【正文】 ? GB/T 209842023《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》 ? GB/Z 243642023《信息安全風(fēng)險(xiǎn)管理指南》 ? ISO/IEC 27005:2023《信息安全風(fēng)險(xiǎn)管理》 ? ISO GUIDE 73:2023《風(fēng)險(xiǎn)管理－術(shù)語(yǔ)》 ? ISO 31000:2023《風(fēng)險(xiǎn)管理－主要原則和指南》 ? IEC/ISO 31010:2023《風(fēng)險(xiǎn)管理－風(fēng)險(xiǎn)評(píng)估技術(shù)》 ? NIST SP80030 (2023)《實(shí)施風(fēng)險(xiǎn)評(píng)估指南》 ? NIST SP80039 (2023) 《管理信息安全風(fēng)險(xiǎn)：組織、使命和信息系統(tǒng)梗概》 ? NIST SP80037 (2023) 《聯(lián)邦信息系統(tǒng)應(yīng)用風(fēng)險(xiǎn)管理框架指南：安全生命周期方法》 ? NIST SP80053 (2023) 《為聯(lián)邦信息系統(tǒng)和組織推薦的安全控制措施》 ? NIST SP80053A (2023) 《聯(lián)邦信息系統(tǒng)和組織安全控制措施評(píng)估指南：建立有效的安全評(píng)估計(jì)劃》 26 知識(shí)域：信息安全風(fēng)險(xiǎn)管理主要內(nèi)容 知識(shí)子域： 信息安全風(fēng)險(xiǎn)管理的基本內(nèi)容和過程 ?理解 背景建立的主要工作內(nèi)容 ?理解風(fēng)險(xiǎn)評(píng)估的主要工作內(nèi)容 ?理解風(fēng)險(xiǎn)處理的主要工作內(nèi)容 ?理解批準(zhǔn)監(jiān)督的主要工作內(nèi)容 ?理解監(jiān)控審查的主要工作內(nèi)容 ?理解溝通咨詢的主要工作內(nèi)容 27 信息安全風(fēng)險(xiǎn)管理工作內(nèi)容 背景 建立 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)處理 批準(zhǔn)監(jiān)督 監(jiān)控審查 溝通咨詢 ? GB/Z 24364《 信息安全風(fēng)險(xiǎn)管理指南 》 ：四個(gè)階段，兩個(gè)貫穿 28 背景建立 ?背景建立是信息安全風(fēng)險(xiǎn)管理的第一步驟，確定風(fēng)險(xiǎn)管理的對(duì)象和范圍，確立實(shí)施風(fēng)險(xiǎn)管理的準(zhǔn)備，進(jìn)行相關(guān)信息的調(diào)查和分析 ? 風(fēng)險(xiǎn)管理準(zhǔn)備：確定對(duì)象、組建團(tuán)隊(duì)、制定計(jì)劃、獲得支持 ? 信息系統(tǒng)調(diào)查：信息系統(tǒng)的業(yè)務(wù)目標(biāo)、技術(shù)和管理上的特點(diǎn) ? 信息系統(tǒng)分析：信息系統(tǒng)的體系結(jié)構(gòu)、關(guān)鍵要素 ? 信息安全分析：分析安全要求、分析安全環(huán)境 29 背景建立過程 背 景 建 立信 息 系 統(tǒng)調(diào) 查溝 通 咨 詢風(fēng) 險(xiǎn)評(píng) 估調(diào)查信息系統(tǒng)的業(yè)務(wù)目標(biāo)調(diào)查信息系統(tǒng)的業(yè)務(wù)特性調(diào)查信息系統(tǒng)的技術(shù)特性調(diào)查信息系統(tǒng)的管理特性信 息 系 統(tǒng)分 析分析信息系統(tǒng)的體系結(jié)構(gòu)分析信息系統(tǒng)的關(guān)鍵要素信 息 安 全分 析分析信息系統(tǒng)的安全要求分析信息系統(tǒng)的安全環(huán)境風(fēng) 險(xiǎn) 管 理準(zhǔn) 備監(jiān) 控 審 查確定風(fēng)險(xiǎn)管理對(duì)象組建風(fēng)險(xiǎn)管理團(tuán)隊(duì)制定風(fēng)險(xiǎn)管理計(jì)劃獲得支持30 風(fēng)險(xiǎn)評(píng)估 ?信息安全風(fēng)險(xiǎn)管理要依靠風(fēng)險(xiǎn)評(píng)估的結(jié)果來確定隨后的風(fēng)險(xiǎn)處理和批準(zhǔn)監(jiān)督活動(dòng) ? 風(fēng)險(xiǎn) 評(píng)估 準(zhǔn)備：制定風(fēng)險(xiǎn)評(píng)估方案、選擇評(píng)估方法 ? 風(fēng)險(xiǎn)要素識(shí)別：發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱性和控制措施 ? 風(fēng)險(xiǎn)分析：判斷風(fēng)險(xiǎn)發(fā)生的可能性和影響的程度 ? 風(fēng)險(xiǎn)結(jié)果判定：綜合分析結(jié)果判定風(fēng)險(xiǎn)等級(jí) 31 風(fēng)險(xiǎn)評(píng)估過程 風(fēng) 險(xiǎn) 評(píng) 估背 景建 立風(fēng) 險(xiǎn)處 理風(fēng) 險(xiǎn) 結(jié) 果判 定風(fēng) 險(xiǎn) 分 析風(fēng) 險(xiǎn) 評(píng) 估準(zhǔn) 備風(fēng) 險(xiǎn) 要 素識(shí) 別制定風(fēng)險(xiǎn)評(píng)估計(jì)劃制定風(fēng)險(xiǎn)評(píng)估方案選擇風(fēng)險(xiǎn)評(píng)估方法和工具識(shí)別面臨的威脅并賦值識(shí)別存在的脆弱性并賦值實(shí)施風(fēng)險(xiǎn)計(jì)算計(jì)算安全事件造成的損失計(jì)算安全事件發(fā)生可能性確認(rèn)已有的安全措施評(píng)價(jià)分析結(jié)果綜合判定風(fēng)險(xiǎn)等級(jí)溝 通 咨 詢監(jiān) 控 審 查識(shí)別需要保護(hù)的資產(chǎn)并賦值32 風(fēng)險(xiǎn)處理 ?風(fēng)險(xiǎn)處理是為了將風(fēng)險(xiǎn)始終控制在可接受的范圍內(nèi)。比如： ? 在沒有足夠安全保障的信息系統(tǒng)中，不處理特別敏感的信息，從而防止敏感信息的泄漏 ? 對(duì)于只處理內(nèi)部業(yè)務(wù)的信息系統(tǒng)，不使用互聯(lián)網(wǎng)，從而避免外部的有害入侵和不良攻擊 ?通常在風(fēng)險(xiǎn)的損失無法接受，又難以通過控制措施減低風(fēng)險(xiǎn)的情況下 39 接受風(fēng)險(xiǎn) ?接受風(fēng)險(xiǎn)是選擇對(duì)風(fēng)險(xiǎn)不采取進(jìn)一步的處理措施，接受風(fēng)險(xiǎn)可能帶來的結(jié)果 ?用于那些在采取了降低風(fēng)險(xiǎn)和避免風(fēng)險(xiǎn)措施后，出于實(shí)際和經(jīng)濟(jì)方面的原因，只要組織進(jìn)行運(yùn)營(yíng)，就必然存在并必須接受的風(fēng)險(xiǎn) ?接受風(fēng)險(xiǎn)不意味著不聞不問，需要對(duì)風(fēng)險(xiǎn)態(tài)勢(shì)變化進(jìn)行持續(xù)的監(jiān)控，一旦發(fā)展為無法接受的風(fēng)險(xiǎn)就要進(jìn)一步采取措施 40 批準(zhǔn)監(jiān)督 ?批準(zhǔn)：是指機(jī)構(gòu)的決策層依據(jù)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理的結(jié)果是否滿足信息系統(tǒng)的安全要求，做出是否認(rèn)可風(fēng)險(xiǎn)管理活動(dòng)的決定 ?