【正文】 提出要重視信息安全風(fēng)險(xiǎn)評估工作，將風(fēng)險(xiǎn)評估作為提高我國信息安全保障水平的一項(xiàng)重要 舉措 ?《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》 （國信辦[2023]5號），就信息安全風(fēng)險(xiǎn)評估工作的基本內(nèi)容和原則，以及開展信息安全風(fēng)險(xiǎn)評估工作的有關(guān)安排等做出規(guī)定和 部署 ?《關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評估工作的通知》 （發(fā)改高技 [2023]2071號 ），規(guī)范了 國家 電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評估 工作 22 《 關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見 》 （國信辦 [2023]5號 ） 的 實(shí)施要求 ?信息 安全風(fēng)險(xiǎn)評估工作應(yīng)當(dāng)貫穿信息系統(tǒng)全 生命周期。規(guī)劃設(shè)計(jì)階段、驗(yàn)收時(shí)均應(yīng)實(shí)施風(fēng)險(xiǎn)評估；運(yùn)行后應(yīng)定期實(shí)施 ?應(yīng)通過信息安全風(fēng)險(xiǎn)評估為信息系統(tǒng)確定安全等級提供依據(jù)，根據(jù)風(fēng)險(xiǎn)評估的結(jié)果檢驗(yàn)網(wǎng)絡(luò)與信息系統(tǒng)的防護(hù)水平是否符合等級保護(hù)的要求 23 《 關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見 》（ 國信辦 [2023]5號） 的 管理要求 ?為規(guī)避由于風(fēng)險(xiǎn)評估工作而引入新的安全風(fēng)險(xiǎn)， 必須高度重視信息安全風(fēng)險(xiǎn)評估的組織管理 工作。要求： ? 參與 信息安全風(fēng)險(xiǎn)評估工作的單位及其有關(guān)人員必須遵守國家有關(guān)信息安全的法律法規(guī)，并承擔(dān)相應(yīng)的責(zé)任和義務(wù) ? 風(fēng)險(xiǎn) 評估工作的發(fā)起方必須采取相應(yīng)保密措施，并與參與評估的有關(guān)單位或人員簽訂具有法律約束力的保密 協(xié)議 ? 對 關(guān)系國計(jì)民生和社會穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險(xiǎn)評估工作必須遵循國家的有關(guān)規(guī)定進(jìn)行 24 《 關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評估工作的通知 》 （ 發(fā)改高技 【 2023】 2071號 ） ?電子政務(wù)工程建設(shè)項(xiàng)目應(yīng)開展信息安全風(fēng)險(xiǎn)評估工作 ?項(xiàng)目 建設(shè)單位應(yīng)在試運(yùn)行期間開展風(fēng)險(xiǎn)評估工作，作為項(xiàng)目驗(yàn)收的重要依據(jù) ?項(xiàng)目驗(yàn)收申請時(shí)，應(yīng)提交信息安全風(fēng)險(xiǎn)評估報(bào)告 ?