【正文】 ? GB/T 209842023《信息安全風險評估規(guī)范》 ? GB/Z 243642023《信息安全風險管理指南》 ? ISO/IEC 27005:2023《信息安全風險管理》 ? ISO GUIDE 73:2023《風險管理－術(shù)語》 ? ISO 31000:2023《風險管理－主要原則和指南》 ? IEC/ISO 31010:2023《風險管理－風險評估技術(shù)》 ? NIST SP80030 (2023)《實施風險評估指南》 ? NIST SP80039 (2023) 《管理信息安全風險：組織、使命和信息系統(tǒng)梗概》 ? NIST SP80037 (2023) 《聯(lián)邦信息系統(tǒng)應用風險管理框架指南：安全生命周期方法》 ? NIST SP80053 (2023) 《為聯(lián)邦信息系統(tǒng)和組織推薦的安全控制措施》 ? NIST SP80053A (2023) 《聯(lián)邦信息系統(tǒng)和組織安全控制措施評估指南：建立有效的安全評估計劃》 26 知識域：信息安全風險管理主要內(nèi)容 知識子域： 信息安全風險管理的基本內(nèi)容和過程 ?理解 背景建立的主要工作內(nèi)容 ?理解風險評估的主要工作內(nèi)容 ?理解風險處理的主要工作內(nèi)容 ?理解批準監(jiān)督的主要工作內(nèi)容 ?理解監(jiān)控審查的主要工作內(nèi)容 ?理解溝通咨詢的主要工作內(nèi)容 27 信息安全風險管理工作內(nèi)容 背景 建立 風險評估 風險處理 批準監(jiān)督 監(jiān)控審查 溝通咨詢 ? GB/Z 24364《 信息安全風險管理指南 》 ：四個階段，兩個貫穿 28 背景建立 ?背景建立是信息安全風險管理的第一步驟，確定風險管理的對象和范圍，確立實施風險管理的準備，進行相關(guān)信息的調(diào)查和分析 ? 風險管理準備：確定對象、組建團隊、制定計劃、獲得支持 ? 信息系統(tǒng)調(diào)查：信息系統(tǒng)的業(yè)務目標、技術(shù)和管理上的特點 ? 信息系統(tǒng)分析：信息系統(tǒng)的體系結(jié)構(gòu)、關(guān)鍵要素 ? 信息安全分析：分析安全要求、分析安全環(huán)境 29 背景建立過程 背 景 建 立信 息 系 統(tǒng)調(diào) 查溝 通 咨 詢風 險評 估調(diào)查信息系統(tǒng)的業(yè)務目標調(diào)查信息系統(tǒng)的業(yè)務特性調(diào)查信息系統(tǒng)的技術(shù)特性調(diào)查信息系統(tǒng)的管理特性信 息 系 統(tǒng)分 析分析信息系統(tǒng)的體系結(jié)構(gòu)分析信息系統(tǒng)的關(guān)鍵要素信 息 安 全分 析分析信息系統(tǒng)的安全要求分析信息系統(tǒng)的安全環(huán)境風 險 管 理準 備監(jiān) 控 審 查確定風險管理對象組建風險管理團隊制定風險管理計劃獲得支持30 風險評估 ?信息安全風險管理要依靠風險評估的結(jié)果來確定隨后的風險處理和批準監(jiān)督活動 ? 風險 評估 準備：制定風險評估方案、選擇評估方法 ? 風險要素識別：發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱性和控制措施 ? 風險分析：判斷風險發(fā)生的可能性和影響的程度 ? 風險結(jié)果判定：綜合分析結(jié)果判定風險等級 31 風險評估過程 風 險 評 估背 景建 立風 險處 理風 險 結(jié) 果判 定風 險 分 析風 險 評 估準 備風 險 要 素識 別制定風險評估計劃制定風險評估方案選擇風險評估方法和工具識別面臨的威脅并賦值識別存在的脆弱性并賦值實施風險計算計算安全事件造成的損失計算安全事件發(fā)生可能性確認已有的安全措施評價分析結(jié)果綜合判定風險等級溝 通 咨 詢監(jiān) 控 審 查識別需要保護的資產(chǎn)并賦值32 風險處理 ?風險處理是為了將風險始終控制在可接受的范圍內(nèi)。比如： ? 在沒有足夠安全保障的信息系統(tǒng)中，不處理特別敏感的信息，從而防止敏感信息的泄漏 ? 對于只處理內(nèi)部業(yè)務的信息系統(tǒng)，不使用互聯(lián)網(wǎng)，從而避免外部的有害入侵和不良攻擊 ?通常在風險的損失無法接受，又難以通過控制措施減低風險的情況下 39 接受風險 ?接受風險是選擇對風險不采取進一步的處理措施，接受風險可能帶來的結(jié)果 ?用于那些在采取了降低風險和避免風險措施后，出于實際和經(jīng)濟方面的原因，只要組織進行運營，就必然存在并必須接受的風險 ?接受風險不意味著不聞不問，需要對風險態(tài)勢變化進行持續(xù)的監(jiān)控，一旦發(fā)展為無法接受的風險就要進一步采取措施 40 批準監(jiān)督 ?批準：是指機構(gòu)的決策層依據(jù)風險評估和風險處理的結(jié)果是否滿足信息系統(tǒng)的安全要求，做出是否認可風險管理活動的決定 ?監(jiān)督：是指檢查機構(gòu)及其信息系統(tǒng)以及信息安全相關(guān)的環(huán)境有無變化，監(jiān)督變化因素是否有可能引入新風險 41 批準監(jiān)督過程 批 準 監(jiān) 督批 準申 請?zhí)峤慌鷾噬暾埵芾砼鷾噬暾垖忛喤鷾什牧献龀雠鷾蕸Q定溝 通 咨 詢批 準處 理風 險處 理監(jiān) 控 審 查通 過是否檢查是否到期持 續(xù)監(jiān) 督檢查有無變化42 監(jiān)控審查的意義 ? 監(jiān)控與審查可以及時發(fā)現(xiàn)已經(jīng)出現(xiàn)或即將出現(xiàn)的變化、偏差和延誤等問題，并采取適當?shù)拇胧┻M行控制和糾正，從而減少因此造成的損失，保證信息安全風險管理主循環(huán)的有效性 43 類似信息系統(tǒng)工程中的監(jiān)理 監(jiān)控審查過程 風 險 處 理風 險 評 估批 準 監(jiān) 督背 景 建 立監(jiān)控審查背 景 建 立 的監(jiān) 控 與 審 查 記 錄風 險 評 估 的監(jiān) 控 與 審 查 記 錄風 險 處 理 的監(jiān) 控 與 審 查 記 錄批 準 監(jiān) 督 的監(jiān) 控 與 審 查 記 錄44 溝通咨詢 ?通過暢通的交流和充分的溝通，保持行動的協(xié)調(diào)和一致；通過有效的培訓和方便的咨詢，保證行動者具有足夠的知識和技能，就是溝通咨詢的意義所在 溝通咨詢 ? 與 領(lǐng)導 溝通，以得到理解和批準 ? 單位內(nèi)部各有關(guān)部門相互 溝通，以得到理解和協(xié)作 ? 與 支持單位和系統(tǒng)用戶 溝通，以得到了解和支持 ? 為所有層面的相關(guān)人員提供咨詢和培訓等，以提高人員的安全意識、知識和技能 45 溝通咨詢過程 風 險 處 理風 險 評 估批 準 監(jiān) 督背 景 建 立溝通咨詢背 景 建 立 的溝 通 與 咨 詢 記 錄風 險 評 估 的溝 通 與 咨 詢 記 錄風 險 處 理 的溝 通 與 咨 詢 記 錄批 準 監(jiān) 督 的溝 通 與 咨 詢 記 錄46 知識域：信息安全風險管理主要內(nèi)容 知識子域： 信息系統(tǒng)使命周期與信息安全風險管理 ?理解 信息系統(tǒng)生命周期與信息安全風險管理的關(guān)系 ?理解系統(tǒng)規(guī)劃階段的風險管理工作內(nèi)容 ?理解系統(tǒng)設(shè)計階段的風險管理工作內(nèi)容 ?理解系統(tǒng)實施階段的風險管理工作內(nèi)容 ?理解系統(tǒng)運行維護階段的風險管理工作內(nèi)容 ?理解系統(tǒng)廢棄階段的風險管理工作內(nèi)容 47 信息系統(tǒng)生命周期與信息安全風險管理的關(guān)系 ?信息系統(tǒng)生命周期的每個階段 ， 有不同的信息安全目標 ?為了 達到其安全目標 ， 每一階段 都 需要相應的風險管理手段作為 支持 ?信息安全目標就是要實現(xiàn)信息系統(tǒng)的基本安全特性（即信息安全基本屬性），并達到所需的保障級別 48 規(guī)劃 設(shè)計 實施 運維 廢棄