风险评估及等级保护课件

风险评估的国际动态风险评估的国际动态1汇报要点信息安全管理成为信息安全保障的热点泰德带来的启示风险评估和等级保护的关系汇报要点信息安全管理成为信息安全保障的热点2信息安全管理成为

信息安全保障的热点信息安全管理成为

信息安全保障的热点3ITIS$！信息就是财富,安全才有价值。CI:CriticalInfrastructureCIP:CriticalInfrastructureProtectionCII:CriticalInformation

Infrastructure.CIIP:CriticalInformation

InfrastructureProtection技术提供安全保障功能，但不是安全保障的全部提高人的安全意识，技术、管理两手抓成为国际共识。ITIS$！4标准化组织和行业团体抓紧制定管理标准ISO13335正在重组修改正在修订17799BS7799-2成为国际标准正在讨论标准化组织和行业团体抓紧制定管理标准ISO5NIST在联邦IT系统认证认可的名义下提出大量规范SP800-18《IT系统安全计划开发指南》（1998年12月）

SP800-26《IT系统安全自评估指南》（2001年11月）SP800-30《IT系统风险管理指南》（2002年1月发布，2004年1月21日

修订）SP800-37《联邦IT系统认证认可指南》（2002年9月，2003年7月，2004年5月最后文本）FIPS199《联邦信息和信息系统的安全分类标准》（草案第一版）（2003年12月）SP800-53《联邦信息系统安全控制》（2003年8月31日发布草案）

SP800-53A《联邦信息系统安全控制有效性检验技术和流程》（计划2003至2004年出版）SP800-60《信息和信息类型与安全目标及风险级别对应指南》（2004年3月草案2.0版)NIST在联邦IT系统认证认可的名义下提出大量规范6ManagingEnterpriseRiskandAchievingMoreSecureInformationSystemsinvolves—Categorizing(enterpriseinformationandinformationsystems)Selecting(appropriatesecuritycontrols)Refining(securitycontrolsthroughariskassessment)Documenting(securitycontrolsinasystemsecurityplan)Implementing(securitycontrolsinnewandlegacysystems)Assessing(theeffectivenessofsecuritycontrols)Determining(enterprise-levelriskandriskacceptability)Authorizing(informationsystemsforprocessing)Monitoring(securitycontrolsonanongoingbasis)

ManagingEnterpriseRiskandA7国际信息系统审计与控制协会

(ISACA)

提出：1.ISRiskAssessment,effective1July20022.DigitalSignatures,effective1July20023.IntrusionDetection,effective1August20034.VirusesandotherMaliciousLogic,effective1August20035.ControlRiskSelf-assessment,effective1August20036.Firewalls,effective1August20037.IrregularitiesandIllegalActsEffective1November20038.SecuurityAssessment—PenetrationTestingandVulnerabilityAnalysis,effective1September2004国际信息系统审计与控制协会(ISACA)提出：8提出《信息和相关技术的控制目标》(CoBIT)CoBIT开发和推广了第三版，CoBIT起源于组织为达到业务目标所需的信息这个前提

CoBIT鼓励以业务流程为中心，实行业务流程负责制CoBIT还考虑到组织对信用、质量和安全的需要它提供了组织用于定义其对IT业务要求的几条信息准则：效率、效果、可用性、完整性、保密性、可靠性和一致性。提出《信息和相关技术的控制目标》(CoBIT)9CoBIT进一步把IT分成4个领域计划和组织，获取和运用，交付和支持，监控和评价。共计34个IT业务流程。其中3个与信息安全直接密切相关的业务流程是：计划和组织流程9——评估风险：传递和支持流程4——确保连贯的服务；传递和支持流程5——保证系统安全。CoBIT进一步把IT分成4个领域10CoBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目标，以及建立在这些目标上的广泛的行动指南。后者是用来评估和审计对IT流程控制和治理的程度。CoBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提11国际CIIP手册(2004)国际CIIP手册(2004)12PartIIAnalysisofMethodsandModelsforCIIAssessment1SectorAnalysis2InterdependencyAnalysis3RiskAnalysis4ThreatAssessment5VulnerabilityAssessment6ImpactAssessment7SystemAnalysisPartIIAnalysisofMethodsan132002年版TechnicalIT-SecurityModelsRiskAnalysisMethodology(forITSystems)InfrastructureRiskAnalysisModel(IRAM)Leontief-BasedModelofRiskinComplexInterconnectedInfrastructures

2002年版TechnicalIT-SecurityMo14SectorandLayerModel,SectorAnalysis,ProcessandTechnologyAnalysis,DimensionalInterdependencyAnalysis.SectorandLayerModel,15泰德带来的启示泰德带来的启示16风险三角形风险资产威胁脆弱性风险三角形风险资产威胁脆弱性17泰德眼中的

InformationSecurityGovernance

标准体系（

ISMS）BS7799Part2CorporateGovernancePLANDOACTCHECK风险管理处理系统控制内部审计功能ISO/IEC17799泰德眼中的

InformationSecurityGov18ISMSStandards

ISO/IEC17799and

BS7799-2SecurityprocessesandcontrolcompliancestatementsControlsandcontrolimplementationadviceControlsNON-MANDATORYStatementsRiskassessmentAudit/reviewsMANDATORYStatementsRiskassessment,treatmentandmanagementComplianceaudit/reviews(SHALLstatements)GovernanceprinciplesISMSStandards

ISO/IEC17799a19ISMSSpecifications

ISMSStandards

Managementsystemspecs,guidance&auditingBS7799Part2ISMSGuidelines(riskassessment,selectionofcontrols)GMITS/MICTSISO/IEC18044IncidenthandlingPD3000seriesonriskandselectionofcontrolsISMSControlCataloguesISO/IEC17799Managementsystemcertificationandaccreditationstandards(auditingprocess,proceduresetc)ISOGuide62EA7/03EN45013EN45012ISO19011ISO9001NationalschemesandstandardsISMSSpecificationsISMSStanda20ProductStandardsTechnicalimplementationandspecificationstandardsEncryptionAuthenticationDigitalsignaturesKeymanagementNon-repudiationITnetworksecurityTPPservicesTimestampingAccesscontrolBiometricsCardsProductandproductsystemtestingandevaluationISO/IEC15408EvaluationcriteriaProtectionprofilesProductStandardsTechnicalimp21ISMSStandards

BS7799-2:2002PLANDOACTCHECKPDCAModelDesignISMSImplement&useISMSMonitor&reviewISMSMaintain&improveISMSRiskbasedcontinualimprovementframeworkforinformationsecuritymanagementISMSStandards

BS7799-2:2002P22ISO/IEC17799新老版本对比SecuritypolicySecurityorganisationAssetclassification&controlPersonnelsecurityPhysical&environmentalsecurityCommunications&operationsmanagementAccesscontrolSystemsdevelopment&maintenanceBusinesscontinuityCompliance2000versionSecuritypolicyOrganisinginformationsecurityAssetmanagementHumanresourcessecurityPhysical&environmentalsecurityCommunications&operationsmanagementAccesscontrolInformationsystemsacquisition,developmentandmaintenance

BusinesscontinuitymanagementComplianceInformationsecurityincidentmanagementnewversionSecuritypolicyOrganisinginformationsecurityAssetmanagementHumanresourcessecurityPhysical&environmentalsecurityCommunications&operationsmanagementAccesscontrolInformationsystemsacquisition,developmentandmaintenance

BusinesscontinuitymanagementComplianceInformationsecurityincidentmanagementnewversionISO/IEC17799新老版本对比Securitypo23ISMSStandards

RevisionofISO/IEC17799:2000SatisfyrequirementControl(plussupportingtext)Staterequirement2000editionControlObjectiveControlImplementationguidanceOtherinformationRevisededitionControlObjectiveISMSStandards

RevisionofISO24新老版本变化ISO/IEC17799neweditionISO/IEC17799oldedition9oldcontrolsdeleted16newcontrolsadded118controlsremaining老版本:包含10个控制要项，36个控制目标，127个控制措施新版本:11个39个134个新老版本变化ISO/IEC17799ISO/IEC17725风险评估如何贯穿于安全管理

BS7799-2:2002设计ISMSImplementandusetheISMSMonitoringandreviewtheISMSImproveandupdatetheISMS计划DOCHECKACTISMS定义ISMS的执行范围和政策执行风险评估对风险评估处理作出决定

选择控制风险评估如何贯穿于安全管理

BS7799-2:2002设计26ISMSStandards

BS7799-2:2002DesigntheISMS执行和使用ISMSMonitoringandreviewtheISMSImproveandupdatetheISMSPLAN行动CHECKACTISMS执行风险评估处理计划执行控制执行意识/培训将ISMS放到

操作使用中ISMSStandards

BS7799-2:2002D27ISMSStandards

BS7799-2:2002DesigntheISMSImplementandusetheISMS监控和检查ISMSImproveandupdatetheISMSPLANDO检查ACTISMS执行监控进程执行定期检查

检查剩余风险和可接受的风险内部审计ISMSStandards

BS7799-2:2002D28ISMSStandards

BS7799-2:2002DesigntheISMSImplementandusetheISMSMonitoringandreviewtheISMS改进和升级ISMSPLANDOCHECKACTISMS实现改进矫正性和预防性的活动传达结果

检查改进达到的目标ISMSStandards

BS7799-2:2002D29ISMSAssetsBusinessprocessesInformation

PeopleServicesICTPhysicallocationApplications

assetdirectoryAssetsCorporateimagePeopleInformation/informationsystemsProcessesProducts/servicesApplicationsICTPhysicalISO/IEC177997.1.1InventoryofassetsISMSAssetsBusinessprocessesI30ISMSRisksAssetthreats&vulnerabilitiesAssetvalue&utility

assetdirectoryAssetsCorporateimagePeopleInformation/informationsystemsProcessesProducts/servicesApplicationsICTPhysicalRisktreatmentRisks&impactsRisktreatmentISMSRisksAssetAssetvaluea31风险等级不可容忍的风险可容忍的风险很少发生业务暴露持续的业务暴露对业务影响的因果关系较小对业务产生灾难性影响的因果关系业务影响低(可忽略,无关紧要,为不足道,无须重视)

中低(值得注意,相当可观但不是主要的)

中

(重要,主要)中高

(严重危险,潜在灾难)高

(破坏性的,总体失灵,完全停顿)风险等级不可容忍可容忍很少发生业务暴露持续的业务暴露对业务影32保密性要求(C)资产价值分级描述1–低可公开非敏感信息和信息处理设施及系统资源，可以公开.。2–中仅供内部使用或限制使用非敏感的信息仅限内部使用，即不能公开或限制信息或信息处理设施及系统资源可在组织内部根据业务需要的约束来使用。3–高秘密或绝密敏感的信息或信息处理设施和系统资源，只能根据需要（need-to-know）或严格依据工作需要。资产分级

保密性要求(C)资产价值分级描述1–低可公开非敏感信息33完整性要求(I)资产价值分级描述1–低低完整性对信息的非授权的损害或更改不会危及业务应用或对业务的影响可以忽略。2–中中完整性对信息的非授权的损害或更改不会危及业务应用，但是值得注意以及对业务的影响是重要的。3–高高或非常高完整性对信息的非授权的损害或更改危及业务应用，且对业务的影响是严重的并会导致业务应用的重大或全局失败。资产分级完整性要求(I)资产价值分级描述1–低低完整性对信息的34可用性要求

(A)资产价值分级描述1-低低可用性资产(信息,信息系统

系统资源/网络服务,人员等.)可以容忍多于一天的不能使用。2–中中可用性资产(信息,信息系统

系统资源/网络服务,人员等.)可以容忍半天到一天的不能使用。3–高高可用性资产(信息,信息系统

系统资源/网络服务,人员等.)可以容忍几个小时的不能使用。4–非常高非常高的可用性资产(信息,信息系统

系统资源/网络服务,人员等.)必须保证每年每周24x7工作。资产分级可用性要求(A)资产价值分级描述1-低低可用性资产35威胁和脆弱性估计威胁应该考虑它们出现的可能性，以及可能利用弱点/脆弱性可能性。实例不太可能发生的机会小于可能出现的机会小于25%很可能/大概机会50:50高可能发生的机会多于75%非常可能不发生的机会小于1/10绝对无疑100%会发生威胁和脆弱性估计威胁应该考虑它们出现的可能性，以及可能利用弱36风险控制RiskthresholdRisklevel风险控制RiskthresholdRisklevel37风险控制ContinualImprovement风险控制ContinualImprovement38启示风险评估是出发点等级划分是判断点安全控制是落脚点启示风险评估是出发点39风险评估

和

等级保护的关系风险评估

和

等级保护的关系4027号文件把实施信息系统安全等级保护作为重要基础性工作。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。我们国家为实施等级保护奋斗了20年。

27号文件把实施信息系统安全等级保护作为重要基础性工作。41实施信息安全等级保护，能够有效地提高我国信息和信息系统安全建设的整体水平，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本；有利于优化信息安全资源的配置，对信息系统分级实施保护，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全；有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理；有利于推动信息安全产业的发展，逐步探索出一条适应社会主义市场经济发展的信息安全模式。实施信息安全等级保护，能够有效地提高我国信息和信息系统安全建42信息安全等级保护制度的基本内容

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护制度的基本内容信息安全等级保护是指对国家秘43保护等级的划分1、第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。2、第二级为指导保护级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。保护等级的划分1、第一级为自主保护级，适用于一般的信息和信息443、第三级为监督保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。4、第四级为强制保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。

3、第三级为监督保护级，适用于涉及国家安全、社会秩序、经济建455、第五级为专控保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。5、第五级为专控保护级，适用于涉及国家安全、社会秩序、经济建46实施信息安全等级保护工作的要求

（一）完善标准，分类指导。（二）科学定级，严格备案。（三）建设整改，落实措施。（四）自查自纠，落实要求。（五）建立制度，加强管理。（六）监督检查，完善保护。

实施信息安全等级保护工作的要求（一）完善标准，分类指导。47同一个问题的不同侧面从资产的重要性看-划分需要的保护等级。从面对的威胁和脆弱性看-进行风险分析。从安全保障能力看-选择需要的安全控制。等级保护制度进行全面管理、响应和处置。同一个问题的不同侧面从资产的重要性看-划分需要的保护等级。48几点认识风险评估是落实等级保护的抓手。面向对象和面向手段不能分割。IT驱动和业务驱动同样需要。风险评估是出发点等级划分是判断点安全控制是落脚点几点认识风险评估是落实等级保护的抓手。49谢谢大家谢谢大家50演讲完毕，谢谢观看！演讲完毕，谢谢观看！51风险评估的国际动态风险评估的国际动态52汇报要点信息安全管理成为信息安全保障的热点泰德带来的启示风险评估和等级保护的关系汇报要点信息安全管理成为信息安全保障的热点53信息安全管理成为

信息安全保障的热点信息安全管理成为

信息安全保障的热点54ITIS$！信息就是财富,安全才有价值。CI:CriticalInfrastructureCIP:CriticalInfrastructureProtectionCII:CriticalInformation

Infrastructure.CIIP:CriticalInformation

InfrastructureProtection技术提供安全保障功能，但不是安全保障的全部提高人的安全意识，技术、管理两手抓成为国际共识。ITIS$！55标准化组织和行业团体抓紧制定管理标准ISO13335正在重组修改正在修订17799BS7799-2成为国际标准正在讨论标准化组织和行业团体抓紧制定管理标准ISO56NIST在联邦IT系统认证认可的名义下提出大量规范SP800-18《IT系统安全计划开发指南》（1998年12月）

SP800-26《IT系统安全自评估指南》（2001年11月）SP800-30《IT系统风险管理指南》（2002年1月发布，2004年1月21日

修订）SP800-37《联邦IT系统认证认可指南》（2002年9月，2003年7月，2004年5月最后文本）FIPS199《联邦信息和信息系统的安全分类标准》（草案第一版）（2003年12月）SP800-53《联邦信息系统安全控制》（2003年8月31日发布草案）

