【正文】 審查是跟蹤受保護(hù)系統(tǒng)自身或所處環(huán)境的變化，以保證結(jié)果的有效性。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 49 審核批準(zhǔn)過(guò)程及其在信息安全風(fēng)險(xiǎn)管理中的位置 審 核 批 準(zhǔn)批 準(zhǔn)申 請(qǐng)審 核申 請(qǐng)了解審核業(yè)務(wù)提交審核申請(qǐng)組織專家評(píng)審做出審核結(jié)論提交批準(zhǔn)申請(qǐng)受理批準(zhǔn)申請(qǐng)審閱批準(zhǔn)材料做出批準(zhǔn)決定溝 通 與 咨 詢批 準(zhǔn)處 理風(fēng) 險(xiǎn)控 制受理審核申請(qǐng)審 核處 理修改審核材料測(cè)試審核對(duì)象監(jiān) 控 與 審 查?通 過(guò)是否?通 過(guò)是否審查審核材料整改審核對(duì)象檢查是否到期持 續(xù)監(jiān) 督檢查有無(wú)變化SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 50 審核申請(qǐng) 風(fēng) 險(xiǎn)控 制了 解 審 核 業(yè) 務(wù)提 交 審 核 申 請(qǐng)審 核 業(yè) 務(wù) 介 紹受 理 審 核 申 請(qǐng)審 核 受 理 回 執(zhí)審 核 材 料審 核 申 請(qǐng) 書(shū)SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 51 審核處理 測(cè) 試 審 核 對(duì) 象組 織 專 家 鑒 定專 家 鑒 定 報(bào) 告測(cè) 試 結(jié) 果 報(bào) 告做 出 審 核 結(jié) 論審 核 結(jié) 論 報(bào) 告審 查 審 核 材 料審 查 結(jié) 果 報(bào) 告是 否否是修 改 審 核 材 料否是?修 改?通 過(guò)整 改 審 核 對(duì) 象否是否是?整 改?通 過(guò)?通 過(guò)審 核 材 料審 核 的 原 則 、規(guī) 定 和 程 序SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 52 批準(zhǔn)申請(qǐng) 受 理 批 準(zhǔn) 申 請(qǐng)批 準(zhǔn) 受 理 回 執(zhí)審 核 結(jié) 論 報(bào) 告提 交 批 準(zhǔn) 申 請(qǐng)批 準(zhǔn) 申 請(qǐng) 書(shū)SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 53 批準(zhǔn)處理 做 出 批 準(zhǔn) 決 定批 準(zhǔn) 決 定 書(shū)審 閱 批 準(zhǔn) 材 料是 否?通 過(guò)審 核 結(jié) 論 報(bào) 告批 準(zhǔn) 的 原 則 、規(guī) 定 和 程 序機(jī) 構(gòu) 的 使 命信 息 系 統(tǒng) 的安 全 要 求 報(bào) 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 54 持續(xù)監(jiān)督 檢 查 有 無(wú) 變 化檢 查 是 否 到 期批 準(zhǔn) 決 定 書(shū)審 核 結(jié) 論 報(bào) 告是否?到 期?變 化有 無(wú)審 核 到 期 通 知 書(shū)批 準(zhǔn) 到 期 通 知 書(shū)機(jī) 構(gòu) 變 化 因 素 的描 述 報(bào) 告環(huán) 境 變 化 因 素 的描 述 報(bào) 告審 核批 準(zhǔn)SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 55 審核批準(zhǔn)的文檔 階段 輸出文檔 文檔內(nèi)容 審核申請(qǐng) 《 審核申請(qǐng)書(shū) 》 審核的范圍、對(duì)象、目標(biāo)和進(jìn)度要求，以及申請(qǐng)者 的基本信息和簽字等。 數(shù)據(jù)備份與恢復(fù) 對(duì)于關(guān)鍵數(shù)據(jù)，配備數(shù)據(jù)備份與恢復(fù)系統(tǒng)。 邊界控制 在網(wǎng)絡(luò)邊界布置防火墻，阻止來(lái)自外界非法訪問(wèn)。 