【正文】 處 理修改審核材料測試審核對象監(jiān) 控 與 審 查?通 過是否?通 過是否審查審核材料整改審核對象檢查是否到期持 續(xù)監(jiān) 督檢查有無變化SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 50 審核申請 風(fēng) 險控 制了 解 審 核 業(yè) 務(wù)提 交 審 核 申 請審 核 業(yè) 務(wù) 介 紹受 理 審 核 申 請審 核 受 理 回 執(zhí)審 核 材 料審 核 申 請 書SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 51 審核處理 測 試 審 核 對 象組 織 專 家 鑒 定專 家 鑒 定 報 告測 試 結(jié) 果 報 告做 出 審 核 結(jié) 論審 核 結(jié) 論 報 告審 查 審 核 材 料審 查 結(jié) 果 報 告是 否否是修 改 審 核 材 料否是?修 改?通 過整 改 審 核 對 象否是否是?整 改?通 過?通 過審 核 材 料審 核 的 原 則 、規(guī) 定 和 程 序SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 52 批準申請 受 理 批 準 申 請批 準 受 理 回 執(zhí)審 核 結(jié) 論 報 告提 交 批 準 申 請批 準 申 請 書SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 53 批準處理 做 出 批 準 決 定批 準 決 定 書審 閱 批 準 材 料是 否?通 過審 核 結(jié) 論 報 告批 準 的 原 則 、規(guī) 定 和 程 序機 構(gòu) 的 使 命信 息 系 統(tǒng) 的安 全 要 求 報 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 54 持續(xù)監(jiān)督 檢 查 有 無 變 化檢 查 是 否 到 期批 準 決 定 書審 核 結(jié) 論 報 告是否?到 期?變 化有 無審 核 到 期 通 知 書批 準 到 期 通 知 書機 構(gòu) 變 化 因 素 的描 述 報 告環(huán) 境 變 化 因 素 的描 述 報 告審 核批 準SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 55 審核批準的文檔 階段 輸出文檔 文檔內(nèi)容 審核申請 《 審核申請書 》 審核的范圍、對象、目標和進度要求，以及申請者 的基本信息和簽字等。 《 審核受理回執(zhí) 》 同意受理、補充材料的要求和提交時間（如果需要）、審核的進度安排和收費標準，以及審核機構(gòu)的名稱和簽章等。 《 測試結(jié)果報告 》 測試的范圍、對象、意見和結(jié)論（即是否通過）， 以及測試人員的名字和簽字等。 《 審核結(jié)論報告 》 審核的范圍、對象、意見、結(jié)論（即是否通過）和 有效期，以及審核機構(gòu)的名稱和簽章等。 《 批準受理回執(zhí) 》 同意受理、補充材料的要求和提交時間（如果 需要），以及批準機構(gòu)的名稱和簽章等。 持續(xù)監(jiān)督 《 審核到期通知書 》 到期的時間和重新申請的要求，以及審核機構(gòu) 的名稱和簽章。 《 機構(gòu)變化因素的描述報告 》 機構(gòu)及其信息系統(tǒng)變化因素的列表、說明和安全隱患分析等。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 57 三、信息安全風(fēng)險管理各組成部分 對象確立 風(fēng)險評估 風(fēng)險控制 審核批準 監(jiān)控與審查 溝通與咨詢 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 58 監(jiān)控與審查的概述 監(jiān)控與審查對信息安全風(fēng)險管理主循環(huán)的四個步驟（即對象確立、風(fēng)險評估、風(fēng)險控制和審核批準）進行監(jiān)控和審查。審查是跟蹤受保護系統(tǒng)自身或所處環(huán)境的變化，以保證結(jié)果的有效性。 風(fēng)險評估 《 風(fēng)險評估的監(jiān)控與審查記錄 》 風(fēng)險評估過程中監(jiān)控和審查的范圍、對象、時間、過程、結(jié)果和措施等。 審核批準 《 審核批準的監(jiān)控與審查記錄 》 審核批準過程中監(jiān)控和審查的范圍、對象、時間、過程、結(jié)果和措施等。溝通是為直接參與人員提供交流途徑，以保持他們之間的協(xié)調(diào)一致，共同實現(xiàn)安全目標。