【正文】 SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 34 三、信息安全風(fēng)險(xiǎn)管理各組成部分 對象確立 風(fēng)險(xiǎn)評估 風(fēng)險(xiǎn)控制 審核批準(zhǔn) 溝通與咨詢 監(jiān)控與審查 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 35 風(fēng)險(xiǎn)控制概述 風(fēng)險(xiǎn)控制是信息安全風(fēng)險(xiǎn)管理的第三步驟，依據(jù)風(fēng)險(xiǎn)評估的結(jié)果，選擇和實(shí)施合適的安全措施。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 36 風(fēng)險(xiǎn)控制需求及其相應(yīng)的風(fēng)險(xiǎn)控制措施 PPDRR 風(fēng)險(xiǎn)控制需求 風(fēng)險(xiǎn)控制措施 策略 Policy 設(shè)備管理制度 建立健全各種安全相關(guān)的規(guī)章制定和操作規(guī)范，使得保護(hù)、檢測和響應(yīng)環(huán)節(jié)有章可循、切實(shí)有效。 門控 安裝門控系統(tǒng) 保安 建設(shè)保安制度和保安隊(duì)伍。 病毒防殺 全面部署防病毒系統(tǒng)。 安全配置 嚴(yán)格遵守各系統(tǒng)單元的安全配置明細(xì)，避免配置中的安全漏洞。 訪問控制 根據(jù)不同的安全強(qiáng)度，分別采用自主型、強(qiáng)制型等級別的訪問控制系統(tǒng)，對設(shè)備、用 戶等主體訪問客體的權(quán)限進(jìn)行控制。 邊界控制 在網(wǎng)絡(luò)邊界布置防火墻，阻止來自外界非法訪問。 數(shù)字簽名 在需要防止事后否認(rèn)時(shí)，可采用數(shù)字簽名技術(shù)。 安全機(jī)構(gòu)、安全崗位、安全責(zé)任 建立健全安全機(jī)構(gòu)，合理設(shè)置安全崗位，明確劃分安全責(zé)任。 數(shù)據(jù)校驗(yàn) 通過數(shù)據(jù)校驗(yàn)技術(shù)，發(fā)現(xiàn)數(shù)據(jù)篡改。 主機(jī)狀態(tài)監(jiān)測 部署主機(jī)狀態(tài)監(jiān)測系統(tǒng)，隨時(shí)掌握主機(jī)運(yùn)行狀態(tài)。 網(wǎng)絡(luò)狀態(tài)監(jiān)測 部署網(wǎng)絡(luò)狀態(tài)監(jiān)測系統(tǒng)，隨時(shí)掌握網(wǎng)絡(luò)運(yùn)行狀態(tài)。 安全監(jiān)督、安全檢查 實(shí)行持續(xù)有效的安全監(jiān)督，預(yù)演應(yīng)急響應(yīng)計(jì)劃。 設(shè)施備份與恢復(fù) 對于關(guān)鍵設(shè)施，配備設(shè)施備份與恢復(fù)系統(tǒng)。 數(shù)據(jù)備份與恢復(fù) 對于關(guān)鍵數(shù)據(jù)，配備數(shù)據(jù)備份與恢復(fù)系統(tǒng)。 應(yīng)用備份與恢復(fù) 對于關(guān)鍵應(yīng)用，配備應(yīng)用備份與恢復(fù)系統(tǒng)。 安全事件處理 按照安全事件處理找出原因、追究責(zé)任、總結(jié)經(jīng)驗(yàn)、 提出改進(jìn)。 《 現(xiàn)存風(fēng)險(xiǎn)接受判斷書 》 現(xiàn)存風(fēng)險(xiǎn)是否可接受的判斷結(jié)果。 《 風(fēng)險(xiǎn)控制目標(biāo)列表 》 風(fēng)險(xiǎn)控制目標(biāo)的列表，包括控制對象 及其最低保護(hù)等級。 《 入選風(fēng)險(xiǎn)控制措施說明報(bào)告 》 選擇合適的風(fēng)險(xiǎn)控制措施，并說明選擇的理由以及被選控制措施的成本、使用方法和注意事項(xiàng)等。 《 風(fēng)險(xiǎn)控制實(shí)施記錄 》 風(fēng)險(xiǎn)控制措施實(shí)施的過程和結(jié)果。 審核既可以由機(jī)構(gòu)內(nèi)部完成，也可以委托外部專業(yè)機(jī)構(gòu)來完成，這主要取決于信息系統(tǒng)的性質(zhì)和機(jī)構(gòu)自身的專業(yè)能力。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 49 審核批準(zhǔn)過程及其在信息安全風(fēng)險(xiǎn)管理中的位置 審 核 批 準(zhǔn)批 準(zhǔn)申 請審 核申 請了解審核業(yè)務(wù)提交審核申請組織專家評審做出審核結(jié)論提交批準(zhǔn)申請受理批準(zhǔn)申請審閱批準(zhǔn)材料做出批準(zhǔn)決定溝 通 與 咨 詢批 準(zhǔn)處 理風(fēng) 險(xiǎn)控 制受理審核申請審 核處 理修改審核材料測試審核對象監(jiān) 控 與 審 查?通 過是否?通 過是否審查審核材料整改審核對象檢查是否到期持 續(xù)監(jiān) 督檢查有無變化SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 50 審核申請 風(fēng) 險(xiǎn)控 制了 解 審 核 業(yè) 務(wù)提 交 審 核 申 請審 核 業(yè) 務(wù) 介 紹受 理 審 核 申 請審 核 受 理 回 執(zhí)審 核 材 料審 核 申 請 書SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 51 審核處理 測 試 審 核 對 象組 織 專 家 鑒 定專 家 鑒 定 報(bào) 告測 試 結(jié) 果 報(bào) 告做 出 審 核 結(jié) 論審 核 結(jié) 論 報(bào) 告審 查 審 核 材 料審 查 結(jié) 果 報(bào) 告是 否否是修 改 審 核 材 料否是?修 改?通 過整 改 審 核 對 象否是否是?整 改?通 過?通 過審 核 材 料審 核 的 原 則 、規(guī) 定 和 程 序SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 52 批準(zhǔn)申請 受 理 批 準(zhǔn) 申 請批 準(zhǔn) 受 理 回 執(zhí)審 核 結(jié) 論 報(bào) 告提 交 批 準(zhǔn) 申 請批 準(zhǔn) 申 請 書SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 53 批準(zhǔn)處理 做 出 批 準(zhǔn) 決 定批 準(zhǔn) 決 定 書審 閱 批 準(zhǔn) 材 料是 否?通 過審 核 結(jié) 論 報(bào) 告批 準(zhǔn) 的 原 則 、規(guī) 定 和 程 序機(jī) 構(gòu) 的 使 命信 息 系 統(tǒng) 的安 全 要 求 報(bào) 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 54 持續(xù)監(jiān)督 檢 查 有 無 變 化檢 查 是 否 到 期批 準(zhǔn) 決 定 書審 核 結(jié) 論 報(bào) 告是否?到 期?變 化有 無審 核 到 期 通 知 書批 準(zhǔn) 到 期 通 知 書機(jī) 構(gòu) 變 化 因 素 的描 述 報(bào) 告環(huán) 境 變 化 因 素 的描 述 報(bào) 告審 核批 準(zhǔn)SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 55 審核批準(zhǔn)的文檔 階段 輸出文檔 文檔內(nèi)容 審核申請 《 審核申請書 》 審核的范圍、對象、目標(biāo)和進(jìn)度要求，以及申請者 的基本信息和簽字等。 《 審核受理回執(zhí) 》 同意受理、補(bǔ)充材料的要求和提交時(shí)間（如果需要）、審核的進(jìn)度安排和收費(fèi)標(biāo)準(zhǔn)，以及審核機(jī)構(gòu)的名稱和簽章等。 《 測試結(jié)果報(bào)告 》 測試的范圍、對象、意見和結(jié)論（即是否通過）， 以及測試人員的名字和簽字等。 《 審核結(jié)論報(bào)告 》 審核的范圍、對象、意見、結(jié)論（即是否通過）和 有效期，以及審核機(jī)構(gòu)的名稱和簽章等。 《 批準(zhǔn)受理回執(zhí) 》 同意受理、補(bǔ)充材料的要求和提交時(shí)間（如果 需要），以及批準(zhǔn)機(jī)構(gòu)的名稱和簽章等。 持續(xù)監(jiān)督 《 審核到期通知書 》 到期的時(shí)間和重新申請的要求，以及審核機(jī)構(gòu) 的名稱和簽章。 《 機(jī)構(gòu)變化因素的描述報(bào)告 》 機(jī)構(gòu)及其信息系統(tǒng)變化因素的列表、說明和安全隱患分析等。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 57 三、信息安全風(fēng)險(xiǎn)管理各組成部分 對象確立 風(fēng)險(xiǎn)評估 風(fēng)險(xiǎn)控制 審核批準(zhǔn) 監(jiān)控與審查 溝通與咨詢 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 58 監(jiān)控與審查的概述 監(jiān)控與審查對信息安全風(fēng)險(xiǎn)管理主循環(huán)的四個(gè)步驟（即對象確立、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)控制和審核批準(zhǔn)）進(jìn)行監(jiān)控和審查。審查是跟蹤受保護(hù)系統(tǒng)自身或所處環(huán)境的變化，以保證結(jié)果的有效性。 風(fēng)險(xiǎn)評估 《 風(fēng)險(xiǎn)評估的監(jiān)控與審查記錄 》 風(fēng)險(xiǎn)評估過程中監(jiān)控和審查的范圍、對象、時(shí)間、過程、結(jié)果和措施等。 審核批準(zhǔn) 《 審核批準(zhǔn)的監(jiān)控與審查記錄 》 審核批準(zhǔn)過程中監(jiān)控和審查的范圍、對象、時(shí)間、過程、結(jié)果和措施等。溝通是為直接參與人員提供交流途徑，以保持他們之間的協(xié)調(diào)一致，共同實(shí)現(xiàn)安全目標(biāo)。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 70 溝通與咨詢的方式 方式 接受方 決策層 管理層 執(zhí)行層 支持層 用戶層 發(fā) 出 方 決策層 交流 指導(dǎo)和檢查 指導(dǎo)和檢查 表態(tài) 表態(tài) 管理層 匯報(bào) 交流 指導(dǎo)和檢查 宣傳和介紹 宣傳和介紹 執(zhí)行層 匯報(bào) 匯報(bào) 交流 宣傳和介紹 培訓(xùn)和咨詢 支持層 培訓(xùn)和咨詢 培訓(xùn)和咨詢 培訓(xùn)和咨詢 交流 培訓(xùn)和咨詢 用戶層 反饋 反饋 反饋 反饋 交流 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 硬商品買賣在阿里巴巴 軟商品交易在阿里巧巧 2023112 71 溝通與咨詢的過程 風(fēng) 險(xiǎn) 控 制風(fēng) 險(xiǎn) 評 估審 核 批 準(zhǔn)對 象 確 立溝通與咨詢對 象 確 立 的