【正文】 統(tǒng)的分析報(bào) 告 》 信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素等。 《 風(fēng)險(xiǎn)評(píng)估程序 》 風(fēng)險(xiǎn)評(píng)估的工作流程、輸入數(shù)據(jù)和輸 出結(jié)果等。 《 存在的脆弱性列表 》 機(jī)構(gòu)的信息資產(chǎn)存在的脆弱性列表。 《 脆弱性分析報(bào)告 》 按威脅 /脆弱性對(duì)，分析脆弱性被威脅利用的難以程度。 《 威脅行為等級(jí)列表 》 威脅行為能力的等級(jí)列表。 《 風(fēng)險(xiǎn)評(píng)估報(bào)告 》 匯總上述分析報(bào)告和等級(jí)列表，綜合評(píng)價(jià)風(fēng)險(xiǎn)的等級(jí)。 機(jī)房出入守則 系統(tǒng)安全管理守則 系統(tǒng)安全配置明細(xì) 網(wǎng)絡(luò)安全管理守則 網(wǎng)絡(luò)安全配置明細(xì) 應(yīng)用安全管理守則 應(yīng)用安全配置明細(xì) 應(yīng)急響應(yīng)計(jì)劃 安全事件處理準(zhǔn)則 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 37 主要的風(fēng)險(xiǎn)控制需求及其相應(yīng)的風(fēng)險(xiǎn)控制措施 保護(hù) Protection 機(jī)房 嚴(yán)格按照 GB 501741993《 電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范 》 、 GB 93611988《 計(jì)算站場(chǎng)地安全要求 》 、 GB 28871982《 計(jì)算機(jī)站場(chǎng)地技術(shù)要求 》 和 GB/T 28872023《 計(jì)算機(jī)場(chǎng)地通用規(guī)范 》 等國(guó)家標(biāo)準(zhǔn)建設(shè)和維護(hù)計(jì)算機(jī)機(jī)房。 漏洞補(bǔ)丁 及時(shí)下載和安裝最新的漏洞補(bǔ)丁模塊。 數(shù)據(jù)加密 根據(jù)不同的安全強(qiáng)度，分別采用商密、普密、機(jī)密等級(jí)別的數(shù)據(jù)加密系統(tǒng)，對(duì)傳輸數(shù) 據(jù)和存儲(chǔ)數(shù)據(jù)進(jìn)行加密。 內(nèi)容凈化 部署內(nèi)容過(guò)濾系統(tǒng)。 主機(jī)入侵檢測(cè) 部署主機(jī)入侵檢測(cè)系統(tǒng)，發(fā)現(xiàn)主機(jī)入侵行為。 安全審計(jì) 在各系統(tǒng)單元中配備安全審計(jì)，以發(fā)現(xiàn)深層安全漏洞 和安全事件。 系統(tǒng)備份與恢復(fù) 對(duì)于關(guān)鍵系統(tǒng)，配備系統(tǒng)備份與恢復(fù)系統(tǒng)。 應(yīng)急響應(yīng) 按照應(yīng)急響應(yīng)計(jì)劃處理應(yīng)急事件。 控制目標(biāo)確立 《 風(fēng)險(xiǎn)控制需求分析報(bào)告 》 從技術(shù)層面（即物理平臺(tái)、系統(tǒng)平臺(tái)、通信平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)）、組織層面（即結(jié)構(gòu)、崗位和人員）和管理層面（即策略、規(guī)章和制度），分析風(fēng)險(xiǎn)控制的需求。 控制措施實(shí)施 《 風(fēng)險(xiǎn)控制實(shí)施計(jì)劃書(shū) 》 風(fēng)險(xiǎn)控制的范圍、對(duì)象、目標(biāo)、組織結(jié)構(gòu)、成本預(yù)算和進(jìn)度安排等。批準(zhǔn)一般必須由機(jī)構(gòu)內(nèi)部或更高層的主管機(jī)構(gòu)的決策層來(lái)執(zhí)行。 審核處理 《 審查結(jié)果報(bào)告 》 審查的范圍、對(duì)象、意見(jiàn)和結(jié)論（即是否通過(guò)）， 以及審查人員的名字和簽字等。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 56 審核批準(zhǔn)的文檔 批準(zhǔn)申請(qǐng) 《 批準(zhǔn)申請(qǐng)書(shū) 》 批準(zhǔn)的范圍、對(duì)象和期望，以及申請(qǐng)者的基本 信息和簽字等。 《 批準(zhǔn)到期通知書(shū) 》 到期的時(shí)間和重新申請(qǐng)的要求，以及批準(zhǔn)機(jī)構(gòu) 的名稱和簽章。監(jiān)控是監(jiān)視和控制，一是監(jiān)視和控制風(fēng)險(xiǎn)管理過(guò)程，即過(guò)程質(zhì)量管理，以保證過(guò)程的有效性；二是分析和平衡成本效益，即成本效益管理，以保證成本的有效性。 風(fēng)險(xiǎn)控制 《 風(fēng)險(xiǎn)控制的監(jiān)控與審查記錄 》 風(fēng)險(xiǎn)控制過(guò)程中監(jiān)控和審查的范圍、對(duì)象、時(shí)間、過(guò)程、結(jié)果和措施等。咨詢是為所有相關(guān)人員提供學(xué)習(xí)途徑，以提高他們的風(fēng)險(xiǎn)意識(shí)、知識(shí)和技能，配合實(shí)現(xiàn)安全目標(biāo)。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 68 三、信息安全風(fēng)險(xiǎn)管理各組成部分 對(duì)象確立 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)控制 審核批準(zhǔn) 監(jiān)控與審查 溝通與咨詢 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 69 溝通與咨詢的概述 溝通與咨詢?yōu)樾畔踩L(fēng)險(xiǎn)管理主循環(huán)的四個(gè)步驟（即對(duì)象確立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制和審核批準(zhǔn)）中相關(guān)人員提供溝通和咨詢。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 59 監(jiān)控與審查過(guò)程 風(fēng) 險(xiǎn) 控 制風(fēng) 險(xiǎn) 評(píng) 估審 核 批 準(zhǔn)對(duì) 象 確 立監(jiān)控與審查對(duì) 象 確 立 的監(jiān) 控 與 審 查 記 錄風(fēng) 險(xiǎn) 評(píng) 估 的監(jiān) 控 與 審 查 記 錄風(fēng) 險(xiǎn) 控 制 的監(jiān) 控 與 審 查 記 錄審 核 批 準(zhǔn) 的監(jiān) 控 與 審 查 記 錄SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 60 貫穿對(duì)象確立 階段 監(jiān)控 審查 過(guò)程有效性 成本有效性 結(jié)果有效性 風(fēng)險(xiǎn)管理準(zhǔn)備 風(fēng)險(xiǎn)管理計(jì)劃制定的流程及其相關(guān)文檔 風(fēng)險(xiǎn)管理計(jì)劃的成本與效果 《 風(fēng)險(xiǎn)管理計(jì)劃書(shū) 》 的時(shí)效 信息系統(tǒng)調(diào)查 信息系統(tǒng)調(diào)查的流程及其相關(guān)文檔 信息系統(tǒng)調(diào)查的成本與效果 《 信息系統(tǒng)的描述報(bào)告 》 的時(shí)效 信息系統(tǒng)分析 信息系統(tǒng)分析的流程及其相關(guān)文檔 信息系統(tǒng)分析的成本與效果 《 信息系統(tǒng)的分析報(bào)告 》 的時(shí)效 信息安全分析 信息系統(tǒng)安全要求分析的流程及其相關(guān)文檔 信息系統(tǒng)安全要求分析的成本與效果 《 信息系統(tǒng)的安全要求報(bào)告》 的時(shí)效 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 61 貫穿風(fēng)險(xiǎn)評(píng)估 階段 監(jiān)控 審查 過(guò)程有效性 成本有效性 結(jié)果有效性 風(fēng)險(xiǎn)評(píng)估準(zhǔn)備 風(fēng)險(xiǎn)評(píng)估的計(jì)劃制定、程序確定以及方法和工具選擇的流程及其相關(guān)文檔 風(fēng)險(xiǎn)評(píng)估的計(jì)劃、程序以及入選方法和工具的成本與效果 《 風(fēng)險(xiǎn)評(píng)估計(jì)劃 》 、《 風(fēng)險(xiǎn)評(píng)估程序 》和 《 入選風(fēng)險(xiǎn)評(píng)估方法和工具列表 》的時(shí)效 風(fēng)險(xiǎn)因素識(shí)別 資產(chǎn)、威脅列和脆弱性識(shí)別的流程及其相關(guān)文檔 資產(chǎn)、威脅列和脆弱性識(shí)別的成本與效果 《 需要保護(hù)的資產(chǎn)清單 》 、 《 面臨的威脅列表 》 和 《 存在的脆弱性列表 》 的時(shí)效 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 62 貫穿風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)程度分析 已有安全措施、威脅源、威脅行為、脆弱性、資產(chǎn)價(jià)值和影響程度分析的流程及其相關(guān)文檔 已有安全措施、威脅源、威脅行為、脆弱性、資產(chǎn)價(jià)值和影響程度分析的成本與效果 《 已有安全措施分析報(bào)告 》 、 《 威脅源分析報(bào)告 》 、 《 威脅行為分析報(bào)告 》 、 《 脆弱性分析報(bào)告 》 、 《資產(chǎn)價(jià)值分析報(bào)告 》和 《 影響程度分析報(bào)告 》 的時(shí)效 風(fēng)險(xiǎn)等級(jí)評(píng)價(jià) 威脅源等級(jí)、威脅行為等級(jí)、脆弱性等級(jí)、資產(chǎn)價(jià)值等級(jí)和影響程度等級(jí)評(píng)價(jià)以及《 風(fēng)險(xiǎn)評(píng)估報(bào)告 》 生成的流程及其相關(guān)文檔 威脅源等級(jí)、威脅行為等級(jí)、脆弱性等級(jí)、資產(chǎn)價(jià)值等級(jí)和影響程度等級(jí)評(píng)價(jià)以及《 風(fēng)險(xiǎn)評(píng)估報(bào)告 》 生成的成本與效果 《 威脅源等級(jí)列表 》、 《 威脅行為等級(jí)列表 》 、 《 脆弱性等級(jí)列表 》 、 《 資產(chǎn)價(jià)值等級(jí)列表 》 、 《 影響程度等級(jí)列表 》 和 《風(fēng)險(xiǎn)評(píng)估報(bào)告 》 的時(shí)效 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 63 貫穿風(fēng)險(xiǎn)控制 階段 監(jiān)控 審查 過(guò)程有效性 成本有效性 結(jié)果有效性 現(xiàn)存風(fēng)險(xiǎn)判斷 可接受風(fēng)險(xiǎn)等級(jí)確定和現(xiàn)存風(fēng)險(xiǎn)接受判斷的流程及其相關(guān)文檔 可接受風(fēng)險(xiǎn)等級(jí)確定和現(xiàn)存風(fēng)險(xiǎn)接受判斷的成本與效果 《 風(fēng)險(xiǎn)接受等級(jí)劃分表 》 和 《 現(xiàn)存風(fēng)險(xiǎn)接受判斷書(shū) 》 的時(shí)效 控制目標(biāo)確立 風(fēng)險(xiǎn)控制需求分析和風(fēng)險(xiǎn)控制目標(biāo)確立的流程及其相關(guān)文檔 風(fēng)險(xiǎn)控制需求分析和風(fēng)險(xiǎn)控制目標(biāo)確立的成本與效果 《 風(fēng)險(xiǎn)控制需求分析報(bào)告 》 和 《 風(fēng)險(xiǎn)控制目標(biāo)列表 》 的時(shí)效 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 64 貫穿風(fēng)險(xiǎn)控制 控制措施選擇 風(fēng)險(xiǎn)控制方式和措施選擇的流程及其相關(guān)文檔 入選風(fēng)險(xiǎn)控制方式和措施的成本與效果 《 入選風(fēng)險(xiǎn)控制方式說(shuō)明報(bào)告 》 和 《 入選風(fēng)險(xiǎn)控制措施說(shuō)明報(bào)告 》 的時(shí)效 控制措施實(shí)施 風(fēng)險(xiǎn)控制實(shí)施計(jì)劃制定和風(fēng)險(xiǎn)控制措施實(shí)施的流程及其相關(guān)文檔 風(fēng)險(xiǎn)控制實(shí)施計(jì)劃制定和風(fēng)險(xiǎn)控制措施實(shí)施的成本與效果 《 風(fēng)險(xiǎn)控制實(shí)施計(jì)劃書(shū) 》 和 《 風(fēng)險(xiǎn)控制實(shí)施記錄 》 的時(shí)效 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 65 貫穿審核批準(zhǔn) 階段 監(jiān)控 審查 過(guò)程有效性 成本有效性 結(jié)果有效性 審核申請(qǐng) 審核申請(qǐng)和受理的流程及其相關(guān)文檔 審核申請(qǐng)和受理的成本與效果 《 審核申請(qǐng)書(shū) 》 、 《審核材料 》 和 《 審核受理回執(zhí) 》 的時(shí)效 審核處理 審核材料審查、審核對(duì)象測(cè)試、專家鑒定和審核結(jié)論給出的流程及其相關(guān)文檔 審核材料審查、審核對(duì)象測(cè)試、專家鑒定和審核結(jié)論給出的成本與效果 《 審查結(jié)果報(bào)告 》 、《 測(cè)試結(jié)果報(bào)告 》、 《 專家鑒定報(bào)告》 和 《 審核結(jié)論報(bào)告 》 的時(shí)效 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