(tài)監(jiān)測部署主機(jī)狀態(tài)監(jiān)測系統(tǒng)，隨時(shí)掌握主機(jī)運(yùn)行狀態(tài)。網(wǎng)絡(luò)入侵檢測部署網(wǎng)絡(luò)入侵檢測系統(tǒng)，發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為。網(wǎng)絡(luò)狀態(tài)監(jiān)測部署網(wǎng)絡(luò)狀態(tài)監(jiān)測系統(tǒng)，隨時(shí)掌握網(wǎng)絡(luò)運(yùn)行狀態(tài)。安全審計(jì)在各系統(tǒng)單元中配備安全審計(jì)，以發(fā)現(xiàn)深層安全漏洞和安全事件。安全監(jiān)督、安全檢查實(shí)行持續(xù)有效的安全監(jiān)督，預(yù)演應(yīng)急響應(yīng)計(jì)劃。2023/1/139主要的風(fēng)風(fēng)險(xiǎn)控制制需求及及其相應(yīng)應(yīng)的風(fēng)險(xiǎn)險(xiǎn)控制措措施響應(yīng)Response恢復(fù)Recovery故障修復(fù)、事故排除確保隨時(shí)能夠獲取故障修復(fù)和事故排除的技術(shù)人員和軟硬件工具。設(shè)施備份與恢復(fù)對于關(guān)鍵設(shè)施，配備設(shè)施備份與恢復(fù)系統(tǒng)。系統(tǒng)備份與恢復(fù)對于關(guān)鍵系統(tǒng)，配備系統(tǒng)備份與恢復(fù)系統(tǒng)。數(shù)據(jù)備份與恢復(fù)對于關(guān)鍵數(shù)據(jù)，配備數(shù)據(jù)備份與恢復(fù)系統(tǒng)。信道備份與恢復(fù)對于關(guān)鍵信道，配備設(shè)信道份與恢復(fù)系統(tǒng)。應(yīng)用備份與恢復(fù)對于關(guān)鍵應(yīng)用，配備應(yīng)用備份與恢復(fù)系統(tǒng)。應(yīng)急響應(yīng)按照應(yīng)急響應(yīng)計(jì)劃處理應(yīng)急事件。安全事件處理按照安全事件處理找出原因、追究責(zé)任、總結(jié)經(jīng)驗(yàn)、提出改進(jìn)。2023/1/140風(fēng)險(xiǎn)控控制過過程2023/1/141現(xiàn)存風(fēng)風(fēng)險(xiǎn)判判斷2023/1/142控制目標(biāo)確確立2023/1/143控制措施選選擇2023/1/144控制措施實(shí)實(shí)施2023/1/145風(fēng)險(xiǎn)控制制的文檔檔階段輸出文檔文檔內(nèi)容現(xiàn)存風(fēng)險(xiǎn)判斷《風(fēng)險(xiǎn)接受等級劃分表》風(fēng)險(xiǎn)接受等級的劃分，即把風(fēng)險(xiǎn)評估得出的風(fēng)險(xiǎn)等級劃分為可接受和不可接受兩種?！冬F(xiàn)存風(fēng)險(xiǎn)接受判斷書》現(xiàn)存風(fēng)險(xiǎn)是否可接受的判斷結(jié)果?？刂颇繕?biāo)確立《風(fēng)險(xiǎn)控制需求分析報(bào)告》從技術(shù)層面（即物理平臺、系統(tǒng)平臺、通信平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺）、組織層面（即結(jié)構(gòu)、崗位和人員）和管理層面（即策略、規(guī)章和制度），分析風(fēng)險(xiǎn)控制的需求。《風(fēng)險(xiǎn)控制目標(biāo)列表》風(fēng)險(xiǎn)控制目標(biāo)的列表，包括控制對象及其最低保護(hù)等級。