【正文】 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 22 信息安全分析 信 息 系 統(tǒng) 的安 全 要 求 報(bào) 告分 析 信 息 系 統(tǒng) 的 安 全 環(huán) 境分 析 信 息 系 統(tǒng) 的 安 全 要 求相 關(guān) 的 政 策 、 法律 、 法 規(guī) 和 標(biāo) 準(zhǔn)信 息 系 統(tǒng) 的描 述 報(bào) 告信 息 系 統(tǒng) 的分 析 報(bào) 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 23 對(duì)象確立的文檔 階段 輸出文檔 文檔內(nèi)容 風(fēng)險(xiǎn)管理準(zhǔn)備 《 風(fēng)險(xiǎn)管理計(jì)劃書 》 風(fēng)險(xiǎn)管理的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等。 用戶層 使用者 內(nèi)或外 利用信息系統(tǒng)完成自身的任務(wù)。 監(jiān)控者 內(nèi) 負(fù)責(zé)信息系統(tǒng)的監(jiān)視和控制。 執(zhí)行層 建設(shè)者 內(nèi)或外 負(fù)責(zé)信息系統(tǒng)的設(shè)計(jì)和實(shí)施。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 7 二、信息安全風(fēng)險(xiǎn)管理概述 信息安全風(fēng)險(xiǎn)管理的目的和意義 信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象 信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程 信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系 信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 8 信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象 信 息 自 身信息載體信息載體信 息 載 體信 息 載 體信 息 環(huán) 境 信 息 環(huán) 境信 息 環(huán) 境 信 息 環(huán) 境信息環(huán)境信息環(huán)境SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 9 二、信息安全風(fēng)險(xiǎn)管理概述 信息安全風(fēng)險(xiǎn)管理的目的和意義 信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象 信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程 信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系 信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 10 信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程 對(duì) 象確 立風(fēng) 險(xiǎn)評(píng) 估風(fēng) 險(xiǎn)控 制審 核批 準(zhǔn)溝 通 與 咨 詢溝 通 與 咨 詢溝通與咨詢溝通與咨詢監(jiān) 控與審 查SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 11 二、信息安全風(fēng)險(xiǎn)管理概述 信息安全風(fēng)險(xiǎn)管理的目的和意義 信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象 信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程 信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系 信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 12 三維結(jié)構(gòu)關(guān)系 對(duì)象確立風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)評(píng)估審核批準(zhǔn)監(jiān) 控 與 審 查溝 通 與 咨 詢　 　 ?！?密性　 　 　 可　 　 追　 究性　 　 完　 整性　 　 可　 用性信息安全風(fēng)險(xiǎn)管理　 　 　 　 　 信　 　 　 　 息　 　 　 安　 　 全　 目標(biāo)信 息 系 統(tǒng) 生 命 周 期XYZ保障級(jí)別規(guī) 劃設(shè) 計(jì)實(shí) 施運(yùn) 維廢 棄　 　 　 抗　 　 否　 認(rèn)性SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 13 二、信息安全風(fēng)險(xiǎn)管理概述 信息安全風(fēng)險(xiǎn)管理的目的和意義 信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象 信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程 信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系 信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 14 信息安全風(fēng)險(xiǎn)管理相關(guān)人員的角色和責(zé)任 層面 信息系統(tǒng) 信息安全風(fēng)險(xiǎn)管理 角色 內(nèi)外部 責(zé)任 角色 內(nèi)外部 責(zé)任 決策層 主管者 內(nèi) 負(fù)責(zé)信息系統(tǒng)的重大決策。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理 國(guó)家信息中心信息安全服務(wù)與研究中心 范紅 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 2 匯報(bào)內(nèi)容 一、前言 二、信息安全風(fēng)險(xiǎn)管理概述 三、信息安全風(fēng)險(xiǎn)管理各組成部分 四、信息安全風(fēng)險(xiǎn)管理的運(yùn)用 五、結(jié)束語 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 3 一、前言 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 4 二、信息安全風(fēng)險(xiǎn)管理概述 信息安全風(fēng)險(xiǎn)管理的目的和意義 信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象 信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程 信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系 信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 5 二、信息安全風(fēng)險(xiǎn)管理概述 信息安全風(fēng)險(xiǎn)管理的目的和意義 信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象 信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程 信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系 信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 6 信息安全風(fēng)險(xiǎn)管理的目的和意義 信息安全風(fēng)險(xiǎn)管理是信息安全保障工作中的一項(xiàng)基礎(chǔ)性工作 。 信息安全風(fēng)險(xiǎn)管理依據(jù)等級(jí)保護(hù)的思想和適度安全的原則，平衡成本與效益，合理部署和利用信息安全的信任體系、監(jiān)控體系和應(yīng)急處理等重要的基礎(chǔ)設(shè)施，確定合適的安全措施，從而確保機(jī)構(gòu)具有完成其使命的信息安全保障能力。 管理者 內(nèi) 負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的規(guī)劃，以及實(shí)施和監(jiān)控過程中的組織和協(xié)調(diào)。 維護(hù)者 內(nèi)或外 負(fù)責(zé)信息系統(tǒng)的日常維護(hù)，包括維 修和升級(jí)。 專業(yè)者 外 為信息安全風(fēng)險(xiǎn)管理提供專業(yè)咨詢、培訓(xùn)、診斷和工具等服務(wù)。其目的是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象，以及對(duì)象的特性和安全要求。 信息安全分析 《 信息系統(tǒng)的安全要 求報(bào)告 》 信息系統(tǒng)的安全環(huán)境和安全要求等。 《 入選風(fēng)險(xiǎn)評(píng)估方法和工具列表 》 合適的風(fēng)險(xiǎn)評(píng)估方法和工具列表。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 32 風(fēng)險(xiǎn)評(píng)估的文檔 風(fēng)險(xiǎn)程度分析 《 已有安全措施分析報(bào)告 》 確認(rèn)已有的安全措施，包括技術(shù)層面（即物理平臺(tái)、系統(tǒng)平臺(tái)、通信平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)）的安全功能、組織層面（即結(jié)構(gòu)、崗位和人員）的安全控制和管理層面（即策略、規(guī)章和制度）的安全對(duì)策。 《 資產(chǎn)價(jià)值分析報(bào)告 》 從敏感性、關(guān)鍵性和昂貴性等方面，分析資 產(chǎn)價(jià)值的大小。 《 脆弱性等級(jí)列表 》 脆弱性被利用的等級(jí)列表。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 34 三、信息安全風(fēng)險(xiǎn)管理各組成部分 對(duì)象確立 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)控制 審核批準(zhǔn) 溝通與咨詢 監(jiān)控與審查 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC