【正文】 INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 57 三、信息安全風險管理各組成部分 對象確立 風險評估 風險控制 審核批準 監(jiān)控與審查 溝通與咨詢 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 58 監(jiān)控與審查的概述 監(jiān)控與審查對信息安全風險管理主循環(huán)的四個步驟（即對象確立、風險評估、風險控制和審核批準）進行監(jiān)控和審查。溝通是為直接參與人員提供交流途徑，以保持他們之間的協(xié)調(diào)一致，共同實現(xiàn)安全目標。 風險評估 《 風險評估的監(jiān)控與審查記錄 》 風險評估過程中監(jiān)控和審查的范圍、對象、時間、過程、結(jié)果和措施等。 持續(xù)監(jiān)督 《 審核到期通知書 》 到期的時間和重新申請的要求，以及審核機構(gòu) 的名稱和簽章。 《 審核受理回執(zhí) 》 同意受理、補充材料的要求和提交時間（如果需要）、審核的進度安排和收費標準，以及審核機構(gòu)的名稱和簽章等。 《 入選風險控制措施說明報告 》 選擇合適的風險控制措施，并說明選擇的理由以及被選控制措施的成本、使用方法和注意事項等。 應(yīng)用備份與恢復 對于關(guān)鍵應(yīng)用，配備應(yīng)用備份與恢復系統(tǒng)。 網(wǎng)絡(luò)狀態(tài)監(jiān)測 部署網(wǎng)絡(luò)狀態(tài)監(jiān)測系統(tǒng)，隨時掌握網(wǎng)絡(luò)運行狀態(tài)。 數(shù)字簽名 在需要防止事后否認時，可采用數(shù)字簽名技術(shù)。 病毒防殺 全面部署防病毒系統(tǒng)。 《 影響程度等級列表 》 影響程度的等級列表。 《 威脅行為分析報告 》 從攻擊的強度、廣度、速度和深度等方面， 分析威脅行為能力的高低。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 26 風險評估過程 風 險 評 估對 象確 立風 險控 制風 險 等 級評 價風 險 程 度分 析風 險 評 估準 備風 險 因 素識 別制定風險評估計劃確定風險評估程序選擇風險評估方法和工具識別需要保護的資產(chǎn)識別面臨的威脅識別存在的脆弱性分析影響的程度分析威脅源的動機分析威脅行為的能力分析脆弱性的被利用性分析資產(chǎn)的價值確認已有的安全措施評價分析結(jié)果給出風險等級風 險 評 估 的 溝 通 與 咨 詢風 險 評 估 的 監(jiān) 控 與 審 查SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 27 風險評估準備 對 象確 立風 險 評 估 計 劃風 險 評 估 程 序入 選 風 險 評 估方 法 和 工 具 列 表制 定 風 險 評 估 計 劃確 定 風 險 評 估 程 序選 擇 風 險 評 估 方 法 和 工 具現(xiàn) 有 風 險 評 估方 法 和 工 具 庫信 息 系 統(tǒng) 的安 全 要 求 報 告信 息 系 統(tǒng) 的描 述 報 告信 息 系 統(tǒng) 的分 析 報 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 28 風險因素識別 需 要 保 護 的 資 產(chǎn)清 單面 臨 的 威 脅列 表存 在 的 脆 弱 性列 表識 別 需 要 保 護 的 資 產(chǎn)識 別 面 臨 的 威 脅識 別 存 在 的 脆 弱 性漏 洞 庫威 脅 庫信 息 系 統(tǒng) 的安 全 要 求 報 告信 息 系 統(tǒng) 的描 述 報 告信 息 系 統(tǒng) 的分 析 報 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 29 風險程度分析 已 有 安 全 措 施分 析 報 告威 脅 源分 析 報 告威 脅 行 為分 析 報 告脆 弱 性分 析 報 告資 產(chǎn) 價 值分 析 報 告影 響 程 度分 析 報 告確 認 已 有 的 安 全 措 施分 析 威 脅 源 的 動 機分 析 威 脅 行 為 的 能 力分 析 脆 弱 性 的 被 利 用 性分 析 資 產(chǎn) 的 價 值分 析 影 響 的 程 度存 在 的 脆 弱 性列 表面 臨 的 威 脅列 表需 要 保 護 的 資 產(chǎn)清 單信 息 系 統(tǒng) 的描 述 報 告信 息 系 統(tǒng) 的分 析 報 告信 息 系 統(tǒng) 的安 全 要 求 報 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 30 風險等級評價 威 脅 源等 級 列 表威 脅 行 為等 級 列 表脆 弱 性等 級 列 表資 產(chǎn) 價 值等 級 列 表影 響 程 度等 級 列 表評 價 威 脅 源 動 機 的 等 級評 價 威 脅 行 為 能 力 的 等 級評 價 脆 弱 性 被 利 用 的 等 級評 價 資 產(chǎn) 價 值 的 等 級評 價 影 響 程 度 的 等 級威 脅 源分 析 報 告威 脅 行 為分 析 報 告脆 弱 性分 析 報 告資 產(chǎn) 價 值分 析 報 告影 響 程 度分 析 報 告風 險 評 估 報 告綜 合 評 價 風 險 的 等 級風 險控 制風 險 評 估算 法 庫SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 31 風險評估的文檔 階段 輸出文檔 文檔內(nèi)容 風險評估準備 《 風險評估計劃書 》 風險評估的目的、意義、范圍、目標、組織結(jié)構(gòu)、經(jīng)費預算和進度安排等。 受益者 內(nèi)或外 反饋信息安全風險管理的效 果。 執(zhí)行者 內(nèi)或外 負責信息安全風險管理的實 施。 信息安全風險管理體現(xiàn)在信息安全保障體系的技術(shù)、組織和管理等方面。 管理層 管理者 內(nèi) 負責信息系統(tǒng)的規(guī)劃，以及建設(shè)、運行、維護和監(jiān)控等方面的組織和協(xié)調(diào)。 支持層 專業(yè)者 外 為信息系統(tǒng)提供專業(yè)咨詢、培訓、 診斷和工具等服務(wù)。 信息系統(tǒng)分析 《 信息系統(tǒng)的分析報 告 》 信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素等。 《 存在的脆弱性列表 》 機構(gòu)的信息資產(chǎn)存在的脆弱性列表。 《 威脅行為等級列表 》 威脅行為能力的等級列表。 機房出入守則 系統(tǒng)安全管理守則 系統(tǒng)安全配置明細 網(wǎng)絡(luò)安全管理守則 網(wǎng)絡(luò)安全配置明細 應(yīng)用安全管理守則 應(yīng)用安全配置明細 應(yīng)急響應(yīng)計劃 安全事件處理準則 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 37 主要的風險控制需求及其相應(yīng)的風險控制措施 保護 Protection 機房 嚴格按照 GB 501741993《 電子計算機機房設(shè)計規(guī)范 》 、 GB 93611988《 計算站場地安全要求 》 、 GB 28871982《 計算機站場地技術(shù)要求 》 和 GB/T 28872023《 計算機場地通用規(guī)范 》 等國家標準建設(shè)和維護計算機機房。 數(shù)據(jù)加密 根據(jù)不同的安全強度，分別采用商密、普密、機密等級別的數(shù)據(jù)加密系統(tǒng)，對傳輸數(shù) 據(jù)和存儲數(shù)據(jù)進行加密。 主機入侵檢測 部署主機入侵檢測系統(tǒng)，發(fā)現(xiàn)主機入侵行為。 系統(tǒng)備份與恢復 對于關(guān)鍵系統(tǒng)，配備系統(tǒng)備份與恢復系統(tǒng)。 控制目標確立 《 風險控制需求分析報告 》 從技術(shù)層面（即物理平臺、系統(tǒng)平臺、通信平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺）、組織層面（即結(jié)構(gòu)、崗位和人員）和管理層面（即策略、規(guī)章和制度），分析風險控制的需求。批準一般必須由機構(gòu)內(nèi)部或更高層的主管機構(gòu)的決策層來執(zhí)行。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 56 審核批準的文檔 批準申請 《 批準申請書 》 批準的范圍、對象和期望，以及申請者的基本 信息和簽字等。監(jiān)控是監(jiān)視和控制，一是監(jiān)視和控制風險管理過程，即過程質(zhì)量管理，以保證過程的有效性；二是分析和平衡成本效益，即成本效益管理，以保證成本的有效性。咨詢是為所有相關(guān)人員提供學習途徑，以提高他們的風險意識、知識和技能，配合實現(xiàn)安全目標。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 59 監(jiān)控與審查過程 風 險 控 制風 險 評 估審 核 批 準對 象 確 立監(jiān)控與審查對 象 確 立 的監(jiān) 控 與 審 查 記 錄風 險 評 估 的監(jiān) 控 與 審 查 記 錄風 險 控 制 的監(jiān) 控 與 審 查 記 錄審 核 批 準 的監(jiān) 控 與 審 查 記 錄SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 60 貫穿對象確立 階段 監(jiān)控 審查 過程有效性 成本有效性 結(jié)果有效性 風險管理準備 風險管理計劃制定的流程及其相關(guān)文檔 風險管理計劃的成本與效果 《 風險管理計劃書 》的時效 信息系統(tǒng)調(diào)查 信息系統(tǒng)調(diào)查的流程及其相關(guān)文檔 信息系統(tǒng)調(diào)查的成本與效果 《 信息系統(tǒng)的描述報告 》 的時效 信息系統(tǒng)分析 信息系統(tǒng)分析的流程及其相關(guān)文檔 信息系統(tǒng)分析的成本與效果 《 信息系統(tǒng)的分析報告 》 的時效 信息安全分析 信息系統(tǒng)安全要求分析的流程及其相關(guān)文檔 信息系統(tǒng)安全要求分析的成本與效果 《 信息系統(tǒng)的安全要求報告 》 的時效 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC S