信息安風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理_第1頁(yè)
信息安風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理_第2頁(yè)
信息安風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理_第3頁(yè)
信息安風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理_第4頁(yè)
信息安風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理_第5頁(yè)
已閱讀5頁(yè),還剩100頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC信息安全風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理國(guó)家信息中心信息安全服務(wù)與研究中心范紅二00四年九月SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC匯報(bào)內(nèi)容27/19/2022一、前言二、信息安全風(fēng)險(xiǎn)管理概述三、信息安全風(fēng)險(xiǎn)管理各組成部分四、信息安全風(fēng)險(xiǎn)管理的運(yùn)用五、結(jié)束語(yǔ)SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC一、前言37/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC二、信息安全風(fēng)險(xiǎn)管理概述47/19/20221、信息安全風(fēng)險(xiǎn)管理的目的和意義2、信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象3、信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程4、信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系5.信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC二、信息安全風(fēng)險(xiǎn)管理概述57/19/20221、信息安全風(fēng)險(xiǎn)管理的目的和意義2、信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象3、信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程4、信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系5.信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC信息安全風(fēng)險(xiǎn)管理的目的和意義67/19/2022信息安全風(fēng)險(xiǎn)管理是信息安全保障工作中的一項(xiàng)基礎(chǔ)性工作。1、信息安全風(fēng)險(xiǎn)管理體現(xiàn)在信息安全保障體系的技術(shù)、組織和管理等方面。2、信息安全風(fēng)險(xiǎn)管理貫穿信息系統(tǒng)生命周期的全部過(guò)程。3.信息安全風(fēng)險(xiǎn)管理依據(jù)等級(jí)保護(hù)的思想和適度安全的原則,平衡成本與效益,合理部署和利用信息安全的信任體系、監(jiān)控體系和應(yīng)急處理等重要的基礎(chǔ)設(shè)施,確定合適的安全措施,從而確保機(jī)構(gòu)具有完成其使命的信息安全保障能力。SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC二、信息安全風(fēng)險(xiǎn)管理概述77/19/20221、信息安全風(fēng)險(xiǎn)管理的目的和意義2、信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象3、信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程4、信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系5.信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象87/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC二、信息安全風(fēng)險(xiǎn)管理概述97/19/20221、信息安全風(fēng)險(xiǎn)管理的目的和意義2、信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象3、信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程4、信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系5.信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程107/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC二、信息安全風(fēng)險(xiǎn)管理概述117/19/20221、信息安全風(fēng)險(xiǎn)管理的目的和意義2、信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象3、信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程4、信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系5.信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC三維結(jié)構(gòu)關(guān)系127/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC二、信息安全風(fēng)險(xiǎn)管理概述137/19/20221、信息安全風(fēng)險(xiǎn)管理的目的和意義2、信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象3、信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程4、信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系5.信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC信息安全風(fēng)險(xiǎn)管理相關(guān)人員的角色和責(zé)任層面信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理角色內(nèi)外部責(zé)任角色內(nèi)外部責(zé)任決策層主管者內(nèi)負(fù)責(zé)信息系統(tǒng)的重大決策。主管者內(nèi)負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的重大決策。管理層管理者內(nèi)負(fù)責(zé)信息系統(tǒng)的規(guī)劃,以及建設(shè)、運(yùn)行、維護(hù)和監(jiān)控等方面的組織和協(xié)調(diào)。管理者內(nèi)負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的規(guī)劃,以及實(shí)施和監(jiān)控過(guò)程中的組織和協(xié)調(diào)。執(zhí)行層建設(shè)者內(nèi)或外負(fù)責(zé)信息系統(tǒng)的設(shè)計(jì)和實(shí)施。執(zhí)行者內(nèi)或外負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的實(shí)施。運(yùn)行者內(nèi)負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行和操作。維護(hù)者內(nèi)或外負(fù)責(zé)信息系統(tǒng)的日常維護(hù),包括維修和升級(jí)。監(jiān)控者內(nèi)負(fù)責(zé)信息系統(tǒng)的監(jiān)視和控制。監(jiān)控者內(nèi)負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理過(guò)程和結(jié)果的監(jiān)視和控制。支持層專業(yè)者外為信息系統(tǒng)提供專業(yè)咨詢、培訓(xùn)、診斷和工具等服務(wù)。專業(yè)者外為信息安全風(fēng)險(xiǎn)管理提供專業(yè)咨詢、培訓(xùn)、診斷和工具等服務(wù)。用戶層7/19/20使用者22內(nèi)或外利用信息系統(tǒng)完成自身的任務(wù)。受益者內(nèi)或外反饋信息安全風(fēng)險(xiǎn)管理的效果。

14SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC三、信息安全風(fēng)險(xiǎn)管理各組成部分157/19/20221、對(duì)象確立2、風(fēng)險(xiǎn)評(píng)估3、風(fēng)險(xiǎn)控制4、審核批準(zhǔn)5、溝通與咨詢6.監(jiān)控與審查SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC三、信息安全風(fēng)險(xiǎn)管理各組成部分167/19/20221、對(duì)象確立2、風(fēng)險(xiǎn)評(píng)估3、風(fēng)險(xiǎn)控制4、審核批準(zhǔn)5、溝通與咨詢6.監(jiān)控與審查SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC對(duì)象確立概述177/19/2022對(duì)象確立是信息安全風(fēng)險(xiǎn)管理的第一步驟,根據(jù)要保護(hù)系統(tǒng)的業(yè)務(wù)目標(biāo)和特性,確定風(fēng)險(xiǎn)管理對(duì)象。其目的是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象,以及對(duì)象的特性和安全要求。SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC對(duì)象確立過(guò)程187/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC風(fēng)險(xiǎn)管理準(zhǔn)備197/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC信息系統(tǒng)調(diào)查207/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC信息系統(tǒng)分析217/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC信息安全分析227/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC對(duì)象確立的文檔237/19/2022階段輸出文檔文檔內(nèi)容風(fēng)險(xiǎn)管理準(zhǔn)備《風(fēng)險(xiǎn)管理計(jì)劃書》風(fēng)險(xiǎn)管理的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等。信息系統(tǒng)調(diào)查《信息系統(tǒng)的描述報(bào)告》信息系統(tǒng)的業(yè)務(wù)目標(biāo)、業(yè)務(wù)特性、管理特性和技術(shù)特性等。信息系統(tǒng)分析《信息系統(tǒng)的分析報(bào)告》信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素等。信息安全分析《信息系統(tǒng)的安全要求報(bào)告》信息系統(tǒng)的安全環(huán)境和安全要求等。SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC三、信息安全風(fēng)險(xiǎn)管理各組成部分247/19/20221、對(duì)象確立2、風(fēng)險(xiǎn)評(píng)估3、風(fēng)險(xiǎn)控制4、審核批準(zhǔn)5、溝通與咨詢6.監(jiān)控與審查SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC風(fēng)險(xiǎn)評(píng)估概述257/19/2022風(fēng)險(xiǎn)評(píng)估是信息安全風(fēng)險(xiǎn)管理的第二步,針對(duì)確立的風(fēng)險(xiǎn)管理對(duì)象所面臨的風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析和評(píng)價(jià)。SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC風(fēng)險(xiǎn)評(píng)估過(guò)程267/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC風(fēng)險(xiǎn)評(píng)估準(zhǔn)備277/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC風(fēng)險(xiǎn)因素識(shí)別287/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC風(fēng)險(xiǎn)程度分析297/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)307/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC風(fēng)險(xiǎn)評(píng)估的文檔317/19/2022階段輸出文檔文檔內(nèi)容風(fēng)險(xiǎn)評(píng)估準(zhǔn)備《風(fēng)險(xiǎn)評(píng)估計(jì)劃書》風(fēng)險(xiǎn)評(píng)估的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等?!讹L(fēng)險(xiǎn)評(píng)估程序》風(fēng)險(xiǎn)評(píng)估的工作流程、輸入數(shù)據(jù)和輸出結(jié)果等。《入選風(fēng)險(xiǎn)評(píng)估方法和工具列表》合適的風(fēng)險(xiǎn)評(píng)估方法和工具列表。風(fēng)險(xiǎn)因素識(shí)別《需要保護(hù)的資產(chǎn)清單》對(duì)機(jī)構(gòu)使命具有關(guān)鍵和重要作用的需要保護(hù)的資產(chǎn)清單?!睹媾R的威脅列表》機(jī)構(gòu)的信息資產(chǎn)面臨的威脅列表?!洞嬖诘拇嗳跣粤斜怼窓C(jī)構(gòu)的信息資產(chǎn)存在的脆弱性列表。SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC風(fēng)險(xiǎn)評(píng)估的文檔327/19/2022風(fēng)險(xiǎn)程度分析《已有安全措施分析報(bào)告》確認(rèn)已有的安全措施,包括技術(shù)層面(即物理平臺(tái)、系統(tǒng)平臺(tái)、通信平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái))的安全功能、組織層面(即結(jié)構(gòu)、崗位和人員)的安全控制和管理層面(即策略、規(guī)章和制度)的安全對(duì)策?!锻{源分析報(bào)告》從利益、復(fù)仇、好奇和自負(fù)等驅(qū)使因素,分析威脅源動(dòng)機(jī)的強(qiáng)弱?!锻{行為分析報(bào)告》從攻擊的強(qiáng)度、廣度、速度和深度等方面,分析威脅行為能力的高低?!洞嗳跣苑治鰣?bào)告》按威脅/脆弱性對(duì),分析脆弱性被威脅利用的難以程度。《資產(chǎn)價(jià)值分析報(bào)告》從敏感性、關(guān)鍵性和昂貴性等方面,分析資產(chǎn)價(jià)值的大小?!队绊懗潭确治鰣?bào)告》從資產(chǎn)損失、使命妨礙和人員傷亡等方面,分析影響程度的深淺。SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC風(fēng)險(xiǎn)評(píng)估的文檔337/19/2022風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)《威脅源等級(jí)列表》威脅源動(dòng)機(jī)的等級(jí)列表?!锻{行為等級(jí)列表》威脅行為能力的等級(jí)列表?!洞嗳跣缘燃?jí)列表》脆弱性被利用的等級(jí)列表?!顿Y產(chǎn)價(jià)值等級(jí)列表》資產(chǎn)價(jià)值的等級(jí)列表。《影響程度等級(jí)列表》影響程度的等級(jí)列表?!讹L(fēng)險(xiǎn)評(píng)估報(bào)告》匯總上述分析報(bào)告和等級(jí)列表,綜合評(píng)價(jià)風(fēng)險(xiǎn)的等級(jí)。SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC三、信息安全風(fēng)險(xiǎn)管理各組成部分347/19/20221、對(duì)象確立2、風(fēng)險(xiǎn)評(píng)估3、風(fēng)險(xiǎn)控制4、審核批準(zhǔn)5、溝通與咨詢6.監(jiān)控與審查SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC風(fēng)險(xiǎn)控制概述357/19/2022風(fēng)險(xiǎn)控制是信息安全風(fēng)險(xiǎn)管理的第三步驟,依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,選擇和實(shí)施合適的安全措施。風(fēng)險(xiǎn)控制方式主要有規(guī)避、轉(zhuǎn)移和降低三種方式。SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC風(fēng)險(xiǎn)控制需求及其相應(yīng)的風(fēng)險(xiǎn)控制措施367/19/2022PPDRR風(fēng)險(xiǎn)控制需求風(fēng)險(xiǎn)控制措施策略

Policy設(shè)備管理制度建立健全各種安全相關(guān)的規(guī)章制定和操作規(guī)范,使得保護(hù)、檢測(cè)和響應(yīng)環(huán)節(jié)有章可循、切實(shí)有效。機(jī)房出入守則系統(tǒng)安全管理守則系統(tǒng)安全配置明細(xì)網(wǎng)絡(luò)安全管理守則網(wǎng)絡(luò)安全配置明細(xì)應(yīng)用安全管理守則應(yīng)用安全配置明細(xì)應(yīng)急響應(yīng)計(jì)劃安全事件處理準(zhǔn)則主要的風(fēng)險(xiǎn)控制需求及其相應(yīng)的風(fēng)險(xiǎn)控制措施SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC保護(hù)

Protection7/19/2022機(jī)房嚴(yán)格按照GB

50174-1993《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、GB

9361-1988《計(jì)算站場(chǎng)地安全要求》、GB

2887-1982《計(jì)算機(jī)站場(chǎng)地技術(shù)要求》和GB/T

2887-2000《計(jì)算機(jī)場(chǎng)地通用規(guī)范》等國(guó)家標(biāo)準(zhǔn)建設(shè)和維護(hù)計(jì)算機(jī)機(jī)房。門控安裝門控系統(tǒng)保安建設(shè)保安制度和保安隊(duì)伍。電磁屏蔽在必要的地方設(shè)置抗電磁干擾和防電磁泄漏的設(shè)施。病毒防殺全面部署防病毒系統(tǒng)。漏洞補(bǔ)丁及時(shí)下載和安裝最新的漏洞補(bǔ)丁模塊。安全配置嚴(yán)格遵守各系統(tǒng)單元的安全配置明細(xì),避免配置中的安全漏洞。身份認(rèn)證根據(jù)不同的安全強(qiáng)度,分別采用身份標(biāo)識(shí)/口令、數(shù)字鑰匙、數(shù)字證書、生物識(shí)別、雙因子等級(jí)別的身份認(rèn)證系統(tǒng),對(duì)設(shè)備、用戶、服務(wù)等主客體進(jìn)行身份認(rèn)證。訪問控制根據(jù)不同的安全強(qiáng)度,分別采用自主型、強(qiáng)制型等級(jí)別的訪問控制系統(tǒng),對(duì)設(shè)備、用戶等主體訪問客體的權(quán)限進(jìn)行控制。數(shù)據(jù)加密根據(jù)不同的安全強(qiáng)度,分別采用商密、普密、機(jī)密等級(jí)別的數(shù)據(jù)加密系統(tǒng),對(duì)傳輸數(shù)據(jù)和存儲(chǔ)數(shù)據(jù)進(jìn)行加密。邊界控制在網(wǎng)絡(luò)邊界布置防火墻,阻止來(lái)自外界非法訪問。數(shù)字水印對(duì)于需要版權(quán)保護(hù)的圖片、聲音、文字等形式的信息,采用數(shù)字水印技術(shù)加以保護(hù)。數(shù)字簽名在需要防止事后否認(rèn)時(shí),可采用數(shù)字簽名技術(shù)。內(nèi)容凈化部署內(nèi)容過(guò)濾系統(tǒng)。安全機(jī)構(gòu)、安全崗位、安全責(zé)任建立健全安全機(jī)構(gòu),合理設(shè)置安全崗位,明確劃分安全責(zé)任。

377/19/202238主要的風(fēng)險(xiǎn)控制需求及其相應(yīng)的風(fēng)險(xiǎn)控制措施SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC檢測(cè)

Detection監(jiān)視、監(jiān)測(cè)和報(bào)警在適當(dāng)?shù)奈恢冒仓帽O(jiān)視器和報(bào)警器,在各系統(tǒng)單元中配備監(jiān)測(cè)系統(tǒng)和報(bào)警系統(tǒng),以實(shí)時(shí)發(fā)現(xiàn)安全事件并及時(shí)報(bào)警。數(shù)據(jù)校驗(yàn)通過(guò)數(shù)據(jù)校驗(yàn)技術(shù),發(fā)現(xiàn)數(shù)據(jù)篡改。主機(jī)入侵檢測(cè)部署主機(jī)入侵檢測(cè)系統(tǒng),發(fā)現(xiàn)主機(jī)入侵行為。主機(jī)狀態(tài)監(jiān)測(cè)部署主機(jī)狀態(tài)監(jiān)測(cè)系統(tǒng),隨時(shí)掌握主機(jī)運(yùn)行狀態(tài)。網(wǎng)絡(luò)入侵檢測(cè)部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為。網(wǎng)絡(luò)狀態(tài)監(jiān)測(cè)部署網(wǎng)絡(luò)狀態(tài)監(jiān)測(cè)系統(tǒng),隨時(shí)掌握網(wǎng)絡(luò)運(yùn)行狀態(tài)。安全審計(jì)在各系統(tǒng)單元中配備安全審計(jì),以發(fā)現(xiàn)深層安全漏洞和安全事件。安全監(jiān)督、安全檢查實(shí)行持續(xù)有效的安全監(jiān)督,預(yù)演應(yīng)急響應(yīng)計(jì)劃。主要的風(fēng)險(xiǎn)控制需求及其相應(yīng)的風(fēng)險(xiǎn)控制措施SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC響應(yīng)

Response恢復(fù)

Recovery7/19/2022故障修復(fù)、事故排除確保隨時(shí)能夠獲取故障修復(fù)和事故排除的技術(shù)人員和軟硬件工具。設(shè)施備份與恢復(fù)對(duì)于關(guān)鍵設(shè)施,配備設(shè)施備份與恢復(fù)系統(tǒng)。系統(tǒng)備份與恢復(fù)對(duì)于關(guān)鍵系統(tǒng),配備系統(tǒng)備份與恢復(fù)系統(tǒng)。數(shù)據(jù)備份與恢復(fù)對(duì)于關(guān)鍵數(shù)據(jù),配備數(shù)據(jù)備份與恢復(fù)系統(tǒng)。信道備份與恢復(fù)對(duì)于關(guān)鍵信道,配備設(shè)信道份與恢復(fù)系統(tǒng)。應(yīng)用備份與恢復(fù)對(duì)于關(guān)鍵應(yīng)用,配備應(yīng)用備份與恢復(fù)系統(tǒng)。應(yīng)急響應(yīng)按照應(yīng)急響應(yīng)計(jì)劃處理應(yīng)急事件。安全事件處理按照安全事件處理找出原因、追究責(zé)任、總結(jié)經(jīng)驗(yàn)、提出改進(jìn)。

39SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC風(fēng)險(xiǎn)控制過(guò)程407/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC現(xiàn)存風(fēng)險(xiǎn)判斷417/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC控制目標(biāo)確立427/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC控制措施選擇437/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC控制措施實(shí)施447/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC風(fēng)險(xiǎn)控制的文檔457/19/2022階段輸出文檔文檔內(nèi)容現(xiàn)存風(fēng)險(xiǎn)判斷《風(fēng)險(xiǎn)接受等級(jí)劃分表》風(fēng)險(xiǎn)接受等級(jí)的劃分,即把風(fēng)險(xiǎn)評(píng)估得出的風(fēng)險(xiǎn)等級(jí)劃分為可接受和不可接受兩種?!冬F(xiàn)存風(fēng)險(xiǎn)接受判斷書》現(xiàn)存風(fēng)險(xiǎn)是否可接受的判斷結(jié)果??刂颇繕?biāo)確立《風(fēng)險(xiǎn)控制需求分析報(bào)告》從技術(shù)層面(即物理平臺(tái)、系統(tǒng)平臺(tái)、通信平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái))、組織層面(即結(jié)構(gòu)、崗位和人員)和管理層面(即策略、規(guī)章和制度),分析風(fēng)險(xiǎn)控制的需求?!讹L(fēng)險(xiǎn)控制目標(biāo)列表》風(fēng)險(xiǎn)控制目標(biāo)的列表,包括控制對(duì)象及其最低保護(hù)等級(jí)。SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC風(fēng)險(xiǎn)控制的文檔467/19/2022控制措施選擇《入選風(fēng)險(xiǎn)控制方式說(shuō)明報(bào)告》選擇合適的風(fēng)險(xiǎn)控制方式(包括規(guī)避方式、轉(zhuǎn)移方式和降低方式),并說(shuō)明選擇的理由以及被選控制方式的使用方法和注意事項(xiàng)等?!度脒x風(fēng)險(xiǎn)控制措施說(shuō)明報(bào)告》選擇合適的風(fēng)險(xiǎn)控制措施,并說(shuō)明選擇的理由以及被選控制措施的成本、使用方法和注意事項(xiàng)等??刂拼胧?shí)施《風(fēng)險(xiǎn)控制實(shí)施計(jì)劃書》風(fēng)險(xiǎn)控制的范圍、對(duì)象、目標(biāo)、組織結(jié)構(gòu)、成本預(yù)算和進(jìn)度安排等。《風(fēng)險(xiǎn)控制實(shí)施記錄》風(fēng)險(xiǎn)控制措施實(shí)施的過(guò)程和結(jié)果。SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC三、信息安全風(fēng)險(xiǎn)管理各組成部分477/19/20221、對(duì)象確立2、風(fēng)險(xiǎn)評(píng)估3、風(fēng)險(xiǎn)控制4、審核批準(zhǔn)5、溝通與咨詢6.監(jiān)控與審查SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC審核批準(zhǔn)概述487/19/2022審核批準(zhǔn)是信息安全風(fēng)險(xiǎn)管理的第四步驟,審核批準(zhǔn)包括審核和批準(zhǔn)兩部分:審核是指通過(guò)審查、測(cè)試、評(píng)審等手段,檢驗(yàn)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的結(jié)果是否滿足信息系統(tǒng)的安全要求;批準(zhǔn)是指機(jī)構(gòu)的決策層依據(jù)審核的結(jié)果,做出是否認(rèn)可的決定。審核既可以由機(jī)構(gòu)內(nèi)部完成,也可以委托外部專業(yè)機(jī)構(gòu)來(lái)完成,這主要取決于信息系統(tǒng)的性質(zhì)和機(jī)構(gòu)自身的專業(yè)能力。批準(zhǔn)一般必須由機(jī)構(gòu)內(nèi)部或更高層的主管機(jī)構(gòu)的決策層來(lái)執(zhí)行。審核批準(zhǔn)過(guò)程及其在信息安全風(fēng)險(xiǎn)管理中的位置SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC497/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC審核申請(qǐng)507/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC審核處理517/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC可編輯SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC可編輯SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC批準(zhǔn)申請(qǐng)547/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC批準(zhǔn)處理557/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC持續(xù)監(jiān)督567/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC審核批準(zhǔn)的文檔階段輸出文檔文檔內(nèi)容審核申請(qǐng)《審核申請(qǐng)書》審核的范圍、對(duì)象、目標(biāo)和進(jìn)度要求,以及申請(qǐng)者的基本信息和簽字等。《審核材料》風(fēng)險(xiǎn)評(píng)估過(guò)程和風(fēng)險(xiǎn)控制過(guò)程輸出的文檔、軟件和硬件等結(jié)果?!秾徍耸芾砘貓?zhí)》同意受理、補(bǔ)充材料的要求和提交時(shí)間(如果需要)、審核的進(jìn)度安排和收費(fèi)標(biāo)準(zhǔn),以及審核機(jī)構(gòu)的名稱和簽章等。審核處理7/19/2022《審查結(jié)果報(bào)告》審查的范圍、對(duì)象、意見和結(jié)論(即是否通過(guò)),以及審查人員的名字和簽字等?!稖y(cè)試結(jié)果報(bào)告》測(cè)試的范圍、對(duì)象、意見和結(jié)論(即是否通過(guò)),以及測(cè)試人員的名字和簽字等?!秾<诣b定報(bào)告》鑒定的范圍、對(duì)象(及其基本情況)和結(jié)論,以及專家名單和簽字等?!秾徍私Y(jié)論報(bào)告》審核的范圍、對(duì)象、意見、結(jié)論(即是否通過(guò))和有效期,以及審核機(jī)構(gòu)的名稱和簽章等。

57SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC審核批準(zhǔn)的文檔批準(zhǔn)申請(qǐng)《批準(zhǔn)申請(qǐng)書》批準(zhǔn)的范圍、對(duì)象和期望,以及申請(qǐng)者的基本信息和簽字等。《批準(zhǔn)受理回執(zhí)》同意受理、補(bǔ)充材料的要求和提交時(shí)間(如果需要),以及批準(zhǔn)機(jī)構(gòu)的名稱和簽章等。批準(zhǔn)處理《批準(zhǔn)決定書》批準(zhǔn)的范圍、對(duì)象、意見、結(jié)論(即是否通過(guò))和有效期,以及批準(zhǔn)機(jī)構(gòu)的名稱和簽章等。持續(xù)監(jiān)督7/19/2022《審核到期通知書》到期的時(shí)間和重新申請(qǐng)的要求,以及審核機(jī)構(gòu)的名稱和簽章?!杜鷾?zhǔn)到期通知書》到期的時(shí)間和重新申請(qǐng)的要求,以及批準(zhǔn)機(jī)構(gòu)的名稱和簽章?!稒C(jī)構(gòu)變化因素的描述報(bào)告》機(jī)構(gòu)及其信息系統(tǒng)變化因素的列表、說(shuō)明和安全隱患分析等?!董h(huán)境變化因素的描述報(bào)告》信息安全相關(guān)環(huán)境變化因素的列表、說(shuō)明和安全隱患分析等。58SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC三、信息安全風(fēng)險(xiǎn)管理各組成部分597/19/20221、對(duì)象確立2、風(fēng)險(xiǎn)評(píng)估3、風(fēng)險(xiǎn)控制4、審核批準(zhǔn)5、監(jiān)控與審查6.溝通與咨詢SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC監(jiān)控與審查的概述607/19/2022監(jiān)控與審查對(duì)信息安全風(fēng)險(xiǎn)管理主循環(huán)的四個(gè)步驟(即對(duì)象確立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制和審核批準(zhǔn))進(jìn)行監(jiān)控和審查。監(jiān)控是監(jiān)視和控制,一是監(jiān)視和控制風(fēng)險(xiǎn)管理過(guò)程,即過(guò)程質(zhì)量管理,以保證過(guò)程的有效性;二是分析和平衡成本效益,即成本效益管理,以保證成本的有效性。審查是跟蹤受保護(hù)系統(tǒng)自身或所處環(huán)境的變化,以保證結(jié)果的有效性。SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC監(jiān)控與審查過(guò)程617/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC貫穿對(duì)象確立627/19/2022階段監(jiān)控審查過(guò)程有效性成本有效性結(jié)果有效性風(fēng)險(xiǎn)管理準(zhǔn)備風(fēng)險(xiǎn)管理計(jì)劃制定的流程及其相關(guān)文檔風(fēng)險(xiǎn)管理計(jì)劃的成本與效果《風(fēng)險(xiǎn)管理計(jì)劃書》的時(shí)效信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查的流程及其相關(guān)文檔信息系統(tǒng)調(diào)查的成本與效果《信息系統(tǒng)的描述報(bào)告》的時(shí)效信息系統(tǒng)分析信息系統(tǒng)分析的流程及其相關(guān)文檔信息系統(tǒng)分析的成本與效果《信息系統(tǒng)的分析報(bào)告》的時(shí)效信息安全分析信息系統(tǒng)安全要求分析的流程及其相關(guān)文檔信息系統(tǒng)安全要求分析的成本與效果《信息系統(tǒng)的安全要求報(bào)告》的時(shí)效SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC貫穿風(fēng)險(xiǎn)評(píng)估637/19/2022階段監(jiān)控審查過(guò)程有效性成本有效性結(jié)果有效性風(fēng)險(xiǎn)評(píng)估準(zhǔn)備風(fēng)險(xiǎn)評(píng)估的計(jì)劃制定、程序確定以及方法和工具選擇的流程及其相關(guān)文檔風(fēng)險(xiǎn)評(píng)估的計(jì)劃、程序以及入選方法和工具的成本與效果《風(fēng)險(xiǎn)評(píng)估計(jì)劃》、《風(fēng)險(xiǎn)評(píng)估程序》和《入選風(fēng)險(xiǎn)評(píng)估方法和工具列表》的時(shí)效風(fēng)險(xiǎn)因素識(shí)別資產(chǎn)、威脅列和脆弱性識(shí)別的流程及其相關(guān)文檔資產(chǎn)、威脅列和脆弱性識(shí)別的成本與效果《需要保護(hù)的資產(chǎn)清單》、《面臨的威脅列表》和《存在的脆弱性列表》的時(shí)效SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC貫穿風(fēng)險(xiǎn)評(píng)估647/19/2022風(fēng)險(xiǎn)程度分析已有安全措施、威脅源、威脅行為、脆弱性、資產(chǎn)價(jià)值和影響程度分析的流程及其相關(guān)文檔已有安全措施、威脅源、威脅行為、脆弱性、資產(chǎn)價(jià)值和影響程度分析的成本與效果《已有安全措施分析報(bào)告》、《威脅源分析報(bào)告》、《威脅行為分析報(bào)告》、《脆弱性分析報(bào)告》、《資產(chǎn)價(jià)值分析報(bào)告》和《影響程度分析報(bào)告》的時(shí)效風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)威脅源等級(jí)、威脅行為等級(jí)、脆弱性等級(jí)、資產(chǎn)價(jià)值等級(jí)和影響程度等級(jí)評(píng)價(jià)以及《風(fēng)險(xiǎn)評(píng)估報(bào)告》生成的流程及其相關(guān)文檔威脅源等級(jí)、威脅行為等級(jí)、脆弱性等級(jí)、資產(chǎn)價(jià)值等級(jí)和影響程度等級(jí)評(píng)價(jià)以及《風(fēng)險(xiǎn)評(píng)估報(bào)告》生成的成本與效果《威脅源等級(jí)列表》、《威脅行為等級(jí)列表》、《脆弱性等級(jí)列表》、《資產(chǎn)價(jià)值等級(jí)列表》、《影響程度等級(jí)列表》和《風(fēng)險(xiǎn)評(píng)估報(bào)告》的時(shí)效SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC貫穿風(fēng)險(xiǎn)控制657/19/2022階段監(jiān)控審查過(guò)程有效性成本有效性結(jié)果有效性現(xiàn)存風(fēng)險(xiǎn)判斷可接受風(fēng)險(xiǎn)等級(jí)確定和現(xiàn)存風(fēng)險(xiǎn)接受判斷的流程及其相關(guān)文檔可接受風(fēng)險(xiǎn)等級(jí)確定和現(xiàn)存風(fēng)險(xiǎn)接受判斷的成本與效果《風(fēng)險(xiǎn)接受等級(jí)劃分表》和《現(xiàn)存風(fēng)險(xiǎn)接受判斷書》的時(shí)效控制目標(biāo)確立風(fēng)險(xiǎn)控制需求分析和風(fēng)險(xiǎn)控制目標(biāo)確立的流程及其相關(guān)文檔風(fēng)險(xiǎn)控制需求分析和風(fēng)險(xiǎn)控制目標(biāo)確立的成本與效果《風(fēng)險(xiǎn)控制需求分析報(bào)告》和《風(fēng)險(xiǎn)控制目標(biāo)列表》的時(shí)效SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC貫穿風(fēng)險(xiǎn)控制667/19/2022控制措施選擇風(fēng)險(xiǎn)控制方式和措施選擇的流程及其相關(guān)文檔入選風(fēng)險(xiǎn)控制方式和措施的成本與效果《入選風(fēng)險(xiǎn)控制方式說(shuō)明報(bào)告》和《入選風(fēng)險(xiǎn)控制措施說(shuō)明報(bào)告》的時(shí)效控制措施實(shí)施風(fēng)險(xiǎn)控制實(shí)施計(jì)劃制定和風(fēng)險(xiǎn)控制措施實(shí)施的流程及其相關(guān)文檔風(fēng)險(xiǎn)控制實(shí)施計(jì)劃制定和風(fēng)險(xiǎn)控制措施實(shí)施的成本與效果《風(fēng)險(xiǎn)控制實(shí)施計(jì)劃書》和《風(fēng)險(xiǎn)控制實(shí)施記錄》的時(shí)效SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC貫穿審核批準(zhǔn)677/19/2022階段監(jiān)控審查過(guò)程有效性成本有效性結(jié)果有效性審核申請(qǐng)審核申請(qǐng)和受理的流程及其相關(guān)文檔審核申請(qǐng)和受理的成本與效果《審核申請(qǐng)書》、《審核材料》和《審核受理回執(zhí)》的時(shí)效審核處理審核材料審查、審核對(duì)象測(cè)試、專家鑒定和審核結(jié)論給出的流程及其相關(guān)文檔審核材料審查、審核對(duì)象測(cè)試、專家鑒定和審核結(jié)論給出的成本與效果《審查結(jié)果報(bào)告》、《測(cè)試結(jié)果報(bào)告》、《專家鑒定報(bào)告》和《審核結(jié)論報(bào)告》的時(shí)效SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC貫穿審核批準(zhǔn)687/19/2022批準(zhǔn)申請(qǐng)批準(zhǔn)申請(qǐng)和受理的流程及其相關(guān)文檔批準(zhǔn)申請(qǐng)和受理的成本與效果《批準(zhǔn)申請(qǐng)書》和《批準(zhǔn)受理回執(zhí)》的時(shí)效批準(zhǔn)處理審閱批準(zhǔn)材料和批準(zhǔn)決定做出的流程及其相關(guān)文檔審閱批準(zhǔn)材料和批準(zhǔn)決定做出的成本與效果《批準(zhǔn)決定書》的時(shí)效持續(xù)監(jiān)督《審核結(jié)論報(bào)告》和《批準(zhǔn)決定書》到期檢查和機(jī)構(gòu)及其環(huán)境變化檢查的流程及其相關(guān)文檔《審核結(jié)論報(bào)告》和《批準(zhǔn)決定書》到期檢查和機(jī)構(gòu)及其環(huán)境變化檢查的成本與效果《機(jī)構(gòu)變化因素的描述報(bào)告》和《環(huán)境變化因素的描述報(bào)告》的時(shí)效SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC監(jiān)控與審查的文檔697/19/2022過(guò)程輸出文檔文檔內(nèi)容對(duì)象確立《對(duì)象確立的監(jiān)控與審查記錄》對(duì)象確立過(guò)程中監(jiān)控和審查的范圍、對(duì)象、時(shí)間、過(guò)程、結(jié)果和措施等。風(fēng)險(xiǎn)評(píng)估《風(fēng)險(xiǎn)評(píng)估的監(jiān)控與審查記錄》風(fēng)險(xiǎn)評(píng)估過(guò)程中監(jiān)控和審查的范圍、對(duì)象、時(shí)間、過(guò)程、結(jié)果和措施等。風(fēng)險(xiǎn)控制《風(fēng)險(xiǎn)控制的監(jiān)控與審查記錄》風(fēng)險(xiǎn)控制過(guò)程中監(jiān)控和審查的范圍、對(duì)象、時(shí)間、過(guò)程、結(jié)果和措施等。審核批準(zhǔn)《審核批準(zhǔn)的監(jiān)控與審查記錄》審核批準(zhǔn)過(guò)程中監(jiān)控和審查的范圍、對(duì)象、時(shí)間、過(guò)程、結(jié)果和措施等。SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC三、信息安全風(fēng)險(xiǎn)管理各組成部分707/19/20221、對(duì)象確立2、風(fēng)險(xiǎn)評(píng)估3、風(fēng)險(xiǎn)控制4、審核批準(zhǔn)5、監(jiān)控與審查6.溝通與咨詢SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC溝通與咨詢的概述717/19/2022溝通與咨詢?yōu)樾畔踩L(fēng)險(xiǎn)管理主循環(huán)的四個(gè)步驟(即對(duì)象確立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制和審核批準(zhǔn))中相關(guān)人員提供溝通和咨詢。溝通是為直接參與人員提供交流途徑,以保持他們之間的協(xié)調(diào)一致,共同實(shí)現(xiàn)安全目標(biāo)。咨詢是為所有相關(guān)人員提供學(xué)習(xí)途徑,以提高他們的風(fēng)險(xiǎn)意識(shí)、知識(shí)和技能,配合實(shí)現(xiàn)安全目標(biāo)。SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC溝通與咨詢的方式727/19/2022方式接受方?jīng)Q策層管理層執(zhí)行層支持層用戶層發(fā)出方?jīng)Q策層交流指導(dǎo)和檢查指導(dǎo)和檢查表態(tài)表態(tài)管理層匯報(bào)交流指導(dǎo)和檢查宣傳和介紹宣傳和介紹執(zhí)行層匯報(bào)匯報(bào)交流宣傳和介紹培訓(xùn)和咨詢支持層培訓(xùn)和咨詢培訓(xùn)和咨詢培訓(xùn)和咨詢交流培訓(xùn)和咨詢用戶層反饋反饋反饋反饋交流SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC溝通與咨詢的過(guò)程737/19/2022SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC貫穿對(duì)象確立747/19/2022階段參與人員涉及內(nèi)容信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理準(zhǔn)備決策層決策層管理層《風(fēng)險(xiǎn)管理計(jì)劃書》信息系統(tǒng)調(diào)查管理層執(zhí)行層支持層管理層執(zhí)行層《信息系統(tǒng)的描述報(bào)告》信息系統(tǒng)分析管理層執(zhí)行層支持層管理層執(zhí)行層《信息系統(tǒng)的分析報(bào)告》信息安全分析管理層執(zhí)行層支持層《信息系統(tǒng)的安全要求報(bào)告》SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC貫穿風(fēng)險(xiǎn)評(píng)估757/19/2022階段參與人員涉及內(nèi)容信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估準(zhǔn)備決策層決策層管理層《風(fēng)險(xiǎn)評(píng)估計(jì)劃》管理層管理層執(zhí)行層支持層《風(fēng)險(xiǎn)評(píng)估程序》《入選風(fēng)險(xiǎn)評(píng)估方法和工具列表》風(fēng)險(xiǎn)因素識(shí)別管理層執(zhí)行層執(zhí)行層支持層《需要保護(hù)的資產(chǎn)清單》《面臨的威脅列表》《存在的脆弱性列表》SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC貫穿風(fēng)險(xiǎn)評(píng)估767/19/2022風(fēng)險(xiǎn)程度分析管理層執(zhí)行層執(zhí)行層支持層《已有安全措施分析報(bào)告》《威脅源分析報(bào)告》《威脅行為分析報(bào)告》《脆弱性分析報(bào)告》《資產(chǎn)價(jià)值分析報(bào)告》《影響程度分析報(bào)告》風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)執(zhí)行層支持層《威脅源等級(jí)列表》《威脅行為等級(jí)列表》《脆弱性等級(jí)列表》《資產(chǎn)價(jià)值等級(jí)列表》《影響程度等級(jí)列表》《風(fēng)險(xiǎn)評(píng)估報(bào)告》SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC貫穿風(fēng)險(xiǎn)控制777/19/2022階段參與人員涉及內(nèi)容信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理現(xiàn)存風(fēng)險(xiǎn)判斷決策層管理層決策層管理層執(zhí)行層支持層《風(fēng)險(xiǎn)接受等級(jí)劃分表》《現(xiàn)存風(fēng)險(xiǎn)接受判斷書》控制目標(biāo)確立管理層管理層執(zhí)行層支持層《風(fēng)險(xiǎn)控制需求分析報(bào)告》《風(fēng)險(xiǎn)控制目標(biāo)列表》SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC貫穿風(fēng)險(xiǎn)控制787/19/2022控制措施選擇執(zhí)行層支持層《入選風(fēng)險(xiǎn)控制方式說(shuō)明報(bào)告》《入選風(fēng)險(xiǎn)控制措施說(shuō)明報(bào)告》控制措施實(shí)施管理層執(zhí)行層管理層執(zhí)行層支持層《風(fēng)險(xiǎn)控制實(shí)施計(jì)劃書》《風(fēng)險(xiǎn)控制實(shí)施記錄》SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC貫穿審核批準(zhǔn)797/19/2022階段參與人員涉及內(nèi)容信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理審核申請(qǐng)決策層管理層執(zhí)行層《審核申請(qǐng)書》《審核材料》《審核受理回執(zhí)》審核處理管理層執(zhí)行層支持層《審查結(jié)果報(bào)告》《測(cè)試結(jié)果報(bào)告》《專家鑒定報(bào)告》《審核結(jié)論報(bào)告》SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC貫穿審核批準(zhǔn)807/19/2022批準(zhǔn)申請(qǐng)決策層管理層執(zhí)行層《批準(zhǔn)申請(qǐng)書》《批準(zhǔn)受理回執(zhí)》批準(zhǔn)處理決策層決策層管理層《批準(zhǔn)決定書》持續(xù)監(jiān)督管理層執(zhí)行層管理層執(zhí)行層《機(jī)構(gòu)變化因素的描述報(bào)告》《環(huán)境變化因素的描述報(bào)告》SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC溝通與咨詢的文檔817/19/2022過(guò)程輸出文檔文檔內(nèi)容對(duì)象確立《對(duì)象確立的溝通與咨詢記錄》對(duì)象確立過(guò)程中溝通和咨詢的范圍、對(duì)象、時(shí)間、內(nèi)容和結(jié)果等。風(fēng)險(xiǎn)評(píng)估《風(fēng)險(xiǎn)評(píng)估的溝通與咨詢記錄》風(fēng)險(xiǎn)評(píng)估過(guò)程中溝通和咨詢的范圍、對(duì)象、時(shí)間、內(nèi)容和結(jié)果等。風(fēng)險(xiǎn)控制《風(fēng)險(xiǎn)控制的溝通與咨詢記錄》風(fēng)險(xiǎn)控制過(guò)程中溝通和咨詢的范圍、對(duì)象、時(shí)間、內(nèi)容和結(jié)果等。審核批準(zhǔn)《審核批準(zhǔn)的溝通與咨詢記錄》審核批準(zhǔn)過(guò)程中溝通和咨詢的范圍、對(duì)象、時(shí)間、內(nèi)容和結(jié)果等。SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC四、信息安全風(fēng)險(xiǎn)管理的運(yùn)用827/19/20221、規(guī)劃階段2、設(shè)計(jì)階段3、實(shí)施階段4、運(yùn)維階段5.廢棄階段SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC四、信息安全風(fēng)險(xiǎn)管理的運(yùn)用837/19/20221、規(guī)劃階段2、設(shè)計(jì)階段3、實(shí)施階段4、運(yùn)維階段5.廢棄階段SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC安全需求和目標(biāo)847/19/2022明確安全總體方針確保安全總體方針源自業(yè)務(wù)期望明確項(xiàng)目范圍清晰描述項(xiàng)目范圍內(nèi)所涉及系統(tǒng)的安全現(xiàn)狀提交明確的安全需求文檔清晰描述從系統(tǒng)的那些層次進(jìn)行安全實(shí)現(xiàn)對(duì)實(shí)現(xiàn)的可能性進(jìn)行充分分析、論證明確評(píng)價(jià)準(zhǔn)則并達(dá)成一致SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC風(fēng)險(xiǎn)管理的過(guò)程概述857/19/2022在項(xiàng)目規(guī)劃階段,風(fēng)險(xiǎn)管理者應(yīng)能清楚、準(zhǔn)確地描述機(jī)構(gòu)的安全總體方針、安全策略、風(fēng)險(xiǎn)管理范圍、當(dāng)前正在進(jìn)行的或計(jì)劃中將要執(zhí)行的風(fēng)險(xiǎn)管理活動(dòng)以及當(dāng)前特殊安全要求等。SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC風(fēng)險(xiǎn)管理的活動(dòng)867/19/2022序號(hào)風(fēng)險(xiǎn)管理活動(dòng)所處風(fēng)險(xiǎn)管理流程1明確安全總體方針對(duì)象確立2安全需求分析對(duì)象確立、風(fēng)險(xiǎn)評(píng)估3風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則達(dá)成一致風(fēng)險(xiǎn)控制、審核批準(zhǔn)SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC四、信息安全風(fēng)險(xiǎn)管理的運(yùn)用877/19/20221、規(guī)劃階段2、設(shè)計(jì)階段3、實(shí)施階段4、運(yùn)維階段5.廢棄階段SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC安全需求和目標(biāo)887/19/2022對(duì)用以實(shí)現(xiàn)安全系統(tǒng)的各類技術(shù)進(jìn)行有效性評(píng)估。對(duì)用于實(shí)施方案的產(chǎn)品需滿足安全保護(hù)等級(jí)的要求對(duì)自開發(fā)的軟件要在結(jié)構(gòu)設(shè)計(jì)階段就充分考慮安全風(fēng)險(xiǎn)SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC風(fēng)險(xiǎn)管理的過(guò)程概述897/19/2022在設(shè)計(jì)階段,風(fēng)險(xiǎn)管理者應(yīng)能標(biāo)識(shí)出在項(xiàng)目結(jié)構(gòu)實(shí)現(xiàn)過(guò)程中潛在的安全風(fēng)險(xiǎn),為設(shè)計(jì)說(shuō)明中的安全性設(shè)計(jì)提供評(píng)判依據(jù),并對(duì)實(shí)施方案中選擇的產(chǎn)品進(jìn)行合格檢查,確保項(xiàng)目設(shè)計(jì)階段的重要環(huán)節(jié)均能得到較好的安全風(fēng)險(xiǎn)控制。SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC風(fēng)險(xiǎn)管理的活動(dòng)907/19/2022序號(hào)風(fēng)險(xiǎn)管理活動(dòng)所處風(fēng)險(xiǎn)管理流程1安全技術(shù)選擇風(fēng)險(xiǎn)控制2安全產(chǎn)品選擇風(fēng)險(xiǎn)控制3軟件設(shè)計(jì)風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)控制SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC四、信息安全風(fēng)險(xiǎn)管理的運(yùn)用917/19/20221、規(guī)劃階段2、設(shè)計(jì)階段3、實(shí)施階段4、運(yùn)維階段5.廢棄階段SICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSEC

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC安全需求和目標(biāo)927/19/2022實(shí)施階段是按照規(guī)劃和設(shè)計(jì)階段所定義的信息系統(tǒng)實(shí)施方案,采購(gòu)設(shè)備和軟件,開發(fā)定制功能,集成、部署、配置和測(cè)試系統(tǒng),培訓(xùn)人員,并對(duì)是否允許系統(tǒng)投入運(yùn)行進(jìn)行審核批準(zhǔn)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論