【文章內容簡介】 脆弱性被利用的等級列表。 《 資產價值等級列表 》 資產價值的等級列表。 《 影響程度等級列表 》 影響程度的等級列表。 《 風險評估報告 》 匯總上述分析報告和等級列表，綜合評價風險的等級。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 34 三、信息安全風險管理各組成部分 對象確立 風險評估 風險控制 審核批準 溝通與咨詢 監(jiān)控與審查 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 35 風險控制概述 風險控制是信息安全風險管理的第三步驟，依據風險評估的結果，選擇和實施合適的安全措施。 風險控制方式主要有規(guī)避、轉移和降低三種方式 。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 36 風險控制需求及其相應的風險控制措施 PPDRR 風險控制需求 風險控制措施 策略 Policy 設備管理制度 建立健全各種安全相關的規(guī)章制定和操作規(guī)范，使得保護、檢測和響應環(huán)節(jié)有章可循、切實有效。 機房出入守則 系統(tǒng)安全管理守則 系統(tǒng)安全配置明細 網絡安全管理守則 網絡安全配置明細 應用安全管理守則 應用安全配置明細 應急響應計劃 安全事件處理準則 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 37 主要的風險控制需求及其相應的風險控制措施 保護 Protection 機房 嚴格按照 GB 501741993《 電子計算機機房設計規(guī)范 》 、 GB 93611988《 計算站場地安全要求 》 、 GB 28871982《 計算機站場地技術要求 》 和 GB/T 28872023《 計算機場地通用規(guī)范 》 等國家標準建設和維護計算機機房。 門控 安裝門控系統(tǒng) 保安 建設保安制度和保安隊伍。 電磁屏蔽 在必要的地方設置抗電磁干擾和防電磁泄漏的設施。 病毒防殺 全面部署防病毒系統(tǒng)。 漏洞補丁 及時下載和安裝最新的漏洞補丁模塊。 安全配置 嚴格遵守各系統(tǒng)單元的安全配置明細，避免配置中的安全漏洞。 身份認證 根據不同的安全強度，分別采用身份標識 /口令、數字鑰匙、數字證書、生物識別、雙因子等級別的身份認證系統(tǒng)，對設備、用戶、服務等主客體進行身份認證。 訪問控制 根據不同的安全強度，分別采用自主型、強制型等級別的訪問控制系統(tǒng)，對設備、用 戶等主體訪問客體的權限進行控制。 數據加密 根據不同的安全強度，分別采用商密、普密、機密等級別的數據加密系統(tǒng)，對傳輸數 據和存儲數據進行加密。 邊界控制 在網絡邊界布置防火墻，阻止來自外界非法訪問。 數字水印 對于需要版權保護的圖片、聲音、文字等形式的信息，采用數字水印技術加以保護。 數字簽名 在需要防止事后否認時，可采用數字簽名技術。 內容凈化 部署內容過濾系統(tǒng)。 安全機構、安全崗位、安全責任 建立健全安全機構，合理設置安全崗位，明確劃分安全責任。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 38 主要的風險控制需求及其相應的風險控制措施 檢測 Detection 監(jiān)視、監(jiān)測和報警 在適當的位置安置監(jiān)視器和報警器，在各系統(tǒng)單元中配備監(jiān)測系統(tǒng)和報警系統(tǒng)，以實時發(fā)現安全事件并及時報警。 數據校驗 通過數據校驗技術，發(fā)現數據篡改。 主機入侵檢測 部署主機入侵檢測系統(tǒng)，發(fā)現主機入侵行為。 主機狀態(tài)監(jiān)測 部署主機狀態(tài)監(jiān)測系統(tǒng)，隨時掌握主機運行狀態(tài)。 網絡入侵檢測 部署網絡入侵檢測系統(tǒng)，發(fā)現網絡入侵行為。 網絡狀態(tài)監(jiān)測 部署網絡狀態(tài)監(jiān)測系統(tǒng)，隨時掌握網絡運行狀態(tài)。 安全審計 在各系統(tǒng)單元中配備安全審計，以發(fā)現深層安全漏洞 和安全事件。 安全監(jiān)督、安全檢查 實行持續(xù)有效的安全監(jiān)督，預演應急響應計劃。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 39 主要的風險控制需求及其相應的風險控制措施 響應 Response 恢復 Recovery 故障修復、事故排除 確保隨時能夠獲取故障修復和事故排除的技術人員和軟硬件工具。 設施備份與恢復 對于關鍵設施，配備設施備份與恢復系統(tǒng)。 系統(tǒng)備份與恢復 對于關鍵系統(tǒng)，配備系統(tǒng)備份與恢復系統(tǒng)。 數據備份與恢復 對于關鍵數據，配備數據備份與恢復系統(tǒng)。 信道備份與恢復 對于關鍵信道，配備設信道份與恢復系統(tǒng)。 應用備份與恢復 對于關鍵應用，配備應用備份與恢復系統(tǒng)。 應急響應 按照應急響應計劃處理應急事件。 安全事件處理 按照安全事件處理找出原因、追究責任、總結經驗、 提出改進。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 40 風險控制過程 風 險 控 制審 核批 準控 制 措 施選 擇現 存 風 險判 斷控 制 目 標確 立確定可接受風險等級判斷現存風險是否可接受分析風險控制需求確立風險控制目標選擇風險控制方式選擇風險控制手段制定風險控制實施計劃實施風險控制措施溝 通 與 咨 詢監(jiān) 控 與 審 查控 制 措 施實 施風 險評 估 ?接 受否是SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 41 現存風險判斷 風 險評 估確 定 可 接 受 風 險 等 級判 斷 現 存 風 險 是 否 可 接 受風 險 評 估 報 告信 息 系 統(tǒng) 的安 全 要 求 報 告信 息 系 統(tǒng) 的描 述 報 告信 息 系 統(tǒng) 的分 析 報 告否 是審 核批 準接 受?風 險 接 受 等 級劃 分 表現 存 風 險 接 受判 斷 書SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 42 控制目標確立 風 險 控 制 目 標列 表分 析 風 險 控 制 需 求確 立 風 險 控 制 目 標風 險 評 估 報 告信 息 系 統(tǒng) 的安 全 要 求 報 告信 息 系 統(tǒng) 的描 述 報 告信 息 系 統(tǒng) 的分 析 報 告風 險 接 受 等 級劃 分 表風 險 控 制 需 求分 析 報 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 43 控制措施選擇 選 擇 風 險 控 制 方 式選 擇 風 險 控 制 措 施入 選 風 險 控 制方 式 說 明 報 告入 選 風 險 控 制措 施 說 明 報 告信 息 系 統(tǒng) 的安 全 要 求 報 告風 險 控 制 需 求分 析 報 告風 險 控 制 目 標列 表SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 44 控制措施實施 制 定 風 險 控 制 實 施 計 劃信 息 系 統(tǒng) 的安 全 要 求 報 告風 險 控 制 目 標列 表入 選 風 險 控 制方 式 說 明 報 告入 選 風 險 控 制措 施 說 明 報 告風 險 控 制實 施 計 劃 書風 險 控 制實 施 記 錄審 核批 準實 施 風 險 控 制 措 施SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 45 風險控制的文檔 階段 輸出文檔 文檔內容 現存風險判斷 《 風險接受等級劃分表 》 風險接受等級的劃分，即把風險評估得出的風險等級劃分為可接受和不可接受兩種。 《 現存風險接受判斷書 》 現存風險是否可接受的判斷結果。 控制目標確立 《 風險控制需求分析報告 》 從技術層面（即物理平臺、系統(tǒng)平臺、通信平臺、網絡平臺和應用平臺）、組織層面（即結構、崗位和人員）和管理層面（即策略、規(guī)章和制度），分析風險控制的需求。 《 風險控制目標列表 》 風險控制目標的列表，包括控制對象 及其最低保護等級。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 46 風險控制的文檔 控制措施選擇 《 入選風險控制方式說明報告 》 選擇合適的風險控制方式（包括規(guī)避方式、轉移方式和降低方式），并說明選擇的理由以及被選控制方式的使用方法和注意事項等。 《 入選風險控制措施說明報告 》 選擇合適的風險控制措施，并說明選擇的理由以及被選控制措施的成本、使用方法和注意事項等。 控制措施實施 《 風險控制實施計劃書 》 風險控制的范圍、對象、目標、組織結構、成本預算和進度安排等。 《 風險控制實施記錄 》 風險控制措施實施的過程和結果。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 47 三、信息安全風險管理各組成部分 對象確立 風險評估 風險控制 審核批準