系統(tǒng)投入運(yùn)行后，應(yīng)定期開展信息安全風(fēng)險(xiǎn)評估 25 信息 安全風(fēng)險(xiǎn)管理相關(guān)的國內(nèi)外標(biāo)準(zhǔn) ? GB/T 209842023《信息安全風(fēng)險(xiǎn)評估規(guī)范》 ? GB/Z 243642023《信息安全風(fēng)險(xiǎn)管理指南》 ? ISO/IEC 27005:2023《信息安全風(fēng)險(xiǎn)管理》 ? ISO GUIDE 73:2023《風(fēng)險(xiǎn)管理－術(shù)語》 ? ISO 31000:2023《風(fēng)險(xiǎn)管理－主要原則和指南》 ? IEC/ISO 31010:2023《風(fēng)險(xiǎn)管理－風(fēng)險(xiǎn)評估技術(shù)》 ? NIST SP80030 (2023)《實(shí)施風(fēng)險(xiǎn)評估指南》 ? NIST SP80039 (2023) 《管理信息安全風(fēng)險(xiǎn)：組織、使命和信息系統(tǒng)梗概》 ? NIST SP80037 (2023) 《聯(lián)邦信息系統(tǒng)應(yīng)用風(fēng)險(xiǎn)管理框架指南：安全生命周期方法》 ? NIST SP80053 (2023) 《為聯(lián)邦信息系統(tǒng)和組織推薦的安全控制措施》 ? NIST SP80053A (2023) 《聯(lián)邦信息系統(tǒng)和組織安全控制措施評估指南：建立有效的安全評估計(jì)劃》 26 知識域：信息安全風(fēng)險(xiǎn)管理主要內(nèi)容 知識子域： 信息安全風(fēng)險(xiǎn)管理的基本內(nèi)容和過程 ?理解 背景建立的主要工作內(nèi)容 ?理解風(fēng)險(xiǎn)評估的主要工作內(nèi)容 ?理解風(fēng)險(xiǎn)處理的主要工作內(nèi)容 ?理解批準(zhǔn)監(jiān)督的主要工作內(nèi)容 ?理解監(jiān)控審查的主要工作內(nèi)容 ?理解溝通咨詢的主要工作內(nèi)容 27 信息安全風(fēng)險(xiǎn)管理工作內(nèi)容 背景 建立 風(fēng)險(xiǎn)評估 風(fēng)險(xiǎn)處理 批準(zhǔn)監(jiān)督 監(jiān)控審查 溝通咨詢 ? GB/Z 24364《 信息安全風(fēng)險(xiǎn)管理指南 》 ：四個(gè)階段，兩個(gè)貫穿 28 背景建立 ?背景建立是信息安全風(fēng)險(xiǎn)管理的第一步驟，確定風(fēng)險(xiǎn)管理的對象和范圍，確立實(shí)施風(fēng)險(xiǎn)管理的準(zhǔn)備，進(jìn)行相關(guān)信息的調(diào)查和分析 ? 風(fēng)險(xiǎn)管理準(zhǔn)備：確定對象、組建團(tuán)隊(duì)、制定計(jì)劃、獲得支持 ? 信息系統(tǒng)調(diào)查：信息系統(tǒng)的業(yè)務(wù)目標(biāo)、技術(shù)和管理上的特點(diǎn) ? 信息系統(tǒng)分析：信息系統(tǒng)的體系結(jié)構(gòu)、關(guān)鍵要素 ? 信息安全分析：分析安全要求、分析安全環(huán)境 29 背景建立過程 背 景 建 立信 息 系 統(tǒng)調(diào) 查溝 通 咨 詢風(fēng) 險(xiǎn)評 估調(diào)查信息系統(tǒng)的業(yè)務(wù)目標(biāo)調(diào)查信息系統(tǒng)的業(yè)務(wù)特性調(diào)查信息系統(tǒng)的技術(shù)特性調(diào)查信息系統(tǒng)的管理特性信 息 系 統(tǒng)分 析分析信息系統(tǒng)的體系結(jié)構(gòu)分析信息系統(tǒng)的關(guān)鍵要素信 息 安 全分 析分析信息系統(tǒng)的安全要求分析信息系統(tǒng)的安全環(huán)境風(fēng) 險(xiǎn) 管 理準(zhǔn) 備監(jiān) 控 審 查確定風(fēng)險(xiǎn)管理對象組建風(fēng)險(xiǎn)管理團(tuán)隊(duì)制定風(fēng)險(xiǎn)管理計(jì)劃獲得支持30 風(fēng)險(xiǎn)評估 ?信息安全風(fēng)險(xiǎn)管理要依靠風(fēng)險(xiǎn)評估的結(jié)果來確定隨后的風(fēng)險(xiǎn)處理和批準(zhǔn)監(jiān)督活動 ? 