【正文】 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 47 三、信息安全風(fēng)險(xiǎn)管理各組成部分 對(duì)象確立 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)控制 審核批準(zhǔn) 溝通與咨詢 監(jiān)控與審查 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 48 審核批準(zhǔn)概述 審核批準(zhǔn)是信息安全風(fēng)險(xiǎn)管理的第四步驟，審核批準(zhǔn)包括審核和批準(zhǔn)兩部分：審核是指通過(guò)審查、測(cè)試、評(píng)審等手段，檢驗(yàn)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的結(jié)果是否滿足信息系統(tǒng)的安全要求；批準(zhǔn)是指機(jī)構(gòu)的決策層依據(jù)審核的結(jié)果，做出是否認(rèn)可的決定。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 46 風(fēng)險(xiǎn)控制的文檔 控制措施選擇 《 入選風(fēng)險(xiǎn)控制方式說(shuō)明報(bào)告 》 選擇合適的風(fēng)險(xiǎn)控制方式（包括規(guī)避方式、轉(zhuǎn)移方式和降低方式），并說(shuō)明選擇的理由以及被選控制方式的使用方法和注意事項(xiàng)等。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 40 風(fēng)險(xiǎn)控制過(guò)程 風(fēng) 險(xiǎn) 控 制審 核批 準(zhǔn)控 制 措 施選 擇現(xiàn) 存 風(fēng) 險(xiǎn)判 斷控 制 目 標(biāo)確 立確定可接受風(fēng)險(xiǎn)等級(jí)判斷現(xiàn)存風(fēng)險(xiǎn)是否可接受分析風(fēng)險(xiǎn)控制需求確立風(fēng)險(xiǎn)控制目標(biāo)選擇風(fēng)險(xiǎn)控制方式選擇風(fēng)險(xiǎn)控制手段制定風(fēng)險(xiǎn)控制實(shí)施計(jì)劃實(shí)施風(fēng)險(xiǎn)控制措施溝 通 與 咨 詢監(jiān) 控 與 審 查控 制 措 施實(shí) 施風(fēng) 險(xiǎn)評(píng) 估 ?接 受否是SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 41 現(xiàn)存風(fēng)險(xiǎn)判斷 風(fēng) 險(xiǎn)評(píng) 估確 定 可 接 受 風(fēng) 險(xiǎn) 等 級(jí)判 斷 現(xiàn) 存 風(fēng) 險(xiǎn) 是 否 可 接 受風(fēng) 險(xiǎn) 評(píng) 估 報(bào) 告信 息 系 統(tǒng) 的安 全 要 求 報(bào) 告信 息 系 統(tǒng) 的描 述 報(bào) 告信 息 系 統(tǒng) 的分 析 報(bào) 告否 是審 核批 準(zhǔn)接 受?風(fēng) 險(xiǎn) 接 受 等 級(jí)劃 分 表現(xiàn) 存 風(fēng) 險(xiǎn) 接 受判 斷 書SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 42 控制目標(biāo)確立 風(fēng) 險(xiǎn) 控 制 目 標(biāo)列 表分 析 風(fēng) 險(xiǎn) 控 制 需 求確 立 風(fēng) 險(xiǎn) 控 制 目 標(biāo)風(fēng) 險(xiǎn) 評(píng) 估 報(bào) 告信 息 系 統(tǒng) 的安 全 要 求 報(bào) 告信 息 系 統(tǒng) 的描 述 報(bào) 告信 息 系 統(tǒng) 的分 析 報(bào) 告風(fēng) 險(xiǎn) 接 受 等 級(jí)劃 分 表風(fēng) 險(xiǎn) 控 制 需 求分 析 報(bào) 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 43 控制措施選擇 選 擇 風(fēng) 險(xiǎn) 控 制 方 式選 擇 風(fēng) 險(xiǎn) 控 制 措 施入 選 風(fēng) 險(xiǎn) 控 制方 式 說(shuō) 明 報(bào) 告入 選 風(fēng) 險(xiǎn) 控 制措 施 說(shuō) 明 報(bào) 告信 息 系 統(tǒng) 的安 全 要 求 報(bào) 告風(fēng) 險(xiǎn) 控 制 需 求分 析 報(bào) 告風(fēng) 險(xiǎn) 控 制 目 標(biāo)列 表SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 44 控制措施實(shí)施 制 定 風(fēng) 險(xiǎn) 控 制 實(shí) 施 計(jì) 劃信 息 系 統(tǒng) 的安 全 要 求 報(bào) 告風(fēng) 險(xiǎn) 控 制 目 標(biāo)列 表入 選 風(fēng) 險(xiǎn) 控 制方 式 說(shuō) 明 報(bào) 告入 選 風(fēng) 險(xiǎn) 控 制措 施 說(shuō) 明 報(bào) 告風(fēng) 險(xiǎn) 控 制實(shí) 施 計(jì) 劃 書風(fēng) 險(xiǎn) 控 制實(shí) 施 記 錄審 核批 準(zhǔn)實(shí) 施 風(fēng) 險(xiǎn) 控 制 措 施SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 45 風(fēng)險(xiǎn)控制的文檔 階段 輸出文檔 文檔內(nèi)容 現(xiàn)存風(fēng)險(xiǎn)判斷 《 風(fēng)險(xiǎn)接受等級(jí)劃分表 》 風(fēng)險(xiǎn)接受等級(jí)的劃分，即把風(fēng)險(xiǎn)評(píng)估得出的風(fēng)險(xiǎn)等級(jí)劃分為可接受和不可接受兩種。 信道備份與恢復(fù) 對(duì)于關(guān)鍵信道，配備設(shè)信道份與恢復(fù)系統(tǒng)。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 39 主要的風(fēng)險(xiǎn)控制需求及其相應(yīng)的風(fēng)險(xiǎn)控制措施 響應(yīng) Response 恢復(fù) Recovery 故障修復(fù)、事故排除 確保隨時(shí)能夠獲取故障修復(fù)和事故排除的技術(shù)人員和軟硬件工具。 網(wǎng)絡(luò)入侵檢測(cè) 部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 38 主要的風(fēng)險(xiǎn)控制需求及其相應(yīng)的風(fēng)險(xiǎn)控制措施 檢測(cè) Detection 監(jiān)視、監(jiān)測(cè)和報(bào)警 在適當(dāng)?shù)奈恢冒仓帽O(jiān)視器和報(bào)警器，在各系統(tǒng)單元中配備監(jiān)測(cè)系統(tǒng)和報(bào)警系統(tǒng)，以實(shí)時(shí)發(fā)現(xiàn)安全事件并及時(shí)報(bào)警。 數(shù)字水印 對(duì)于需要版權(quán)保護(hù)的圖片、聲音、文字等形式的信息，采用數(shù)字水印技術(shù)加以保護(hù)。 身份認(rèn)證 根據(jù)不同的安全強(qiáng)度，分別采用身份標(biāo)識(shí) /口令、數(shù)字鑰匙、數(shù)字證書、生物識(shí)別、雙因子等級(jí)別的身份認(rèn)證系統(tǒng)，對(duì)設(shè)備、用戶、服務(wù)等主客體進(jìn)行身份認(rèn)證。 電磁屏蔽 在必要的地方設(shè)置抗電磁干擾和防電磁泄漏的設(shè)施。 風(fēng)險(xiǎn)控制方式主要有規(guī)避、轉(zhuǎn)移和降低三種方式 。 《 資產(chǎn)價(jià)值等級(jí)列表 》 資產(chǎn)價(jià)值的等級(jí)列表。 《 影響程度分析報(bào)告 》 從資產(chǎn)損失、使命妨礙和人員傷亡等方面， 分析影響程度的深淺。 《 威脅源分析報(bào)告 》 從利益、復(fù)仇、好奇和自負(fù)等驅(qū)使因素，分 析威脅源動(dòng)機(jī)的強(qiáng)弱。 風(fēng)險(xiǎn)因素識(shí)別 《 需要保護(hù)的資產(chǎn)清單 》 對(duì)機(jī)構(gòu)使命具有關(guān)鍵和重要作用的需 要保護(hù)的資產(chǎn)清單。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 24 三、信息安全風(fēng)險(xiǎn)管理各組成部分 對(duì)象確立 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)控制 審核批準(zhǔn) 溝通與咨詢 監(jiān)控與審查 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 25 風(fēng)險(xiǎn)評(píng)估概述 風(fēng)險(xiǎn)評(píng)估是信息安全風(fēng)險(xiǎn)管理的第二步，針對(duì)確立的風(fēng)險(xiǎn)管理對(duì)象所面臨的風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析和評(píng)價(jià)。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 18 對(duì)象確立過(guò)程 對(duì) 象 確 立信 息 系 統(tǒng)調(diào) 查對(duì) 象 確 立 的 溝 通 與 咨 詢風(fēng) 險(xiǎn)評(píng) 估調(diào)查信息系統(tǒng)的業(yè)務(wù)目標(biāo)調(diào)查信息系統(tǒng)的業(yè)務(wù)特性調(diào)查信息系統(tǒng)的技術(shù)特性調(diào)查信息系統(tǒng)的管理特性信 息 系 統(tǒng)分 析分析信息系統(tǒng)的體系結(jié)構(gòu)分析信息系統(tǒng)的關(guān)鍵要素信 息 安 全分 析分析信息系統(tǒng)的安全要求分析信息系統(tǒng)的安全環(huán)境風(fēng) 險(xiǎn) 管 理準(zhǔn) 備制定風(fēng)險(xiǎn)管理計(jì)劃對(duì) 象 確 立 的 監(jiān) 控 與 審 查SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 19 風(fēng)險(xiǎn)管理準(zhǔn)備 制 定 風(fēng) 險(xiǎn) 管 理 計(jì) 劃風(fēng) 險(xiǎn) 管 理 計(jì) 劃?rùn)C(jī) 構(gòu) 的 使 命 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 20 信息系統(tǒng)調(diào)查 信 息 系 統(tǒng) 的描 述 報(bào) 告調(diào) 查 信 息 系 統(tǒng) 的 業(yè) 務(wù) 目 標(biāo)調(diào) 查 信 息 系 統(tǒng) 的 業(yè) 務(wù) 特 性調(diào) 查 信 息 系 統(tǒng) 的 管 理 特 性調(diào) 查 信 息 系 統(tǒng) 的 技 術(shù) 特 性機(jī) 構(gòu) 的 使 命機(jī) 構(gòu) 的 組 織 結(jié) 構(gòu)和 管 理 制 度機(jī) 構(gòu) 的 業(yè) 務(wù)機(jī) 構(gòu) 的 技 術(shù) 平 臺(tái)SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 21 信息系統(tǒng)分析 信 息 系 統(tǒng) 的分 析 報(bào) 告分 析 信 息 系 統(tǒng) 的 體 系 結(jié) 構(gòu)分 析 信 息 系 統(tǒng) 的 關(guān) 鍵 要 素信 息 系 統(tǒng) 的描 述 報(bào) 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC