【文章內(nèi)容簡介】 議和性能指標(biāo)等） 和實(shí)施方案 （包括實(shí)現(xiàn)技術(shù)、設(shè)備選型和系統(tǒng)集成等）。 ? 在設(shè)計(jì)信息系統(tǒng)的實(shí)現(xiàn)結(jié)構(gòu)和實(shí)施方案時(shí)，在技術(shù)的選擇、配合、管理等眾多的環(huán)節(jié)均容易引入安全風(fēng)險(xiǎn)，因此對關(guān)鍵的環(huán)節(jié)應(yīng)提出必要的安全要求并有針對性地進(jìn)行安全風(fēng)險(xiǎn)管理。 規(guī)劃 設(shè)計(jì) 實(shí)施 運(yùn)維 廢棄 風(fēng)險(xiǎn)管理的目標(biāo) 56 信息系統(tǒng)設(shè)計(jì)階段的信息安全風(fēng)險(xiǎn)管理 序號 風(fēng)險(xiǎn)管理活動(dòng) 所處風(fēng)險(xiǎn)管理過程 1 設(shè)計(jì)方案分析論證 背景建立、風(fēng)險(xiǎn)評估 2 安全技術(shù)選擇 風(fēng)險(xiǎn)處理 3 安全產(chǎn)品選擇 風(fēng)險(xiǎn)處理 4 自開發(fā)軟件設(shè)計(jì)風(fēng)險(xiǎn)處理 風(fēng)險(xiǎn)處理 57 ?按照規(guī)劃和設(shè)計(jì)階段所定義的信息系統(tǒng)安全實(shí)施方案 ? 采購 設(shè)備和軟件， 開發(fā) 定制功能 ? 集成、部署、配置和測試 信息系統(tǒng)的安全機(jī)制 ? 培訓(xùn)人員 ? 對 是否允許系統(tǒng)投入運(yùn)行 進(jìn)行批準(zhǔn)監(jiān)督 。 規(guī)劃 設(shè)計(jì) 實(shí)施 運(yùn)維 廢棄 風(fēng)險(xiǎn)管理的目標(biāo) 58 信息系統(tǒng)實(shí)施階段的風(fēng)險(xiǎn)管理 序號 風(fēng)險(xiǎn)管理活動(dòng) 所處風(fēng)險(xiǎn)管理過程 1 安全測試 風(fēng)險(xiǎn)評估 2 檢查與配置 風(fēng)險(xiǎn)處理 3 人員培訓(xùn) 風(fēng)險(xiǎn)處理 4 授權(quán)系統(tǒng)運(yùn)行 批準(zhǔn)監(jiān)督 59 在信息系統(tǒng)經(jīng)過授權(quán)投入運(yùn)行之后，確保在運(yùn)行過程中，以及信息系統(tǒng)或其運(yùn)行環(huán)境發(fā)生變化時(shí) 維持系統(tǒng)的正常運(yùn)行和安全性 。 規(guī)劃 設(shè)計(jì) 實(shí)施 運(yùn)維 廢棄 風(fēng)險(xiǎn)管理的目標(biāo) 60 信息系統(tǒng)運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)管理 序號 風(fēng)險(xiǎn)管理活動(dòng) 所處風(fēng)險(xiǎn)管理過程 1 安全運(yùn)行和管理 風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)處理 2 變更管理 風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)處理 3 風(fēng)險(xiǎn)再評估 風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)處理 4 定期重新審批 批準(zhǔn)監(jiān)督 61 ?確保對信息系統(tǒng)的 過時(shí)或無用部分 進(jìn)行 安全報(bào)廢處理 ，防止信息系統(tǒng)的安全要求和安全功能遭到破壞。 規(guī)劃 設(shè)計(jì) 實(shí)施 運(yùn)維 廢棄 風(fēng)險(xiǎn)管理的目標(biāo) 62 信息系統(tǒng)廢棄階段的風(fēng)險(xiǎn)管理 序號 風(fēng)險(xiǎn)管理活動(dòng) 所處風(fēng)險(xiǎn)管理過程 1 確定廢棄對象 背景建立 2 廢棄對象的風(fēng)險(xiǎn)評估 風(fēng)險(xiǎn)評估 3 廢棄過程的風(fēng)險(xiǎn)處理 風(fēng)險(xiǎn)處理 4 廢棄后的評審 批準(zhǔn)監(jiān)督 63 知識域：信息安全風(fēng)險(xiǎn)評估實(shí)踐 ?