信息安全风险评估与风险.ppt-淘文阁

资源描述

《信息安全风险评估与风险.ppt》由会员分享，可在线阅读，更多相关《信息安全风险评估与风险.ppt（101页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、信息安全风险评估与信息安全风险评估与风险管理风险管理汇报内容一、前言一、前言二、信息安全风险管理概述二、信息安全风险管理概述三、信息安全风险管理各组成部分三、信息安全风险管理各组成部分四、信息安全风险管理的运用四、信息安全风险管理的运用五、结束语五、结束语2一、前言管理资源吧（），提供海量管理资料免费下载！3二、信息安全风险管理概述 1 1、信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、信息安全风险管理的范围和对象信息安全风险管理的范围和对象3 3、信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4、信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命

2、周期和信息安全目标的关系期和信息安全目标的关系5 5、信息安全风险管理的角色和责任信息安全风险管理的角色和责任4二、信息安全风险管理概述 1 1、信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、信息安全风险管理的范围和对象信息安全风险管理的范围和对象3 3、信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4、信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目标的关系5 5、信息安全风险管理的角色和责任信息安全风险管理的角色和责任5信息安全风险管理的目的和意义信息安全风险管理是信息安全保障工作中的一信息安全风险管理是

3、信息安全保障工作中的一项基础性工作项基础性工作。1 1、信息安全风险管理体现在信息安全保障体系、信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。的技术、组织和管理等方面。2 2、信息安全风险管理贯穿信息系统生命周期的、信息安全风险管理贯穿信息系统生命周期的全部过程。全部过程。3 3、信息安全风险管理依据等级保护的思想和适、信息安全风险管理依据等级保护的思想和适度安全的原则，平衡成本与效益，合理部署和利用信度安全的原则，平衡成本与效益，合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基息安全的信任体系、监控体系和应急处理等重要的基础设施，确定合适的安全措施，从而确保

4、机构具有完础设施，确定合适的安全措施，从而确保机构具有完成其使命的信息安全保障能力。成其使命的信息安全保障能力。6二、信息安全风险管理概述 1 1、信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、信息安全风险管理的范围和对象信息安全风险管理的范围和对象3 3、信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4、信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目标的关系5 5、信息安全风险管理的角色和责任信息安全风险管理的角色和责任7信息安全风险管理的范围和对象8二、信息安全风险管理概述 1 1、信息安全风险管理的目的

5、和意义信息安全风险管理的目的和意义2 2、信息安全风险管理的范围和对象信息安全风险管理的范围和对象3 3、信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4、信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目标的关系5 5、信息安全风险管理的角色和责任信息安全风险管理的角色和责任9信息安全风险管理的内容和过程 10二、信息安全风险管理概述 1 1、信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、信息安全风险管理的范围和对象信息安全风险管理的范围和对象3 3、信息安全风险管理的内容和过程信息安全风险管理的内容和过程4

6、4、信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目标的关系5 5、信息安全风险管理的角色和责任信息安全风险管理的角色和责任11三维结构关系12二、信息安全风险管理概述 1 1、信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、信息安全风险管理的范围和对象信息安全风险管理的范围和对象3 3、信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4、信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目标的关系5 5、信息安全风险管理的角色和责任信息安全风险管理的角色和责任13信

7、息安全风险管理相关人员的角色和责任层面层面信息系统信息系统信息安全风险管理信息安全风险管理角色角色内外部内外部责任责任角色角色内外部内外部责任责任决策层主管者内负责信息系统的重大决策。主管者内负责信息安全风险管理的重大决策。管理层管理者内负责信息系统的规划，以及建设、运行、维护和监控等方面的组织和协调。管理者内负责信息安全风险管理的规划，以及实施和监控过程中的组织和协调。执行层建设者内或外负责信息系统的设计和实施。执行者内或外负责信息安全风险管理的实施。运行者内负责信息系统的日常运行和操作。维护者内或外负责信息系统的日常维护，包括维修和升级。监控者内负责信息系统的监视和控制。监控者内负责信息

