【正文】 安全需求分析 背景建立 4 風(fēng)險(xiǎn)評估準(zhǔn)則達(dá)成 一致 風(fēng)險(xiǎn)評估 5 安全實(shí)現(xiàn)論證分析 風(fēng)險(xiǎn)處理、批準(zhǔn)監(jiān)督 系統(tǒng)規(guī)劃階段的信息安全風(fēng)險(xiǎn)管理 50 系統(tǒng)設(shè)計(jì)階段的安全目標(biāo) 51 規(guī)劃 設(shè)計(jì) 實(shí)施 運(yùn)維 廢棄 ? 依據(jù)規(guī)劃階段輸出的總體安全規(guī)劃方案來 設(shè)計(jì)信息系統(tǒng)安全的實(shí)現(xiàn)結(jié)構(gòu) （包括功能劃分、接口協(xié)議和性能指標(biāo)等） 和實(shí)施方案 （包括實(shí)現(xiàn)技術(shù)、設(shè)備選型和系統(tǒng)集成等） ? 在設(shè)計(jì)信息系統(tǒng)的實(shí)現(xiàn)結(jié)構(gòu)和實(shí)施方案時(shí)，在技術(shù)的選擇、配合、管理等眾多的環(huán)節(jié)均容易引入安全風(fēng)險(xiǎn)，因此對關(guān)鍵的環(huán)節(jié)應(yīng)提出必要的安全要求并有針對性地進(jìn)行安全風(fēng)險(xiǎn)管理 系統(tǒng)設(shè)計(jì)階段的信息安全風(fēng)險(xiǎn)管理 序號 風(fēng)險(xiǎn)管理活動 風(fēng)險(xiǎn)管理 工作內(nèi)容 1 設(shè)計(jì)方案分析論證 背景建立、風(fēng)險(xiǎn)評估 2 安全技術(shù)選擇 風(fēng)險(xiǎn)處理 3 安全產(chǎn)品選擇 風(fēng)險(xiǎn)處理 4 自開發(fā)軟件設(shè)計(jì)風(fēng) 險(xiǎn)處理 風(fēng)險(xiǎn)處理 52 系統(tǒng)實(shí)施階段的安全目標(biāo) 53 規(guī)劃 設(shè)計(jì) 實(shí)施 運(yùn)維 廢棄 ?按照規(guī)劃和設(shè)計(jì)階段所定義的信息系統(tǒng)安全實(shí)施方案 ? 采購 設(shè)備和軟件， 開發(fā) 定制功能 ? 集成、部署、配置和測試 信息系統(tǒng)的安全機(jī)制 ? 培訓(xùn)人員 ? 對 是否允許系統(tǒng)投入運(yùn)行 進(jìn)行批準(zhǔn)監(jiān)督 系統(tǒng)實(shí)施階段的信息安全風(fēng)險(xiǎn)管理 序號 風(fēng)險(xiǎn)管理活動 風(fēng)險(xiǎn)管理 工作內(nèi)容 1 安全測試 風(fēng)險(xiǎn)評估 2 檢查與配置 風(fēng)險(xiǎn)處理 3 人員培訓(xùn) 風(fēng)險(xiǎn)處理 4 授權(quán)系統(tǒng)運(yùn)行 批準(zhǔn)監(jiān)督 54 ?在信息系統(tǒng)經(jīng)過授權(quán)投入運(yùn)行之后，確保在運(yùn)行過程中，以及信息系統(tǒng)或其運(yùn)行環(huán)境發(fā)生變化時(shí)維持系統(tǒng)的正常運(yùn)行和安全性 系統(tǒng)運(yùn)維階段的安全目標(biāo) 55 規(guī)劃 設(shè)計(jì) 實(shí)施 運(yùn)維 廢棄 系統(tǒng)運(yùn)維階段的信息安全風(fēng)險(xiǎn)管理 序號 風(fēng)險(xiǎn)管理活動 風(fēng)險(xiǎn)管理 工作內(nèi)容 1 安全運(yùn)行和管理 風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)處理 2 變更管理 風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)處理 3 風(fēng)險(xiǎn)再評估 風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)處理 4 定期重新審批 批準(zhǔn)監(jiān)督 56 ?確保對信息系統(tǒng)的過時(shí)或無用部分進(jìn)行安全報(bào)廢處理，防止信息系統(tǒng)的安全要求和安全功能遭到破壞 系統(tǒng)廢棄階段的安全目標(biāo) 57 規(guī)劃 設(shè)計(jì) 實(shí)施 運(yùn)維 廢棄 信息系統(tǒng)廢棄階段的風(fēng)險(xiǎn)管理 序號 風(fēng)險(xiǎn)管理活動 風(fēng)險(xiǎn)管理 工作內(nèi)容 1 確定廢棄對象 背景建立 2 廢棄對象的風(fēng)險(xiǎn)評估 風(fēng)險(xiǎn)評估 3 廢棄過程的風(fēng)險(xiǎn)處理 風(fēng)險(xiǎn)處理 4 廢棄后的評審 批準(zhǔn)監(jiān)督 58 知識域：信息安全風(fēng)險(xiǎn)評估 知識子域： 風(fēng)險(xiǎn)評估工作形式 ?理解 自評估和檢查評估的風(fēng)險(xiǎn)評估工作形式 ?理解自評估和檢查評估的區(qū)別及優(yōu)缺點(diǎn) ?理解風(fēng)險(xiǎn)評估、檢查評估和等級保護(hù)測評之間的關(guān)系 59 風(fēng)險(xiǎn)評估工作形式 ?信息 安全風(fēng)險(xiǎn)評估分為自評估、檢查評估兩種 形式 ?自 評估為主，自評估和檢查評估相互結(jié)合、互為補(bǔ)充 ?自 評估和檢查評估可依托自身技術(shù)力量進(jìn)行，也可委托第三方機(jī)構(gòu)提供技術(shù) 支持 60 自 評估 ?信息系統(tǒng) 擁有、運(yùn)營或使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn) 評估 61 由發(fā)起方實(shí)施 ?優(yōu)點(diǎn) ? 有利于 降低實(shí)施的費(fèi)用 ? 有利于保密 ? 有利于發(fā)揮行業(yè)和部門內(nèi)人員的業(yè)務(wù)特長 ? 有利于 提高相關(guān)人員的安全意識 和評估能力 ?缺點(diǎn) ? 可能結(jié)果不夠深入準(zhǔn)確 ? 客觀性易受影響 由受 委托方實(shí)施 ?優(yōu)點(diǎn) ? 過程比較規(guī)范 ? 客觀性比較好 ?缺點(diǎn) ? 對業(yè)務(wù)了解存在局限 性 ? 不利于保密 檢查評估 ?信息系統(tǒng)上級管理部門組織的或國家有關(guān)職能部門依法開展的風(fēng)險(xiǎn) 評估 62 ?優(yōu)點(diǎn) ? 具權(quán)威性 ? 通過行政手段加強(qiáng)信息 安全， 具強(qiáng)制性 ?缺點(diǎn) ? 間隔時(shí)間較長 ，難以貫穿 信息系統(tǒng)的 生命周期 ? 一般是以抽樣的方式進(jìn)行，難以覆蓋全部評估對象 風(fēng)險(xiǎn)評估、檢查評估和等級保護(hù)測評之間的關(guān)系 ?等保測評、安全檢查都是在既定安全基線的基礎(chǔ)上開展的符合性測評，其中等保測評是符合國家安全要求的測評，安全檢查是符合行業(yè)主管安全要求的符合性測評 ?而風(fēng)險(xiǎn)評估是在國家、行業(yè)安全要求的基礎(chǔ)上，以被評估系統(tǒng)特定安全要求為目標(biāo)而開展的風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評價(jià)活動 63 知識域：信息安全風(fēng)險(xiǎn)評估 知識子域： 風(fēng)險(xiǎn)評估方法 ?理解 定性 風(fēng)險(xiǎn) 分析 方法 ?理解定量風(fēng)險(xiǎn)分析方法，掌握年度預(yù)期損失（ ALE）的計(jì)算方法 ?理解半定量風(fēng)險(xiǎn)分析方法 ?理解定性和定量風(fēng)險(xiǎn)分析方法的優(yōu)缺點(diǎn) 64 定性風(fēng)險(xiǎn)分析 ?定性風(fēng)險(xiǎn)分析在風(fēng)險(xiǎn)評價(jià)時(shí)，往往需要憑借分析者的經(jīng)驗(yàn)和直覺，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險(xiǎn)諸 要素的 大小或高低程度定性 分級 ?定性 風(fēng)險(xiǎn)分析更具 主觀性 ?后果或影響的定性量度（示例） 65 等級 描述 詳細(xì)情形 1 可以忽略 無傷害，低財(cái)務(wù)損失 2 較小 立即受控制，中等財(cái)務(wù)損失 3 中等 受控，高財(cái)務(wù)損失 4 較大 大傷害，失去生產(chǎn)能力有較大財(cái)務(wù)損失 5 災(zāi)難性 持續(xù)能力中斷，巨大財(cái)務(wù)損失 ? 可能性的定性量度（示例） 等級 描述 詳細(xì)情形 A 幾乎肯定 預(yù)期在大多數(shù)情況發(fā)生 B 很可能 在大多數(shù)情況下很可能會發(fā)生 C 可能 在某個時(shí)間可能會發(fā)生 D 不太可能 在某個時(shí)間能夠發(fā)生 E 罕見 僅在例外的情況下可能發(fā)生 定性風(fēng)險(xiǎn)分析 66 ? 根據(jù)預(yù)設(shè)的等級劃分規(guī)則判定風(fēng)險(xiǎn)結(jié)果 ? 依此類推，得到所有重要資產(chǎn)的風(fēng)險(xiǎn)值，并根據(jù)風(fēng)險(xiǎn)等級劃分表，確定風(fēng)險(xiǎn)等級 可能性 影響 可以忽略 1 較小 2 中等 3 較大 4 災(zāi)難性 5 A（幾乎肯定） H H E E E B （很可能） M H H E E C ( 可能） L M H E E D（不太可能） L L M H E E （罕見） L L M H H E：極度風(fēng)險(xiǎn) H：高風(fēng)險(xiǎn) M：中等風(fēng)險(xiǎn) L: 低風(fēng)險(xiǎn) 定性風(fēng)險(xiǎn)分析 —— 矩陣法 67 定量風(fēng)險(xiǎn)分析 ?定量風(fēng)險(xiǎn)分析試圖是在風(fēng)險(xiǎn)評估與成本效益分析期間收集的各個組成部分計(jì)算客觀數(shù)字值，定量風(fēng)險(xiǎn)分析更具 客觀性 ?例如 ，用替換成本、生產(chǎn)率損失成本、品牌名譽(yù)成本以及其他直接和間接商業(yè)價(jià)值來估計(jì)各項(xiàng)資產(chǎn)的真實(shí)價(jià)值 ?定量分析 主要試圖從財(cái)務(wù)數(shù)字上對安全風(fēng)險(xiǎn)進(jìn)行評估，得出可以量化的風(fēng)險(xiǎn)分析結(jié)果，準(zhǔn)確度量風(fēng)險(xiǎn)的可能性和損失 量 ?因?yàn)槎糠治鎏幚頂?shù)字和金額價(jià)值，它必須有 公式 68 定量風(fēng)險(xiǎn)分析 —— 年度預(yù)期損失法 ?步驟 1 評估資產(chǎn)：根據(jù)資產(chǎn)價(jià)值（ AV）清單 ,計(jì)算資產(chǎn)總價(jià)值及資產(chǎn)損失對財(cái)務(wù)的直接和間接影響 ?步驟 2 確定單一預(yù)期損失 SLE ? SLE 是指發(fā)生一次風(fēng)險(xiǎn)引起的收入損失總額 ? SLE 是分配給單個事件的金額，代表一個具體威脅利用漏洞時(shí)將面臨的潛在損失 （ SLE 類似于定性風(fēng)險(xiǎn)分析的影響） ? 將資產(chǎn)價(jià)值與暴露系數(shù)相乘 (EF) 計(jì)算出 SLE。 , January 23, 2023 雨中黃葉樹，燈下白頭人。 :29:4220:29:42January 23, 2023 1他鄉(xiāng)生白發(fā)，舊國見青山。 下午 8時(shí) 29分 42秒 下午 8時(shí) 29分 20:29: 沒有失敗，只有暫時(shí)停止成功！。 20:29:4220:29:4220:29Monday, January 23, 2023 1不知香積寺，數(shù)里入云峰。 2023年 1月 23日星期一 8時(shí) 29分 42秒 20:29:4223 January 2023 1空山新雨后，天氣晚來秋。 :29:4220:29Jan2323Jan23 1越是無能的人，越喜歡挑剔別人的錯兒。 2023年 1月 23日星期一 下午 8時(shí) 29分 42秒 20:29: 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升