【文章內(nèi)容簡(jiǎn)介】 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 控制措施選擇43SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 控制措施實(shí)施44SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 風(fēng)險(xiǎn)控制的文檔階段 輸出文檔 文檔內(nèi)容現(xiàn)存風(fēng)險(xiǎn)判斷 《 風(fēng)險(xiǎn)接受等級(jí)劃分表 》風(fēng)險(xiǎn)接受等級(jí)的劃分，即把風(fēng)險(xiǎn)評(píng)估得出的風(fēng)險(xiǎn)等級(jí)劃分為可接受和不可接受兩種。《 現(xiàn)存風(fēng)險(xiǎn)接受判斷書 》 現(xiàn)存風(fēng)險(xiǎn)是否可接受的判斷結(jié)果?？刂颇繕?biāo)確立《 風(fēng)險(xiǎn)控制需求分析報(bào)告 》從技術(shù)層面（即物理平臺(tái)、系統(tǒng)平臺(tái)、通信平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)）、組織層面（即結(jié)構(gòu)、崗位和人員）和管理層面（即策略、規(guī)章和制度），分析風(fēng)險(xiǎn)控制的需求?！?風(fēng)險(xiǎn)控制目標(biāo)列表 》 風(fēng)險(xiǎn)控制目標(biāo)的列表，包括控制對(duì)象 及其最低保護(hù)等級(jí)。45SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 風(fēng)險(xiǎn)控制的文檔控制措施選擇 《 入選風(fēng)險(xiǎn)控制方式說(shuō)明報(bào)告 》選擇合適的風(fēng)險(xiǎn)控制方式（包括規(guī)避方式、轉(zhuǎn)移方式和降低方式），并說(shuō)明選擇的理由以及被選控制方式的使用方法和注意事項(xiàng)等。《 入選風(fēng)險(xiǎn)控制措施說(shuō)明報(bào)告 》選擇合適的風(fēng)險(xiǎn)控制措施，并說(shuō)明選擇的理由以及被選控制措施的成本、使用方法和注意事項(xiàng)等?？刂拼胧?shí)施 《 風(fēng)險(xiǎn)控制實(shí)施計(jì) 劃書 》風(fēng)險(xiǎn)控制的范圍、對(duì)象、目標(biāo)、組織結(jié)構(gòu)、成本預(yù)算和進(jìn)度安排等?！?風(fēng)險(xiǎn)控制實(shí)施記錄 》風(fēng)險(xiǎn)控制措施實(shí)施的過(guò)程和結(jié)果。46SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 三、信息安全風(fēng)險(xiǎn)管理各組成部分 　　 對(duì)象確立風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)控制審核批準(zhǔn)溝通與咨詢監(jiān)控與審查47SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 審核批準(zhǔn)概述 　　　　審核批準(zhǔn)是信息安全風(fēng)險(xiǎn)管理的第四步驟，審核批準(zhǔn)包括審核和批準(zhǔn)兩部分：審核是指通過(guò)審查、測(cè)試、評(píng)審等手段，檢驗(yàn)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的結(jié)果是否滿足信息系統(tǒng)的安全要求；批準(zhǔn)是指機(jī)構(gòu)的決策層依據(jù)審核的結(jié)果，做出是否認(rèn)可的決定。　　審核既可以由機(jī)構(gòu)內(nèi)部完成，也可以委托外部專業(yè)機(jī)構(gòu)來(lái)完成，這主要取決于信息系統(tǒng)的性質(zhì)和機(jī)構(gòu)自身的專業(yè)能力。批準(zhǔn)一般必須由機(jī)構(gòu)內(nèi)部或更高層的主管機(jī)構(gòu)的決策層來(lái)執(zhí)行。48SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 審核批準(zhǔn)過(guò)程及其在信息安全風(fēng)險(xiǎn)管理中的位置 49SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 審核申請(qǐng)50SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 審核處理51SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 批準(zhǔn)申請(qǐng)52SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 批準(zhǔn)處理53SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 持續(xù)監(jiān)督54SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 審核批準(zhǔn)的文檔階段 輸出文檔 文檔內(nèi)容審核申請(qǐng) 《 審核申請(qǐng)書 》 審核的范圍、對(duì)象、目標(biāo)和進(jìn)度要求，以及申請(qǐng)者的基本信息和簽字等?！?審核材料 》 風(fēng)險(xiǎn)評(píng)估過(guò)程和風(fēng)險(xiǎn)控制過(guò)程輸出的文檔、軟件和 硬件等結(jié)果?！?審核受理回執(zhí) 》同意受理、補(bǔ)充材料的要求和提交時(shí)間（如果需要）、審核的進(jìn)度安排和收費(fèi)標(biāo)準(zhǔn)，以及審核機(jī)構(gòu)的名稱和簽章等。審核處理 《 審查結(jié)果報(bào)告 》 審查的范圍、對(duì)象、意見和結(jié)論（即是否通過(guò)），以及審查人員的名字和簽字等?！?測(cè)試結(jié)果報(bào)告 》 測(cè)試的范圍、對(duì)象、意見和結(jié)論（即是否通過(guò)）， 以及測(cè)試人員的名字和簽字等。《 專家鑒定報(bào)告 》 鑒定的范圍、對(duì)象（及其基本情況）和結(jié)論，以及 專家名單和簽字等?！?審核結(jié)論報(bào)告 》 審核的范圍、對(duì)象、意見、結(jié)論（即是否通過(guò)）和 有效期，以及審核機(jī)構(gòu)的名稱和簽章等。55SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 審核批準(zhǔn)的文檔批準(zhǔn)申請(qǐng) 《 批準(zhǔn)申請(qǐng)書 》 批準(zhǔn)的范圍、對(duì)象和期望，以及申請(qǐng)者的基本信息和簽字等?！?批準(zhǔn)受理回執(zhí) 》 同意受理、補(bǔ)充材料的要求和提交時(shí)間（如果 需要），以及批準(zhǔn)機(jī)構(gòu)的名稱和簽章等。批準(zhǔn)處理 《 批準(zhǔn)決定書 》 批準(zhǔn)的范圍、對(duì)象、意見、結(jié)論（即是否通過(guò) ）和有效期，以及批準(zhǔn)機(jī)構(gòu)的名稱和簽章等。持續(xù)監(jiān)督 《 審核到期通知書 》 到期的時(shí)間和重新申請(qǐng)的要求，以及審核機(jī)構(gòu)的名稱和簽章。《 批準(zhǔn)到期通知書 》 到期的時(shí)間和重新申請(qǐng)的要求，以及批準(zhǔn)機(jī)構(gòu) 的名稱和簽章。《 機(jī)構(gòu)變化因素的描述報(bào)告 》機(jī)構(gòu)及其信息系統(tǒng)變化因素的列表、說(shuō)明和安全隱患分析等。《 環(huán)境變化因素的描述報(bào)告 》信息安全相關(guān)環(huán)境變化因素的列表、說(shuō)明和安全隱患分析等。56SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 三、信息安全風(fēng)險(xiǎn)管理各組成部分 　　 對(duì)象確立風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)控制審核批準(zhǔn)監(jiān)控與審查溝通與咨詢57SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 監(jiān)控與審查的概述 　　　　 監(jiān)控與審查對(duì)信息安全風(fēng)險(xiǎn)管理主循環(huán)的四個(gè)步驟（即對(duì)象確立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制和審核批準(zhǔn)）進(jìn)行監(jiān)控和審查。監(jiān)控是監(jiān)視和控制，一是監(jiān)視和控制風(fēng)險(xiǎn)管理過(guò)程，即過(guò)程質(zhì)量管理，以保證過(guò)程的有效性；二是分析和平衡成本效益，即成本效益管理，以保證成本的有效性。審查是跟蹤受保護(hù)系統(tǒng)自身或所處環(huán)境的變化，以保證結(jié)果的有效性。58SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 監(jiān)控與審查過(guò)程 59SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 貫穿對(duì)象確立階段 監(jiān)控 審查過(guò)程有效性 成本有效性 結(jié)果有效性風(fēng)險(xiǎn)管理準(zhǔn)備風(fēng)險(xiǎn)管理計(jì)劃制定的流程及其相關(guān)文檔風(fēng)險(xiǎn)管理計(jì)劃的成本與效果《 風(fēng)險(xiǎn)管理計(jì)劃書 》 的時(shí)效信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查的流程及其相關(guān)文檔信息系統(tǒng)調(diào)查的成本與效果《 信息系統(tǒng)的描述報(bào)告 》 的時(shí)效信息系統(tǒng)分析信息系統(tǒng)分析的流程及其相關(guān)文檔信息系統(tǒng)分析的成本與效果《 信息系統(tǒng)的分析報(bào)告 》 的時(shí)效信息安全分析信息系統(tǒng)安全要求分析的流程及其相關(guān)文檔信息系統(tǒng)安全要求分析的成本與效果《 信息系統(tǒng)的安全要求報(bào)告》 的時(shí)效 60SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 貫穿風(fēng)險(xiǎn)評(píng)估階段 監(jiān)控 審查過(guò)程有效性 成本有效性 結(jié)果有效性風(fēng)險(xiǎn)評(píng)估準(zhǔn)備風(fēng)險(xiǎn)評(píng)估的計(jì)劃制定、程序確定以及方法和工具選擇的流程及其相關(guān)文檔風(fēng)險(xiǎn)評(píng)估的計(jì)劃、程序以及入選方法和工具的成本與效果《 風(fēng)險(xiǎn)評(píng)估計(jì)劃 》 、《 風(fēng)險(xiǎn)評(píng)估程序 》和 《 入選風(fēng)險(xiǎn)評(píng)估方法和工具列表 》的時(shí)效風(fēng)險(xiǎn)因素識(shí)別資產(chǎn)、威脅列和脆弱性識(shí)別的流程及其相關(guān)文檔資產(chǎn)、威脅列和脆弱性識(shí)別的成本與效果《 需要保護(hù)的資產(chǎn)清單 》 、 《 面臨的威脅列表 》 和 《 存在的脆弱性列表 》 的時(shí)效61SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 貫穿風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)程度分析已有安全措施、威脅源、威脅行為、脆弱性、資產(chǎn)價(jià)值和影響程度分析的流程及其相關(guān)文檔已有安全措施、威脅源、威脅行為、脆弱性、資產(chǎn)價(jià)值和影響程度分析的成本與效果《 已有安全措施分析報(bào)告 》 、 《 威脅源分析報(bào)告 》 、 《 威脅行為分析報(bào)告 》 、 《 脆弱性分析報(bào)告 》 、 《資產(chǎn)價(jià)值分析報(bào)告 》和 《 影響程度分析報(bào)告 》 的時(shí)效風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)