8、安全风险管理过程和结果的监视和控制。支持层专业者外为信息系统提供专业咨询、培训、诊断和工具等服务。专业者外为信息安全风险管理提供专业咨询、培训、诊断和工具等服务。用户层使用者内或外利用信息系统完成自身的任务。受益者内或外反馈信息安全风险管理的效果。14三、信息安全风险管理各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、沟通与咨询、沟通与咨询6 6、监控与审查、监控与审查15三、信息安全风险管理各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、沟通

9、与咨询、沟通与咨询6 6、监控与审查、监控与审查16对象确立概述对象确立是信息安全风险管理的第一对象确立是信息安全风险管理的第一步骤，根据要保护系统的业务目标和特性，步骤，根据要保护系统的业务目标和特性，确定风险管理对象。其目的是为了明确信确定风险管理对象。其目的是为了明确信息安全风险管理的范围和对象，以及对象息安全风险管理的范围和对象，以及对象的特性和安全要求。的特性和安全要求。17对象确立过程18风险管理准备19信息系统调查 20信息系统分析21信息安全分析22对象确立的文档阶段阶段输出文档输出文档文档内容文档内容风险管理准备风险管理计划书风险管理的目的、意义、范围、目标、组织结构、经费预

10、算和进度安排等。信息系统调查信息系统的描述报告信息系统的业务目标、业务特性、管理特性和技术特性等。信息系统分析信息系统的分析报告信息系统的体系结构和关键要素等。信息安全分析信息系统的安全要求报告信息系统的安全环境和安全要求等。23三、信息安全风险管理各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、沟通与咨询、沟通与咨询6 6、监控与审查、监控与审查24风险评估概述风险评估是信息安全风险管理的第二风险评估是信息安全风险管理的第二步，针对确立的风险管理对象所面临的风步，针对确立的风险管理对象所面临的风险进行识别、分析和评

11、价。险进行识别、分析和评价。25风险评估过程26风险评估准备27风险因素识别28风险程度分析29风险等级评价30风险评估的文档阶段阶段输出文档输出文档文档内容文档内容风险评估准备风险评估计划书风险评估的目的、意义、范围、目标、组织结构、经费预算和进度安排等。风险评估程序风险评估的工作流程、输入数据和输出结果等。入选风险评估方法和工具列表合适的风险评估方法和工具列表。风险因素识别需要保护的资产清单对机构使命具有关键和重要作用的需要保护的资产清单。面临的威胁列表机构的信息资产面临的威胁列表。存在的脆弱性列表机构的信息资产存在的脆弱性列表。31风险评估的文档风险程度分析已有安全措施分析报告确认已有的

12、安全措施，包括技术层面（即物理平台、系统平台、通信平台、网络平台和应用平台）的安全功能、组织层面（即结构、岗位和人员）的安全控制和管理层面（即策略、规章和制度）的安全对策。威胁源分析报告从利益、复仇、好奇和自负等驱使因素，分析威胁源动机的强弱。威胁行为分析报告从攻击的强度、广度、速度和深度等方面，分析威胁行为能力的高低。脆弱性分析报告按威胁/脆弱性对，分析脆弱性被威胁利用的难以程度。资产价值分析报告从敏感性、关键性和昂贵性等方面，分析资产价值的大小。影响程度分析报告从资产损失、使命妨碍和人员伤亡等方面，分析影响程度的深浅。32风险评估的文档风险等级评价威胁源等级列表威胁源动机的等级列表。威胁行

13、为等级列表威胁行为能力的等级列表。脆弱性等级列表脆弱性被利用的等级列表。资产价值等级列表资产价值的等级列表。影响程度等级列表影响程度的等级列表。风险评估报告汇总上述分析报告和等级列表，综合评价风险的等级。33三、信息安全风险管理各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、沟通与咨询、沟通与咨询6 6、监控与审查、监控与审查34风险控制概述风险控制是信息安全风险管理的第三步骤，风险控制是信息安全风险管理的第三步骤，依据风险评估的结果，选择和实施合适的安全措依据风险评估的结果，选择和实施合适的安全措施。施。风险控制方