《 脆弱性等級(jí)列表 》 脆弱性被利用的等級(jí)列表。 信息安全分析 《 信息系統(tǒng)的安全要 求報(bào)告 》 信息系統(tǒng)的安全環(huán)境和安全要求等。 管理者 內(nèi) 負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的規(guī)劃，以及實(shí)施和監(jiān)控過(guò)程中的組織和協(xié)調(diào)。 執(zhí)行層 建設(shè)者 內(nèi)或外 負(fù)責(zé)信息系統(tǒng)的設(shè)計(jì)和實(shí)施。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 24 三、信息安全風(fēng)險(xiǎn)管理各組成部分 對(duì)象確立 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)控制 審核批準(zhǔn) 溝通與咨詢 監(jiān)控與審查 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 25 風(fēng)險(xiǎn)評(píng)估概述 風(fēng)險(xiǎn)評(píng)估是信息安全風(fēng)險(xiǎn)管理的第二步，針對(duì)確立的風(fēng)險(xiǎn)管理對(duì)象所面臨的風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析和評(píng)價(jià)。 《 資產(chǎn)價(jià)值等級(jí)列表 》 資產(chǎn)價(jià)值的等級(jí)列表。 數(shù)字水印 對(duì)于需要版權(quán)保護(hù)的圖片、聲音、文字等形式的信息，采用數(shù)字水印技術(shù)加以保護(hù)。 信道備份與恢復(fù) 對(duì)于關(guān)鍵信道，配備設(shè)信道份與恢復(fù)系統(tǒng)。 《 審核材料 》 風(fēng)險(xiǎn)評(píng)估過(guò)程和風(fēng)險(xiǎn)控制過(guò)程輸出的文檔、軟件和 硬件等結(jié)果。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 59 監(jiān)控與審查過(guò)程 風(fēng) 險(xiǎn) 控 制風(fēng) 險(xiǎn) 評(píng) 估審 核 批 準(zhǔn)對(duì) 象 確 立監(jiān)控與審查對(duì) 象 確 立 的監(jiān) 控 與 審 查 記 錄風(fēng) 險(xiǎn) 評(píng) 估 的監(jiān) 控 與 審 查 記 錄風(fēng) 險(xiǎn) 控 制 的監(jiān) 控 與 審 查 記 錄審 核 批 準(zhǔn) 的監(jiān) 控 與 審 查 記 錄SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 60 貫穿對(duì)象確立 階段 監(jiān)控 審查 過(guò)程有效性 成本有效性 結(jié)果有效性 風(fēng)險(xiǎn)管理準(zhǔn)備 風(fēng)險(xiǎn)管理計(jì)劃制定的流程及其相關(guān)文檔 風(fēng)險(xiǎn)管理計(jì)劃的成本與效果 《 風(fēng)險(xiǎn)管理計(jì)劃書(shū) 》的時(shí)效 信息系統(tǒng)調(diào)查 信息系統(tǒng)調(diào)查的流程及其相關(guān)文檔 信息系統(tǒng)調(diào)查的成本與效果 《 信息系統(tǒng)的描述報(bào)告 》 的時(shí)效 信息系統(tǒng)分析 信息系統(tǒng)分析的流程及其相關(guān)文檔 信息系統(tǒng)分析的成本與效果 《 信息系統(tǒng)的分析報(bào)告 》 的時(shí)效 信息安全分析 信息系統(tǒng)安全要求分析的流程及其相關(guān)文檔 信息系統(tǒng)安全要求分析的成本與效果 《 信息系統(tǒng)的安全要求報(bào)告 》 的時(shí)效 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 61 貫穿風(fēng)險(xiǎn)評(píng)估 階段 監(jiān)控 審查 過(guò)程有效性 成本有效性 結(jié)果有效性 風(fēng)險(xiǎn)評(píng)估準(zhǔn)備 風(fēng)險(xiǎn)評(píng)估的計(jì)劃制定、程序確定以及方法和工具選擇的流程及其相關(guān)文檔 風(fēng)險(xiǎn)評(píng)估的計(jì)劃、程序以及入選方法和工具的成本與效果 《 風(fēng)險(xiǎn)評(píng)估計(jì)劃 》 、《 風(fēng)險(xiǎn)評(píng)估程序 》和 《 入選風(fēng)險(xiǎn)評(píng)估方法和工具列表 》的時(shí)效 風(fēng)險(xiǎn)因素識(shí)別 資產(chǎn)、威脅列和脆弱性識(shí)別的流程及其相關(guān)文檔 資產(chǎn)、威脅列和脆弱性識(shí)別的成本與效果 《 需要保護(hù)的資產(chǎn)清單 》 、 《 面臨的威脅列表 》 和 《 存在的脆弱性列表 》 的時(shí)效 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 62 貫穿風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)程度分析 已有安全措施、威脅源、威脅行為、脆弱性、資產(chǎn)價(jià)值和影響程度分析的流程及其相關(guān)文檔 已有安全措施、威脅源、威脅行為、脆弱性、資產(chǎn)價(jià)值和影響程度分析的成本與效果 《 已有安全措施分析報(bào)告 》 、 《 威脅源分析報(bào)告 》 、 《 威脅行為分析報(bào)告 》 、 《 脆弱性分析報(bào)告 》 、 《資產(chǎn)價(jià)值分析報(bào)告 》和 《 影響程度分析報(bào)告 》 的時(shí)效 風(fēng)險(xiǎn)等級(jí)評(píng)價(jià) 威脅源等級(jí)、威脅行為等級(jí)、脆弱性等級(jí)、資產(chǎn)價(jià)值等級(jí)和影響程度等級(jí)評(píng)價(jià)以及《 風(fēng)險(xiǎn)評(píng)估報(bào)告 》 生成的流程及其相關(guān)文檔 威脅源等級(jí)、威脅行為等級(jí)、脆弱性等級(jí)、資產(chǎn)價(jià)值等級(jí)和影響程度等級(jí)評(píng)價(jià)以及《 風(fēng)險(xiǎn)評(píng)估報(bào)告 》 生成的成本與效果 《 威脅源等級(jí)列表 》、 《 威脅行為等級(jí)列表 》 、 《 脆弱性等級(jí)列表 》 、 《 資產(chǎn)價(jià)值等級(jí)列表 》 、 《 影響程度等級(jí)列表 》 和 《風(fēng)險(xiǎn)評(píng)估報(bào)告 》 的時(shí)效 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 63 貫穿風(fēng)險(xiǎn)控制 階段 監(jiān)控 審查 過(guò)程有效性 成本有效性 結(jié)果有效性 現(xiàn)存風(fēng)險(xiǎn)判斷 可接受風(fēng)險(xiǎn)等級(jí)確定和現(xiàn)存風(fēng)險(xiǎn)接受判斷的流程及其相關(guān)文檔 可接受風(fēng)險(xiǎn)等級(jí)確定和現(xiàn)存風(fēng)險(xiǎn)接受判斷的成本與效果 《 風(fēng)險(xiǎn)接受等級(jí)劃分表 》 和 《 現(xiàn)存風(fēng)險(xiǎn)接受判斷書(shū) 》 的時(shí)效 控制目標(biāo)確立 風(fēng)險(xiǎn)控制需求分析和風(fēng)險(xiǎn)控制目標(biāo)確立的流程及其相關(guān)文檔 風(fēng)險(xiǎn)控制需求分析和風(fēng)險(xiǎn)控制目標(biāo)確立的成本與效果 《 風(fēng)險(xiǎn)控制需求分析報(bào)告 》 和 《 風(fēng)險(xiǎn)控制目標(biāo)列表 》 的時(shí)效 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 64 貫穿風(fēng)險(xiǎn)控制 控制措施選擇 風(fēng)險(xiǎn)控制方式和措施選擇的流程及其相關(guān)文檔 入選風(fēng)險(xiǎn)控制方式和措施的成本與效果 《 入選風(fēng)險(xiǎn)控制方式說(shuō)明報(bào)告 》 和 《 入選風(fēng)險(xiǎn)控制措施說(shuō)明報(bào)告 》 的時(shí)效 控制措施實(shí)施 風(fēng)險(xiǎn)控制實(shí)施計(jì)劃制定和風(fēng)險(xiǎn)控制措施實(shí)