【正文】 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險評估與風(fēng)險管理 國家信息中心信息安全服務(wù)與研究中心 范紅 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 2 匯報內(nèi)容 一、前言 二、信息安全風(fēng)險管理概述 三、信息安全風(fēng)險管理各組成部分 四、信息安全風(fēng)險管理的運用 五、結(jié)束語 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 3 一、前言 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 4 二、信息安全風(fēng)險管理概述 信息安全風(fēng)險管理的目的和意義 信息安全風(fēng)險管理的范圍和對象 信息安全風(fēng)險管理的內(nèi)容和過程 信息安全風(fēng)險管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系 信息安全風(fēng)險管理的角色和責(zé)任 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 5 二、信息安全風(fēng)險管理概述 信息安全風(fēng)險管理的目的和意義 信息安全風(fēng)險管理的范圍和對象 信息安全風(fēng)險管理的內(nèi)容和過程 信息安全風(fēng)險管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系 信息安全風(fēng)險管理的角色和責(zé)任 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 6 信息安全風(fēng)險管理的目的和意義 信息安全風(fēng)險管理是信息安全保障工作中的一項基礎(chǔ)性工作 。 信息安全風(fēng)險管理體現(xiàn)在信息安全保障體系的技術(shù)、組織和管理等方面。 信息安全風(fēng)險管理貫穿信息系統(tǒng)生命周期的全部過程。 信息安全風(fēng)險管理依據(jù)等級保護(hù)的思想和適度安全的原則，平衡成本與效益，合理部署和利用信息安全的信任體系、監(jiān)控體系和應(yīng)急處理等重要的基礎(chǔ)設(shè)施，確定合適的安全措施，從而確保機構(gòu)具有完成其使命的信息安全保障能力。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 7 二、信息安全風(fēng)險管理概述 信息安全風(fēng)險管理的目的和意義 信息安全風(fēng)險管理的范圍和對象 信息安全風(fēng)險管理的內(nèi)容和過程 信息安全風(fēng)險管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系 信息安全風(fēng)險管理的角色和責(zé)任 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 8 信息安全風(fēng)險管理的范圍和對象 信 息 自 身信息載體信息載體信 息 載 體信 息 載 體信 息 環(huán) 境 信 息 環(huán) 境信 息 環(huán) 境 信 息 環(huán) 境信息環(huán)境信息環(huán)境SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 9 二、信息安全風(fēng)險管理概述 信息安全風(fēng)險管理的目的和意義 信息安全風(fēng)險管理的范圍和對象 信息安全風(fēng)險管理的內(nèi)容和過程 信息安全風(fēng)險管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系 信息安全風(fēng)險管理的角色和責(zé)任 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 10 信息安全風(fēng)險管理的內(nèi)容和過程 對 象確 立風(fēng) 險評 估風(fēng) 險控 制審 核批 準(zhǔn)溝 通 與 咨 詢溝 通 與 咨 詢溝通與咨詢溝通與咨詢監(jiān) 控與審 查SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 11 二、信息安全風(fēng)險管理概述 信息安全風(fēng)險管理的目的和意義 信息安全風(fēng)險管理的范圍和對象 信息安全風(fēng)險管理的內(nèi)容和過程 信息安全風(fēng)險管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系 信息安全風(fēng)險管理的角色和責(zé)任 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 12 三維結(jié)構(gòu)關(guān)系 對象確立風(fēng)險控制風(fēng)險評估審核批準(zhǔn)監(jiān) 控 與 審 查溝 通 與 咨 詢　 　 ?！?密性　 　 　 可　 　 追　 究性　 　 完　 整性　 　 可　 用性信息安全風(fēng)險管理　 　 　 　 　 信　 　 　 　 息　 　 　 安　 　 全　 目標(biāo)信 息 系 統(tǒng) 生 命 周 期XYZ保障級別規(guī) 劃設(shè) 計實 施運 維廢 棄　 　 　 抗　 　 否　 認(rèn)性SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 13 二、信息安全風(fēng)險管理概述 信息安全風(fēng)險管理的目的和意義 信息安全風(fēng)險管理的范圍和對象 信息安全風(fēng)險管理的內(nèi)容和過程 信息安全風(fēng)險管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系 信息安全風(fēng)險管理的角色和責(zé)任 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 14 信息安全風(fēng)險管理相關(guān)人員的角色和責(zé)任 層面 信息系統(tǒng) 信息安全風(fēng)險管理 角色 內(nèi)外部 責(zé)任 角色 內(nèi)外部 責(zé)任 決策層 主管者 內(nèi) 負(fù)責(zé)信息系統(tǒng)的重大決策。 主管者 內(nèi) 負(fù)責(zé)信息安全風(fēng)險管理的重 大決策。 管理層 管理者 內(nèi) 負(fù)責(zé)信息系統(tǒng)的規(guī)劃，以及建設(shè)、運行、維護(hù)和監(jiān)控等方面的組織和協(xié)調(diào)。 管理者 內(nèi) 負(fù)責(zé)信息安全風(fēng)險管理的規(guī)劃，以及實施和監(jiān)控過程中的組織和協(xié)調(diào)。 執(zhí)行層 建設(shè)者 內(nèi)或外 負(fù)責(zé)信息系統(tǒng)的設(shè)計和實施。 執(zhí)行者 內(nèi)或外 負(fù)責(zé)信息安全風(fēng)險管理的實 施。 運行者 內(nèi) 負(fù)責(zé)信息系統(tǒng)的日常運行和操作。 維護(hù)者 內(nèi)或外 負(fù)責(zé)信息系統(tǒng)的日常維護(hù)，包括維 修和升級。 監(jiān)控者 內(nèi) 負(fù)責(zé)信息系統(tǒng)的監(jiān)視和控制。 監(jiān)控者 內(nèi) 負(fù)責(zé)信息安全風(fēng)險管理過程和結(jié)果的監(jiān)視和控制。 支持層 專業(yè)者 外 為信息系統(tǒng)提供專業(yè)咨詢、培訓(xùn)、 診斷和工具等服務(wù)。 專業(yè)者 外 為信息安全風(fēng)險管理提供專業(yè)咨詢、培訓(xùn)、診斷和工具等服務(wù)。 用戶層 使用者 內(nèi)或外 利用信息系統(tǒng)完成自身的任務(wù)。 受益者 內(nèi)或外 反饋信息安全風(fēng)險管理的效 果。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 15 三、信息安全風(fēng)險管理各組成部分 對象確立 風(fēng)險評估 風(fēng)險控制 審核批準(zhǔn) 溝通與咨詢 監(jiān)控與審查 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 16 三、信息安全風(fēng)險管理各組成部分 對象確立 風(fēng)險評估 風(fēng)險控制 審核批準(zhǔn) 溝通與咨詢 監(jiān)控與審查 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 17 對象確立概述 對象確立是信息安全風(fēng)險管理的第一步驟，根據(jù)要保護(hù)系統(tǒng)的業(yè)務(wù)目標(biāo)和特性，確定風(fēng)險管理對象。其目的是為了明確信息安全風(fēng)險管理的范圍和對象，以及對象的特性和安全要求。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 18 對象確立過程 對 象 確 立信 息 系 統(tǒng)調(diào) 查對 象 確 立 的 溝 通 與 咨 詢風(fēng) 險評 估調(diào)查信息系統(tǒng)的業(yè)務(wù)目標(biāo)調(diào)查