14、式主要有规避、转移和降低三种风险控制方式主要有规避、转移和降低三种方式方式。35风险控制需求及其相应的风险控制措施PPDRR风险控制需求风险控制需求风险控制措施风险控制措施策略Policy设备管理制度建立健全各种安全相关的规章制定和操作规范，使得保护、检测和响应环节有章可循、切实有效。机房出入守则系统安全管理守则系统安全配置明细网络安全管理守则网络安全配置明细应用安全管理守则应用安全配置明细应急响应计划安全事件处理准则36主要的风险控制需求及其相应的风险控制措施保护Protection机房严格按照GB 50174-1993电子计算机机房设计规范、GB 9361-1988计算站场地安全要求、GB

15、 2887-1982计算机站场地技术要求和GB/T 2887-2000计算机场地通用规范等国家标准建设和维护计算机机房。门控安装门控系统保安建设保安制度和保安队伍。电磁屏蔽在必要的地方设置抗电磁干扰和防电磁泄漏的设施。病毒防杀全面部署防病毒系统。漏洞补丁及时下载和安装最新的漏洞补丁模块。安全配置严格遵守各系统单元的安全配置明细，避免配置中的安全漏洞。身份认证根据不同的安全强度，分别采用身份标识/口令、数字钥匙、数字证书、生物识别、双因子等级别的身份认证系统，对设备、用户、服务等主客体进行身份认证。访问控制根据不同的安全强度，分别采用自主型、强制型等级别的访问控制系统，对设备、用户等主体访问客体

16、的权限进行控制。数据加密根据不同的安全强度，分别采用商密、普密、机密等级别的数据加密系统，对传输数据和存储数据进行加密。边界控制在网络边界布置防火墙，阻止来自外界非法访问。数字水印对于需要版权保护的图片、声音、文字等形式的信息，采用数字水印技术加以保护。数字签名在需要防止事后否认时，可采用数字签名技术。内容净化部署内容过滤系统。安全机构、安全岗位、安全责任建立健全安全机构，合理设置安全岗位，明确划分安全责任。37主要的风险控制需求及其相应的风险控制措施检测Detection监视、监测和报警在适当的位置安置监视器和报警器，在各系统单元中配备监测系统和报警系统，以实时发现安全事件并及时报警。数据校

17、验通过数据校验技术，发现数据篡改。主机入侵检测部署主机入侵检测系统，发现主机入侵行为。主机状态监测部署主机状态监测系统，随时掌握主机运行状态。网络入侵检测部署网络入侵检测系统，发现网络入侵行为。网络状态监测部署网络状态监测系统，随时掌握网络运行状态。安全审计在各系统单元中配备安全审计，以发现深层安全漏洞和安全事件。安全监督、安全检查实行持续有效的安全监督，预演应急响应计划。38主要的风险控制需求及其相应的风险控制措施响应Response恢复Recovery故障修复、事故排除确保随时能够获取故障修复和事故排除的技术人员和软硬件工具。设施备份与恢复对于关键设施，配备设施备份与恢复系统。系统备份与恢

18、复对于关键系统，配备系统备份与恢复系统。数据备份与恢复对于关键数据，配备数据备份与恢复系统。信道备份与恢复对于关键信道，配备设信道份与恢复系统。应用备份与恢复对于关键应用，配备应用备份与恢复系统。应急响应按照应急响应计划处理应急事件。安全事件处理按照安全事件处理找出原因、追究责任、总结经验、提出改进。39风险控制过程40现存风险判断41控制目标确立42控制措施选择43控制措施实施44风险控制的文档阶段阶段输出文档输出文档文档内容文档内容现存风险判断风险接受等级划分表风险接受等级的划分，即把风险评估得出的风险等级划分为可接受和不可接受两种。现存风险接受判断书现存风险是否可接受的判断结果。控制目标

