【文章內(nèi)容簡介】 法和工具列表。 風(fēng)險因素識別 《 需要保護的資產(chǎn)清單 》 對機構(gòu)使命具有關(guān)鍵和重要作用的需 要保護的資產(chǎn)清單。 《 面臨的威脅列表 》 機構(gòu)的信息資產(chǎn)面臨的威脅列表。 《 存在的脆弱性列表 》 機構(gòu)的信息資產(chǎn)存在的脆弱性列表。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 32 風(fēng)險評估的文檔 風(fēng)險程度分析 《 已有安全措施分析報告 》 確認已有的安全措施，包括技術(shù)層面（即物理平臺、系統(tǒng)平臺、通信平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺）的安全功能、組織層面（即結(jié)構(gòu)、崗位和人員）的安全控制和管理層面（即策略、規(guī)章和制度）的安全對策。 《 威脅源分析報告 》 從利益、復(fù)仇、好奇和自負等驅(qū)使因素，分 析威脅源動機的強弱。 《 威脅行為分析報告 》 從攻擊的強度、廣度、速度和深度等方面， 分析威脅行為能力的高低。 《 脆弱性分析報告 》 按威脅 /脆弱性對，分析脆弱性被威脅利用的難以程度。 《 資產(chǎn)價值分析報告 》 從敏感性、關(guān)鍵性和昂貴性等方面，分析資 產(chǎn)價值的大小。 《 影響程度分析報告 》 從資產(chǎn)損失、使命妨礙和人員傷亡等方面， 分析影響程度的深淺。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 33 風(fēng)險評估的文檔 風(fēng)險等級評價 《 威脅源等級列表 》 威脅源動機的等級列表。 《 威脅行為等級列表 》 威脅行為能力的等級列表。 《 脆弱性等級列表 》 脆弱性被利用的等級列表。 《 資產(chǎn)價值等級列表 》 資產(chǎn)價值的等級列表。 《 影響程度等級列表 》 影響程度的等級列表。 《 風(fēng)險評估報告 》 匯總上述分析報告和等級列表，綜合評價風(fēng)險的等級。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 34 三、信息安全風(fēng)險管理各組成部分 對象確立 風(fēng)險評估 風(fēng)險控制 審核批準 溝通與咨詢 監(jiān)控與審查 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 35 風(fēng)險控制概述 風(fēng)險控制是信息安全風(fēng)險管理的第三步驟，依據(jù)風(fēng)險評估的結(jié)果，選擇和實施合適的安全措施。 風(fēng)險控制方式主要有規(guī)避、轉(zhuǎn)移和降低三種方式 。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 36 風(fēng)險控制需求及其相應(yīng)的風(fēng)險控制措施 PPDRR 風(fēng)險控制需求 風(fēng)險控制措施 策略 Policy 設(shè)備管理制度 建立健全各種安全相關(guān)的規(guī)章制定和操作規(guī)范，使得保護、檢測和響應(yīng)環(huán)節(jié)有章可循、切實有效。 機房出入守則 系統(tǒng)安全管理守則 系統(tǒng)安全配置明細 網(wǎng)絡(luò)安全管理守則 網(wǎng)絡(luò)安全配置明細 應(yīng)用安全管理守則 應(yīng)用安全配置明細 應(yīng)急響應(yīng)計劃 安全事件處理準則 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 37 主要的風(fēng)險控制需求及其相應(yīng)的風(fēng)險控制措施 保護 Protection 機房 嚴格按照 GB 501741993《 電子計算機機房設(shè)計規(guī)范 》 、 GB 93611988《 計算站場地安全要求 》 、 GB 28871982《 計算機站場地技術(shù)要求 》 和 GB/T 28872023《 計算機場地通用規(guī)范 》 等國家標準建設(shè)和維護計算機機房。 門控 安裝門控系統(tǒng) 保安 建設(shè)保安制度和保安隊伍。 電磁屏蔽 在必要的地方設(shè)置抗電磁干擾和防電磁泄漏的設(shè)施。 病毒防殺 全面部署防病毒系統(tǒng)。 漏洞補丁 及時下載和安裝最新的漏洞補丁模塊。 安全配置 嚴格遵守各系統(tǒng)單元的安全配置明細，避免配置中的安全漏洞。 身份認證 根據(jù)不同的安全強度，分別采用身份標識 /口令、數(shù)字鑰匙、數(shù)字證書、生物識別、雙因子等級別的身份認證系統(tǒng)，對設(shè)備、用戶、服務(wù)等主客體進行身份認證。 訪問控制 根據(jù)不同的安全強度，分別采用自主型、強制型等級別的訪問控制系統(tǒng)，對設(shè)備、用 戶等主體訪問客體的權(quán)限進行控制。 數(shù)據(jù)加密 根據(jù)不同的安全強度，分別采用商密、普密、機密等級別的數(shù)據(jù)加密系統(tǒng)，對傳輸數(shù) 據(jù)和存儲數(shù)據(jù)進行加密。 邊界控制 在網(wǎng)絡(luò)邊界布置防火墻，阻止來自外界非法訪問。 數(shù)字水印 對于需要版權(quán)保護的圖片、聲音、文字等形式的信息，采用數(shù)字水印技術(shù)加以保護。 數(shù)字簽名 在需要防止事后否認時，可采用數(shù)字簽名技術(shù)。 內(nèi)容凈化 部署內(nèi)容過濾系統(tǒng)。 