【正文】 系統(tǒng)規(guī)劃階段的安全目標(biāo) 49 ? 明確信息系統(tǒng)安全建設(shè)的目的 ,對信息系統(tǒng)安全建設(shè)實(shí)現(xiàn)的可能性進(jìn)行分析論證并設(shè)計出總體安全規(guī)劃方案 ? 為了保證安全目標(biāo)的實(shí)現(xiàn)，需要對信息系統(tǒng)規(guī)劃階段中可能引入安全風(fēng)險的環(huán)節(jié)進(jìn)行風(fēng)險管理，從而降低在項(xiàng)目后期處理相同安全風(fēng)險所帶來的高額成本 序號 風(fēng)險管理活動 風(fēng)險管理 工作內(nèi)容 1 明確安全總體方針 背景建立 2 安全需求分析 背景建立 4 風(fēng)險評估準(zhǔn)則達(dá)成 一致 風(fēng)險評估 5 安全實(shí)現(xiàn)論證分析 風(fēng)險處理、批準(zhǔn)監(jiān)督 系統(tǒng)規(guī)劃階段的信息安全風(fēng)險管理 50 系統(tǒng)設(shè)計階段的安全目標(biāo) 51 規(guī)劃 設(shè)計 實(shí)施 運(yùn)維 廢棄 ? 依據(jù)規(guī)劃階段輸出的總體安全規(guī)劃方案來 設(shè)計信息系統(tǒng)安全的實(shí)現(xiàn)結(jié)構(gòu) （包括功能劃分、接口協(xié)議和性能指標(biāo)等） 和實(shí)施方案 （包括實(shí)現(xiàn)技術(shù)、設(shè)備選型和系統(tǒng)集成等） ? 在設(shè)計信息系統(tǒng)的實(shí)現(xiàn)結(jié)構(gòu)和實(shí)施方案時，在技術(shù)的選擇、配合、管理等眾多的環(huán)節(jié)均容易引入安全風(fēng)險，因此對關(guān)鍵的環(huán)節(jié)應(yīng)提出必要的安全要求并有針對性地進(jìn)行安全風(fēng)險管理 系統(tǒng)設(shè)計階段的信息安全風(fēng)險管理 序號 風(fēng)險管理活動 風(fēng)險管理 工作內(nèi)容 1 設(shè)計方案分析論證 背景建立、風(fēng)險評估 2 安全技術(shù)選擇 風(fēng)險處理 3 安全產(chǎn)品選擇 風(fēng)險處理 4 自開發(fā)軟件設(shè)計風(fēng) 險處理 風(fēng)險處理 52 系統(tǒng)實(shí)施階段的安全目標(biāo) 53 規(guī)劃 設(shè)計 實(shí)施 運(yùn)維 廢棄 ?按照規(guī)劃和設(shè)計階段所定義的信息系統(tǒng)安全實(shí)施方案 ? 采購 設(shè)備和軟件， 開發(fā) 定制功能 ? 集成、部署、配置和測試 信息系統(tǒng)的安全機(jī)制 ? 培訓(xùn)人員 ? 對 是否允許系統(tǒng)投入運(yùn)行 進(jìn)行批準(zhǔn)監(jiān)督 系統(tǒng)實(shí)施階段的信息安全風(fēng)險管理 序號 風(fēng)險管理活動 風(fēng)險管理 工作內(nèi)容 1 安全測試 風(fēng)險評估 2 檢查與配置 風(fēng)險處理 3 人員培訓(xùn) 風(fēng)險處理 4 授權(quán)系統(tǒng)運(yùn)行 批準(zhǔn)監(jiān)督 54 ?在信息系統(tǒng)經(jīng)過授權(quán)投入運(yùn)行之后，確保在運(yùn)行過程中，以及信息系統(tǒng)或其運(yùn)行環(huán)境發(fā)生變化時維持系統(tǒng)的正常運(yùn)行和安全性 系統(tǒng)運(yùn)維階段的安全目標(biāo) 55 規(guī)劃 設(shè)計 實(shí)施 運(yùn)維 廢棄 系統(tǒng)運(yùn)維階段的信息安全風(fēng)險管理 序號 風(fēng)險管理活動 風(fēng)險管理 工作內(nèi)容 1 安全運(yùn)行和管理 風(fēng)險評估、風(fēng)險處理 2 變更管理 風(fēng)險評估、風(fēng)險處理 3 風(fēng)險再評估 風(fēng)險評估、風(fēng)險處理 4 定期重新審批 批準(zhǔn)監(jiān)督 56 ?確保對信息系統(tǒng)的過時或無用部分進(jìn)行安全報廢處理，防止信息系統(tǒng)的安全要求和安全功能遭到破壞 系統(tǒng)廢棄階段的安全目標(biāo) 57 規(guī)劃 設(shè)計 實(shí)施 運(yùn)維 廢棄 信息系統(tǒng)廢棄階段的風(fēng)險管理 序號 風(fēng)險管理活動 風(fēng)險管理 工作內(nèi)容 1 確定廢棄對象 背景建立 2 廢棄對象的風(fēng)險評估 風(fēng)險評估 3 廢棄過程的風(fēng)險處理 風(fēng)險處理 4 廢棄后的評審 批準(zhǔn)監(jiān)督 58 知識域：信息安全風(fēng)險評估 知識子域： 風(fēng)險評估工作形式 ?理解 自評估和檢查評估的風(fēng)險評估工作形式 ?理解自評估和檢查評估的區(qū)別及優(yōu)缺點(diǎn) ?理解風(fēng)險評估、檢查評估和等級保護(hù)測評之間的關(guān)系 59 風(fēng)險評估工作形式 ?信息 安全風(fēng)險評估分為自評估、檢查評估兩種 形式 ?自 評估為主，自評估和檢查評估相互結(jié)合、互為補(bǔ)充 ?自 評估和檢查評估可依托自身技術(shù)力量進(jìn)行，也可委托第三方機(jī)構(gòu)提供技術(shù) 支持 60 自 評估 ?信息系統(tǒng) 擁有、運(yùn)營或使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險 評估 61 由發(fā)起方實(shí)施 ?優(yōu)點(diǎn) ? 有利于 降低實(shí)施的費(fèi)用 ? 有利于保密 ? 有利于發(fā)揮行業(yè)和部門內(nèi)人員的業(yè)務(wù)特長 ? 有利于 提高相關(guān)人員的安全意識 和評估能力 ?缺點(diǎn) ? 可能結(jié)果不夠深入準(zhǔn)確 ? 客觀性易受影響 由受 委托方實(shí)施 ?優(yōu)點(diǎn) ? 過程比較規(guī)范 ? 客觀性比較好 ?缺點(diǎn) ? 對業(yè)務(wù)了解存在局限 性 ? 不利于保密 檢查評估 ?信息系統(tǒng)上級管理部門組織的或國家有關(guān)職能部門依法開展的風(fēng)險 評估 62 ?優(yōu)點(diǎn) ? 具權(quán)威性 ? 通過行政手段加強(qiáng)信息 安全， 具強(qiáng)制性 ?缺點(diǎn) ? 間隔時間較長 ，難以貫穿 信息系統(tǒng)的 生命周期 ? 一般是以抽樣的方式進(jìn)行，難以覆蓋全部評估對象 風(fēng)險評估、檢查評估和等級保護(hù)測評之間的關(guān)系 ?等保測評、安全檢查都是在既定安全基線的基礎(chǔ)上開展的符合性測評，其中等保測評是符合國家安全要求的測評，安全檢查是符合行業(yè)主管安全要求的符合性測評 ?而風(fēng)險評估是在國家、行業(yè)安全要求的基礎(chǔ)上，以被評估系統(tǒng)特定安全要求為目標(biāo)而開展的風(fēng)險識別、風(fēng)險分析、風(fēng)險評價活動 63 知識域：信息安全風(fēng)險評估 知識子域： 風(fēng)險評估方法 ?理解 定性 風(fēng)險 分析 方法 ?理解定量風(fēng)險分析方法，掌握年度預(yù)期損失（ ALE）的計算方法 ?理解半定量風(fēng)險分析方法 ?理解定性和定量風(fēng)險分析方法的優(yōu)缺點(diǎn) 64 定性風(fēng)險分析 ?定性風(fēng)險分析在風(fēng)險評價時，往往需要憑借分析者的經(jīng)驗(yàn)和直覺，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險諸 要素的 大小或高低程度定性 分級 ?定性 風(fēng)險分析更具 主觀性 ?后果或影響的定性量度（示例） 65 等級 描述 詳細(xì)情形 1 可以忽略 無傷害，低財務(wù)損失 2 較小 立即受控制，中等財務(wù)損失 3 中等 受控，高財務(wù)損失 4 較大 大傷害，失去生產(chǎn)能力有較大財務(wù)損失 5 災(zāi)難性 持續(xù)能力中斷，巨大財務(wù)損失 ? 可能性的定性量度（示例） 等級 描述 詳細(xì)情形 A 幾乎肯定 預(yù)期在大多數(shù)情況發(fā)生 B 很可能 在大多數(shù)情況下很可能會發(fā)生 C 可能 在某個時間可能會發(fā)生 D 不太可能 在某個時間能夠發(fā)生 E 罕見 僅在例外的情況下可能發(fā)生 定性風(fēng)險分析 66 ? 根據(jù)預(yù)設(shè)的等級劃分規(guī)則判定風(fēng)險結(jié)果 ? 依此類推，得到所有重要資產(chǎn)的風(fēng)險值，并根據(jù)風(fēng)險等級劃分表，確定風(fēng)險等級 可能性 影響 可以忽略 1 較小 2 中等 3 較大 4 災(zāi)難性 5 A（幾乎肯定） H H E E E B （很可能） M H H E E C ( 可能） L M H E E D（不太可能） L L M H E E （罕見） L L M H H E：極度風(fēng)險 H：高風(fēng)險 M：中等風(fēng)險 L: 低風(fēng)險 定性風(fēng)險分析 —— 矩陣法 67 定量風(fēng)險分析 ?定量風(fēng)險分析試圖是在風(fēng)險評估與成本效益分析期間收集的各個組成部分計算客觀數(shù)字值，定量風(fēng)險分析更具 客觀性 ?例如 ，用替換成本、生產(chǎn)率損失成本、品牌名譽(yù)成本以及其他直接和間接商業(yè)價值來估計各項(xiàng)資產(chǎn)的真實(shí)價值 ?定量分析 主要試圖從財務(wù)數(shù)字上對安全風(fēng)險進(jìn)行評估，得出可以量化的風(fēng)險分析結(jié)果，準(zhǔn)確度量風(fēng)險的可能性和損失 量 ?因?yàn)槎糠治鎏幚頂?shù)字和金額價值，它必須有 公式 68 定量風(fēng)險分析 —— 年度預(yù)期損失法 ?步驟 1 評估資產(chǎn)：根據(jù)資產(chǎn)價值（ AV）清單 ,計算資產(chǎn)總價值及資產(chǎn)損失對財務(wù)的直接和間接影響 ?步驟 2 確定單一預(yù)期損失 SLE ? SLE 是指發(fā)生一次風(fēng)險引起的收入損失總額 ? SLE 是分配給單個事件的金額，代表一個具體威脅利用漏洞時將面臨的潛在損失 （ SLE 類似于定性風(fēng)險分析的影響） ? 將資產(chǎn)價值與暴露系數(shù)相乘 (EF) 計算出 SLE。 :29:4220:29:42January 23, 2023 1他鄉(xiāng)生白發(fā)，舊國見青山。 20:29:4220:29:4220:29Monday, January 23, 2023 1不知香積寺，數(shù)里入云峰。 :29:4220:29Jan2323Jan23 1越是無能的人，越喜歡挑剔別人的