19、确立风险控制需求分析报告从技术层面（即物理平台、系统平台、通信平台、网络平台和应用平台）、组织层面（即结构、岗位和人员）和管理层面（即策略、规章和制度），分析风险控制的需求。风险控制目标列表风险控制目标的列表，包括控制对象及其最低保护等级。45风险控制的文档控制措施选择入选风险控制方式说明报告选择合适的风险控制方式（包括规避方式、转移方式和降低方式），并说明选择的理由以及被选控制方式的使用方法和注意事项等。入选风险控制措施说明报告选择合适的风险控制措施，并说明选择的理由以及被选控制措施的成本、使用方法和注意事项等。控制措施实施风险控制实施计划书风险控制的范围、对象、目标、组织结构、成本预算和进

20、度安排等。风险控制实施记录风险控制措施实施的过程和结果。46三、信息安全风险管理各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、沟通与咨询、沟通与咨询6 6、监控与审查、监控与审查47审核批准概述审核批准是信息安全风险管理的第四步骤，审核批审核批准是信息安全风险管理的第四步骤，审核批准包括审核和批准两部分：审核是指通过审查、测试、准包括审核和批准两部分：审核是指通过审查、测试、评审等手段，检验风险评估和风险控制的结果是否满足评审等手段，检验风险评估和风险控制的结果是否满足信息系统的安全要求；批准是指机构的决策层依据审

21、核信息系统的安全要求；批准是指机构的决策层依据审核的结果，做出是否认可的决定。的结果，做出是否认可的决定。审核既可以由机构内部完成，也可以委托外部专业审核既可以由机构内部完成，也可以委托外部专业机构来完成，这主要取决于信息系统的性质和机构自身机构来完成，这主要取决于信息系统的性质和机构自身的专业能力。批准一般必须由机构内部或更高层的主管的专业能力。批准一般必须由机构内部或更高层的主管机构的决策层来执行。机构的决策层来执行。48审核批准过程及其在信息安全风险管理中的位置 49审核申请50审核处理51批准申请52批准处理53持续监督54审核批准的文档阶段阶段输出文档输出文档文档内容文档内容审核申请

22、审核申请书审核的范围、对象、目标和进度要求，以及申请者的基本信息和签字等。审核材料风险评估过程和风险控制过程输出的文档、软件和硬件等结果。审核受理回执同意受理、补充材料的要求和提交时间（如果需要）、审核的进度安排和收费标准，以及审核机构的名称和签章等。审核处理审查结果报告审查的范围、对象、意见和结论（即是否通过），以及审查人员的名字和签字等。测试结果报告测试的范围、对象、意见和结论（即是否通过），以及测试人员的名字和签字等。专家鉴定报告鉴定的范围、对象（及其基本情况）和结论，以及专家名单和签字等。审核结论报告审核的范围、对象、意见、结论（即是否通过）和有效期，以及审核机构的名称和签章等。55审

23、核批准的文档批准申请批准申请书批准的范围、对象和期望，以及申请者的基本信息和签字等。批准受理回执同意受理、补充材料的要求和提交时间（如果需要），以及批准机构的名称和签章等。批准处理批准决定书批准的范围、对象、意见、结论（即是否通过）和有效期，以及批准机构的名称和签章等。持续监督审核到期通知书到期的时间和重新申请的要求，以及审核机构的名称和签章。批准到期通知书到期的时间和重新申请的要求，以及批准机构的名称和签章。机构变化因素的描述报告机构及其信息系统变化因素的列表、说明和安全隐患分析等。环境变化因素的描述报告信息安全相关环境变化因素的列表、说明和安全隐患分析等。56三、信息安全风险管理各组成部分

24、 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、监控与审查、监控与审查6 6、沟通与咨询、沟通与咨询57监控与审查的概述监控与审查对信息安全风险管理主循环的四个步监控与审查对信息安全风险管理主循环的四个步骤（即对象确立、风险评估、风险控制和审核批准）骤（即对象确立、风险评估、风险控制和审核批准）进行监控和审查。监控是监视和控制，一是监视和控进行监控和审查。监控是监视和控制，一是监视和控制风险管理过程，即过程质量管理，以保证过程的有制风险管理过程，即过程质量管理，以保证过程的有效性；二是分析和平衡成本效益，即成本效益管理，效性；

25、二是分析和平衡成本效益，即成本效益管理，以保证成本的有效性。审查是跟踪受保护系统自身或以保证成本的有效性。审查是跟踪受保护系统自身或所处环境的变化，以保证结果的有效性。所处环境的变化，以保证结果的有效性。58监控与审查过程 59贯穿对象确立阶段阶段监控监控审查审查过程有效性成本有效性结果有效性风险管理准备风险管理计划制定的流程及其相关文档风险管理计划的成本与效果风险管理计划书的时效信息系统调查信息系统调查的流程及其相关文档信息系统调查的成本与效果信息系统的描述报告的时效信息系统分析信息系统分析的流程及其相关文档信息系统分析的成本与效果信息系统的分析报告的时效信息安全分析信息系统安全要求分析的

26、流程及其相关文档信息系统安全要求分析的成本与效果信息系统的安全要求报告的时效60贯穿风险评估阶段阶段监控监控审查审查过程有效性成本有效性结果有效性风险评估准备风险评估的计划制定、程序确定以及方法和工具选择的流程及其相关文档风险评估的计划、程序以及入选方法和工具的成本与效果风险评估计划、风险评估程序和入选风险评估方法和工具列表的时效风险因素识别资产、威胁列和脆弱性识别的流程及其相关文档资产、威胁列和脆弱性识别的成本与效果需要保护的资产清单、面临的威胁列表和存在的脆弱性列表的时效61贯穿风险评估风险程度分析已有安全措施、威胁源、威胁行为、脆弱性、资产价值和影响程度分析的流程及其相关文档已有安全措

27、施、威胁源、威胁行为、脆弱性、资产价值和影响程度分析的成本与效果已有安全措施分析报告、威胁源分析报告、威胁行为分析报告、脆弱性分析报告、资产价值分析报告和影响程度分析报告的时效风险等级评价威胁源等级、威胁行为等级、脆弱性等级、资产价值等级和影响程度等级评价以及风险评估报告生成的流程及其相关文档威胁源等级、威胁行为等级、脆弱性等级、资产价值等级和影响程度等级评价以及风险评估报告生成的成本与效果威胁源等级列表、威胁行为等级列表、脆弱性等级列表、资产价值等级列表、影响程度等级列表和风险评估报告的时效62贯穿风险控制阶段阶段监控监控审查审查过程有效性成本有效性结果有效性现存风险判断可接受风险等级确定

28、和现存风险接受判断的流程及其相关文档可接受风险等级确定和现存风险接受判断的成本与效果风险接受等级划分表和现存风险接受判断书的时效控制目标确立风险控制需求分析和风险控制目标确立的流程及其相关文档风险控制需求分析和风险控制目标确立的成本与效果风险控制需求分析报告和风险控制目标列表的时效63贯穿风险控制控制措施选择风险控制方式和措施选择的流程及其相关文档入选风险控制方式和措施的成本与效果入选风险控制方式说明报告和入选风险控制措施说明报告的时效控制措施实施风险控制实施计划制定和风险控制措施实施的流程及其相关文档风险控制实施计划制定和风险控制措施实施的成本与效果风险控制实施计划书和风险控制实施记录的时效

29、64贯穿审核批准阶段阶段监控监控审查审查过程有效性成本有效性结果有效性审核申请审核申请和受理的流程及其相关文档审核申请和受理的成本与效果审核申请书、审核材料和审核受理回执的时效审核处理审核材料审查、审核对象测试、专家鉴定和审核结论给出的流程及其相关文档审核材料审查、审核对象测试、专家鉴定和审核结论给出的成本与效果审查结果报告、测试结果报告、专家鉴定报告和审核结论报告的时效65贯穿审核批准批准申请批准申请和受理的流程及其相关文档批准申请和受理的成本与效果批准申请书和批准受理回执的时效批准处理审阅批准材料和批准决定做出的流程及其相关文档审阅批准材料和批准决定做出的成本与效果批准决定书的时效持续监

30、督审核结论报告和批准决定书到期检查和机构及其环境变化检查的流程及其相关文档审核结论报告和批准决定书到期检查和机构及其环境变化检查的成本与效果机构变化因素的描述报告和环境变化因素的描述报告的时效66监控与审查的文档过程过程输出文档输出文档文档内容文档内容对象确立对象确立的监控与审查记录对象确立过程中监控和审查的范围、对象、时间、过程、结果和措施等。风险评估风险评估的监控与审查记录风险评估过程中监控和审查的范围、对象、时间、过程、结果和措施等。风险控制风险控制的监控与审查记录风险控制过程中监控和审查的范围、对象、时间、过程、结果和措施等。审核批准审核批准的监控与审查记录审核批准过程中监控和审查的范

31、围、对象、时间、过程、结果和措施等。67三、信息安全风险管理各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、监控与审查、监控与审查6 6、沟通与咨询、沟通与咨询68沟通与咨询的概述沟通与咨询为信息安全风险管理主循环的四个沟通与咨询为信息安全风险管理主循环的四个步骤（即对象确立、风险评估、风险控制和审核批步骤（即对象确立、风险评估、风险控制和审核批准）中相关人员提供沟通和咨询。沟通是为直接参准）中相关人员提供沟通和咨询。沟通是为直接参与人员提供交流途径，以保持他们之间的协调一致，与人员提供交流途径，以保持他们之间的协调

32、一致，共同实现安全目标。咨询是为所有相关人员提供学共同实现安全目标。咨询是为所有相关人员提供学习途径，以提高他们的风险意识、知识和技能，配习途径，以提高他们的风险意识、知识和技能，配合实现安全目标。合实现安全目标。69沟通与咨询的方式方式方式接受方接受方决策层决策层管理层管理层执行层执行层支持层支持层用户层用户层发发出出方方决策决策层层交流指导和检查指导和检查表态表态管理管理层层汇报交流指导和检查宣传和介绍宣传和介绍执行执行层层汇报汇报交流宣传和介绍培训和咨询支持支持层层培训和咨询培训和咨询培训和咨询交流培训和咨询用户用户层层反馈反馈反馈反馈交流70沟通与咨询的过程71贯穿对象确立阶段阶段参与

33、人员参与人员涉及内容涉及内容信息系统信息安全风险管理风险管理准备决策层决策层管理层风险管理计划书信息系统调查管理层执行层支持层管理层执行层信息系统的描述报告信息系统分析管理层执行层支持层管理层执行层信息系统的分析报告信息安全分析管理层执行层支持层信息系统的安全要求报告72贯穿风险评估阶段阶段参与人员参与人员涉及内容涉及内容信息系统信息安全风险管理风险评估准备决策层决策层管理层风险评估计划管理层管理层执行层支持层风险评估程序入选风险评估方法和工具列表风险因素识别管理层执行层执行层支持层需要保护的资产清单面临的威胁列表存在的脆弱性列表73贯穿风险评估风险程度分析管理层执行层执行层支持层已有安全措施

34、分析报告威胁源分析报告威胁行为分析报告脆弱性分析报告资产价值分析报告影响程度分析报告风险等级评价执行层支持层威胁源等级列表威胁行为等级列表脆弱性等级列表资产价值等级列表影响程度等级列表风险评估报告74贯穿风险控制阶段阶段参与人员参与人员涉及内容涉及内容信息系统信息安全风险管理现存风险判断决策层管理层决策层管理层执行层支持层风险接受等级划分表现存风险接受判断书控制目标确立管理层管理层执行层支持层风险控制需求分析报告风险控制目标列表75贯穿风险控制控制措施选择执行层支持层入选风险控制方式说明报告入选风险控制措施说明报告控制措施实施管理层执行层管理层执行层支持层风险控制实施计划书风险控制实施记录76

35、贯穿审核批准阶段阶段参与人员参与人员涉及内容涉及内容信息系统信息安全风险管理审核申请决策层管理层执行层审核申请书审核材料审核受理回执审核处理管理层执行层支持层审查结果报告测试结果报告专家鉴定报告审核结论报告77贯穿审核批准批准申请决策层管理层执行层批准申请书批准受理回执批准处理决策层决策层管理层批准决定书持续监督管理层执行层管理层执行层机构变化因素的描述报告环境变化因素的描述报告78沟通与咨询的文档过程过程输出文档输出文档文档内容文档内容对象确立对象确立的沟通与咨询记录对象确立过程中沟通和咨询的范围、对象、时间、内容和结果等。风险评估风险评估的沟通与咨询记录风险评估过程中沟通和咨询的范围、对象

36、、时间、内容和结果等。风险控制风险控制的沟通与咨询记录风险控制过程中沟通和咨询的范围、对象、时间、内容和结果等。审核批准审核批准的沟通与咨询记录审核批准过程中沟通和咨询的范围、对象、时间、内容和结果等。79四、信息安全风险管理的运用 1 1、规划阶段、规划阶段2 2、设计阶段、设计阶段3 3、实施阶段、实施阶段4 4、运维阶段、运维阶段5 5、废弃阶段、废弃阶段80四、信息安全风险管理的运用 1 1、规划阶段、规划阶段2 2、设计阶段、设计阶段3 3、实施阶段、实施阶段4 4、运维阶段、运维阶段5 5、废弃阶段、废弃阶段81安全需求和目标明确安全总体方针明确安全总体方针确保安全总体方针源自业务

37、期望确保安全总体方针源自业务期望明确项目范围明确项目范围清晰描述项目范围内所涉及系统的安全现状清晰描述项目范围内所涉及系统的安全现状提交明确的安全需求文档提交明确的安全需求文档清晰描述从系统的那些层次进行安全实现清晰描述从系统的那些层次进行安全实现对实现的可能性进行充分分析、论证对实现的可能性进行充分分析、论证明确评价准则并达成一致明确评价准则并达成一致82风险管理的过程概述在项目规划阶段，风险管理者应能清楚、准在项目规划阶段，风险管理者应能清楚、准确地描述机构的安全总体方针、安全策略、风险确地描述机构的安全总体方针、安全策略、风险管理范围、当前正在进行的或计划中将要执行的管理范围、当前正在进

38、行的或计划中将要执行的风险管理活动以及当前特殊安全要求等。风险管理活动以及当前特殊安全要求等。83风险管理的活动序序号号风险管理活风险管理活动动所处风险管所处风险管理流程理流程1明确安全总体方针对象确立2安全需求分析对象确立、风险评估3风险评价准则达成一致风险控制、审核批准84四、信息安全风险管理的运用 1 1、规划阶段、规划阶段2 2、设计阶段、设计阶段3 3、实施阶段、实施阶段4 4、运维阶段、运维阶段5 5、废弃阶段、废弃阶段85安全需求和目标对用以实现安全系统的各类技术进行有效性评对用以实现安全系统的各类技术进行有效性评估。估。对用于实施方案的产品需满足安全保护等级的对用于实施方案的产

39、品需满足安全保护等级的要求要求对自开发的软件要在结构设计阶段就充分考虑对自开发的软件要在结构设计阶段就充分考虑安全风险安全风险86风险管理的过程概述在设计阶段，风险管理者应能标识出在在设计阶段，风险管理者应能标识出在项目结构实现过程中潜在的安全风险，为设项目结构实现过程中潜在的安全风险，为设计说明中的安全性设计提供评判依据，并对计说明中的安全性设计提供评判依据，并对实施方案中选择的产品进行合格检查，确保实施方案中选择的产品进行合格检查，确保项目设计阶段的重要环节均能得到较好的安项目设计阶段的重要环节均能得到较好的安全风险控制。全风险控制。87风险管理的活动序序号号风险管理活风险管理活动动所处风

40、险管所处风险管理流程理流程1安全技术选择风险控制2安全产品选择风险控制3软件设计风险控制风险控制88四、信息安全风险管理的运用 1 1、规划阶段、规划阶段2 2、设计阶段、设计阶段3 3、实施阶段、实施阶段4 4、运维阶段、运维阶段5 5、废弃阶段、废弃阶段89安全需求和目标实实施施阶阶段段是是按按照照规规划划和和设设计计阶阶段段所所定定义义的的信信息息系系统统实实施施方方案案，采采购购设设备备和和软软件件，开开发发定定制制功功能能，集集成成、部部署署、配配置置和和测测试试系系统统，培培训训人人员，并对是否允许系统投入运行进行审核批准。员，并对是否允许系统投入运行进行审核批准。90风险管理的过

41、程概述实施阶段的风险管理主要活动包括检查实施阶段的风险管理主要活动包括检查与配置、安全测试、人员培训及授权运行，与配置、安全测试、人员培训及授权运行，同时在上述过程中通过监控与审查、沟通与同时在上述过程中通过监控与审查、沟通与咨询来确保本阶段风险管理目标的实现。咨询来确保本阶段风险管理目标的实现。91风险管理的活动序序号号风险管理风险管理活动活动所处风险管所处风险管理流程理流程1检查与配置风险控制2安全测试风险控制3人员培训风险控制4授权系统运行审核批准92四、信息安全风险管理的运用 1 1、规划阶段、规划阶段2 2、设计阶段、设计阶段3 3、实施阶段、实施阶段4 4、运维阶段、运维阶段5

42、 5、废弃阶段、废弃阶段93安全需求和目标运运行行维维护护阶阶段段是是在在信信息息系系统统经经过过授授权权投投入入运运行行之之后后，通通过过风风险险管管理理的的相相关关过过程程和和活活动动，确确保保信信息息系系统统在在运运行行过过程程中中、以以及及信信息息系系统统或或其其运运行行环环境境发发生生变变化化时时维维持持系系统统的的正正常常运运行行和和安全性。安全性。94风险管理的过程概述运行维护阶段的风险管理主要活动包括安全运运行维护阶段的风险管理主要活动包括安全运行和管理、变更管理、风险再评估、定期重新审行和管理、变更管理、风险再评估、定期重新审批，同时在上述过程中通过监控与审查、沟通与批，同时

43、在上述过程中通过监控与审查、沟通与咨询来确保本阶段风险管理目标的实现。咨询来确保本阶段风险管理目标的实现。95运行维护阶段风险管理活动的流程 96四、信息安全风险管理的运用 1 1、规划阶段、规划阶段2 2、设计阶段、设计阶段3 3、实施阶段、实施阶段4 4、运维阶段、运维阶段5 5、废弃阶段、废弃阶段97安全需求和目标废弃阶段是对信息系统的过时或无用部分废弃阶段是对信息系统的过时或无用部分进行报废处理的过程。在废弃阶段，风险管理进行报废处理的过程。在废弃阶段，风险管理的目标是确保信息、硬件、软件在执行废弃的的目标是确保信息、硬件、软件在执行废弃的过程中确保其安全废弃，防止发生信息系统的过程中

44、确保其安全废弃，防止发生信息系统的安全目标遭到破坏。安全目标遭到破坏。98风险管理的过程概述系统废弃阶段涉及到信息、硬件和软件的安系统废弃阶段涉及到信息、硬件和软件的安全处置，应防止敏感信息就泄漏给外部人员。系统全处置，应防止敏感信息就泄漏给外部人员。系统废弃的风险管理活动包括：确定废弃对象，对废弃废弃的风险管理活动包括：确定废弃对象，对废弃对象的风险评估，对废弃对象及废弃过程的风险控对象的风险评估，对废弃对象及废弃过程的风险控制。同时在上述过程中通过监控与审查、沟通与咨制。同时在上述过程中通过监控与审查、沟通与咨询来确保本阶段风险管理目标的实现。询来确保本阶段风险管理目标的实现。99风险管理的活动序号序号风险管理活动风险管理活动所处风险管理流程所处风险管理流程1确立废弃对象对象确立2废弃对象的风险评估风险评估3废弃过程的风险控制风险控制4废弃后的评审审核批准100五、结束语 101

展开阅读全文