【正文】 C INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 信息安全風(fēng)險評估與風(fēng)險管理 國家信息中心信息安全服務(wù)與研究中心 范紅 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 2 匯報內(nèi)容 一、前言 二、信息安全風(fēng)險管理概述 三、信息安全風(fēng)險管理各組成部分 四、信息安全風(fēng)險管理的運用 五、結(jié)束語 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 3 一、前言 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 4 二、信息安全風(fēng)險管理概述 信息安全風(fēng)險管理的目的和意義 信息安全風(fēng)險管理的范圍和對象 信息安全風(fēng)險管理的內(nèi)容和過程 信息安全風(fēng)險管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系 信息安全風(fēng)險管理的角色和責(zé)任 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 5 二、信息安全風(fēng)險管理概述 信息安全風(fēng)險管理的目的和意義 信息安全風(fēng)險管理的范圍和對象 信息安全風(fēng)險管理的內(nèi)容和過程 信息安全風(fēng)險管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系 信息安全風(fēng)險管理的角色和責(zé)任 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 6 信息安全風(fēng)險管理的目的和意義 信息安全風(fēng)險管理是信息安全保障工作中的一項基礎(chǔ)性工作 。 信息安全風(fēng)險管理體現(xiàn)在信息安全保障體系的技術(shù)、組織和管理等方面。 信息安全風(fēng)險管理依據(jù)等級保護的思想和適度安全的原則，平衡成本與效益，合理部署和利用信息安全的信任體系、監(jiān)控體系和應(yīng)急處理等重要的基礎(chǔ)設(shè)施，確定合適的安全措施，從而確保機構(gòu)具有完成其使命的信息安全保障能力。 主管者 內(nèi) 負(fù)責(zé)信息安全風(fēng)險管理的重 大決策。 管理者 內(nèi) 負(fù)責(zé)信息安全風(fēng)險管理的規(guī)劃，以及實施和監(jiān)控過程中的組織和協(xié)調(diào)。 執(zhí)行者 內(nèi)或外 負(fù)責(zé)信息安全風(fēng)險管理的實 施。 維護者 內(nèi)或外 負(fù)責(zé)信息系統(tǒng)的日常維護，包括維 修和升級。 監(jiān)控者 內(nèi) 負(fù)責(zé)信息安全風(fēng)險管理過程和結(jié)果的監(jiān)視和控制。 專業(yè)者 外 為信息安全風(fēng)險管理提供專業(yè)咨詢、培訓(xùn)、診斷和工具等服務(wù)。 受益者 內(nèi)或外 反饋信息安全風(fēng)險管理的效 果。其目的是為了明確信息安全風(fēng)險管理的范圍和對象，以及對象的特性和安全要求。 信息系統(tǒng)調(diào)查 《 信息系統(tǒng)的描述報 告 》 信息系統(tǒng)的業(yè)務(wù)目標(biāo)、業(yè)務(wù)特性、管 理特性和技術(shù)特性等。 信息安全分析 《 信息系統(tǒng)的安全要 求報告 》 信息系統(tǒng)的安全環(huán)境和安全要求等。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 26 風(fēng)險評估過程 風(fēng) 險 評 估對 象確 立風(fēng) 險控 制風(fēng) 險 等 級評 價風(fēng) 險 程 度分 析風(fēng) 險 評 估準(zhǔn) 備風(fēng) 險 因 素識 別制定風(fēng)險評估計劃確定風(fēng)險評估程序選擇風(fēng)險評估方法和工具識別需要保護的資產(chǎn)識別面臨的威脅識別存在的脆弱性分析影響的程度分析威脅源的動機分析威脅行為的能力分析脆弱性的被利用性分析資產(chǎn)的價值確認(rèn)已有的安全措施評價分析結(jié)果給出風(fēng)險等級風(fēng) 險 評 估 的 溝 通 與 咨 詢風(fēng) 險 評 估 的 監(jiān) 控 與 審 查SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 27 風(fēng)險評估準(zhǔn)備 對 象確 立風(fēng) 險 評 估 計 劃風(fēng) 險 評 估 程 序入 選 風(fēng) 險 評 估方 法 和 工 具 列 表制 定 風(fēng) 險 評 估 計 劃確 定 風(fēng) 險 評 估 程 序選 擇 風(fēng) 險 評 估 方 法 和 工 具現(xiàn) 有 風(fēng) 險 評 估方 法 和 工 具 庫信 息 系 統(tǒng) 的安 全 要 求 報 告信 息 系 統(tǒng) 的描 述 報 告信 息 系 統(tǒng) 的分 析 報 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 28 風(fēng)險因素識別 需 要 保 護 的 資 產(chǎn)清 單面 臨 的 威 脅列 表存 在 的 脆 弱 性列 表識 別 需 要 保 護 的 資 產(chǎn)識 別 面 臨 的 威 脅識 別 存 在 的 脆 弱 性漏 洞 庫威 脅 庫信 息 系 統(tǒng) 的安 全 要 求 報 告信 息 系 統(tǒng) 的描 述 報 告信 息 系 統(tǒng) 的分 析 報 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 29 風(fēng)險程度分析 已 有 安 全 措 施分 析 報 告威 脅 源分 析 報 告威 脅 行 為分 析 報 告脆 弱 性分 析 報 告資 產(chǎn) 價 值分 析 報 告影 響 程 度分 析 報 告確 認(rèn) 已 有 的 安 全 措 施分 析 威 脅 源 的 動 機分 析 威 脅 行 為 的 能 力分 析 脆 弱 性 的 被 利 用 性分 析 資 產(chǎn) 的 價 值分 析 影 響 的 程 度存 在 的 脆 弱 性列 表面 臨 的 威 脅列 表需 要 保 護 的 資 產(chǎn)清 單信 息 系 統(tǒng) 的描 述 報 告信 息 系 統(tǒng) 的分 析 報 告信 息 系 統(tǒng) 的安 全 要 求 報 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 30 風(fēng)險等級評價 威 脅 源等 級 列 表威 脅 行 為等 級 列 表脆 弱 性等 級 列 表資 產(chǎn) 價 值等 級 列 表影 響 程 度等 級 列 表評 價 威 脅 源 動 機 的 等 級評 價 威 脅 行 為 能 力 的 等 級評 價 脆 弱 性 被 利 用 的 等 級評 價 資 產(chǎn) 價 值 的 等 級評 價 影 響 程 度 的 等 級威 脅 源分 析 報 告威 脅 行 為分 析 報 告脆 弱 性分 析 報 告資 產(chǎn) 價 值分 析 報 告影 響 程 度分 析 報 告風(fēng) 險 評 估 報 告綜 合 評 價 風(fēng) 險 的 等 級風(fēng) 險控 制風(fēng) 險 評 估算 法 庫SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 31 風(fēng)險評估的文檔 階段 輸出文檔 文檔內(nèi)容 風(fēng)險評估準(zhǔn)備 《 風(fēng)險評估計劃書 》 風(fēng)險評估的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、經(jīng)費預(yù)算和進度安排等。 《 入選風(fēng)險評估方法和工具列表 》 合適的風(fēng)險評估方法和工具列表。 《 面臨的威脅列表 》 機構(gòu)的信息資產(chǎn)面臨的威脅列表。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 32 風(fēng)險評估的文檔 風(fēng)險程度分析 《 已有安全措施分析報告 》 確認(rèn)已有的安全措施，包括技術(shù)層面（即物理平臺、系統(tǒng)平臺、通信平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺）的安全功能、組織層面（即結(jié)構(gòu)、崗位和人員）的安全控制和管理層面（即策略、規(guī)章和制度）的安全對策。 《 威脅行為分析報告 》 從攻擊的強度、廣度、速度和深度等方面， 分析威脅行為能力的高低。 《 資產(chǎn)價值分析報告 》 從敏感性、關(guān)鍵性和昂貴性等方面，分析資 產(chǎn)價值的大小。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 33 風(fēng)險評估的文檔 風(fēng)險等級評價 《 威脅源等級列表 》 威脅源動機的等級列表。 《 脆弱性等級列表 》 脆弱性被利用的等級列表。 《 影響程度等級列表 》 影響程度的等級列表。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC