【正文】 INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 57 三、信息安全風(fēng)險(xiǎn)管理各組成部分 對象確立 風(fēng)險(xiǎn)評估 風(fēng)險(xiǎn)控制 審核批準(zhǔn) 監(jiān)控與審查 溝通與咨詢 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 58 監(jiān)控與審查的概述 監(jiān)控與審查對信息安全風(fēng)險(xiǎn)管理主循環(huán)的四個(gè)步驟（即對象確立、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)控制和審核批準(zhǔn)）進(jìn)行監(jiān)控和審查。溝通是為直接參與人員提供交流途徑，以保持他們之間的協(xié)調(diào)一致，共同實(shí)現(xiàn)安全目標(biāo)。 風(fēng)險(xiǎn)評估 《 風(fēng)險(xiǎn)評估的監(jiān)控與審查記錄 》 風(fēng)險(xiǎn)評估過程中監(jiān)控和審查的范圍、對象、時(shí)間、過程、結(jié)果和措施等。 持續(xù)監(jiān)督 《 審核到期通知書 》 到期的時(shí)間和重新申請的要求，以及審核機(jī)構(gòu) 的名稱和簽章。 《 審核受理回執(zhí) 》 同意受理、補(bǔ)充材料的要求和提交時(shí)間（如果需要）、審核的進(jìn)度安排和收費(fèi)標(biāo)準(zhǔn)，以及審核機(jī)構(gòu)的名稱和簽章等。 《 入選風(fēng)險(xiǎn)控制措施說明報(bào)告 》 選擇合適的風(fēng)險(xiǎn)控制措施，并說明選擇的理由以及被選控制措施的成本、使用方法和注意事項(xiàng)等。 應(yīng)用備份與恢復(fù) 對于關(guān)鍵應(yīng)用，配備應(yīng)用備份與恢復(fù)系統(tǒng)。 網(wǎng)絡(luò)狀態(tài)監(jiān)測 部署網(wǎng)絡(luò)狀態(tài)監(jiān)測系統(tǒng)，隨時(shí)掌握網(wǎng)絡(luò)運(yùn)行狀態(tài)。 數(shù)字簽名 在需要防止事后否認(rèn)時(shí)，可采用數(shù)字簽名技術(shù)。 病毒防殺 全面部署防病毒系統(tǒng)。 《 影響程度等級列表 》 影響程度的等級列表。 《 威脅行為分析報(bào)告 》 從攻擊的強(qiáng)度、廣度、速度和深度等方面， 分析威脅行為能力的高低。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 26 風(fēng)險(xiǎn)評估過程 風(fēng) 險(xiǎn) 評 估對 象確 立風(fēng) 險(xiǎn)控 制風(fēng) 險(xiǎn) 等 級評 價(jià)風(fēng) 險(xiǎn) 程 度分 析風(fēng) 險(xiǎn) 評 估準(zhǔn) 備風(fēng) 險(xiǎn) 因 素識 別制定風(fēng)險(xiǎn)評估計(jì)劃確定風(fēng)險(xiǎn)評估程序選擇風(fēng)險(xiǎn)評估方法和工具識別需要保護(hù)的資產(chǎn)識別面臨的威脅識別存在的脆弱性分析影響的程度分析威脅源的動(dòng)機(jī)分析威脅行為的能力分析脆弱性的被利用性分析資產(chǎn)的價(jià)值確認(rèn)已有的安全措施評價(jià)分析結(jié)果給出風(fēng)險(xiǎn)等級風(fēng) 險(xiǎn) 評 估 的 溝 通 與 咨 詢風(fēng) 險(xiǎn) 評 估 的 監(jiān) 控 與 審 查SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 27 風(fēng)險(xiǎn)評估準(zhǔn)備 對 象確 立風(fēng) 險(xiǎn) 評 估 計(jì) 劃風(fēng) 險(xiǎn) 評 估 程 序入 選 風(fēng) 險(xiǎn) 評 估方 法 和 工 具 列 表制 定 風(fēng) 險(xiǎn) 評 估 計(jì) 劃確 定 風(fēng) 險(xiǎn) 評 估 程 序選 擇 風(fēng) 險(xiǎn) 評 估 方 法 和 工 具現(xiàn) 有 風(fēng) 險(xiǎn) 評 估方 法 和 工 具 庫信 息 系 統(tǒng) 的安 全 要 求 報(bào) 告信 息 系 統(tǒng) 的描 述 報(bào) 告信 息 系 統(tǒng) 的分 析 報(bào) 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 