【正文】 。 安全配置 嚴(yán)格遵守各系統(tǒng)單元的安全配置明細(xì)，避免配置中的安全漏洞。 邊界控制 在網(wǎng)絡(luò)邊界布置防火墻，阻止來(lái)自外界非法訪問(wèn)。 安全機(jī)構(gòu)、安全崗位、安全責(zé)任 建立健全安全機(jī)構(gòu)，合理設(shè)置安全崗位，明確劃分安全責(zé)任。 主機(jī)狀態(tài)監(jiān)測(cè) 部署主機(jī)狀態(tài)監(jiān)測(cè)系統(tǒng)，隨時(shí)掌握主機(jī)運(yùn)行狀態(tài)。 安全監(jiān)督、安全檢查 實(shí)行持續(xù)有效的安全監(jiān)督，預(yù)演應(yīng)急響應(yīng)計(jì)劃。 數(shù)據(jù)備份與恢復(fù) 對(duì)于關(guān)鍵數(shù)據(jù)，配備數(shù)據(jù)備份與恢復(fù)系統(tǒng)。 安全事件處理 按照安全事件處理找出原因、追究責(zé)任、總結(jié)經(jīng)驗(yàn)、 提出改進(jìn)。 《 風(fēng)險(xiǎn)控制目標(biāo)列表 》 風(fēng)險(xiǎn)控制目標(biāo)的列表，包括控制對(duì)象 及其最低保護(hù)等級(jí)。 《 風(fēng)險(xiǎn)控制實(shí)施記錄 》 風(fēng)險(xiǎn)控制措施實(shí)施的過(guò)程和結(jié)果。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 49 審核批準(zhǔn)過(guò)程及其在信息安全風(fēng)險(xiǎn)管理中的位置 審 核 批 準(zhǔn)批 準(zhǔn)申 請(qǐng)審 核申 請(qǐng)了解審核業(yè)務(wù)提交審核申請(qǐng)組織專(zhuān)家評(píng)審做出審核結(jié)論提交批準(zhǔn)申請(qǐng)受理批準(zhǔn)申請(qǐng)審閱批準(zhǔn)材料做出批準(zhǔn)決定溝 通 與 咨 詢(xún)批 準(zhǔn)處 理風(fēng) 險(xiǎn)控 制受理審核申請(qǐng)審 核處 理修改審核材料測(cè)試審核對(duì)象監(jiān) 控 與 審 查?通 過(guò)是否?通 過(guò)是否審查審核材料整改審核對(duì)象檢查是否到期持 續(xù)監(jiān) 督檢查有無(wú)變化SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 50 審核申請(qǐng) 風(fēng) 險(xiǎn)控 制了 解 審 核 業(yè) 務(wù)提 交 審 核 申 請(qǐng)審 核 業(yè) 務(wù) 介 紹受 理 審 核 申 請(qǐng)審 核 受 理 回 執(zhí)審 核 材 料審 核 申 請(qǐng) 書(shū)SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 51 審核處理 測(cè) 試 審 核 對(duì) 象組 織 專(zhuān) 家 鑒 定專(zhuān) 家 鑒 定 報(bào) 告測(cè) 試 結(jié) 果 報(bào) 告做 出 審 核 結(jié) 論審 核 結(jié) 論 報(bào) 告審 查 審 核 材 料審 查 結(jié) 果 報(bào) 告是 否否是修 改 審 核 材 料否是?修 改?通 過(guò)整 改 審 核 對(duì) 象否是否是?整 改?通 過(guò)?通 過(guò)審 核 材 料審 核 的 原 則 、規(guī) 定 和 程 序SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 52 批準(zhǔn)申請(qǐng) 受 理 批 準(zhǔn) 申 請(qǐng)批 準(zhǔn) 受 理 回 執(zhí)審 核 結(jié) 論 報(bào) 告提 交 批 準(zhǔn) 申 請(qǐng)批 準(zhǔn) 申 請(qǐng) 書(shū)SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 53 批準(zhǔn)處理 做 出 批 準(zhǔn) 決 定批 準(zhǔn) 決 定 書(shū)審 閱 批 準(zhǔn) 材 料是 否?通 過(guò)審 核 結(jié) 論 報(bào) 告批 準(zhǔn) 的 原 則 、規(guī) 定 和 程 序機(jī) 構(gòu) 的 使 命信 息 系 統(tǒng) 的安 全 要 求 報(bào) 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 54 持續(xù)監(jiān)督 檢 查 有 無(wú) 變 化檢 查 是 否 到 期批 準(zhǔn) 決 定 書(shū)審 核 結(jié) 論 報(bào) 告是否?到 期?變 化有 無(wú)審 核 到 期 通 知 書(shū)批 準(zhǔn) 到 期 通 知 書(shū)機(jī) 構(gòu) 變 化 因 素 的描 述 報(bào) 告環(huán) 境 變 化 因 素 的描 述 報(bào) 告審 核批 準(zhǔn)SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 55 審核批準(zhǔn)的文檔 階段 輸出文檔 文檔內(nèi)容 審核申請(qǐng) 《 審核申請(qǐng)書(shū) 》 審核的范圍、對(duì)象、目標(biāo)和進(jìn)度要求，以及申請(qǐng)者 的基本信息和簽字等。 《 測(cè)試結(jié)果報(bào)告 》 測(cè)試的范圍、對(duì)象、意見(jiàn)和結(jié)論（即是否通過(guò)）， 以及測(cè)試人員的名字和簽字等。 《 批準(zhǔn)受理回執(zhí) 》 同意受理、補(bǔ)充材料的要求和提交時(shí)間（如果 需要），以及批準(zhǔn)機(jī)構(gòu)的名稱(chēng)和簽章等。 《 機(jī)構(gòu)變化因素的描述報(bào)告 》 機(jī)構(gòu)及其信息系統(tǒng)變化因素的列表、說(shuō)明和安全隱患分析等。審查是跟蹤受保護(hù)系統(tǒng)自身或所處環(huán)境的變化，以保證結(jié)果的有效性。 審核批準(zhǔn) 《 審核批準(zhǔn)的監(jiān)控與審查記錄 》 審核批準(zhǔn)過(guò)程中監(jiān)控和審查的范圍、對(duì)象、時(shí)間、過(guò)程、結(jié)果和措施等。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 70 溝通與咨詢(xún)的方式 方式 接受方 決策層 管理層 執(zhí)行層 支持層 用戶(hù)層 發(fā) 出 方 決策層 交流 指導(dǎo)和檢查 指導(dǎo)和檢查 表態(tài) 表態(tài) 管理層 匯報(bào) 交流 指導(dǎo)和檢查 宣傳和介紹 宣傳和介紹 執(zhí)行層 匯報(bào) 匯報(bào) 交流 宣傳和介紹 培訓(xùn)和咨詢(xún) 支持層 培訓(xùn)和咨詢(xún) 培訓(xùn)和咨詢(xún) 培訓(xùn)和咨詢(xún) 交流 培訓(xùn)和咨詢(xún) 用戶(hù)層 反饋 反饋 反饋 反饋 交流 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 71 溝通與咨詢(xún)的過(guò)程 風(fēng) 險(xiǎn) 控 制風(fēng) 險(xiǎn) 評(píng) 估審 核 批 準(zhǔn)對(duì) 象 確 立溝通與咨詢(xún)對(duì) 象 確 立 的溝 通 與 咨 詢(xún) 記 錄風(fēng) 險(xiǎn) 評(píng) 估 的溝 通 與 咨 詢(xún) 記 錄風(fēng) 險(xiǎn) 控 制 的溝 通 與 咨 詢(xún) 記 錄審 核 批 準(zhǔn) 的溝 通 與 咨 詢(xún) 記 錄SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 72 貫穿對(duì)象確立 階段 參與人員 涉及內(nèi)容 信息系統(tǒng) 信息安全風(fēng)險(xiǎn)管 理 風(fēng)險(xiǎn)管理準(zhǔn)備 決策層 決策層 管理層 《 風(fēng)險(xiǎn)管理計(jì)劃書(shū) 》 信息系統(tǒng)調(diào)查 管理層 執(zhí)行層 支持層 管理層 執(zhí)行層 