【正文】 效性。審查是跟蹤受保護系統(tǒng)自身或所處環(huán)境的變化，以保證結(jié)果的有效性。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 59 監(jiān)控與審查過程 風 險 控 制風 險 評 估審 核 批 準對 象 確 立監(jiān)控與審查對 象 確 立 的監(jiān) 控 與 審 查 記 錄風 險 評 估 的監(jiān) 控 與 審 查 記 錄風 險 控 制 的監(jiān) 控 與 審 查 記 錄審 核 批 準 的監(jiān) 控 與 審 查 記 錄SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 60 貫穿對象確立 階段 監(jiān)控 審查 過程有效性 成本有效性 結(jié)果有效性 風險管理準備 風險管理計劃制定的流程及其相關(guān)文檔 風險管理計劃的成本與效果 《 風險管理計劃書 》 的時效 信息系統(tǒng)調(diào)查 信息系統(tǒng)調(diào)查的流程及其相關(guān)文檔 信息系統(tǒng)調(diào)查的成本與效果 《 信息系統(tǒng)的描述報告 》 的時效 信息系統(tǒng)分析 信息系統(tǒng)分析的流程及其相關(guān)文檔 信息系統(tǒng)分析的成本與效果 《 信息系統(tǒng)的分析報告 》 的時效 信息安全分析 信息系統(tǒng)安全要求分析的流程及其相關(guān)文檔 信息系統(tǒng)安全要求分析的成本與效果 《 信息系統(tǒng)的安全要求報告》 的時效 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 61 貫穿風險評估 階段 監(jiān)控 審查 過程有效性 成本有效性 結(jié)果有效性 風險評估準備 風險評估的計劃制定、程序確定以及方法和工具選擇的流程及其相關(guān)文檔 風險評估的計劃、程序以及入選方法和工具的成本與效果 《 風險評估計劃 》 、《 風險評估程序 》和 《 入選風險評估方法和工具列表 》的時效 風險因素識別 資產(chǎn)、威脅列和脆弱性識別的流程及其相關(guān)文檔 資產(chǎn)、威脅列和脆弱性識別的成本與效果 《 需要保護的資產(chǎn)清單 》 、 《 面臨的威脅列表 》 和 《 存在的脆弱性列表 》 的時效 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 62 貫穿風險評估 風險程度分析 已有安全措施、威脅源、威脅行為、脆弱性、資產(chǎn)價值和影響程度分析的流程及其相關(guān)文檔 已有安全措施、威脅源、威脅行為、脆弱性、資產(chǎn)價值和影響程度分析的成本與效果 《 已有安全措施分析報告 》 、 《 威脅源分析報告 》 、 《 威脅行為分析報告 》 、 《 脆弱性分析報告 》 、 《資產(chǎn)價值分析報告 》和 《 影響程度分析報告 》 的時效 風險等級評價 威脅源等級、威脅行為等級、脆弱性等級、資產(chǎn)價值等級和影響程度等級評價以及《 風險評估報告 》 生成的流程及其相關(guān)文檔 威脅源等級、威脅行為等級、脆弱性等級、資產(chǎn)價值等級和影響程度等級評價以及《 風險評估報告 》 生成的成本與效果 《 威脅源等級列表 》、 《 威脅行為等級列表 》 、 《 脆弱性等級列表 》 、 《 資產(chǎn)價值等級列表 》 、 《 影響程度等級列表 》 和 《風險評估報告 》 的時效 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 63 貫穿風險控制 階段 監(jiān)控 審查 過程有效性 成本有效性 結(jié)果有效性 現(xiàn)存風險判斷 可接受風險等級確定和現(xiàn)存風險接受判斷的流程及其相關(guān)文檔 可接受風險等級確定和現(xiàn)存風險接受判斷的成本與效果 《 風險接受等級劃分表 》 和 《 現(xiàn)存風險接受判斷書 》 的時效 控制目標確立 風險控制需求分析和風險控制目標確立的流程及其相關(guān)文檔 風險控制需求分析和風險控制目標確立的成本與效果 《 風險控制需求分析報告 》 和 《 風險控制目標列表 》 的時效 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 64 貫穿風險控制 控制措施選擇 風險控制方式和措施選擇的流程及其相關(guān)文檔 入選風險控制方式和措施的成本與效果 