【正文】 組 織 結(jié) 構(gòu)和 管 理 制 度機 構(gòu) 的 業(yè) 務(wù)機 構(gòu) 的 技 術(shù) 平 臺SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 21 信息系統(tǒng)分析 信 息 系 統(tǒng) 的分 析 報 告分 析 信 息 系 統(tǒng) 的 體 系 結(jié) 構(gòu)分 析 信 息 系 統(tǒng) 的 關(guān) 鍵 要 素信 息 系 統(tǒng) 的描 述 報 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 22 信息安全分析 信 息 系 統(tǒng) 的安 全 要 求 報 告分 析 信 息 系 統(tǒng) 的 安 全 環(huán) 境分 析 信 息 系 統(tǒng) 的 安 全 要 求相 關(guān) 的 政 策 、 法律 、 法 規(guī) 和 標 準信 息 系 統(tǒng) 的描 述 報 告信 息 系 統(tǒng) 的分 析 報 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 23 對象確立的文檔 階段 輸出文檔 文檔內(nèi)容 風險管理準備 《 風險管理計劃書 》 風險管理的目的、意義、范圍、目標、組織結(jié)構(gòu)、經(jīng)費預(yù)算和進度安排等。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 15 三、信息安全風險管理各組成部分 對象確立 風險評估 風險控制 審核批準 溝通與咨詢 監(jiān)控與審查 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 16 三、信息安全風險管理各組成部分 對象確立 風險評估 風險控制 審核批準 溝通與咨詢 監(jiān)控與審查 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 17 對象確立概述 對象確立是信息安全風險管理的第一步驟，根據(jù)要保護系統(tǒng)的業(yè)務(wù)目標和特性，確定風險管理對象。 用戶層 使用者 內(nèi)或外 利用信息系統(tǒng)完成自身的任務(wù)。 支持層 專業(yè)者 外 為信息系統(tǒng)提供專業(yè)咨詢、培訓、 診斷和工具等服務(wù)。 監(jiān)控者 內(nèi) 負責信息系統(tǒng)的監(jiān)視和控制。 運行者 內(nèi) 負責信息系統(tǒng)的日常運行和操作。 執(zhí)行層 建設(shè)者 內(nèi)或外 負責信息系統(tǒng)的設(shè)計和實施。 管理層 管理者 內(nèi) 負責信息系統(tǒng)的規(guī)劃，以及建設(shè)、運行、維護和監(jiān)控等方面的組織和協(xié)調(diào)。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 7 二、信息安全風險管理概述 信息安全風險管理的目的和意義 信息安全風險管理的范圍和對象 信息安全風險管理的內(nèi)容和過程 信息安全風險管理與信息系統(tǒng)生命周 期和信息安全目標的關(guān)系 信息安全風險管理的角色和責任 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 8 信息安全風險管理的范圍和對象 信 息 自 身信息載體信息載體信 息 載 體信 息 載 體信 息 環(huán) 境 信 息 環(huán) 境信 息 環(huán) 境 信 息 環(huán) 境信息環(huán)境信息環(huán)境SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 9 二、信息安全風險管理概述 信息安全風險管理的目的和意義 信息安全風險管理的范圍和對象 信息安全風險管理的內(nèi)容和過程 信息安全風險管理與信息系統(tǒng)生命周 期和信息安全目標的關(guān)系 信息安全風險管理的角色和責任 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 10 信息安全風險管理的內(nèi)容和過程 對 象確 立風 險評 估風 險控 制審 核批 準溝 通 與 咨 詢溝 通 與 咨 詢溝通與咨詢溝通與咨詢監(jiān) 控與審 查SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 11 二、信息安全風險管理概述 信息安全風險管理的目的和意義 信息安全風險管理的范圍和對象 信息安全風險管理的內(nèi)容和過程 信息安全風險管理與信息系統(tǒng)生命周 期和信息安全目標的關(guān)系 信息安全風險管理的角色和責任 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 12 三維結(jié)構(gòu)關(guān)系 對象確立風險控制風險評估審核批準監(jiān) 控 與 審 查溝 通 與 咨 詢　 　 ?！?密性　 　 　 可　 　 追　 究性　 　 完　 整性　 　 可　 用性信息安全風險管理　 　 　 　 　 信　 　 　 　 息　 　 　 安　 　 全　 目標信 息 系 統(tǒng) 生 命 周 期XYZ保障級別規(guī) 劃設(shè) 計實 施運 維廢 棄　 　 　 抗　 　 否　 認性SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 13 二、信息安全風險管理概述 信息安全風險管理的目的和意義 信息安全風險管理的范圍和對象 信息安全風險管理的內(nèi)容和過程 信息安全風險管理與信息系統(tǒng)生命周 期和信息安全目標的關(guān)系 信息安全風險管理的角色和責任 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 14 信息安全風險管理相關(guān)人員的角色和責任 層面 信息系統(tǒng) 信息安全風險管理 角色 內(nèi)外部 責任 角色 內(nèi)外部 責任 決策層 主管者 內(nèi) 負責信息系統(tǒng)的重大決策。 信息安全風險管理貫穿信息系統(tǒng)生命周期的全部過程。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風險評估與風險管理 國家信息中心信息安全服務(wù)與研究中心 范紅 二 00四年九月 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 2 匯報內(nèi)容 一、前言 二、信息安全風險管理概述 三、信息安全風險管理各組成部分 四、信息安全風險管理的運用 五、結(jié)束語 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 3 一、前言 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 4 二、信息安全風險管理概述 信息安全風險管理的目的和意義 信息安全風險管理的范圍和對象 信息安全風險管理的內(nèi)容和過程 信息安全風險管理與信息系統(tǒng)生命周 期和信息安全目標的關(guān)系 信息安全風險管理的角色和責任 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 5 二、信息安全風險管理概述 信息安全風險管理的目的和意義 信息安全風險管理的范圍和對象 信息安全風險管理的內(nèi)容和過程 信息安全風險管理與信息系統(tǒng)生命周 期和信息安全目標的關(guān)系 信息安全風險管理的角色和責任 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 6 信息安