《 信息系統(tǒng)的描述報(bào)告 》 信息系統(tǒng)分析 管理層 執(zhí)行層 支持層 管理層 執(zhí)行層 《 信息系統(tǒng)的分析報(bào)告 》 信息安全分析 管理層 執(zhí)行層 支持層 《 信息系統(tǒng)的安全要求報(bào)告》 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 73 貫穿風(fēng)險(xiǎn)評(píng)估 階段 參與人員 涉及內(nèi)容 信息系統(tǒng) 信息安全風(fēng)險(xiǎn)管理 風(fēng)險(xiǎn)評(píng)估準(zhǔn)備 決策層 決策層 管理層 《 風(fēng)險(xiǎn)評(píng)估計(jì)劃 》 管理層 管理層 執(zhí)行層 支持層 《 風(fēng)險(xiǎn)評(píng)估程序 》 《 入選風(fēng)險(xiǎn)評(píng)估方法和工具列表 》 風(fēng)險(xiǎn)因素識(shí)別 管理層 執(zhí)行層 執(zhí)行層 支持層 《 需要保護(hù)的資產(chǎn)清單 》 《 面臨的威脅列表 》 《 存在的脆弱性列表 》 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 74 貫穿風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)程度分析 管理層 執(zhí)行層 執(zhí)行層 支持層 《 已有安全措施分析報(bào)告 》 《 威脅源分析報(bào)告 》 《 威脅行為分析報(bào)告 》 《 脆弱性分析報(bào)告 》 《 資產(chǎn)價(jià)值分析報(bào)告 》 《 影響程度分析報(bào)告 》 風(fēng)險(xiǎn)等級(jí)評(píng)價(jià) 執(zhí)行層 支持層 《 威脅源等級(jí)列表 》 《 威脅行為等級(jí)列表 》 《 脆弱性等級(jí)列表 》 《 資產(chǎn)價(jià)值等級(jí)列表 》 《 影響程度等級(jí)列表 》 《 風(fēng)險(xiǎn)評(píng)估報(bào)告 》 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 75 貫穿風(fēng)險(xiǎn)控制 階段 參與人員 涉及內(nèi)容 信息系統(tǒng) 信息安全風(fēng)險(xiǎn)管 理 現(xiàn)存風(fēng)險(xiǎn)判斷 決策層 管理層 決策層 管理層 執(zhí)行層 支持層 《 風(fēng)險(xiǎn)接受等級(jí)劃分表 》 《 現(xiàn)存風(fēng)險(xiǎn)接受判斷書(shū) 》 控制目標(biāo)確立 管理層 管理層 執(zhí)行層 支持層 《 風(fēng)險(xiǎn)控制需求分析報(bào)告 》 《 風(fēng)險(xiǎn)控制目標(biāo)列表 》 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 76 貫穿風(fēng)險(xiǎn)控制 控制措施選擇 執(zhí)行層 支持層 《 入選風(fēng)險(xiǎn)控制方式說(shuō)明報(bào)告 》 《 入選風(fēng)險(xiǎn)控制措施說(shuō)明報(bào)告 》 控制措施實(shí)施 管理層 執(zhí)行層 管理層 執(zhí)行層 支持層 《 風(fēng)險(xiǎn)控制實(shí)施計(jì)劃書(shū) 》 《 風(fēng)險(xiǎn)控制實(shí)施記錄 》 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 77 貫穿審核批準(zhǔn) 階段 參與人員 涉及內(nèi)容 信息系統(tǒng) 信息安全風(fēng)險(xiǎn)管理 審核申請(qǐng) 決策層 管理層 執(zhí)行層 《 審核申請(qǐng)書(shū) 》 《 審核材料 》 《 審核受理回執(zhí) 》 審核處理 管理層 執(zhí)行層 支持層 《 審查結(jié)果報(bào)告 》 《 測(cè)試結(jié)果報(bào)告 》 《 專(zhuān)家鑒定報(bào)告 》 《 審核