《 入選風險控制方式說明報告 》 和 《 入選風險控制措施說明報告 》 的時效 控制措施實施 風險控制實施計劃制定和風險控制措施實施的流程及其相關(guān)文檔 風險控制實施計劃制定和風險控制措施實施的成本與效果 《 風險控制實施計劃書 》 和 《 風險控制實施記錄 》 的時效 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 65 貫穿審核批準 階段 監(jiān)控 審查 過程有效性 成本有效性 結(jié)果有效性 審核申請 審核申請和受理的流程及其相關(guān)文檔 審核申請和受理的成本與效果 《 審核申請書 》 、 《審核材料 》 和 《 審核受理回執(zhí) 》 的時效 審核處理 審核材料審查、審核對象測試、專家鑒定和審核結(jié)論給出的流程及其相關(guān)文檔 審核材料審查、審核對象測試、專家鑒定和審核結(jié)論給出的成本與效果 《 審查結(jié)果報告 》 、《 測試結(jié)果報告 》、 《 專家鑒定報告》 和 《 審核結(jié)論報告 》 的時效 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 66 貫穿審核批準 批準申請 批準申請和受理的流程及其相關(guān)文檔 批準申請和受理的成本與效果 《 批準申請書 》 和 《批準受理回執(zhí) 》 的時效 批準處理 審閱批準材料和批準決定做出的流程及其相關(guān)文檔 審閱批準材料和批準決定做出的成本與效果 《 批準決定書 》 的時效 持續(xù)監(jiān)督 《 審核結(jié)論報告 》 和《 批準決定書 》 到期檢查和機構(gòu)及其環(huán)境變化檢查的流程及其相關(guān)文檔 《 審核結(jié)論報告 》 和《 批準決定書 》 到期檢查和機構(gòu)及其環(huán)境變化檢查的成本與效果 《 機構(gòu)變化因素的描述報告 》 和 《 環(huán)境變化因素的描述報告 》的時效 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 67 監(jiān)控與審查的文檔 過程 輸出文檔 文檔內(nèi)容 對象確立 《 對象確立的監(jiān)控與審查記錄 》 對象確立過程中監(jiān)控和審查的范圍、對象、時間、過程、結(jié)果和措施等。 風險評估 《 風險評估的監(jiān)控與審查記錄 》 風險評估過程中監(jiān)控和審查的范圍、對象、時間、過程、結(jié)果和措施等。 風險控制 《 風險控制的監(jiān)控與審查記錄 》 風險控制過程中監(jiān)控和審查的范圍、對象、時間、過程、結(jié)果和措施等。 審核批準 《 審核批準的監(jiān)控與審查記錄 》 審核批準過程中監(jiān)控和審查的范圍、對象、時間、過程、結(jié)果和措施等。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 68 三、信息安全風險管理各組成部分 對象確立 風險評估 風險控制 審核批準 監(jiān)控與審查 溝通與咨詢 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 69 溝通與咨詢的概述 溝通與咨詢?yōu)樾畔踩L險管理主循環(huán)的四個步驟（即對象確立、風險評估、風險控制和審核批準）中相關(guān)人員提供溝通和咨詢。溝通是為直接參與人員提供交流途徑，以保持他們之間的協(xié)調(diào)一致，共同實現(xiàn)安全目標。咨詢是為所有相關(guān)人員提供學習途徑，以提高他們的風險意識、知識和技能，配合實現(xiàn)安全目標。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 70 溝通與咨詢的方式 方式 接受方 決策層 管理層 執(zhí)行層 支持層 用戶層 發(fā) 出 方 決策層 交流 指導和檢查 指導和檢查 表態(tài) 表態(tài) 管理層 匯報 交流 指導和檢查 宣傳和介紹 宣傳和介紹 執(zhí)行層 匯報 匯報 交流 宣傳和介紹 培訓和咨詢 支持層 培訓和咨詢 培訓和咨詢 培訓和咨詢 交流 培訓和咨詢 用戶層 反饋 反饋 反饋 反饋 交流 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 71 溝通與咨詢的過程 風 險 控 制風 險 評 估審 核 批 準對 象 確 立溝通與咨詢對 象 確 立 的