28 風(fēng)險(xiǎn)因素識別 需 要 保 護(hù) 的 資 產(chǎn)清 單面 臨 的 威 脅列 表存 在 的 脆 弱 性列 表識 別 需 要 保 護(hù) 的 資 產(chǎn)識 別 面 臨 的 威 脅識 別 存 在 的 脆 弱 性漏 洞 庫威 脅 庫信 息 系 統(tǒng) 的安 全 要 求 報(bào) 告信 息 系 統(tǒng) 的描 述 報(bào) 告信 息 系 統(tǒng) 的分 析 報(bào) 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 29 風(fēng)險(xiǎn)程度分析 已 有 安 全 措 施分 析 報(bào) 告威 脅 源分 析 報(bào) 告威 脅 行 為分 析 報(bào) 告脆 弱 性分 析 報(bào) 告資 產(chǎn) 價(jià) 值分 析 報(bào) 告影 響 程 度分 析 報(bào) 告確 認(rèn) 已 有 的 安 全 措 施分 析 威 脅 源 的 動(dòng) 機(jī)分 析 威 脅 行 為 的 能 力分 析 脆 弱 性 的 被 利 用 性分 析 資 產(chǎn) 的 價(jià) 值分 析 影 響 的 程 度存 在 的 脆 弱 性列 表面 臨 的 威 脅列 表需 要 保 護(hù) 的 資 產(chǎn)清 單信 息 系 統(tǒng) 的描 述 報(bào) 告信 息 系 統(tǒng) 的分 析 報(bào) 告信 息 系 統(tǒng) 的安 全 要 求 報(bào) 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 30 風(fēng)險(xiǎn)等級評價(jià) 威 脅 源等 級 列 表威 脅 行 為等 級 列 表脆 弱 性等 級 列 表資 產(chǎn) 價(jià) 值等 級 列 表影 響 程 度等 級 列 表評 價(jià) 威 脅 源 動(dòng) 機(jī) 的 等 級評 價(jià) 威 脅 行 為 能 力 的 等 級評 價(jià) 脆 弱 性 被 利 用 的 等 級評 價(jià) 資 產(chǎn) 價(jià) 值 的 等 級評 價(jià) 影 響 程 度 的 等 級威 脅 源分 析 報(bào) 告威 脅 行 為分 析 報(bào) 告脆 弱 性分 析 報(bào) 告資 產(chǎn) 價(jià) 值分 析 報(bào) 告影 響 程 度分 析 報(bào) 告風(fēng) 險(xiǎn) 評 估 報(bào) 告綜 合 評 價(jià) 風(fēng) 險(xiǎn) 的 等 級風(fēng) 險(xiǎn)控 制風(fēng) 險(xiǎn) 評 估算 法 庫SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 31 風(fēng)險(xiǎn)評估的文檔 階段 輸出文檔 文檔內(nèi)容 風(fēng)險(xiǎn)評估準(zhǔn)備 《 風(fēng)險(xiǎn)評估計(jì)劃書 》 風(fēng)險(xiǎn)評估的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等。 受益者 內(nèi)或外 反饋信息安全風(fēng)險(xiǎn)管理的效 果。 執(zhí)行者 內(nèi)或外 負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的實(shí) 施。 信息安全風(fēng)險(xiǎn)管理體現(xiàn)在信息安全保障體系的技術(shù)、組織和管理等方面。 管理層 管理者 內(nèi) 負(fù)責(zé)信息系統(tǒng)的規(guī)劃，以及建設(shè)、運(yùn)行、維護(hù)和監(jiān)控等方面的組織和協(xié)調(diào)。 支持層 專業(yè)者 外 為信息系統(tǒng)提供專業(yè)咨詢、培訓(xùn)、 診斷和工具等服務(wù)。 信息系統(tǒng)分析 《 信息系統(tǒng)的分析報(bào) 告 》 信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素等。 《 存在的脆弱性列表 》 機(jī)構(gòu)的信息資產(chǎn)存在的脆弱性列表。 《 威脅行為等級列表 》 威脅行為能力的等級列表。 機(jī)房出入守則 系統(tǒng)安全管理守則 系統(tǒng)安全配置明細(xì) 網(wǎng)絡(luò)安全管理守則 網(wǎng)絡(luò)安全配置明細(xì) 應(yīng)用安全管理守則 應(yīng)用安全配置明細(xì) 應(yīng)急響應(yīng)計(jì)劃 安全事件處理準(zhǔn)則 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 37 主要的風(fēng)險(xiǎn)控制需求及其相應(yīng)的風(fēng)險(xiǎn)控制措施 保護(hù) Protection 機(jī)房 嚴(yán)格按照 GB 501741993《 電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范 》 、 GB 93611988《 計(jì)算站場地安全要求 》 、 GB 28871982《 計(jì)算機(jī)站場地技術(shù)要求 》 和 GB/T 28872023《 計(jì)算機(jī)場地通用規(guī)范 》 等國家標(biāo)準(zhǔn)建設(shè)和維護(hù)計(jì)算機(jī)機(jī)房。 數(shù)據(jù)加密 根據(jù)不同的安全強(qiáng)度，分別采用商密、普密、機(jī)密等級別的數(shù)據(jù)加密系統(tǒng)，對傳輸數(shù) 據(jù)和存儲數(shù)據(jù)進(jìn)行加密。 主機(jī)入侵檢測 部署主機(jī)入侵檢測系統(tǒng)，發(fā)現(xiàn)主機(jī)入侵行為。 系統(tǒng)備份與恢復(fù) 對于關(guān)鍵系統(tǒng)，配備系統(tǒng)備份與恢復(fù)系統(tǒng)。 控制目標(biāo)確立 《 風(fēng)險(xiǎn)控制需求分析報(bào)告 》 從技術(shù)層面（即物理平臺、系統(tǒng)平臺、通信平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺）、組織層面（即結(jié)構(gòu)、崗位和人員）和管理層面（即策略、規(guī)章和制度），分析風(fēng)險(xiǎn)控制的需求。批準(zhǔn)一般必須由機(jī)構(gòu)內(nèi)部或更高層的主管機(jī)構(gòu)的決策層來執(zhí)行。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 56 審核批準(zhǔn)的文檔 批準(zhǔn)申請 《 批準(zhǔn)申請書 》 批準(zhǔn)的范圍、對象和期望，以及申請者的基本 信息和簽字等。監(jiān)控是監(jiān)視和控制，一是監(jiān)視和控制風(fēng)險(xiǎn)管理過程，即過程質(zhì)量管理，以保證過程的有效性；二是分析和平衡成本效益，即成本效益管理，以保證成本的有效性。咨詢是為所有相關(guān)人員提供學(xué)習(xí)途徑，以提高他們的風(fēng)險(xiǎn)意識、知識和技能，配合實(shí)現(xiàn)安全目標(biāo)。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 59 監(jiān)控與審查過程 風(fēng) 險(xiǎn) 控 制風(fēng) 險(xiǎn) 評 估審 核 批 準(zhǔn)對 象 確 立監(jiān)控與審查對 象 確 立 的監(jiān) 控 與 審 查 記 錄風(fēng) 險(xiǎn) 評 估 的監(jiān) 控 與 審 查 記 錄風(fēng) 險(xiǎn) 控 制 的監(jiān) 控 與 審 查 記 錄審 核 批 準(zhǔn) 的監(jiān) 控 與 審 查 記 錄SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 60 貫穿對象確立 階段 監(jiān)控 審查 過程有效性 成本有效性 結(jié)果有效性 風(fēng)險(xiǎn)管理準(zhǔn)備 風(fēng)險(xiǎn)管理計(jì)劃制定的流程及其相關(guān)文檔 風(fēng)險(xiǎn)管理計(jì)劃的成本與效果 《 風(fēng)險(xiǎn)管理計(jì)劃書 》的時(shí)效 信息系統(tǒng)調(diào)查 信息系統(tǒng)調(diào)查的流程及其相關(guān)文檔 信息系統(tǒng)調(diào)查的成本與效果 《 信息系統(tǒng)的描述報(bào)告 》 的時(shí)效 信息系統(tǒng)分析 信息系統(tǒng)分析的流程及其相關(guān)文檔 信息系統(tǒng)分析的成本與效果 《 信息系統(tǒng)的分析報(bào)告 》 的時(shí)效 信息安全分析 信息系統(tǒng)安全要求分析的流程及其相關(guān)文檔 信息系統(tǒng)安全要求分析的成本與效果 《 信息系統(tǒng)的安全要求報(bào)告 》 的時(shí)效 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC S