【正文】 《 關于加強國家電子政務工程建設項目信息安全風險評估工作的通知 》 （ 發(fā)改高技 【 2023】 2071號 ） ?電子政務工程建設項目應開展信息安全風險評估工作 ?項目 建設單位應在試運行期間開展風險評估工作，作為項目驗收的重要依據(jù) ?項目驗收申請時，應提交信息安全風險評估報告 ?系統(tǒng)投入運行后，應定期開展信息安全風險評估 25 信息 安全風險管理相關的國內(nèi)外標準 ? GB/T 209842023《信息安全風險評估規(guī)范》 ? GB/Z 243642023《信息安全風險管理指南》 ? ISO/IEC 27005:2023《信息安全風險管理》 ? ISO GUIDE 73:2023《風險管理－術語》 ? ISO 31000:2023《風險管理－主要原則和指南》 ? IEC/ISO 31010:2023《風險管理－風險評估技術》 ? NIST SP80030 (2023)《實施風險評估指南》 ? NIST SP80039 (2023) 《管理信息安全風險：組織、使命和信息系統(tǒng)梗概》 ? NIST SP80037 (2023) 《聯(lián)邦信息系統(tǒng)應用風險管理框架指南：安全生命周期方法》 ? NIST SP80053 (2023) 《為聯(lián)邦信息系統(tǒng)和組織推薦的安全控制措施》 ? NIST SP80053A (2023) 《聯(lián)邦信息系統(tǒng)和組織安全控制措施評估指南：建立有效的安全評估計劃》 26 知識域：信息安全風險管理主要內(nèi)容 知識子域： 信息安全風險管理的基本內(nèi)容和過程 ?理解 背景建立的主要工作內(nèi)容 ?理解風險評估的主要工作內(nèi)容 ?理解風險處理的主要工作內(nèi)容 ?理解批準監(jiān)督的主要工作內(nèi)容 ?理解監(jiān)控審查的主要工作內(nèi)容 ?理解溝通咨詢的主要工作內(nèi)容 27 信息安全風險管理工作內(nèi)容 背景 建立 風險評估 風險處理 批準監(jiān)督 監(jiān)控審查 溝通咨詢 ? GB/Z 24364《 信息安全風險管理指南 》 ：四個階段，兩個貫穿 28 背景建立 ?背景建立是信息安全風險管理的第一步驟，確定風險管理的對象和范圍，確立實施風險管理的準備，進行相關信息的調(diào)查和分析 ? 風險管理準備：確定對象、組建團隊、制定計劃、獲得支持 ? 信息系統(tǒng)調(diào)查：信息系統(tǒng)的業(yè)務目標、技術和管理上的特點 ? 信息系統(tǒng)分析：信息系統(tǒng)的體系結(jié)構、關鍵要素 ? 信息安全分析：分析安全要求、分析安全環(huán)境 29 背景建立過程 背 景 建 立信 息 系 統(tǒng)調(diào) 查溝 通 咨 詢風 險評 估調(diào)查信息系統(tǒng)的業(yè)務目標調(diào)查信息系統(tǒng)的業(yè)務特性調(diào)查信息系統(tǒng)的技術特性調(diào)查信息系統(tǒng)的管理特性信 息 系 統(tǒng)分 析分析信息系統(tǒng)的體系結(jié)構分析信息系統(tǒng)的關鍵要素信 息 安 全分 析分析信息系統(tǒng)的安全要求分析信息系統(tǒng)的安全環(huán)境風 險 管 理準 備監(jiān) 控 審 查確定風險管理對象組建風險管理團隊制定風險管理計劃獲得支持30 風險評估 ?信息安全風險管理要依靠風險評估的結(jié)果來確定隨后的風險處理和批準監(jiān)督活動 ? 風險 評估 準備：制定風險評估方案、選擇評估方法 ? 風險要素識別：發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱性和控制措施 ? 風險分析：判斷風險發(fā)生的可能性和影響的程度 ? 風險結(jié)果判定：綜合分析結(jié)果判定風險等級 31 風險評估過程 風 險 評 估背 景建 立風 險處 理風 險 結(jié) 果判 定風 險 分 析風 險 評 估準 備風 險 要 素識 別制定風險評估計劃制定風險評估方案選擇風險評估方法和工具識別面臨的威脅并賦值識別存在的脆弱性并賦值實施風險計算計算安全事件造成的損失計算安全事件發(fā)生可能性確認已有的安全措施評價分析結(jié)果綜合判定風險等級溝 通 咨 詢監(jiān) 控 審 查識別需要保護的資產(chǎn)并賦值32 風險處理 ?風險處理是為了將風險始終控制在可接受的范圍內(nèi)。信息安全風險管理 吳金城 13980826171 版本： 發(fā)布日期： 2023121 生效日期： 202311 課程內(nèi)容 2 知識體 知識域 知識子域 信息安全 風險管理 信息安全風險 管理主要內(nèi)容 信息安全風險管理的基本內(nèi)容和過程 信息安全風險管理概述 風險相關基本概念 信息系統(tǒng)生命周期與信息安全風險管理 信息安全風險 管理基礎 信息安全風險相關政策與標準 信息安全風險 評估 風險評估工作形式 風險評估方法 風險評估的實施流程 風險評估工具 知識域：信息安全風險管理基礎 知識子域： 風險相關基礎概念 ?理解風險的概念，理解資產(chǎn)、威脅、脆弱性、業(yè)務戰(zhàn)略、安全事件、安全需求、安全措施等風險相關概念 ?理解風險準則、風險評估、風險處理、風險管理、殘余風險的概念，掌握信息安全風險評估的概念 ?理解風險相關要素之間的關系 3 ? 風險 ，指 事態(tài)的概率及其結(jié)果的組合 （ —— GB/Z 243642023《 信息安全風險管理指南 》 ） ? 信息安全風險 ，指 人為 或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導致安全事件的發(fā)生及其對組織造成的 影響 （ —— GB/T 209842023《 信息安全風險評估規(guī)范 》 ） ? 信息 安全風險會破壞組織信息資產(chǎn)的保密性、完整性或可用性等屬性 風險、信息安全風險的概念 4 ? 風險 的構成包括五個方面：起源 （威脅源） 、方式（威脅行為） 、途徑 （脆弱性） 、受體 （資產(chǎn)） 和后果 （影響） 風險的構成 5 資 產(chǎn)載 體威 脅 源威 脅 行 為影 響環(huán) 境脆 弱 性風險相關術語 ? 資產(chǎn)（ Asset） ? 威脅（ Threat ） ? 脆弱性（ Vunerability） ? 可能性（ Likelihood, Probability） ? 安全措施 /控制措施（Countermeasure, safeguard, control） 6 ? 業(yè)務戰(zhàn)略 ? 安全事件 ? 安全需求 ? 風險準則 ? 風險評估 ? 風險處理 ? 風險管理 ? 殘余風險（ Residental Risk） ? 信息安全風險評估 資產(chǎn) ?資產(chǎn)是任何對組織有價值的東西，是要保護的對象 ?資產(chǎn)以多種形式存在（多種分類方法） ? 物理的（如計算設備、網(wǎng)絡設備和存儲介質(zhì)等）和邏輯的（如體系結(jié)構、通信協(xié)議、計算程序和數(shù)據(jù)文件等） ? 硬件的（如計算機主板、機箱、顯示器、鍵盤和鼠標等）和軟件的（如操作系統(tǒng)軟件、數(shù)據(jù)庫管理軟件、工具軟件和應用軟件等） ? 有形的（如機房、設備和人員等）和無形的（如品牌、信心和名譽等） ? 靜態(tài)的（如設施和規(guī)程等）和動態(tài)的（如人員和過程等） ? 技術的（如計算機硬件、軟件和固件等）和管理的（如業(yè)務目標、戰(zhàn)略、策略、規(guī)程、過程、計劃和人員等）等 7 威脅 ?可能 導致對系統(tǒng)或組織危害的不希望事故潛在 起因 ?引起風險的外因 ?威脅源采取恰當?shù)耐{方式才可能引發(fā)風險 ?威脅舉例 ? 操作失誤 ? 濫用授權 ? 行為抵賴 ? 身