【正文】 技術(shù)特性調(diào)查信息系統(tǒng)的管理特性信 息 系 統(tǒng)分 析分析信息系統(tǒng)的體系結(jié)構(gòu)分析信息系統(tǒng)的關(guān)鍵要素信 息 安 全分 析分析信息系統(tǒng)的安全要求分析信息系統(tǒng)的安全環(huán)境風(fēng) 險 管 理準(zhǔn) 備制定風(fēng)險管理計劃對 象 確 立 的 監(jiān) 控 與 審 查SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 19 風(fēng)險管理準(zhǔn)備 制 定 風(fēng) 險 管 理 計 劃風(fēng) 險 管 理 計 劃機 構(gòu) 的 使 命 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 20 信息系統(tǒng)調(diào)查 信 息 系 統(tǒng) 的描 述 報 告調(diào) 查 信 息 系 統(tǒng) 的 業(yè) 務(wù) 目 標(biāo)調(diào) 查 信 息 系 統(tǒng) 的 業(yè) 務(wù) 特 性調(diào) 查 信 息 系 統(tǒng) 的 管 理 特 性調(diào) 查 信 息 系 統(tǒng) 的 技 術(shù) 特 性機 構(gòu) 的 使 命機 構(gòu) 的 組 織 結(jié) 構(gòu)和 管 理 制 度機 構(gòu) 的 業(yè) 務(wù)機 構(gòu) 的 技 術(shù) 平 臺SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 21 信息系統(tǒng)分析 信 息 系 統(tǒng) 的分 析 報 告分 析 信 息 系 統(tǒng) 的 體 系 結(jié) 構(gòu)分 析 信 息 系 統(tǒng) 的 關(guān) 鍵 要 素信 息 系 統(tǒng) 的描 述 報 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 22 信息安全分析 信 息 系 統(tǒng) 的安 全 要 求 報 告分 析 信 息 系 統(tǒng) 的 安 全 環(huán) 境分 析 信 息 系 統(tǒng) 的 安 全 要 求相 關(guān) 的 政 策 、 法律 、 法 規(guī) 和 標(biāo) 準(zhǔn)信 息 系 統(tǒng) 的描 述 報 告信 息 系 統(tǒng) 的分 析 報 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 23 對象確立的文檔 階段 輸出文檔 文檔內(nèi)容 風(fēng)險管理準(zhǔn)備 《 風(fēng)險管理計劃書 》 風(fēng)險管理的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、經(jīng)費預(yù)算和進度安排等。 信息系統(tǒng)調(diào)查 《 信息系統(tǒng)的描述報 告 》 信息系統(tǒng)的業(yè)務(wù)目標(biāo)、業(yè)務(wù)特性、管 理特性和技術(shù)特性等。 信息系統(tǒng)分析 《 信息系統(tǒng)的分析報 告 》 信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素等。 信息安全分析 《 信息系統(tǒng)的安全要 求報告 》 信息系統(tǒng)的安全環(huán)境和安全要求等。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 24 三、信息安全風(fēng)險管理各組成部分 對象確立 風(fēng)險評估 風(fēng)險控制 審核批準(zhǔn) 溝通與咨詢 監(jiān)控與審查 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 25 風(fēng)險評估概述 風(fēng)險評估是信息安全風(fēng)險管理的第二步，針對確立的風(fēng)險管理對象所面臨的風(fēng)險進行識別、分析和評價。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 26 風(fēng)險評估過程 風(fēng) 險 評 估對 象確 立風(fēng) 險控 制風(fēng) 險 等 級評 價風(fēng) 險 程 度分 析風(fēng) 險 評 估準(zhǔn) 備風(fēng) 險 因 素識 別制定風(fēng)險評估計劃確定風(fēng)險評估程序選擇風(fēng)險評估方法和工具識別需要保護的資產(chǎn)識別面臨的威脅識別存在的脆弱性分析影響的程度分析威脅源的動機分析威脅行為的能力分析脆弱性的被利用性分析資產(chǎn)的價值確認(rèn)已有的安全措施評價分析結(jié)果給出風(fēng)險等級風(fēng) 險 評 估 的 溝 通 與 咨 詢風(fēng) 險 評 估 的 監(jiān) 控 與 審 查SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 27 風(fēng)險評估準(zhǔn)備 對 象確 立風(fēng) 險 評 估 計 劃風(fēng) 險 評 估 程 序入 選 風(fēng) 險 評 估方 法 和 工 具 列 表制 定 風(fēng) 險 評 估 計 劃確 定 風(fēng) 險 評 估 程 序選 擇 風(fēng) 險 評 估 方 法 和 工 具現(xiàn) 有 風(fēng) 險 評 估方 法 和 工 具 庫信 息 系 統(tǒng) 的安 全 要 求 報 告信 息 系 統(tǒng) 的描 述 報 告信 息 系 統(tǒng) 的分 析 報 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 28 風(fēng)險因素識別 需 要 保 護 的 資 產(chǎn)清 單面 臨 的 威 脅列 表存 在 的 脆 弱 性列 表識 別 需 要 保 護 的 資 產(chǎn)識 別 面 臨 的 威 脅識 別 存 在 的 脆 弱 性漏 洞 庫威 脅 庫信 息 系 統(tǒng) 的安 全 要 求 報 告信 息 系 統(tǒng) 的描 述 報 告信 息 系 統(tǒng) 的分 析 報 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 29 風(fēng)險程度分析 已 有 安 全 措 施分 析 報 告威 脅 源分 析 報 告威 脅 行 為分 析 報 告脆 弱 性分 析 報 告資 產(chǎn) 價 值分 析 報 告影 響 程 度分 析 報 告確 認(rèn) 已 有 的 安 全 措 施分 析 威 脅 源 的 動 機分 析 威 脅 行 為 的 能 力分 析 脆 弱 性 的 被 利 用 性分 析 資 產(chǎn) 的 價 值分 析 影 響 的 程 度存 在 的 脆 弱 性列 表面 臨 的 威 脅列 表需 要 保 護 的 資 產(chǎn)清 單信 息 系 統(tǒng) 的描 述 報 告信 息 系 統(tǒng) 的分 析 報 告信 息 系 統(tǒng) 的安 全 要 求 報 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 30 風(fēng)險等級評價 威 脅 源等 級 列 表威 脅 行 為等 級 列 表脆 弱 性等 級 列 表資 產(chǎn) 價 值等 級 列 表影 響 程 度等 級 列 表評 價 威 脅 源 動 機 的 等 級評 價 威 脅 行 為 能 力 的 等 級評 價 脆 弱 性 被 利 用 的 等 級評 價 資 產(chǎn) 價 值 的 等 級評 價 影 響 程 度 的 等 級威 脅 源分 析 報 告威 脅 行 為分 析 報 告脆 弱 性分 析 報 告資 產(chǎn) 價 值分 析 報 告影 響 程 度分 析 報 告風(fēng) 險 評 估 報 告綜 合 評 價 風(fēng) 險 的 等 級風(fēng) 險控 制風(fēng) 險 評 估算 法 庫SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 31 風(fēng)險評估的文檔 階段 輸出文檔 文檔內(nèi)容 風(fēng)險評估準(zhǔn)備 《 風(fēng)險評估計劃書 》 風(fēng)險評估的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、經(jīng)費預(yù)算和進度安排等。 《 風(fēng)險評估程序 》 風(fēng)險評估的工作流程、輸入數(shù)據(jù)和輸 出結(jié)果等。 《 入選風(fēng)險評估方法和工具列表 》 合適的風(fēng)險評估方法和工具列表。 風(fēng)險因素識別 《 需要保護的資產(chǎn)清單 》 對機構(gòu)使命具有關(guān)鍵和重要作用的需 要保護的資產(chǎn)清單。 《 面臨的威脅列表 》 機構(gòu)的信息資產(chǎn)面臨的威脅列表。 《 存在的脆弱性列表 》 機構(gòu)的信息資產(chǎn)存在的脆弱性列表。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 32 風(fēng)險評估的文檔 風(fēng)險程度分析 《 已有安全措施分析報告 》 確認(rèn)已有的安全措施，包括技術(shù)層面（即物理平臺、系統(tǒng)平臺、通信平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺）的安全功能、組織層面（即結(jié)構(gòu)、崗位和人員）的安全控制和管理層面（即策略、規(guī)章和制度）的安全對策。 《 威脅源分析報告 》 從利益、復(fù)仇、好奇和自負(fù)等驅(qū)使因素，分 析威脅源動機的強弱。 《 威脅行為分析報告 》 從攻擊的強度、廣度、速度和深度等方面， 分析威脅行為能力的高低。 《 脆弱性分析報告 》 按威脅 /脆弱性對，分析脆弱性被威脅利用的難以程度。 《 資產(chǎn)價值分析報告 》 從敏感性、關(guān)鍵性和昂貴性等方面，分析資 產(chǎn)價值的大小。 《 影響程度分析報告 》 從資產(chǎn)損失、使命妨礙和人員傷亡等方面， 分析影響程度的深淺。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 33 風(fēng)險評估的文檔 風(fēng)險等級評價 《 威脅源等級列表 》 威脅源動機的等級列表。 《 威脅行為等級列表 》 威脅行為能力的等級列表。 《 脆弱性等級列表 》 脆弱性被利用的等級列表。 《 資產(chǎn)價值等級列表 》 資產(chǎn)價值的等級列表。 《 影響程度等級列表 》 影響程度的等級列表。 《 風(fēng)險評