2023/1/146風(fēng)險(xiǎn)控制制的文檔檔控制措施選擇《入選風(fēng)險(xiǎn)控制方式說明報(bào)告》選擇合適的風(fēng)險(xiǎn)控制方式（包括規(guī)避方式、轉(zhuǎn)移方式和降低方式），并說明選擇的理由以及被選控制方式的使用方法和注意事項(xiàng)等?！度脒x風(fēng)險(xiǎn)控制措施說明報(bào)告》選擇合適的風(fēng)險(xiǎn)控制措施，并說明選擇的理由以及被選控制措施的成本、使用方法和注意事項(xiàng)等。控制措施實(shí)施《風(fēng)險(xiǎn)控制實(shí)施計(jì)劃書》風(fēng)險(xiǎn)控制的范圍、對象、目標(biāo)、組織結(jié)構(gòu)、成本預(yù)算和進(jìn)度安排等?！讹L(fēng)險(xiǎn)控制實(shí)施記錄》風(fēng)險(xiǎn)控制措施實(shí)施的過程和結(jié)果。2023/1/147三、信息息安全風(fēng)風(fēng)險(xiǎn)管理理各組成成部分1、對象確確立2、風(fēng)險(xiǎn)評評估3、風(fēng)險(xiǎn)控控制4、審核批批準(zhǔn)5、溝通與與咨詢6、監(jiān)控與與審查2023/1/148審核批準(zhǔn)準(zhǔn)概述審核批準(zhǔn)準(zhǔn)是信息息安全風(fēng)風(fēng)險(xiǎn)管理理的第四四步驟，，審核批批準(zhǔn)包括括審核和和批準(zhǔn)兩兩部分：：審核是是指通過過審查、、測試、、評審等等手段，，檢驗(yàn)風(fēng)風(fēng)險(xiǎn)評估估和風(fēng)險(xiǎn)險(xiǎn)控制的的結(jié)果是是否滿足足信息系系統(tǒng)的安安全要求求；批準(zhǔn)準(zhǔn)是指機(jī)機(jī)構(gòu)的決決策層依依據(jù)審核核的結(jié)果果，做出出是否認(rèn)認(rèn)可的決決定。審核既可可以由機(jī)機(jī)構(gòu)內(nèi)部部完成，，也可以以委托外外部專業(yè)業(yè)機(jī)構(gòu)來來完成，，這主要要取決于于信息系系統(tǒng)的性性質(zhì)和機(jī)機(jī)構(gòu)自身身的專業(yè)業(yè)能力。。批準(zhǔn)一一般必須須由機(jī)構(gòu)構(gòu)內(nèi)部或或更高層層的主管管機(jī)構(gòu)的的決策層層來執(zhí)行行。2023/1/149審核批準(zhǔn)過程程及其在信息息安全風(fēng)險(xiǎn)管管理中的位置置2023/1/150審核申請2023/1/151審核處理2023/1/152批準(zhǔn)申請2023/1/153批準(zhǔn)處理2023/1/154持續(xù)監(jiān)監(jiān)督2023/1/155審核批批準(zhǔn)的的文檔檔階段輸出文檔文檔內(nèi)容審核申請《審核申請書》審核的范圍、對象、目標(biāo)和進(jìn)度要求，以及申請者的基本信息和簽字等?！秾徍瞬牧稀凤L(fēng)險(xiǎn)評估過程和風(fēng)險(xiǎn)控制過程輸出的文檔、軟件和硬件等結(jié)果?！秾徍耸芾砘貓?zhí)》同意受理、補(bǔ)充材料的要求和提交時(shí)間（如果需要）、審核的進(jìn)度安排和收費(fèi)標(biāo)準(zhǔn)，以及審核機(jī)構(gòu)的名稱和簽章等。審核處理《審查結(jié)果報(bào)告》審查的范圍、對象、意見和結(jié)論（即是否通過），以及審查人員的名字和簽字等?！稖y試結(jié)果報(bào)告》測試的范圍、對象、意見和結(jié)論（即是否通過），以及測試人員的名字和簽字等?！秾＜诣b定報(bào)告》鑒定的范圍、對象（及其基本情況）和結(jié)論，以及專家名單和簽字等。《審核結(jié)論報(bào)告》審核的范圍、對象、意見、結(jié)論（即是否通過）和有效期，以及審核機(jī)構(gòu)的名稱和簽章等。2023/1/156審核批批準(zhǔn)的的文檔檔批準(zhǔn)申請《批準(zhǔn)申請書》批準(zhǔn)的范圍、對象和期望，以及申請者的基本信息和簽字等。《批準(zhǔn)受理回執(zhí)》同意受理、補(bǔ)充材料的要求和提交時(shí)間（如果需要），以及批準(zhǔn)機(jī)構(gòu)的名稱和簽章等。批準(zhǔn)處理《批準(zhǔn)決定書》批準(zhǔn)的范圍、對象、意見、結(jié)論（即是否通過）和有效期，以及批準(zhǔn)機(jī)構(gòu)的名稱和簽章等。持續(xù)監(jiān)督《審核到期通知書》到期的時(shí)間和重新申請的要求，以及審核機(jī)構(gòu)的名稱和簽章?！杜鷾?zhǔn)到期通知書》到期的時(shí)間和重新申請的要求，以及批準(zhǔn)機(jī)構(gòu)的名稱和簽章。《機(jī)構(gòu)變化因素的描述報(bào)告》機(jī)構(gòu)及其信息系統(tǒng)變化因素的列表、說明和安全隱患分析等?！董h(huán)境變化因素的描述報(bào)告》信息安全相關(guān)環(huán)境變化因素的列表、說明和安全隱患分析等。2023/1/157三、信信息安安全風(fēng)風(fēng)險(xiǎn)管管理各各組成成部分分1、對象象確立立2、風(fēng)險(xiǎn)險(xiǎn)評估估3、風(fēng)險(xiǎn)險(xiǎn)控制制4、審核核批準(zhǔn)準(zhǔn)5、監(jiān)控控與審審查6、溝通通與咨咨詢2023/1/158監(jiān)控控與與審審查查的的概概述述監(jiān)控控與與審審查查對對信信息息安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理主主循循環(huán)環(huán)的的四四個(gè)個(gè)步步驟驟（（即即對對象象確確立立、、風(fēng)風(fēng)險(xiǎn)險(xiǎn)評評估估、、風(fēng)風(fēng)險(xiǎn)險(xiǎn)控控制制和和審審核核批批準(zhǔn)準(zhǔn)））進(jìn)進(jìn)行行監(jiān)監(jiān)控控和和審審查查。。監(jiān)監(jiān)控控是是監(jiān)監(jiān)視視和和控控制制，，一一是是監(jiān)監(jiān)視視和和控控制制風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理過過程程，，即即過過程程質(zhì)質(zhì)量量管管理理，，以以保保證證過過程程的的有有效效性性；；二二是是分分析析和和平平衡衡成成本本效效益益，，即即成成本本效效益益管管理理，，以以保保證證成成本本的的有有效效性性。。審審查查是是跟跟蹤蹤受受保保護(hù)護(hù)系系統(tǒng)統(tǒng)自自身身或或所所處處環(huán)環(huán)境境的的變變化化，，以以保保證證結(jié)結(jié)果果的的有有效效性性。。2023/1/159監(jiān)控控與與審審查查過過程程2023/1/160貫穿穿對對象象確確立立階段監(jiān)控審查過程有效性成本有效性結(jié)果有效性風(fēng)險(xiǎn)管理準(zhǔn)備風(fēng)險(xiǎn)管理計(jì)劃制定的流程及其相關(guān)文檔風(fēng)險(xiǎn)管理計(jì)劃的成本與效果《風(fēng)險(xiǎn)管理計(jì)劃書》的時(shí)效信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查的流程及其相關(guān)文檔信息系統(tǒng)調(diào)查的成本與效果《信息系統(tǒng)的描述報(bào)告》的時(shí)效信息系統(tǒng)分析信息系統(tǒng)分析的流程及其相關(guān)文檔信息系統(tǒng)分析的成本與效果《信息系統(tǒng)的分析