知識子域：風(fēng)險(xiǎn)評估流程和方法 ? 掌握國家對開展風(fēng)險(xiǎn)評估工作的政策要求 ? 理解風(fēng)險(xiǎn)評估、檢查評估和等級保護(hù)測評之間的關(guān)系 ? 掌握風(fēng)險(xiǎn)評估的實(shí)施流程：風(fēng)險(xiǎn)評估準(zhǔn)備、資產(chǎn)識別、威脅評估、脆弱性評估、已有安全措施確認(rèn)、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評估文檔記錄 ? 理解定量風(fēng)險(xiǎn)分析和定性風(fēng)險(xiǎn)分析的區(qū)別及優(yōu)缺點(diǎn) ? 理解自評估和檢查評估的區(qū)別及優(yōu)缺點(diǎn) ? 掌握典型風(fēng)險(xiǎn)計(jì)算方法：年度損失值（ ALE）、矩陣法、相乘法 ? 掌握風(fēng)險(xiǎn)評估工具：風(fēng)險(xiǎn)評估與管理工具、系統(tǒng)基礎(chǔ)平臺風(fēng)險(xiǎn)評估工具、風(fēng)險(xiǎn)評估輔助工具 64 國家對開展風(fēng)險(xiǎn)評估工作的政策要求 《 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見 》 （中辦發(fā) [2023]27號）中明確提出：“ 要重視信息安全風(fēng)險(xiǎn)評估工作，對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的信息安全風(fēng)險(xiǎn)等因素，進(jìn)行相應(yīng)等級的安全建設(shè)和管理 ” 65 國家對開展風(fēng)險(xiǎn)評估工作的政策要求 《 國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組 〈 關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見 〉》 （國信辦 【 2023】 5號文）中明確規(guī)定了風(fēng)險(xiǎn)評估工作的相關(guān)要求： ? 風(fēng)險(xiǎn)評估的基本內(nèi)容和原則 ? 風(fēng)險(xiǎn)評估工作的基本要求 ? 開展風(fēng)險(xiǎn)評估工作的有關(guān)安排 66 《 關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見 》 的實(shí)施要求 信息安全風(fēng)險(xiǎn)評估工作應(yīng)當(dāng)貫穿信息系統(tǒng)全生命周期。在信息系統(tǒng)規(guī)劃設(shè)計(jì)階段，通過信息安全風(fēng)險(xiǎn)評估工作，可以明確信息系統(tǒng)的安全需求及其安全目標(biāo)，有針對性地制定和部署安全措施，從而避免產(chǎn)生欠保護(hù)或過保護(hù)的情況。 在信息系統(tǒng)建設(shè)完成驗(yàn)收時(shí)，通過風(fēng)險(xiǎn)評估工作可以檢驗(yàn)信息系統(tǒng)是否實(shí)現(xiàn)了所設(shè)計(jì)的安全功能，是否滿足了信息系統(tǒng)的安全需求并達(dá)到預(yù)期的安全目標(biāo)。 《 關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見 》 的實(shí)施要求 由于信息技術(shù)的發(fā)展、信息系統(tǒng)業(yè)務(wù)以及所處安全環(huán)境的變化，會(huì)不斷出現(xiàn)新的信息安全風(fēng)險(xiǎn)，因此，在信息系統(tǒng)的運(yùn)行階段，應(yīng)當(dāng)定期進(jìn)行信息安全風(fēng)險(xiǎn)評估，以檢驗(yàn)安全措施的有效性以及對安全環(huán)境的適應(yīng)性。當(dāng)安全形勢發(fā)生重大變化或信息系統(tǒng)使命有重大變更時(shí)，應(yīng)及時(shí)進(jìn)行信息安全風(fēng)險(xiǎn)評估。 信息安全風(fēng)險(xiǎn)評估也是落實(shí)等級保護(hù)制度的重要手段，應(yīng)通過信息安全風(fēng)險(xiǎn)評估為信息系統(tǒng)確定安全等級提供依據(jù)，根據(jù)風(fēng)險(xiǎn)評估的結(jié)果檢驗(yàn)網(wǎng)絡(luò)與信息系統(tǒng)的防護(hù)水平是否符合等級保護(hù)的要求。 《 關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見 》 的管理要求 信息安全風(fēng)險(xiǎn)評估工作敏感性強(qiáng)，涉及系統(tǒng)的關(guān)鍵資產(chǎn)和核心信息，一旦處理不當(dāng)，反而可能引入新的風(fēng)險(xiǎn)， 《 意見 》 強(qiáng)調(diào)，必須高度重視信息安全風(fēng)險(xiǎn)評估的組織管理工作 為規(guī)避由于風(fēng)險(xiǎn)評估工作而引入新的安全風(fēng)險(xiǎn)，《 意見 》 提出以下要求： 1）參與信息安全風(fēng)險(xiǎn)評估工作的單位及其有關(guān)人員必須遵守國家有關(guān)信息安全的法律法規(guī)，并承擔(dān)相應(yīng)的責(zé)任和義務(wù)。 2）風(fēng)險(xiǎn)評估工作的發(fā)起方必須采取相應(yīng)保密措施，并與參與評估的有關(guān)單位或人員簽訂具有法律約束力的保密協(xié)議。 3）對關(guān)系國計(jì)民生和社會(huì)穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險(xiǎn)評估工作必須遵循國家的有關(guān)規(guī)定進(jìn)行。 《 關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見 》 的管理要求 加快制定和完善信息安全風(fēng)險(xiǎn)評估有關(guān)技術(shù)標(biāo)準(zhǔn)，盡快完善并頒布 《 信息安全風(fēng)險(xiǎn)評估指南 》 和《 信息安全風(fēng)險(xiǎn)管理指南 》 等國家標(biāo)準(zhǔn)，各行業(yè)主管部門也可根據(jù)本行業(yè)特點(diǎn)制定相應(yīng)的技術(shù)規(guī)范。 要加強(qiáng)信息安全風(fēng)險(xiǎn)評估核心技術(shù)、方法和工具的研究與攻關(guān)。 要從抓試點(diǎn)開始，逐步探索組織實(shí)施和管理的經(jīng)驗(yàn)， 用三年左右的時(shí)間 在我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)普遍推行信息安全風(fēng)險(xiǎn)評估工作，全面提高我國信息安全的科學(xué)管理水平，提升網(wǎng)絡(luò)和信息系統(tǒng)安全保障能力，為保障和促進(jìn)我國信息化發(fā)展服務(wù)。 CNITSEC 71 2071號文件對電子政務(wù)提出要求 為落實(shí) 《 國家電子政務(wù)工程建設(shè)項(xiàng)目管理暫行辦法 》 （發(fā)改委 [2023]55號令）對風(fēng)險(xiǎn)評估的要求， 發(fā)改高技【 2023】 2071號文件 《 關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評估工作的通知 》提出了具體要求：（相當(dāng)于“信息安全審計(jì)”） ? 電子政務(wù)工程建設(shè)項(xiàng)目應(yīng)開展信息安全風(fēng)險(xiǎn)評估工作 ? 評估的主要內(nèi)容應(yīng)包含：資產(chǎn)、威脅、脆弱性、已有的安全措施和殘余風(fēng)險(xiǎn)的影響等 ? 項(xiàng)目建設(shè)單位應(yīng)在試運(yùn)行期間開展風(fēng)險(xiǎn)評估工作，作為項(xiàng)目驗(yàn)收的重要依據(jù) ? 項(xiàng)目驗(yàn)收申請時(shí)，應(yīng)提交信息安全風(fēng)險(xiǎn)評估報(bào)告 ? 