【正文】 信息安全風(fēng)險(xiǎn)管理是信息安全保障工作中的一項(xiàng)基礎(chǔ)性工作 。 信息安全風(fēng)險(xiǎn)管理體現(xiàn)在信息安全保障體系的技術(shù)、組織和管理等方面。 信息安全風(fēng)險(xiǎn)管理依據(jù)等級(jí)保護(hù)的思想和適度安全的原則，平衡成本與效益，合理部署和利用信息安全的信任體系、監(jiān)控體系和應(yīng)急處理等重要的基礎(chǔ)設(shè)施，確定合適的安全措施，從而確保機(jī)構(gòu)具有完成其使命的信息安全保障能力。 主管者 內(nèi) 負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的重 大決策。 管理者 內(nèi) 負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的規(guī)劃，以及實(shí)施和監(jiān)控過程中的組織和協(xié)調(diào)。 執(zhí)行者 內(nèi)或外 負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的實(shí) 施。 維護(hù)者 內(nèi)或外 負(fù)責(zé)信息系統(tǒng)的日常維護(hù)，包括維 修和升級(jí)。 監(jiān)控者 內(nèi) 負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理過程和結(jié)果的監(jiān)視和控制。 專業(yè)者 外 為信息安全風(fēng)險(xiǎn)管理提供專業(yè)咨詢、培訓(xùn)、診斷和工具等服務(wù)。 受益者 內(nèi)或外 反饋信息安全風(fēng)險(xiǎn)管理的效 果。其目的是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象，以及對(duì)象的特性和安全要求。 信息系統(tǒng)調(diào)查 《 信息系統(tǒng)的描述報(bào) 告 》 信息系統(tǒng)的業(yè)務(wù)目標(biāo)、業(yè)務(wù)特性、管 理特性和技術(shù)特性等。 信息安全分析 《 信息系統(tǒng)的安全要 求報(bào)告 》 信息系統(tǒng)的安全環(huán)境和安全要求等。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 26 風(fēng)險(xiǎn)評(píng)估過程 風(fēng) 險(xiǎn) 評(píng) 估對(duì) 象確 立風(fēng) 險(xiǎn)控 制風(fēng) 險(xiǎn) 等 級(jí)評(píng) 價(jià)風(fēng) 險(xiǎn) 程 度分 析風(fēng) 險(xiǎn) 評(píng) 估準(zhǔn) 備風(fēng) 險(xiǎn) 因 素識(shí) 別制定風(fēng)險(xiǎn)評(píng)估計(jì)劃確定風(fēng)險(xiǎn)評(píng)估程序選擇風(fēng)險(xiǎn)評(píng)估方法和工具識(shí)別需要保護(hù)的資產(chǎn)識(shí)別面臨的威脅識(shí)別存在的脆弱性分析影響的程度分析威脅源的動(dòng)機(jī)分析威脅行為的能力分析脆弱性的被利用性分析資產(chǎn)的價(jià)值確認(rèn)已有的安全措施評(píng)價(jià)分析結(jié)果給出風(fēng)險(xiǎn)等級(jí)風(fēng) 險(xiǎn) 評(píng) 估 的 溝 通 與 咨 詢風(fēng) 險(xiǎn) 評(píng) 估 的 監(jiān) 控 與 審 查SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 27 風(fēng)險(xiǎn)評(píng)估準(zhǔn)備 對(duì) 象確 立風(fēng) 險(xiǎn) 評(píng) 估 計(jì) 劃風(fēng) 險(xiǎn) 評(píng) 估 程 序入 選 風(fēng) 險(xiǎn) 評(píng) 估方 法 和 工 具 列 表制 定 風(fēng) 險(xiǎn) 評(píng) 估 計(jì) 劃確 定 風(fēng) 險(xiǎn) 評(píng) 估 程 序選 擇 風(fēng) 險(xiǎn) 評(píng) 估 方 法 和 工 具現(xiàn) 有 風(fēng) 險(xiǎn) 評(píng) 估方 法 和 工 具 庫(kù)信 息 系 統(tǒng) 的安 全 要 求 報(bào) 告信 息 系 統(tǒng) 的描 述 報(bào) 告信 息 系 統(tǒng) 的分 析 報(bào) 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 28 風(fēng)險(xiǎn)因素識(shí)別 需 要 保 護(hù) 的 資 產(chǎn)清 單面 臨 的 威 脅列 表存 在 的 脆 弱 性列 表識(shí) 別 需 要 保 護(hù) 的 資 產(chǎn)識(shí) 別 面 臨 的 威 脅識(shí) 別 存 在 的 脆 弱 性漏 洞 庫(kù)威 脅 庫(kù)信 息 系 統(tǒng) 的安 全 要 求 報(bào) 告信 息 系 統(tǒng) 的描 述 報(bào) 告信 息 系 統(tǒng) 的分 析 報(bào) 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 29 風(fēng)險(xiǎn)程度分析 已 有 安 全 措 施分 析 報(bào) 告威 脅 源分 析 報(bào) 告威 脅 行 為分 析 報(bào) 告脆 弱 性分 析 報(bào) 告資 產(chǎn) 價(jià) 值分 析 報(bào) 告影 響 程 度分 析 報(bào) 告確 認(rèn) 已 有 的 安 全 措 施分 析 威 脅 源 的 動(dòng) 機(jī)分 析 威 脅 行 為 的 能 力分 析 脆 弱 性 的 被 利 用 性分 析 資 產(chǎn) 的 價(jià) 值分 析 影 響 的 程 度存 在 的 脆 弱 性列 表面 臨 的 威 脅列 表需 要 保 護(hù) 的 資 產(chǎn)清 單信 息 系 統(tǒng) 的描 述 報(bào) 告信 息 系 統(tǒng) 的分 析 報(bào) 告信 息 系 統(tǒng) 的安 全 要 求 報(bào) 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 30 風(fēng)險(xiǎn)等級(jí)評(píng)價(jià) 威 脅 源等 級(jí) 列 表威 脅 行 為等 級(jí) 列 表脆 弱 性等 級(jí) 列 表資 產(chǎn) 價(jià) 值等 級(jí) 列 表影 響 程 度等 級(jí) 列 表評(píng) 價(jià) 威 脅 源 動(dòng) 機(jī) 的 等 級(jí)評(píng) 價(jià) 威 脅 行 為 能 力 的 等 級(jí)評(píng) 價(jià) 脆 弱 性 被 利 用 的 等 級(jí)評(píng) 價(jià) 資 產(chǎn) 價(jià) 值 的 等 級(jí)評(píng) 價(jià) 影 響 程 度 的 等 級(jí)威 脅 源分 析 報(bào) 告威 脅 行 為分 析 報(bào) 告脆 弱 性分 析 報(bào) 告資 產(chǎn) 價(jià) 值分 析 報(bào) 告影 響 程 度分 析 報(bào) 告風(fēng) 險(xiǎn) 評(píng) 估 報(bào) 告綜 合 評(píng) 價(jià) 風(fēng) 險(xiǎn) 的 等 級(jí)風(fēng) 險(xiǎn)控 制風(fēng) 險(xiǎn) 評(píng) 估算 法 庫(kù)SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 31 風(fēng)險(xiǎn)評(píng)估的文檔 階段 輸出文檔 文檔內(nèi)容 風(fēng)險(xiǎn)評(píng)估準(zhǔn)備 《 風(fēng)險(xiǎn)評(píng)估計(jì)劃書 》 風(fēng)險(xiǎn)評(píng)估的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等。 《 入選風(fēng)險(xiǎn)評(píng)估方法和工具列表 》 合適的風(fēng)險(xiǎn)評(píng)估方法和工具列表。 《 面臨的威脅列表 》 機(jī)構(gòu)的信息資產(chǎn)面臨的威脅列表。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 32 風(fēng)險(xiǎn)評(píng)估的文檔 風(fēng)險(xiǎn)程度分析 《 已有安全措施分析報(bào)告 》 確認(rèn)已有的安全措施，包括技術(shù)層面（即物理平臺(tái)、系統(tǒng)平臺(tái)、通信平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)）的安全功能、組織層面（即結(jié)構(gòu)、崗位和人員）的安全控制和管理層面（即策略、規(guī)章和制度）的安全對(duì)策。 《 威脅行為分析報(bào)告 》 從攻擊的強(qiáng)度、廣度、速度和深度等方面， 分析威脅行為能力的高低。 《 資產(chǎn)價(jià)值分析報(bào)告 》 從敏感性、關(guān)鍵性和昂貴性等方面，分析資 產(chǎn)價(jià)值的大小。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 33 風(fēng)險(xiǎn)評(píng)估的文檔 風(fēng)險(xiǎn)等級(jí)評(píng)價(jià) 《 威脅源等級(jí)列表 》 威脅源動(dòng)機(jī)的等級(jí)列表。 《 脆弱性等級(jí)列表 》 脆弱性被利用的等級(jí)列表。 《 影響程度等級(jí)列表 》 影響程度的等級(jí)列表。