【正文】 OSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 38 主要的風(fēng)險控制需求及其相應(yīng)的風(fēng)險控制措施 檢測 Detection 監(jiān)視、監(jiān)測和報警 在適當(dāng)?shù)奈恢冒仓帽O(jiān)視器和報警器，在各系統(tǒng)單元中配備監(jiān)測系統(tǒng)和報警系統(tǒng)，以實時發(fā)現(xiàn)安全事件并及時報警。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 39 主要的風(fēng)險控制需求及其相應(yīng)的風(fēng)險控制措施 響應(yīng) Response 恢復(fù) Recovery 故障修復(fù)、事故排除 確保隨時能夠獲取故障修復(fù)和事故排除的技術(shù)人員和軟硬件工具。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 40 風(fēng)險控制過程 風(fēng) 險 控 制審 核批 準(zhǔn)控 制 措 施選 擇現(xiàn) 存 風(fēng) 險判 斷控 制 目 標(biāo)確 立確定可接受風(fēng)險等級判斷現(xiàn)存風(fēng)險是否可接受分析風(fēng)險控制需求確立風(fēng)險控制目標(biāo)選擇風(fēng)險控制方式選擇風(fēng)險控制手段制定風(fēng)險控制實施計劃實施風(fēng)險控制措施溝 通 與 咨 詢監(jiān) 控 與 審 查控 制 措 施實 施風(fēng) 險評 估 ?接 受否是SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 41 現(xiàn)存風(fēng)險判斷 風(fēng) 險評 估確 定 可 接 受 風(fēng) 險 等 級判 斷 現(xiàn) 存 風(fēng) 險 是 否 可 接 受風(fēng) 險 評 估 報 告信 息 系 統(tǒng) 的安 全 要 求 報 告信 息 系 統(tǒng) 的描 述 報 告信 息 系 統(tǒng) 的分 析 報 告否 是審 核批 準(zhǔn)接 受?風(fēng) 險 接 受 等 級劃 分 表現(xiàn) 存 風(fēng) 險 接 受判 斷 書SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 42 控制目標(biāo)確立 風(fēng) 險 控 制 目 標(biāo)列 表分 析 風(fēng) 險 控 制 需 求確 立 風(fēng) 險 控 制 目 標(biāo)風(fēng) 險 評 估 報 告信 息 系 統(tǒng) 的安 全 要 求 報 告信 息 系 統(tǒng) 的描 述 報 告信 息 系 統(tǒng) 的分 析 報 告風(fēng) 險 接 受 等 級劃 分 表風(fēng) 險 控 制 需 求分 析 報 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 43 控制措施選擇 選 擇 風(fēng) 險 控 制 方 式選 擇 風(fēng) 險 控 制 措 施入 選 風(fēng) 險 控 制方 式 說 明 報 告入 選 風(fēng) 險 控 制措 施 說 明 報 告信 息 系 統(tǒng) 的安 全 要 求 報 告風(fēng) 險 控 制 需 求分 析 報 告風(fēng) 險 控 制 目 標(biāo)列 表SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 44 控制措施實施 制 定 風(fēng) 險 控 制 實 施 計 劃信 息 系 統(tǒng) 的安 全 要 求 報 告風(fēng) 險 控 制 目 標(biāo)列 表入 選 風(fēng) 險 控 制方 式 說 明 報 告入 選 風(fēng) 險 控 制措 施 說 明 報 告風(fēng) 險 控 制實 施 計 劃 書風(fēng) 險 控 制實 施 記 錄審 核批 準(zhǔn)實 施 風(fēng) 險 控 制 措 施SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 45 風(fēng)險控制的文檔 階段 輸出文檔 文檔內(nèi)容 現(xiàn)存風(fēng)險判斷 《 風(fēng)險接受等級劃分表 》 風(fēng)險接受等級的劃分，即把風(fēng)險評估得出的風(fēng)險等級劃分為可接受和不可接受兩種。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 47 三、信息安全風(fēng)險管理各組成部分 對象確立 風(fēng)險評估 風(fēng)險控制 審核批準(zhǔn) 溝通與咨詢 監(jiān)控與審查 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 48 審核批準(zhǔn)概述 審核批準(zhǔn)是信息安全風(fēng)險管理的第四步驟，審核批準(zhǔn)包括審核和批準(zhǔn)兩部分：審核是指通過審查、測試、評審等手段，檢驗風(fēng)險評估和風(fēng)險控制的結(jié)果是否滿足信息系統(tǒng)的安全要求；批準(zhǔn)是指機構(gòu)的決策層依據(jù)審核的結(jié)果，做出是否認可的決定。 《 專家鑒定報告 》 鑒定的范圍、對象（及其基本情況）和結(jié)論，以及 專家名單和簽字等。 《 環(huán)境變化因素的描述報告 》 信息安全相關(guān)環(huán)境變化因素的列表、說明和安全隱患分析等。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 68 三、信息安全風(fēng)險管理各組成部分 對象確立 風(fēng)險評估 風(fēng)險控制 審核批準(zhǔn) 監(jiān)控與審查 溝通與咨詢 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 69 溝通與咨詢的概述 溝通與咨詢?yōu)樾畔踩L(fēng)險管理主循環(huán)的四個步驟（即對象確立、風(fēng)險評估、風(fēng)險控制和審核批準(zhǔn)）中相關(guān)人員提供溝通和咨詢。 風(fēng)險控制 《 風(fēng)險控制的監(jiān)控與審查記錄 》 風(fēng)險控制過程中監(jiān)控和審查的范圍、對象、時間、過程、結(jié)果和措施等。 《 批準(zhǔn)到期通知書 》 到期的時間和重新申請的要求，以及批準(zhǔn)機構(gòu) 的名稱和簽章。 審核處理 《 審查結(jié)果報告 》 審查的范圍、對象、意見和結(jié)論（即是否通過）， 以及審查人員的名字和簽字等。 控制措施實施 《 風(fēng)險控制實施計劃書 》 風(fēng)險控制的范圍、對象、目標(biāo)、組織結(jié)構(gòu)、成本預(yù)算和進度安排等。 應(yīng)急響應(yīng) 按照應(yīng)急響應(yīng)計劃處理應(yīng)急事件。 安全審計 在各系統(tǒng)單元中配備安全審計，以發(fā)現(xiàn)深層安全漏洞 和安全事件。 內(nèi)容凈化 部署內(nèi)容過濾系統(tǒng)。 漏洞補丁 及時下載和安裝最新的漏洞補丁模塊。 《 風(fēng)險評估報告 》 匯總上述分析報告和等級列表，綜合評價風(fēng)險的等級。 《 脆弱性分析報告 》 按威脅 /脆弱性對，分析脆弱性被威脅利用的難以程度。 《 風(fēng)險評估程序 》 風(fēng)險評估的工作流程、輸入數(shù)據(jù)和輸 出結(jié)果等。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 15 三、信息安全風(fēng)險管理各組成部分 對象確立 風(fēng)險評估 風(fēng)險控制 審核批準(zhǔn) 溝通與咨詢 監(jiān)控與審查 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 16 三、信息安全風(fēng)險管理各組成部分 對象確立 風(fēng)險評估 風(fēng)險控制 審核批準(zhǔn) 溝通與咨詢 監(jiān)控與審查 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 17 對象確立概述 對象確立是信息安全風(fēng)險管理的第一步驟，根據(jù)要保護系統(tǒng)的業(yè)務(wù)目標(biāo)和特性，確定風(fēng)險管理對象。 運行者 內(nèi) 負責(zé)信息系統(tǒng)的日常運行和操作。 信息安全風(fēng)險管理貫穿信息系統(tǒng)生命周期的全部過程。 主管者 內(nèi) 負責(zé)信息安全風(fēng)險管理的重 大決策。 監(jiān)控者 內(nèi) 負責(zé)信息安全風(fēng)險管理過程和結(jié)果的監(jiān)視和控制。 信息系統(tǒng)調(diào)查 《 信息系統(tǒng)的描述報 告 》 信息系統(tǒng)的業(yè)務(wù)目標(biāo)、業(yè)務(wù)特性、管 理特性和技術(shù)特性等。 《 面臨的威脅列表 》 機構(gòu)的信息資產(chǎn)面臨的威脅列表。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 33 風(fēng)險評估的文檔 風(fēng)險等級評價 《 威脅源等級列表 》 威脅源動機的等級列表。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 36 風(fēng)險控制需求及其相應(yīng)的風(fēng)險控制措施 PPDRR 風(fēng)險控制需求 風(fēng)險控制措施 策略 Policy 設(shè)備管理制度 建立健全各種安全相關(guān)的規(guī)章制定和操作規(guī)范，使得保護、檢測和響應(yīng)環(huán)節(jié)有章可循、切實有效。 訪問控制 根據(jù)不同的安全強度，分別采用自主型、強制型等級別的訪問控制系統(tǒng)，對設(shè)備、用 戶等主體訪問客體的權(quán)限進行控制。 數(shù)據(jù)校驗 通過數(shù)據(jù)校驗技術(shù)，發(fā)現(xiàn)數(shù)據(jù)篡改。 設(shè)施備份與恢復(fù) 對于關(guān)鍵設(shè)施，配備設(shè)施備份與恢復(fù)系統(tǒng)。 《 現(xiàn)存風(fēng)險接受判斷書 》 現(xiàn)存風(fēng)險是否可接受的判斷結(jié)果。 審核既可以由機構(gòu)內(nèi)部完成，也可以委托外部專業(yè)機構(gòu)來完成，這主要取決于信息系統(tǒng)的性質(zhì)和機構(gòu)自身的專業(yè)能力。