系統(tǒng)投入運(yùn)行后，應(yīng)定期開展信息安全風(fēng)險(xiǎn)評估 CNITSEC 72 風(fēng)險(xiǎn)評估工作承擔(dān)單位 國家保密局涉密信息系統(tǒng)安全保密測評中心 涉密系統(tǒng) 非涉密系統(tǒng) 中國信息安全測評中心 國家信息技術(shù)安全研究中心 公安部信息安全等級保護(hù)中心 風(fēng)險(xiǎn)評估專業(yè)隊(duì)伍 CNITSEC 73 需要強(qiáng)調(diào)：一次測評兩個(gè)報(bào)告 ?發(fā)改委要求：一次測評工作，提交兩個(gè)測評報(bào)告，即風(fēng)險(xiǎn)評估報(bào)告和等保測評報(bào)告 ?風(fēng)險(xiǎn)評估報(bào)告的格式由中國信息安全測評中心和國家信息技術(shù)安全研究中心牽頭制定，基本格式參照原國信辦檢查評估的報(bào)告 ?等保測評報(bào)告的格式由等級保護(hù)的主管部門負(fù)責(zé)制定 風(fēng)險(xiǎn)評估、檢查評估和等級保護(hù)測評之間的關(guān)系 ?等保測評、安全檢查都是在既定安全基線的基礎(chǔ)上開展的符合性測評，其中等保測評是符合國家安全要求的測評，安全檢查是符合行業(yè)主管安全要求的符合性測評。 ?而風(fēng)險(xiǎn)評估是在國家、行業(yè)安全要求的基礎(chǔ)上，以被評估系統(tǒng)特定安全要求為目標(biāo)而開展的風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評價(jià)活動(dòng)。 74 風(fēng)險(xiǎn)評估實(shí)施流程 75 風(fēng) 險(xiǎn) 評 估 準(zhǔn) 備保 持 已 有 的 安 全 措 施威 脅 識 別已 有 安 全 措 施 的 確 認(rèn)風(fēng) 險(xiǎn) 計(jì) 算制 定 風(fēng) 險(xiǎn) 處 理 計(jì) 劃并 評 估 殘 余 風(fēng) 險(xiǎn)風(fēng) 險(xiǎn) 是 否 接 受是 否 接 受 殘 余 風(fēng) 險(xiǎn)實(shí) 施 風(fēng) 險(xiǎn) 管 理資 產(chǎn) 識 別 脆 弱 性 識 別評 估 過 程 文 檔評 估 過 程 文 檔評 估 過 程 文 檔..................否否是是風(fēng) 險(xiǎn) 分 析風(fēng) 險(xiǎn) 評 估 文 檔 記 錄風(fēng)險(xiǎn)評估是“健康體檢 +專項(xiàng)檢查” 76 資產(chǎn) 威脅 脆弱性 現(xiàn)有控制措施 人 病毒 身體情況 預(yù)防措施 風(fēng)險(xiǎn)評估 健康體檢 風(fēng)險(xiǎn)優(yōu)先級和風(fēng)險(xiǎn)控制建議 病情診斷和藥方 準(zhǔn)備 識別 計(jì)算 報(bào)告 一個(gè)簡化的風(fēng)險(xiǎn)評估流程：準(zhǔn)備（ Readiness）、識別（ Realization）、 計(jì)算（ Calculation）、報(bào)告（ Report） 識別 ? 資產(chǎn) ? 威脅 ? 漏洞 準(zhǔn)備 ? 資料審核 ? SLA ? 工作計(jì)劃 ? 組隊(duì) 計(jì)算 ? 威脅概率 ? 事件影響 ? 風(fēng)險(xiǎn)定級 報(bào)告 ? 整改建議 ? 各類文檔 77 風(fēng)險(xiǎn)評估準(zhǔn)備工作 準(zhǔn)備工作中要注意的問題 ? 相親：前期交流（成功案例簡介、測評機(jī)構(gòu)資質(zhì)簡介、被 測系統(tǒng) 大致規(guī)模、 測評服務(wù)費(fèi)用測算 … ） ? 訂婚：服務(wù)水平協(xié)議 SLA（獲取詳細(xì)資料的前提，對方的 授權(quán)、 雙方的義務(wù)，可和保密協(xié)議整合 … ） ? 甲方禮單：資料審核（明確系統(tǒng)范圍、為現(xiàn)場測評制訂問卷清單 … ） ? 乙方禮單：工作計(jì)劃（案例分析 綜合組、管理組、網(wǎng)絡(luò)組 … ） ? 迎親：進(jìn)場準(zhǔn)備（進(jìn)場通知，如對方或第三方人員；設(shè)備 準(zhǔn)備， 如工具等，標(biāo)識佩戴 … ）