報(bào)告》的時(shí)效信息安全分析信息系統(tǒng)安全要求分析的流程及其相關(guān)文檔信息系統(tǒng)安全要求分析的成本與效果《信息系統(tǒng)的安全要求報(bào)告》的時(shí)效2023/1/161貫穿風(fēng)險(xiǎn)險(xiǎn)評估階段監(jiān)控審查過程有效性成本有效性結(jié)果有效性風(fēng)險(xiǎn)評估準(zhǔn)備風(fēng)險(xiǎn)評估的計(jì)劃制定、程序確定以及方法和工具選擇的流程及其相關(guān)文檔風(fēng)險(xiǎn)評估的計(jì)劃、程序以及入選方法和工具的成本與效果《風(fēng)險(xiǎn)評估計(jì)劃》、《風(fēng)險(xiǎn)評估程序》和《入選風(fēng)險(xiǎn)評估方法和工具列表》的時(shí)效風(fēng)險(xiǎn)因素識別資產(chǎn)、威脅列和脆弱性識別的流程及其相關(guān)文檔資產(chǎn)、威脅列和脆弱性識別的成本與效果《需要保護(hù)的資產(chǎn)清單》、《面臨的威脅列表》和《存在的脆弱性列表》的時(shí)效2023/1/162貫穿風(fēng)險(xiǎn)評估估風(fēng)險(xiǎn)程度分析已有安全措施、威脅源、威脅行為、脆弱性、資產(chǎn)價(jià)值和影響程度分析的流程及其相關(guān)文檔已有安全措施、威脅源、威脅行為、脆弱性、資產(chǎn)價(jià)值和影響程度分析的成本與效果《已有安全措施分析報(bào)告》、《威脅源分析報(bào)告》、《威脅行為分析報(bào)告》、《脆弱性分析報(bào)告》、《資產(chǎn)價(jià)值分析報(bào)告》和《影響程度分析報(bào)告》的時(shí)效風(fēng)險(xiǎn)等級評價(jià)威脅源等級、威脅行為等級、脆弱性等級、資產(chǎn)價(jià)值等級和影響程度等級評價(jià)以及《風(fēng)險(xiǎn)評估報(bào)告》生成的流程及其相關(guān)文檔威脅源等級、威脅行為等級、脆弱性等級、資產(chǎn)價(jià)值等級和影響程度等級評價(jià)以及《風(fēng)險(xiǎn)評估報(bào)告》生成的成本與效果《威脅源等級列表》、《威脅行為等級列表》、《脆弱性等級列表》、《資產(chǎn)價(jià)值等級列表》、《影響程度等級列表》和《風(fēng)險(xiǎn)評估報(bào)告》的時(shí)效2023/1/163貫穿風(fēng)險(xiǎn)控制制階段監(jiān)控審查過程有效性成本有效性結(jié)果有效性現(xiàn)存風(fēng)險(xiǎn)判斷可接受風(fēng)險(xiǎn)等級確定和現(xiàn)存風(fēng)險(xiǎn)接受判斷的流程及其相關(guān)文檔可接受風(fēng)險(xiǎn)等級確定和現(xiàn)存風(fēng)險(xiǎn)接受判斷的成本與效果《風(fēng)險(xiǎn)接受等級劃分表》和《現(xiàn)存風(fēng)險(xiǎn)接受判斷書》的時(shí)效控制目標(biāo)確立風(fēng)險(xiǎn)控制需求分析和風(fēng)險(xiǎn)控制目標(biāo)確立的流程及其相關(guān)文檔風(fēng)險(xiǎn)控制需求分析和風(fēng)險(xiǎn)控制目標(biāo)確立的成本與效果《風(fēng)險(xiǎn)控制需求分析報(bào)告》和《風(fēng)險(xiǎn)控制目標(biāo)列表》的時(shí)效2023/1/164貫穿風(fēng)險(xiǎn)控制制控制措施選擇風(fēng)險(xiǎn)控制方式和措施選擇的流程及其相關(guān)文檔入選風(fēng)險(xiǎn)控制方式和措施的成本與效果《入選風(fēng)險(xiǎn)控制方式說明報(bào)告》和《入選風(fēng)險(xiǎn)控制措施說明報(bào)告》的時(shí)效控制措施實(shí)施風(fēng)險(xiǎn)控制實(shí)施計(jì)劃制定和風(fēng)險(xiǎn)控制措施實(shí)施的流程及其相關(guān)文檔風(fēng)險(xiǎn)控制實(shí)施計(jì)劃制定和風(fēng)險(xiǎn)控制措施實(shí)施的成本與效果《風(fēng)險(xiǎn)控制實(shí)施計(jì)劃書》和《風(fēng)險(xiǎn)控制實(shí)施記錄》的時(shí)效2023/1/165貫穿審核批批準(zhǔn)階段監(jiān)控審查過程有效性成本有效性結(jié)果有效性審核申請審核申請和受理的流程及其相關(guān)文檔審核申請和受理的成本與效果《審核申請書》、《審核材料》和《審核受理回執(zhí)》的時(shí)效審核處理審核材料審查、審核對象測試、專家鑒定和審核結(jié)論給出的流程及其相關(guān)文檔審核材料審查、審核對象測試、專家鑒定和審核結(jié)論給出的成本與效果《審查結(jié)果報(bào)告》、《測試結(jié)果報(bào)告》、《專家鑒定報(bào)告》和《審核結(jié)論報(bào)告》的時(shí)效2023/1/166貫穿審核批批準(zhǔn)批準(zhǔn)申請批準(zhǔn)申請和受理的流程及其相關(guān)文檔批準(zhǔn)申請和受理的成本與效果《批準(zhǔn)申請書》和《批準(zhǔn)受理回執(zhí)》的時(shí)效批準(zhǔn)處理審閱批準(zhǔn)材料和批準(zhǔn)決定做出的流程及其相關(guān)文檔審閱批準(zhǔn)材料和批準(zhǔn)決定做出的成本與效果《批準(zhǔn)決定書》的時(shí)效持續(xù)監(jiān)督《審核結(jié)論報(bào)告》和《批準(zhǔn)決定書》到期檢查和機(jī)構(gòu)及其環(huán)境變化檢查的流程及其相關(guān)文檔《審核結(jié)論報(bào)告》和《批準(zhǔn)決定書》到期檢查和機(jī)構(gòu)及其環(huán)境變化檢查的成本與效果《機(jī)構(gòu)變化因素的描述報(bào)告》和《環(huán)境變化因素的描述報(bào)告》的時(shí)效2023/1/167監(jiān)控與審查查的文檔過程輸出文檔文檔內(nèi)容對象確立《對象確立的監(jiān)控與審查記錄》對象確立過程中監(jiān)控和審查的范圍、對象、時(shí)間、過程、結(jié)果和措施等。風(fēng)險(xiǎn)評估《風(fēng)險(xiǎn)評估的監(jiān)控與審查記錄》風(fēng)險(xiǎn)評估過程中監(jiān)控和審查的范圍、對象、時(shí)間、過程、結(jié)果和措施等。風(fēng)險(xiǎn)控制《風(fēng)險(xiǎn)控制的監(jiān)控與審查記錄》風(fēng)險(xiǎn)控制過程中監(jiān)控和審查的范圍、對象、時(shí)間、過程、結(jié)果和措施等。審核批準(zhǔn)《審核批準(zhǔn)的監(jiān)控與審查記錄》審核批準(zhǔn)過程中監(jiān)控和審查的范圍、對象、時(shí)間、過程、結(jié)果和措施等。2023/1/168三、信息安全全風(fēng)險(xiǎn)管理各各組成部分1、對象確立2、風(fēng)險(xiǎn)評估3、風(fēng)險(xiǎn)控制4、審核批準(zhǔn)5、監(jiān)控與審查查6、溝通與咨詢詢2023/1/169溝通與咨詢的的概述溝通與咨詢?yōu)闉樾畔踩L(fēng)風(fēng)險(xiǎn)管理主循循環(huán)的四個(gè)步步驟（即對象象確立、風(fēng)險(xiǎn)險(xiǎn)評估、風(fēng)險(xiǎn)險(xiǎn)控制和審核核批準(zhǔn)）中相相關(guān)人員提供供溝通和咨詢詢。溝通是為為直接參與人人員提供交流流途徑，以保保持他們之間間的協(xié)調(diào)一致致，共同實(shí)現(xiàn)現(xiàn)安全目標(biāo)。。