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 34 三、信息安全風(fēng)險(xiǎn)管理各組成部分 對(duì)象確立 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)控制 審核批準(zhǔn) 溝通與咨詢 監(jiān)控與審查 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 35 風(fēng)險(xiǎn)控制概述 風(fēng)險(xiǎn)控制是信息安全風(fēng)險(xiǎn)管理的第三步驟，依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，選擇和實(shí)施合適的安全措施。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 36 風(fēng)險(xiǎn)控制需求及其相應(yīng)的風(fēng)險(xiǎn)控制措施 PPDRR 風(fēng)險(xiǎn)控制需求 風(fēng)險(xiǎn)控制措施 策略 Policy 設(shè)備管理制度 建立健全各種安全相關(guān)的規(guī)章制定和操作規(guī)范，使得保護(hù)、檢測(cè)和響應(yīng)環(huán)節(jié)有章可循、切實(shí)有效。 門控 安裝門控系統(tǒng) 保安 建設(shè)保安制度和保安隊(duì)伍。 病毒防殺 全面部署防病毒系統(tǒng)。 安全配置 嚴(yán)格遵守各系統(tǒng)單元的安全配置明細(xì)，避免配置中的安全漏洞。 訪問控制 根據(jù)不同的安全強(qiáng)度，分別采用自主型、強(qiáng)制型等級(jí)別的訪問控制系統(tǒng)，對(duì)設(shè)備、用 戶等主體訪問客體的權(quán)限進(jìn)行控制。 邊界控制 在網(wǎng)絡(luò)邊界布置防火墻，阻止來(lái)自外界非法訪問。 數(shù)字簽名 在需要防止事后否認(rèn)時(shí)，可采用數(shù)字簽名技術(shù)。 安全機(jī)構(gòu)、安全崗位、安全責(zé)任 建立健全安全機(jī)構(gòu)，合理設(shè)置安全崗位，明確劃分安全責(zé)任。 數(shù)據(jù)校驗(yàn) 通過數(shù)據(jù)校驗(yàn)技術(shù)，發(fā)現(xiàn)數(shù)據(jù)篡改。 主機(jī)狀態(tài)監(jiān)測(cè) 部署主機(jī)狀態(tài)監(jiān)測(cè)系統(tǒng)，隨時(shí)掌握主機(jī)運(yùn)行狀態(tài)。 網(wǎng)絡(luò)狀態(tài)監(jiān)測(cè) 部署網(wǎng)絡(luò)狀態(tài)監(jiān)測(cè)系統(tǒng)，隨時(shí)掌握網(wǎng)絡(luò)運(yùn)行狀態(tài)。 安全監(jiān)督、安全檢查 實(shí)行持續(xù)有效的安全監(jiān)督，預(yù)演應(yīng)急響應(yīng)計(jì)劃。 設(shè)施備份與恢復(fù) 對(duì)于關(guān)鍵設(shè)施，配備設(shè)施備份與恢復(fù)系統(tǒng)。 數(shù)據(jù)備份與恢復(fù) 對(duì)于關(guān)鍵數(shù)據(jù)，配備數(shù)據(jù)備份與恢復(fù)系統(tǒng)。 應(yīng)用備份與恢復(fù) 對(duì)于關(guān)鍵應(yīng)用，配備應(yīng)用備份與恢復(fù)系統(tǒng)。 安全事件處理 按照安全事件處理找出原因、追究責(zé)任、總結(jié)經(jīng)驗(yàn)、 提出改進(jìn)。 《 現(xiàn)存風(fēng)險(xiǎn)接受判斷書 》 現(xiàn)存風(fēng)險(xiǎn)是否可接受的判斷結(jié)果。 《 風(fēng)險(xiǎn)控制目標(biāo)列表 》 風(fēng)險(xiǎn)控制目標(biāo)的列表，包括控制對(duì)象 及其最低保護(hù)等級(jí)。 《 入選風(fēng)險(xiǎn)控制措施說明報(bào)告 》 選擇合適的風(fēng)險(xiǎn)控制措施，并說明選擇的理由以及被選控制措施的成本、使用方法和注意事項(xiàng)等。 《 風(fēng)險(xiǎn)控制實(shí)施記錄 》 風(fēng)險(xiǎn)控制措施實(shí)施的過程和結(jié)果。 審核既可以由機(jī)構(gòu)內(nèi)部完成，也可以委托外部專業(yè)機(jī)構(gòu)來(lái)完成，這主要取決于信息系統(tǒng)的性質(zhì)和機(jī)構(gòu)自身的專業(yè)能力。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 49 審核批準(zhǔn)過程及其在信息安全風(fēng)險(xiǎn)管理中的位置 審 核 批 準(zhǔn)批 準(zhǔn)申 請(qǐng)審 核申 請(qǐng)了解審核業(yè)務(wù)提交審核申請(qǐng)組織專家評(píng)審做出審核結(jié)論提交批準(zhǔn)申請(qǐng)受理批準(zhǔn)申請(qǐng)審閱批準(zhǔn)材料做出批準(zhǔn)決定溝 通 與 咨 詢批 準(zhǔn)處 理風(fēng) 險(xiǎn)控 制受理審核申請(qǐng)審 核處 理修改審核材