風(fēng)險(xiǎn) 評估 準(zhǔn)備：制定風(fēng)險(xiǎn)評估方案、選擇評估方法 ? 風(fēng)險(xiǎn)要素識別：發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱性和控制措施 ? 風(fēng)險(xiǎn)分析：判斷風(fēng)險(xiǎn)發(fā)生的可能性和影響的程度 ? 風(fēng)險(xiǎn)結(jié)果判定：綜合分析結(jié)果判定風(fēng)險(xiǎn)等級 31 風(fēng)險(xiǎn)評估過程 風(fēng) 險(xiǎn) 評 估背 景建 立風(fēng) 險(xiǎn)處 理風(fēng) 險(xiǎn) 結(jié) 果判 定風(fēng) 險(xiǎn) 分 析風(fēng) 險(xiǎn) 評 估準(zhǔn) 備風(fēng) 險(xiǎn) 要 素識 別制定風(fēng)險(xiǎn)評估計(jì)劃制定風(fēng)險(xiǎn)評估方案選擇風(fēng)險(xiǎn)評估方法和工具識別面臨的威脅并賦值識別存在的脆弱性并賦值實(shí)施風(fēng)險(xiǎn)計(jì)算計(jì)算安全事件造成的損失計(jì)算安全事件發(fā)生可能性確認(rèn)已有的安全措施評價(jià)分析結(jié)果綜合判定風(fēng)險(xiǎn)等級溝 通 咨 詢監(jiān) 控 審 查識別需要保護(hù)的資產(chǎn)并賦值32 風(fēng)險(xiǎn)處理 ?風(fēng)險(xiǎn)處理是為了將風(fēng)險(xiǎn)始終控制在可接受的范圍內(nèi)。 ? 現(xiàn)存風(fēng)險(xiǎn)判斷：判斷信息系統(tǒng)中哪些風(fēng)險(xiǎn)可以接受，哪些不可以 ? 處理目標(biāo)確認(rèn)：不可接受的風(fēng)險(xiǎn)需要控制到怎樣的程度 ? 處理措施選擇：選擇風(fēng)險(xiǎn)處理方式，確定風(fēng)險(xiǎn)控制措施 ? 處理措施實(shí)施：制定具體安全方案，部署控制措施 33 風(fēng)險(xiǎn)處理過程 風(fēng) 險(xiǎn) 處 理批 準(zhǔn)監(jiān) 督處 理 措 施選 擇現(xiàn) 存 風(fēng) 險(xiǎn)判 斷處 理 目 標(biāo)確 立確定可接受風(fēng)險(xiǎn)等級判斷現(xiàn)存風(fēng)險(xiǎn)是否可接受明確風(fēng)險(xiǎn)處理需求 確立風(fēng)險(xiǎn)處理目標(biāo)選擇風(fēng)險(xiǎn)處理方式確定風(fēng)險(xiǎn)處理措施制定風(fēng)險(xiǎn)處理實(shí)施計(jì)劃實(shí)施風(fēng)險(xiǎn)處理措施溝 通 咨 詢監(jiān) 控 審 查處 理 措 施實(shí) 施風(fēng) 險(xiǎn)評 估接 受否是34 ?減低風(fēng)險(xiǎn) ?轉(zhuǎn)移風(fēng)險(xiǎn) ?規(guī)避風(fēng)險(xiǎn) ?接受風(fēng)險(xiǎn) 常用的四類風(fēng)險(xiǎn)處置方法 35 減低風(fēng)險(xiǎn) ?通過對面臨風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施來降低風(fēng)險(xiǎn) ?首先應(yīng)當(dāng)考慮的風(fēng)險(xiǎn)處置措施，通常在安全投入小于負(fù)面影響價(jià)值的情況下采用 ?保護(hù)措施可以從構(gòu)成風(fēng)險(xiǎn)的五個(gè)方面（即威脅源、威脅行為、脆弱性、資產(chǎn)和影響）來降低風(fēng)險(xiǎn) 36 減低風(fēng)險(xiǎn)的具體辦法 ?減少威脅源 ? 采用法律的手段制裁計(jì)算機(jī)犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動機(jī) ?減低威脅能力 ? 采取身份認(rèn)證措施，從而抵制身份假冒這種威脅行為的能力 ?減少脆弱性