安全機構(gòu)、安全崗位、安全責任 建立健全安全機構(gòu)，合理設(shè)置安全崗位，明確劃分安全責任。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 38 主要的風(fēng)險控制需求及其相應(yīng)的風(fēng)險控制措施 檢測 Detection 監(jiān)視、監(jiān)測和報警 在適當?shù)奈恢冒仓帽O(jiān)視器和報警器，在各系統(tǒng)單元中配備監(jiān)測系統(tǒng)和報警系統(tǒng)，以實時發(fā)現(xiàn)安全事件并及時報警。 數(shù)據(jù)校驗 通過數(shù)據(jù)校驗技術(shù)，發(fā)現(xiàn)數(shù)據(jù)篡改。 主機入侵檢測 部署主機入侵檢測系統(tǒng)，發(fā)現(xiàn)主機入侵行為。 主機狀態(tài)監(jiān)測 部署主機狀態(tài)監(jiān)測系統(tǒng)，隨時掌握主機運行狀態(tài)。 網(wǎng)絡(luò)入侵檢測 部署網(wǎng)絡(luò)入侵檢測系統(tǒng)，發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為。 網(wǎng)絡(luò)狀態(tài)監(jiān)測 部署網(wǎng)絡(luò)狀態(tài)監(jiān)測系統(tǒng)，隨時掌握網(wǎng)絡(luò)運行狀態(tài)。 安全審計 在各系統(tǒng)單元中配備安全審計，以發(fā)現(xiàn)深層安全漏洞 和安全事件。 安全監(jiān)督、安全檢查 實行持續(xù)有效的安全監(jiān)督，預(yù)演應(yīng)急響應(yīng)計劃。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 39 主要的風(fēng)險控制需求及其相應(yīng)的風(fēng)險控制措施 響應(yīng) Response 恢復(fù) Recovery 故障修復(fù)、事故排除 確保隨時能夠獲取故障修復(fù)和事故排除的技術(shù)人員和軟硬件工具。 設(shè)施備份與恢復(fù) 對于關(guān)鍵設(shè)施，配備設(shè)施備份與恢復(fù)系統(tǒng)。 系統(tǒng)備份與恢復(fù) 對于關(guān)鍵系統(tǒng)，配備系統(tǒng)備份與恢復(fù)系統(tǒng)。 數(shù)據(jù)備份與恢復(fù) 對于關(guān)鍵數(shù)據(jù)，配備數(shù)據(jù)備份與恢復(fù)系統(tǒng)。 信道備份與恢復(fù) 對于關(guān)鍵信道，配備設(shè)信道份與恢復(fù)系統(tǒng)。 應(yīng)用備份與恢復(fù) 對于關(guān)鍵應(yīng)用，配備應(yīng)用備份與恢復(fù)系統(tǒng)。 應(yīng)急響應(yīng) 按照應(yīng)急響應(yīng)計劃處理應(yīng)急事件。 安全事件處理 按照安全事件處理找出原因、追究責任、總結(jié)經(jīng)驗、 提出改進。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 40 風(fēng)險控制過程 風(fēng) 險 控 制審 核批 準控 制 措 施選 擇現(xiàn) 存 風(fēng) 險判 斷控 制 目 標確 立確定可接受風(fēng)險等級判斷現(xiàn)存風(fēng)險是否可接受分析風(fēng)險控制需求確立風(fēng)險控制目標選擇風(fēng)險控制方式選擇風(fēng)險控制手段制定風(fēng)險控制實施計劃實施風(fēng)險控制措施溝 通 與 咨 詢監(jiān) 控 與 審 查控 制 措 施實 施風(fēng) 險評 估 ?接 受否是SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 41 現(xiàn)存風(fēng)險判斷 風(fēng) 險評 估確 定 可 接 受 風(fēng) 險 等 級判 斷 現(xiàn) 存 風(fēng) 險 是 否 可 接 受風(fēng) 險 評 估 報 告信 息 系 統(tǒng) 的安 全 要 求 報 告信 息 系 統(tǒng) 的描 述 報 告信 息 系 統(tǒng) 的分 析 報 告否 是審 核批 準接 受?風(fēng) 險 接 受 等 級劃 分 表現(xiàn) 存 風(fēng) 險 接 受判 斷 書SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 42 控制目標確立 風(fēng) 險 控 制 目 標列 表分 析 風(fēng) 險 控 制 需 求確 立 風(fēng) 險 控 制 目 標風(fēng) 險 評 估 報 告信 息 系 統(tǒng) 的安 全 要 求 報 告信 息 系 統(tǒng) 的描 述 報 告信 息 系 統(tǒng) 的分 析 報 告風(fēng) 險 接 受 等 級劃 分 表風(fēng) 險 控 制 需 求分 析 報 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 43 控制措施選擇 選 擇 風(fēng) 險 控 制 方 式選 擇 風(fēng) 險 控 制 措 施入 選 風(fēng) 險 控 制方 式 說 明 報 告入 選 風(fēng) 險 控 制措 施 說 明 報 告信 息 系 統(tǒng) 的安 全 要 求 報 告風(fēng) 險 控 制 需 求分 析 報 告風(fēng) 險 控 制 目 標列 表SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 44 控制措施實施 制 定 風(fēng) 險 控 制 實 施 計 劃信 息 系