【正文】 溝通是為直接參與人員提供交流途徑，以保持他們之間的協(xié)調一致，共同實現(xiàn)安全目標。 風險評估 《 風險評估的監(jiān)控與審查記錄 》 風險評估過程中監(jiān)控和審查的范圍、對象、時間、過程、結果和措施等。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 57 三、信息安全風險管理各組成部分 對象確立 風險評估 風險控制 審核批準 監(jiān)控與審查 溝通與咨詢 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 58 監(jiān)控與審查的概述 監(jiān)控與審查對信息安全風險管理主循環(huán)的四個步驟（即對象確立、風險評估、風險控制和審核批準）進行監(jiān)控和審查。 持續(xù)監(jiān)督 《 審核到期通知書 》 到期的時間和重新申請的要求，以及審核機構 的名稱和簽章。 《 審核結論報告 》 審核的范圍、對象、意見、結論（即是否通過）和 有效期，以及審核機構的名稱和簽章等。 《 審核受理回執(zhí) 》 同意受理、補充材料的要求和提交時間（如果需要）、審核的進度安排和收費標準，以及審核機構的名稱和簽章等。 審核既可以由機構內部完成，也可以委托外部專業(yè)機構來完成，這主要取決于信息系統(tǒng)的性質和機構自身的專業(yè)能力。 《 入選風險控制措施說明報告 》 選擇合適的風險控制措施，并說明選擇的理由以及被選控制措施的成本、使用方法和注意事項等。 《 現(xiàn)存風險接受判斷書 》 現(xiàn)存風險是否可接受的判斷結果。 應用備份與恢復 對于關鍵應用，配備應用備份與恢復系統(tǒng)。 設施備份與恢復 對于關鍵設施，配備設施備份與恢復系統(tǒng)。 網(wǎng)絡狀態(tài)監(jiān)測 部署網(wǎng)絡狀態(tài)監(jiān)測系統(tǒng)，隨時掌握網(wǎng)絡運行狀態(tài)。 數(shù)據(jù)校驗 通過數(shù)據(jù)校驗技術，發(fā)現(xiàn)數(shù)據(jù)篡改。 數(shù)字簽名 在需要防止事后否認時，可采用數(shù)字簽名技術。 訪問控制 根據(jù)不同的安全強度，分別采用自主型、強制型等級別的訪問控制系統(tǒng)，對設備、用 戶等主體訪問客體的權限進行控制。 病毒防殺 全面部署防病毒系統(tǒng)。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 36 風險控制需求及其相應的風險控制措施 PPDRR 風險控制需求 風險控制措施 策略 Policy 設備管理制度 建立健全各種安全相關的規(guī)章制定和操作規(guī)范，使得保護、檢測和響應環(huán)節(jié)有章可循、切實有效。 《 影響程度等級列表 》 影響程度的等級列表。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 33 風險評估的文檔 風險等級評價 《 威脅源等級列表 》 威脅源動機的等級列表。 《 威脅行為分析報告 》 從攻擊的強度、廣度、速度和深度等方面， 分析威脅行為能力的高低。 《 面臨的威脅列表 》 機構的信息資產面臨的威脅列表。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 26 風險評估過程 風 險 評 估對 象確 立風 險控 制風 險 等 級評 價風 險 程 度分 析風 險 評 估準 備風 險 因 素識 別制定風險評估計劃確定風險評估程序選擇風險評估方法和工具識別需要保護的資產識別面臨的威脅識別存在的脆弱性分析影響的程度分析威脅源的動機分析威脅行為的能力分析脆弱性的被利用性分析資產的價值確認已有的安全措施評價分析結果給出風險等級風 險 評 估 的 溝 通 與 咨 詢風 險 評 估 的 監(jiān) 控 與 審 查SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 27 風險評估準備 對 象確 立風 險 評 估 計 劃風 險 評 估 程 序入 選 風 險 評 估方 法 和 工 具 列 表制 定 風 險 評 估 計 劃確 定 風 險 評 估 程 序選 擇 風 險 評 估 方 法 和 工 具現(xiàn) 有 風 險 評 估方 法 和 工 具 庫信 息 系 統(tǒng) 的安 全 要 求 報 告信 息 系 統(tǒng) 的描 述 報 告信 息 系 統(tǒng) 的分 析 報 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 28 風險因素識別 需 要 保 護 的 資 產清 單面 臨 的 威 脅列 表存 在 的 脆 弱 性列 表識 別 需 要 保 護 的 資 產識 別 面 臨 的 威 脅識 別 存 在 的 脆 弱 性漏 洞 庫威 脅 庫信 息 系 統(tǒng) 的安 全 要 求 報 告信 息 系 統(tǒng) 的描 述 報 告信 息 系 統(tǒng) 的分 析 報 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 29 風險程度分析 已 有 安 全 措 施分 析 報 告威 脅 源分 析 報 告威 脅 行 為分 析 報 告脆 弱 性分 析 報 告資 產 價 值分 析 報 告影 響 程 度分 析 報 告確 認 已 有 的 安 全 措 施分 析 威 脅 源 的 動 機分 析 威 脅 行 為 的 能 力分 析 脆 弱 性 的 被 利 用 性分 析 資 產 的 價 值分 析 影 響 的 程 度存 在 的 脆 弱 性列 表面 臨 的 威 脅列 表需 要 保 護 的 資 產清 單信 息 系 統(tǒng) 的描 述 報 告信 息 系 統(tǒng) 的分 析 報 告信 息 系 統(tǒng) 的安 全 要 求 報 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 30 風險等級評價 威 脅 源等 級 列 表威 脅 行 為等 級 列 表脆 弱 性等 級 列 表資 產 價 值等 級 列 表影 響 程 度等 級 列 表評 價 威 脅 源 動 機 的 等 級評 價 威 脅 行 為 能 力 的 等 級評 價 脆 弱 性 被 利 用 的 等 級評 價 資 產 價 值 的 等 級評 價 影 響 程 度 的 等 級威 脅 源分 析 報 告威 脅 行 為分 析 報 告脆 弱 性分 析 報 告資 產 價 值分 析 報 告影 響 程 度分 析 報 告風 險 評 估 報 告綜 合 評 價 風 險 的 等 級風 險控 制風 險 評 估算 法 庫SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 31 風險評估的文檔 階段 輸出文檔 文檔內容 風險評估準備 《 風險評估計劃書 》 風險評估的目的、意義、范圍、目標、組織結構、經(jīng)費預算和進度安排等。 信息系統(tǒng)調查 《 信息系統(tǒng)的描述報 告 》 信息系統(tǒng)的業(yè)務目標、業(yè)務特性、管 理特性和技術特性等。 受益者 內或外 反饋信息安全風險管理的效 果。 監(jiān)控者 內 負責信息安全風險管理過程和結果的監(jiān)視和控制。 執(zhí)行者 內或外 負責信息安全風險管理的實 施。 主管者 內 負責信息安全風險管理的重 大決策。 信息安全風險管理體現(xiàn)在信息安全保障體系的技術、組織和管理等方面。 信息安全風險管理貫穿信息系統(tǒng)生命周期的全部過程。 管理層 管理者 內 負責信息系統(tǒng)的規(guī)劃，以及建設、運行、維護和監(jiān)控等方面的組織和協(xié)調。 運行者 內 負責信息系統(tǒng)的日常運行和操作。 支持層 專業(yè)者 外 為信息系統(tǒng)提供專業(yè)咨詢、培訓、 診斷和工具等服務。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 15 三、信息安全風險管理各組成部分 對象確立 風險評估 風險控制 審核批準 溝通與咨詢 監(jiān)控與審查 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 16 三、信息安全風險管理各組成部分 對象確立 風險評估 風險控制 審核批準 溝通與咨詢 監(jiān)控與審查 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 17 對象確立概述 對象確立是信息安全風險管理的第一步驟，根據(jù)要保護系統(tǒng)的業(yè)務目標和特性，確定風險管理對象。 信息系統(tǒng)分析 《 信息系