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 70 溝通與咨詢的方式 方式 接受方 決策層 管理層 執(zhí)行層 支持層 用戶層 發(fā) 出 方 決策層 交流 指導(dǎo)和檢查 指導(dǎo)和檢查 表態(tài) 表態(tài) 管理層 匯報 交流 指導(dǎo)和檢查 宣傳和介紹 宣傳和介紹 執(zhí)行層 匯報 匯報 交流 宣傳和介紹 培訓(xùn)和咨詢 支持層 培訓(xùn)和咨詢 培訓(xùn)和咨詢 培訓(xùn)和咨詢 交流 培訓(xùn)和咨詢 用戶層 反饋 反饋 反饋 反饋 交流 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 71 溝通與咨詢的過程 風(fēng) 險 控 制風(fēng) 險 評 估審 核 批 準對 象 確 立溝通與咨詢對 象 確 立 的溝 通 與 咨 詢 記 錄風(fēng) 險 評 估 的溝 通 與 咨 詢 記 錄風(fēng) 險 控 制 的溝 通 與 咨 詢 記 錄審 核 批 準 的溝 通 與 咨 詢 記 錄SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 72 貫穿對象確立 階段 參與人員 涉及內(nèi)容 信息系統(tǒng) 信息安全風(fēng)險管 理 風(fēng)險管理準備 決策層 決策層 管理層 《 風(fēng)險管理計劃書 》 信息系統(tǒng)調(diào)查 管理層 執(zhí)行層 支持層 管理層 執(zhí)行層 《 信息系統(tǒng)的描述報告 》 信息系統(tǒng)分析 管理層 執(zhí)行層 支持層 管理層 執(zhí)行層 《 信息系統(tǒng)的分析報告 》 信息安全分析 管理層 執(zhí)行層 支持層 《 信息系統(tǒng)的安全要求報告》 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 73 貫穿風(fēng)險評估 階段 參與人員 涉及內(nèi)容 信息系統(tǒng) 信息安全風(fēng)險管理 風(fēng)險評估準備 決策層 決策層 管理層 《 風(fēng)險評估計劃 》 管理層 管理層 執(zhí)行層 支持層 《 風(fēng)險評估程序 》 《 入選風(fēng)險評估方法和工具列表 》 風(fēng)險因素識別 管理層 執(zhí)行層 執(zhí)行層 支持層 《 需要保護的資產(chǎn)清單 》 《 面臨的威脅列表 》 《 存在的脆弱性列表 》 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 74 貫穿風(fēng)險評估 風(fēng)險程度分析 管理層 執(zhí)行層 執(zhí)行層 支持層 《 已有安全措施分析報告 》 《 威脅源分析報告 》 《 威脅行為分析報告 》 《 脆弱性分析報告 》 《 資產(chǎn)價值分析報告 》 《 影響程度分析報告 》 風(fēng)險等級評價 執(zhí)行層 支持層 《 威脅源等級列表 》 《 威脅行為等級列表 》 《 脆弱性等級列表 》 《 資產(chǎn)價值等級列表 》 《 影響程度等級列表 》 《 風(fēng)險評估報告 》 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 75 貫穿風(fēng)險控制 階段 參與人員 涉及內(nèi)容 信息系統(tǒng) 信息安全風(fēng)險管 理 現(xiàn)存風(fēng)險判斷 決策層 管理層 決策層 管理層 執(zhí)行層 支持層 《 風(fēng)險接受等級劃分表 》 《 現(xiàn)存風(fēng)險接受判斷書 》 控制目標確立 管理層 管理層 執(zhí)行層 支持層 《 風(fēng)險控制需求分析報告 》 《 風(fēng)險控制目標列表 》 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 76 貫穿風(fēng)險控制 控制措施選擇 執(zhí)行層 支持層 《 入選風(fēng)險控制方式說明報告 》 《 入選風(fēng)險控制措施說明報告 》 控制措施實施 管理層 執(zhí)行層 管理層 執(zhí)行層 支持層 《 風(fēng)險控制實施計劃書 》 《 風(fēng)險控制實施記錄 》 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023/3/19 77 貫穿審核批準 階段 參與人員 涉及內(nèi)容 信息系統(tǒng) 信息安全風(fēng)險管理 審核申請 決策層 管理層 執(zhí)行層 《 審核申請書 》 《 審核材料 》 《 審核受理回執(zhí) 》 審核處理 管理層 執(zhí)行層 支持層 《 審查結(jié)果報告 》 《 測試結(jié)果報告 》