咨詢是為所所有相關(guān)人員員提供學(xué)習(xí)途途徑，以提高高他們的風(fēng)險(xiǎn)險(xiǎn)意識、知識識和技能，配配合實(shí)現(xiàn)安全全目標(biāo)。2023/1/170溝通與與咨詢詢的方方式方式接受方?jīng)Q策層管理層執(zhí)行層支持層用戶層發(fā)出方?jīng)Q策層交流指導(dǎo)和檢查指導(dǎo)和檢查表態(tài)表態(tài)管理層匯報(bào)交流指導(dǎo)和檢查宣傳和介紹宣傳和介紹執(zhí)行層匯報(bào)匯報(bào)交流宣傳和介紹培訓(xùn)和咨詢支持層培訓(xùn)和咨詢培訓(xùn)和咨詢培訓(xùn)和咨詢交流培訓(xùn)和咨詢用戶層反饋反饋反饋反饋交流2023/1/171溝通與與咨詢詢的過過程2023/1/172貫穿對對象確確立階段參與人員涉及內(nèi)容信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理準(zhǔn)備決策層決策層管理層《風(fēng)險(xiǎn)管理計(jì)劃書》信息系統(tǒng)調(diào)查管理層執(zhí)行層支持層管理層執(zhí)行層《信息系統(tǒng)的描述報(bào)告》信息系統(tǒng)分析管理層執(zhí)行層支持層管理層執(zhí)行層《信息系統(tǒng)的分析報(bào)告》信息安全分析管理層執(zhí)行層支持層《信息系統(tǒng)的安全要求報(bào)告》2023/1/173貫穿風(fēng)風(fēng)險(xiǎn)評評估階段參與人員涉及內(nèi)容信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評估準(zhǔn)備決策層決策層管理層《風(fēng)險(xiǎn)評估計(jì)劃》管理層管理層執(zhí)行層支持層《風(fēng)險(xiǎn)評估程序》《入選風(fēng)險(xiǎn)評估方法和工具列表》風(fēng)險(xiǎn)因素識別管理層執(zhí)行層執(zhí)行層支持層《需要保護(hù)的資產(chǎn)清單》《面臨的威脅列表》《存在的脆弱性列表》2023/1/174貫穿風(fēng)險(xiǎn)險(xiǎn)評估風(fēng)險(xiǎn)程度分析管理層執(zhí)行層執(zhí)行層支持層《已有安全措施分析報(bào)告》《威脅源分析報(bào)告》《威脅行為分析報(bào)告》《脆弱性分析報(bào)告》《資產(chǎn)價(jià)值分析報(bào)告》《影響程度分析報(bào)告》風(fēng)險(xiǎn)等級評價(jià)執(zhí)行層支持層《威脅源等級列表》《威脅行為等級列表》《脆弱性等級列表》《資產(chǎn)價(jià)值等級列表》《影響程度等級列表》《風(fēng)險(xiǎn)評估報(bào)告》2023/1/175貫穿風(fēng)險(xiǎn)險(xiǎn)控制階段參與人員涉及內(nèi)容信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理現(xiàn)存風(fēng)險(xiǎn)判斷決策層管理層決策層管理層執(zhí)行層支持層《風(fēng)險(xiǎn)接受等級劃分表》《現(xiàn)存風(fēng)險(xiǎn)接受判斷書》控制目標(biāo)確立管理層管理層執(zhí)行層支持層《風(fēng)險(xiǎn)控制需求分析報(bào)告》《風(fēng)險(xiǎn)控制目標(biāo)列表》2023/1/176貫穿風(fēng)險(xiǎn)控控制控制措施選擇執(zhí)行層支持層《入選風(fēng)險(xiǎn)控制方式說明報(bào)告》《入選風(fēng)險(xiǎn)控制措施說明報(bào)告》控制措施實(shí)施管理層執(zhí)行層管理層執(zhí)行層支持層《風(fēng)險(xiǎn)控制實(shí)施計(jì)劃書》《風(fēng)險(xiǎn)控制實(shí)施記錄》2023/1/177貫穿審核批批準(zhǔn)階段參與人員涉及內(nèi)容信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理審核申請決策層管理層執(zhí)行層《審核申請書》《審核材料》《審核受理回執(zhí)》審核處理管理層執(zhí)行層支持層《審查結(jié)果報(bào)告》《測試結(jié)果報(bào)告》《專家鑒定報(bào)告》《審核結(jié)論報(bào)告》2023/1/178貫穿審核批批準(zhǔn)批準(zhǔn)申請決策層管理層執(zhí)行層《批準(zhǔn)申請書》《批準(zhǔn)受理回執(zhí)》批準(zhǔn)處理決策層決策層管理層《批準(zhǔn)決定書》持續(xù)監(jiān)督管理層執(zhí)行層管理層執(zhí)行層《機(jī)構(gòu)變化因素的描述報(bào)告》《環(huán)境變化因素的描述報(bào)告》2023/1/179溝通通與與咨咨詢詢的的文文檔檔過程輸出文檔文檔內(nèi)容對象確立《對象確立的溝通與咨詢記錄》對象確立過程中溝通和咨詢的范圍、對象、時(shí)間、內(nèi)容和結(jié)果等。風(fēng)險(xiǎn)評估《風(fēng)險(xiǎn)評估的溝通與咨詢記錄》風(fēng)險(xiǎn)評估過程中溝通和咨詢的范圍、對象、時(shí)間、內(nèi)容和結(jié)果等。風(fēng)險(xiǎn)控制《風(fēng)險(xiǎn)控制的溝通與咨詢記錄》風(fēng)險(xiǎn)控制過程中溝通和咨詢的范圍、對象、時(shí)間、內(nèi)容和結(jié)果等。審核批準(zhǔn)《審核批準(zhǔn)的溝通與咨詢記錄》審核批準(zhǔn)過程中溝通和咨詢的范圍、對象、時(shí)間、內(nèi)容和結(jié)果等。2023/1/180四、、信信息息安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理的的運(yùn)運(yùn)用用1、規(guī)規(guī)劃劃階階段段2、設(shè)設(shè)計(jì)計(jì)階階段段3、實(shí)實(shí)施施階階段段4、運(yùn)運(yùn)維維階階段段5、廢廢棄棄階階段段2023/1/181四、信息安全全風(fēng)險(xiǎn)管理的的運(yùn)用1、規(guī)劃階段2、設(shè)計(jì)階段3、實(shí)施階段4、運(yùn)維階段5、廢棄階段2023/1/182安全需求和目目標(biāo)明確安全總體體方針確保安全總體體方針源自業(yè)業(yè)務(wù)期望明確項(xiàng)目范圍圍清晰描述項(xiàng)目目范圍內(nèi)所涉涉及系統(tǒng)的安安全現(xiàn)狀提交明確的安安全需求文檔檔清晰描述從系系統(tǒng)的那些層層次進(jìn)行安全全實(shí)現(xiàn)對實(shí)現(xiàn)的可能能性進(jìn)行充分分分析、論證證明確評價(jià)準(zhǔn)則則并達(dá)成一致致2023/1/183風(fēng)險(xiǎn)險(xiǎn)管管理理的的過過程程概概述述在項(xiàng)項(xiàng)目目規(guī)規(guī)劃劃階階段段，，風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理者者應(yīng)應(yīng)能能清清楚楚、、準(zhǔn)準(zhǔn)確確地地描描述述機(jī)機(jī)構(gòu)構(gòu)的的安安全全總總體體方方針針、、安安全全策策略略、、風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理范范圍圍、、當(dāng)當(dāng)前前正正在在進(jìn)進(jìn)行行的的或或計(jì)計(jì)劃劃中中將將要要執(zhí)執(zhí)行行的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理活活動動以以及及當(dāng)當(dāng)前前特特殊殊安安全全要要求求等等。。2023/1/184風(fēng)險(xiǎn)險(xiǎn)管管理理的的活活動動序號風(fēng)險(xiǎn)管理活動所處風(fēng)險(xiǎn)管理流程1明確安全總體方針對象確立2安全需求分析對象確立、風(fēng)險(xiǎn)評估3風(fēng)險(xiǎn)評價(jià)準(zhǔn)則達(dá)成一致風(fēng)險(xiǎn)控制、審核批準(zhǔn)2023/1/185四、信息息安全風(fēng)風(fēng)險(xiǎn)管理理的運(yùn)用用1、規(guī)劃階階段2、設(shè)計(jì)階階段3、實(shí)施階階段4、運(yùn)維階階段5、廢棄階階段2023/1/186安全需求求和目標(biāo)標(biāo)對用以實(shí)實(shí)現(xiàn)安全全系統(tǒng)的的各類技技術(shù)進(jìn)行行有效性性評估。。對用于實(shí)實(shí)施方案案的產(chǎn)品品需滿足足安全保保護(hù)等級級的要求求對自開發(fā)發(fā)的軟件件要在結(jié)結(jié)構(gòu)設(shè)計(jì)計(jì)階段就就充分考考慮安全全風(fēng)險(xiǎn)2023/1/187風(fēng)險(xiǎn)管理的的過程概述述在設(shè)計(jì)階段段，風(fēng)險(xiǎn)管管理者應(yīng)能能標(biāo)識出在在項(xiàng)目結(jié)構(gòu)構(gòu)實(shí)現(xiàn)過程程中潛在的的安全風(fēng)險(xiǎn)險(xiǎn)，為設(shè)計(jì)計(jì)說明中的的安全性設(shè)設(shè)計(jì)提供評評判依據(jù)，，并對實(shí)施施方案中選選擇的產(chǎn)品品進(jìn)行合格格檢查，確確保項(xiàng)目設(shè)設(shè)計(jì)階段的的重要環(huán)節(jié)節(jié)均能得到到較好的安安全風(fēng)險(xiǎn)控控制。2023/1/188風(fēng)險(xiǎn)管理的的活動序號風(fēng)險(xiǎn)管理活動所處風(fēng)險(xiǎn)管理流程1安全技術(shù)選擇風(fēng)險(xiǎn)控制2安全產(chǎn)品選擇風(fēng)險(xiǎn)控制3軟件設(shè)計(jì)風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)控制2023/1/189四、信息安安全風(fēng)險(xiǎn)管管理的運(yùn)用用1、規(guī)劃階段段2、設(shè)計(jì)階段段3、實(shí)施階段段4、運(yùn)維階段段5、廢棄階段段2023/1/190安全需需求和和目標(biāo)標(biāo)實(shí)施階階段是是按照照規(guī)劃劃和設(shè)設(shè)計(jì)階階段所所定義義的信信息系系統(tǒng)實(shí)實(shí)施方方案，，采購購設(shè)備備和軟軟件，，開發(fā)發(fā)定制制功能能，集集成、、部署署、配配置和和測試試系統(tǒng)統(tǒng)，培培訓(xùn)人人員，，并對對是否否允許許系統(tǒng)統(tǒng)投入入運(yùn)行行進(jìn)行行審核核批準(zhǔn)準(zhǔn)。2023/1/191風(fēng)險(xiǎn)管理的的過程概述述實(shí)施階段的的風(fēng)險(xiǎn)管理理主要活動動包括檢查查與配置、、安全測試試、人員培培訓(xùn)及授權(quán)權(quán)運(yùn)行，