監(jiān)督：是指檢查機(jī)構(gòu)及其信息系統(tǒng)以及信息安全相關(guān)的環(huán)境有無變化，監(jiān)督變化因素是否有可能引入新風(fēng)險(xiǎn) 41 批準(zhǔn)監(jiān)督過程 批 準(zhǔn) 監(jiān) 督批 準(zhǔn)申 請(qǐng)?zhí)峤慌鷾?zhǔn)申請(qǐng)受理批準(zhǔn)申請(qǐng)審閱批準(zhǔn)材料做出批準(zhǔn)決定溝 通 咨 詢批 準(zhǔn)處 理風(fēng) 險(xiǎn)處 理監(jiān) 控 審 查通 過是否檢查是否到期持 續(xù)監(jiān) 督檢查有無變化42 監(jiān)控審查的意義 ? 監(jiān)控與審查可以及時(shí)發(fā)現(xiàn)已經(jīng)出現(xiàn)或即將出現(xiàn)的變化、偏差和延誤等問題，并采取適當(dāng)?shù)拇胧┻M(jìn)行控制和糾正，從而減少因此造成的損失，保證信息安全風(fēng)險(xiǎn)管理主循環(huán)的有效性 43 類似信息系統(tǒng)工程中的監(jiān)理 監(jiān)控審查過程 風(fēng) 險(xiǎn) 處 理風(fēng) 險(xiǎn) 評(píng) 估批 準(zhǔn) 監(jiān) 督背 景 建 立監(jiān)控審查背 景 建 立 的監(jiān) 控 與 審 查 記 錄風(fēng) 險(xiǎn) 評(píng) 估 的監(jiān) 控 與 審 查 記 錄風(fēng) 險(xiǎn) 處 理 的監(jiān) 控 與 審 查 記 錄批 準(zhǔn) 監(jiān) 督 的監(jiān) 控 與 審 查 記 錄44 溝通咨詢 ?通過暢通的交流和充分的溝通，保持行動(dòng)的協(xié)調(diào)和一致；通過有效的培訓(xùn)和方便的咨詢，保證行動(dòng)者具有足夠的知識(shí)和技能，就是溝通咨詢的意義所在 溝通咨詢 ? 與 領(lǐng)導(dǎo) 溝通，以得到理解和批準(zhǔn) ? 單位內(nèi)部各有關(guān)部門相互 溝通，以得到理解和協(xié)作 ? 與 支持單位和系統(tǒng)用戶 溝通，以得到了解和支持 ? 為所有層面的相關(guān)人員提供咨詢和培訓(xùn)等，以提高人員的安全意識(shí)、知識(shí)和技能 45 溝通咨詢過程 風(fēng) 險(xiǎn) 處 理風(fēng) 險(xiǎn) 評(píng) 估批 準(zhǔn) 監(jiān) 督背 景 建 立溝通咨詢背 景 建 立 的溝 通 與 咨 詢 記 錄風(fēng) 險(xiǎn) 評(píng) 估 的溝 通 與 咨 詢 記 錄風(fēng) 險(xiǎn) 處 理 的溝 通 與 咨 詢 記 錄批 準(zhǔn) 監(jiān) 督 的溝 通 與 咨 詢 記 錄46 知識(shí)域：信息安全風(fēng)險(xiǎn)管理主要內(nèi)容 知識(shí)子域： 信息系統(tǒng)使命周期與信息安全風(fēng)險(xiǎn)管理 ?理解 信息系統(tǒng)生命周期與信息安全風(fēng)險(xiǎn)管理的關(guān)系 ?理解系統(tǒng)規(guī)劃階段的風(fēng)險(xiǎn)管理工作內(nèi)容 ?理解系統(tǒng)設(shè)計(jì)階段的風(fēng)險(xiǎn)管理工作內(nèi)容 ?理解系統(tǒng)實(shí)施階段的風(fēng)險(xiǎn)管理工作內(nèi)容 ?理解系統(tǒng)運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)管理工作內(nèi)容 ?理解系統(tǒng)廢棄階段的風(fēng)險(xiǎn)管理工作內(nèi)容 47 信息系統(tǒng)生命周期與信息安全風(fēng)險(xiǎn)管理的關(guān)系 ?信息系統(tǒng)生命周期的每個(gè)階段 ， 有不同的信息安全目標(biāo) ?為了 達(dá)到其安全目標(biāo) ， 每一階段 都 需要相應(yīng)的風(fēng)險(xiǎn)管理手段作為 支持 ?信息安全目標(biāo)就是要實(shí)現(xiàn)信息系統(tǒng)的基本安全特性（即信息安全基本屬性），并達(dá)到所需的保障級(jí)別 48 規(guī)劃 設(shè)計(jì) 實(shí)施 運(yùn)維 廢棄