《信息安全风险评估与风险管理教材.ppt》由会员分享,可在线阅读,更多相关《信息安全风险评估与风险管理教材.ppt(101页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险评估与风险管理报告人:范红二00四年九月SI
2、C INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 汇报内容一、前言一、前言二、信息安全风险管理概述二、信息安全风险管理概述三、信息安全风险管理各组成部分三、信息安全风险管理各组成部分四、信息安全风险管理的运用四、信息安全风险管理的运用五、结束语五、结束语2023/3/142023/3/142SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOS
3、EC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 一、前言 2023/3/142023/3/143SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 二、信息安全风险管理概述 1 1、信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、
4、信息安全风险管理的范围和对象信息安全风险管理的范围和对象3 3、信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4、信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目标的关系5 5、信息安全风险管理的角色和责任信息安全风险管理的角色和责任2023/3/142023/3/144SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC
5、 SIC 二、信息安全风险管理概述 1 1、信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、信息安全风险管理的范围和对象信息安全风险管理的范围和对象3 3、信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4、信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目标的关系5 5、信息安全风险管理的角色和责任信息安全风险管理的角色和责任2023/3/142023/3/145SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC I
6、NFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险管理的目的和意义 信息安全风险管理是信息安全保障工作中的一信息安全风险管理是信息安全保障工作中的一项基础性工作项基础性工作 。1 1、信息安全风险管理体现在信息安全保障体系、信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。的技术、组织和管理等方面。2 2、信息安全风险管理贯穿信息系统生命周期的、信息安全风险管理贯穿信息系统生命周期的全部过程。全部过程。3 3、信息安全风险管理依据等级保护的思想和适、信息安全风险管理依据等级保护的思想和适度安全的原则,
7、平衡成本与效益,合理部署和利用信度安全的原则,平衡成本与效益,合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基息安全的信任体系、监控体系和应急处理等重要的基础设施,确定合适的安全措施,从而确保机构具有完础设施,确定合适的安全措施,从而确保机构具有完成其使命的信息安全保障能力。成其使命的信息安全保障能力。2023/3/142023/3/146SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SI
8、C INFOSEC SIC 二、信息安全风险管理概述 1 1、信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、信息安全风险管理的范围和对象信息安全风险管理的范围和对象3 3、信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4、信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目标的关系5 5、信息安全风险管理的角色和责任信息安全风险管理的角色和责任2023/3/142023/3/147SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFO
9、SEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险管理的范围和对象2023/3/142023/3/148SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 二、信息安全风险管理概述 1 1、信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、信息安全风险管理的范围和对象
10、信息安全风险管理的范围和对象3 3、信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4、信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目标的关系5 5、信息安全风险管理的角色和责任信息安全风险管理的角色和责任2023/3/142023/3/149SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险管理的
11、内容和过程 2023/3/142023/3/1410SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 二、信息安全风险管理概述 1 1、信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、信息安全风险管理的范围和对象信息安全风险管理的范围和对象3 3、信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4、信息安全风险管理与信息系统生命周信息安全风险管理与
12、信息系统生命周期和信息安全目标的关系期和信息安全目标的关系5 5、信息安全风险管理的角色和责任信息安全风险管理的角色和责任2023/3/142023/3/1411SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 三维结构关系2023/3/142023/3/1412SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOS
13、EC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 二、信息安全风险管理概述 1 1、信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、信息安全风险管理的范围和对象信息安全风险管理的范围和对象3 3、信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4、信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目标的关系5 5、信息安全风险管理的角色和责任信息安全风险管理的角色和责任2023/3/142023/3/1413SI
14、C INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险管理相关人员的角色和责任 层面层面信息系统信息系统信息安全风险管理信息安全风险管理角色角色内外部内外部责任责任角色角色内外部内外部责任责任决策层主管者内负责信息系统的重大决策。主管者内负责信息安全风险管理的重大决策。管理层管理者内负责信息系统的规划,以及建设、运行、维护和监控等方面的组织和协调。管理者内负责信息安全风险
15、管理的规划,以及实施和监控过程中的组织和协调。执行层建设者内或外负责信息系统的设计和实施。执行者内或外负责信息安全风险管理的实施。运行者内负责信息系统的日常运行和操作。维护者内或外负责信息系统的日常维护,包括维修和升级。监控者内负责信息系统的监视和控制。监控者内负责信息安全风险管理过程和结果的监视和控制。支持层专业者外为信息系统提供专业咨询、培训、诊断和工具等服务。专业者外为信息安全风险管理提供专业咨询、培训、诊断和工具等服务。用户层使用者内或外利用信息系统完成自身的任务。受益者内或外反馈信息安全风险管理的效果。2023/3/142023/3/1414SIC INFOSEC SIC INFOS
16、EC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 三、信息安全风险管理各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、沟通与咨询、沟通与咨询6 6、监控与审查、监控与审查2023/3/142023/3/1415SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INF
17、OSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 三、信息安全风险管理各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、沟通与咨询、沟通与咨询6 6、监控与审查、监控与审查2023/3/142023/3/1416SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC I
18、NFOSEC SIC INFOSEC SIC 对象确立概述对象确立是信息安全风险管理的第一对象确立是信息安全风险管理的第一步骤,根据要保护系统的业务目标和特性,步骤,根据要保护系统的业务目标和特性,确定风险管理对象。其目的是为了明确信确定风险管理对象。其目的是为了明确信息安全风险管理的范围和对象,以及对象息安全风险管理的范围和对象,以及对象的特性和安全要求。的特性和安全要求。2023/3/142023/3/1417SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INF
19、OSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 对象确立过程2023/3/142023/3/1418SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险管理准备2023/3/142023/3/1419SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INF
20、OSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息系统调查 2023/3/142023/3/1420SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息系统分析2023/3/142023/3/1421SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC IN
21、FOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全分析2023/3/142023/3/1422SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 对象确立的文档阶段阶段输出文档输出文档文档内容文档内容风险管理准备风险管理计划书风险管理
22、的目的、意义、范围、目标、组织结构、经费预算和进度安排等。信息系统调查信息系统的描述报告信息系统的业务目标、业务特性、管理特性和技术特性等。信息系统分析信息系统的分析报告信息系统的体系结构和关键要素等。信息安全分析信息系统的安全要求报告信息系统的安全环境和安全要求等。2023/3/142023/3/1423SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 三、信息安全风险管理
23、各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、沟通与咨询、沟通与咨询6 6、监控与审查、监控与审查2023/3/142023/3/1424SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估概述 风险评估是信息安全风险管理的第二风险评估是信息安全风险管理的第二步,针对确立的风险管理对象所面临的
24、风步,针对确立的风险管理对象所面临的风险进行识别、分析和评价。险进行识别、分析和评价。2023/3/142023/3/1425SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估过程2023/3/142023/3/1426SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC
25、 INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估准备2023/3/142023/3/1427SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险因素识别2023/3/142023/3/1428SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC
26、 INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险程度分析2023/3/142023/3/1429SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险等级评价2023/3/142023/3/1430SIC INFOSEC SIC INFOSEC SIC
27、 INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估的文档阶段阶段输出文档输出文档文档内容文档内容风险评估准备风险评估计划书风险评估的目的、意义、范围、目标、组织结构、经费预算和进度安排等。风险评估程序风险评估的工作流程、输入数据和输出结果等。入选风险评估方法和工具列表合适的风险评估方法和工具列表。风险因素识别需要保护的资产清单对机构使命具有关键和重要作用的需要保护的资产清单。面临的威胁列表机构的信息资产面临的威胁列表。存
28、在的脆弱性列表机构的信息资产存在的脆弱性列表。2023/3/142023/3/1431SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估的文档风险程度分析已有安全措施分析报告确认已有的安全措施,包括技术层面(即物理平台、系统平台、通信平台、网络平台和应用平台)的安全功能、组织层面(即结构、岗位和人员)的安全控制和管理层面(即策略、规章和制度)的安全对策。威胁源分析报告
29、从利益、复仇、好奇和自负等驱使因素,分析威胁源动机的强弱。威胁行为分析报告从攻击的强度、广度、速度和深度等方面,分析威胁行为能力的高低。脆弱性分析报告按威胁/脆弱性对,分析脆弱性被威胁利用的难以程度。资产价值分析报告从敏感性、关键性和昂贵性等方面,分析资产价值的大小。影响程度分析报告从资产损失、使命妨碍和人员伤亡等方面,分析影响程度的深浅。2023/3/142023/3/1432SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC S
30、IC INFOSEC SIC INFOSEC SIC 风险评估的文档风险等级评价威胁源等级列表威胁源动机的等级列表。威胁行为等级列表威胁行为能力的等级列表。脆弱性等级列表脆弱性被利用的等级列表。资产价值等级列表资产价值的等级列表。影响程度等级列表影响程度的等级列表。风险评估报告汇总上述分析报告和等级列表,综合评价风险的等级。2023/3/142023/3/1433SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOS
31、EC SIC INFOSEC SIC 三、信息安全风险管理各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、沟通与咨询、沟通与咨询6 6、监控与审查、监控与审查2023/3/142023/3/1434SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险控制概述 风险控制是信息安全风险管理的第三步骤,风
32、险控制是信息安全风险管理的第三步骤,依据风险评估的结果,选择和实施合适的安全措依据风险评估的结果,选择和实施合适的安全措施。施。风险控制方式主要有风险控制方式主要有规避、转移和降低规避、转移和降低三种三种方式方式。2023/3/142023/3/1435SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险控制需求及其相应的风险控制措施PPDRR风险控制需求风险控制需求风险控
33、制措施风险控制措施策略Policy设备管理制度建立健全各种安全相关的规章制定和操作规范,使得保护、检测和响应环节有章可循、切实有效。机房出入守则系统安全管理守则系统安全配置明细网络安全管理守则网络安全配置明细应用安全管理守则应用安全配置明细应急响应计划安全事件处理准则2023/3/142023/3/1436SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 主要的风险控制需求及
34、其相应的风险控制措施保护Protection机房严格按照GB 50174-1993电子计算机机房设计规范、GB 9361-1988计算站场地安全要求、GB 2887-1982计算机站场地技术要求和GB/T 2887-2000计算机场地通用规范等国家标准建设和维护计算机机房。门控安装门控系统保安建设保安制度和保安队伍。电磁屏蔽在必要的地方设置抗电磁干扰和防电磁泄漏的设施。病毒防杀全面部署防病毒系统。漏洞补丁及时下载和安装最新的漏洞补丁模块。安全配置严格遵守各系统单元的安全配置明细,避免配置中的安全漏洞。身份认证根据不同的安全强度,分别采用身份标识/口令、数字钥匙、数字证书、生物识别、双因子等级别
35、的身份认证系统,对设备、用户、服务等主客体进行身份认证。访问控制根据不同的安全强度,分别采用自主型、强制型等级别的访问控制系统,对设备、用户等主体访问客体的权限进行控制。数据加密根据不同的安全强度,分别采用商密、普密、机密等级别的数据加密系统,对传输数据和存储数据进行加密。边界控制在网络边界布置防火墙,阻止来自外界非法访问。数字水印对于需要版权保护的图片、声音、文字等形式的信息,采用数字水印技术加以保护。数字签名在需要防止事后否认时,可采用数字签名技术。内容净化部署内容过滤系统。安全机构、安全岗位、安全责任建立健全安全机构,合理设置安全岗位,明确划分安全责任。2023/3/142023/3/1
36、437SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 主要的风险控制需求及其相应的风险控制措施检测Detection监视、监测和报警在适当的位置安置监视器和报警器,在各系统单元中配备监测系统和报警系统,以实时发现安全事件并及时报警。数据校验通过数据校验技术,发现数据篡改。主机入侵检测部署主机入侵检测系统,发现主机入侵行为。主机状态监测部署主机状态监测系统,随时掌握主机运行状
37、态。网络入侵检测部署网络入侵检测系统,发现网络入侵行为。网络状态监测部署网络状态监测系统,随时掌握网络运行状态。安全审计在各系统单元中配备安全审计,以发现深层安全漏洞和安全事件。安全监督、安全检查实行持续有效的安全监督,预演应急响应计划。2023/3/142023/3/1438SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 主要的风险控制需求及其相应的风险控制措施响应Res
38、ponse恢复Recovery故障修复、事故排除确保随时能够获取故障修复和事故排除的技术人员和软硬件工具。设施备份与恢复对于关键设施,配备设施备份与恢复系统。系统备份与恢复对于关键系统,配备系统备份与恢复系统。数据备份与恢复对于关键数据,配备数据备份与恢复系统。信道备份与恢复对于关键信道,配备设信道份与恢复系统。应用备份与恢复对于关键应用,配备应用备份与恢复系统。应急响应按照应急响应计划处理应急事件。安全事件处理按照安全事件处理找出原因、追究责任、总结经验、提出改进。2023/3/142023/3/1439SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFO
39、SEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险控制过程2023/3/142023/3/1440SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 现存风险判断2023/3/142023/3/1441SIC INFOSEC SIC INFO
40、SEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 控制目标确立2023/3/142023/3/1442SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 控制措施选择2023/3/142023/3/
41、1443SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 控制措施实施2023/3/142023/3/1444SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SI
42、C 风险控制的文档阶段阶段输出文档输出文档文档内容文档内容现存风险判断风险接受等级划分表风险接受等级的划分,即把风险评估得出的风险等级划分为可接受和不可接受两种。现存风险接受判断书现存风险是否可接受的判断结果。控制目标确立风险控制需求分析报告从技术层面(即物理平台、系统平台、通信平台、网络平台和应用平台)、组织层面(即结构、岗位和人员)和管理层面(即策略、规章和制度),分析风险控制的需求。风险控制目标列表风险控制目标的列表,包括控制对象及其最低保护等级。2023/3/142023/3/1445SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC
43、 INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险控制的文档控制措施选择入选风险控制方式说明报告选择合适的风险控制方式(包括规避方式、转移方式和降低方式),并说明选择的理由以及被选控制方式的使用方法和注意事项等。入选风险控制措施说明报告选择合适的风险控制措施,并说明选择的理由以及被选控制措施的成本、使用方法和注意事项等。控制措施实施风险控制实施计划书风险控制的范围、对象、目标、组织结构、成本预算和进度安排等。风险控制实施记录风险控制措施实施的过程和结果。2023/3/14
44、2023/3/1446SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 三、信息安全风险管理各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、沟通与咨询、沟通与咨询6 6、监控与审查、监控与审查2023/3/142023/3/1447SIC INFOSEC SIC INFOSEC SIC INFOSEC
45、 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 审核批准概述 审核批准是信息安全风险管理的第四步骤,审核批审核批准是信息安全风险管理的第四步骤,审核批准包括审核和批准两部分:审核是指通过审查、测试、准包括审核和批准两部分:审核是指通过审查、测试、评审等手段,检验风险评估和风险控制的结果是否满足评审等手段,检验风险评估和风险控制的结果是否满足信息系统的安全要求;批准是指机构的决策层依据审核信息系统的安全要求;批准是指机构的决策层依据审核的结果,
46、做出是否认可的决定。的结果,做出是否认可的决定。审核既可以由机构内部完成,也可以委托外部专业审核既可以由机构内部完成,也可以委托外部专业机构来完成,这主要取决于信息系统的性质和机构自身机构来完成,这主要取决于信息系统的性质和机构自身的专业能力。批准一般必须由机构内部或更高层的主管的专业能力。批准一般必须由机构内部或更高层的主管机构的决策层来执行。机构的决策层来执行。2023/3/142023/3/1448SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC
47、SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 审核批准过程及其在信息安全风险管理中的位置 2023/3/142023/3/1449SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 审核申请2023/3/142023/3/1450SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSE
48、C SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 审核处理2023/3/142023/3/1451SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 批准申请2023/3/142023/3/1452SIC INFOSEC SIC INFOSEC SIC INFOSEC SI
49、C INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 批准处理2023/3/142023/3/1453SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 持续监督2023/3/142023/3/1454SIC INFOSEC SIC IN
50、FOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 审核批准的文档阶段阶段输出文档输出文档文档内容文档内容审核申请审核申请书审核的范围、对象、目标和进度要求,以及申请者的基本信息和签字等。审核材料风险评估过程和风险控制过程输出的文档、软件和硬件等结果。审核受理回执同意受理、补充材料的要求和提交时间(如果需要)、审核的进度安排和收费标准,以及审核机构的名称和签章等。审核处理审查结果报告审查的范围、对象、意见和结论(