SP800-53A《联邦信息系统安全控制有效性检验技术和流程》（计划2003至2004年出版）SP800-60《信息和信息类型与安全目标及风险级别对应指南》（2004年3月草案2.0版)NIST在联邦IT系统认证认可的名义下提出大量规范57ManagingEnterpriseRiskandAchievingMoreSecureInformationSystemsinvolves—Categorizing(enterpriseinformationandinformationsystems)Selecting(appropriatesecuritycontrols)Refining(securitycontrolsthroughariskassessment)Documenting(securitycontrolsinasystemsecurityplan)Implementing(securitycontrolsinnewandlegacysystems)Assessing(theeffectivenessofsecuritycontrols)Determining(enterprise-levelriskandriskacceptability)Authorizing(informationsystemsforprocessing)Monitoring(securitycontrolsonanongoingbasis)

ManagingEnterpriseRiskandA58国际信息系统审计与控制协会

(ISACA)

提出：1.ISRiskAssessment,effective1July20022.DigitalSignatures,effective1July20023.IntrusionDetection,effective1August20034.VirusesandotherMaliciousLogic,effective1August20035.ControlRiskSelf-assessment,effective1August20036.Firewalls,effective1August20037.IrregularitiesandIllegalActsEffective1November20038.SecuurityAssessment—PenetrationTestingandVulnerabilityAnalysis,effective1September2004国际信息系统审计与控制协会(ISACA)提出：59提出《信息和相关技术的控制目标》(CoBIT)CoBIT开发和推广了第三版，CoBIT起源于组织为达到业务目标所需的信息这个前提

CoBIT鼓励以业务流程为中心，实行业务流程负责制CoBIT还考虑到组织对信用、质量和安全的需要它提供了组织用于定义其对IT业务要求的几条信息准则：效率、效果、可用性、完整性、保密性、可靠性和一致性。提出《信息和相关技术的控制目标》(CoBIT)60CoBIT进一步把IT分成4个领域计划和组织，获取和运用，交付和支持，监控和评价。共计34个IT业务流程。其中3个与信息安全直接密切相关的业务流程是：计划和组织流程9——评估风险：传递和支持流程4——确保连贯的服务；传递和支持流程5——保证系统安全。CoBIT进一步把IT分成4个领域61CoBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目标，以及建立在这些目标上的广泛的行动指南。后者是用来评估和审计对IT流程控制和治理的程度。CoBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提62国际CIIP手册(2004)国际CIIP手册(2004)63PartIIAnalysisofMethodsandModelsforCIIAssessment1SectorAnalysis2InterdependencyAnalysis3RiskAnalysis4ThreatAssessment5VulnerabilityAssessment6ImpactAssessment7SystemAnalysisPartIIAnalysisofMethodsan642002年版TechnicalIT-SecurityModelsRiskAnalysisMethodology(forITSystems)InfrastructureRiskAnalysisModel(IRAM)Leontief-BasedModelofRiskinComplexInterconnectedInfrastructures

2002年版TechnicalIT-SecurityMo65SectorandLayerModel,SectorAnalysis,ProcessandTechnologyAnalysis,DimensionalInterdependencyAnalysis.SectorandLayerModel,66泰德带来的启示泰德带来的启示67风险三角形风险资产威胁脆弱性风险三角形风险资产威胁脆弱性68泰德眼中的

InformationSecurityGovernance

标准体系（

ISMS）BS7799Part2CorporateGovernancePLANDOACTCHECK风险管理处理系统控制内部审计功能ISO/IEC17799泰德眼中的

InformationSecurityGov69ISMSStandards

ISO/IEC17799and

BS7799-2SecurityprocessesandcontrolcompliancestatementsControlsandcontrolimplementationadviceControlsNON-MANDATORYStatementsRiskassessmentAudit/reviewsMANDATORYStatementsRiskassessment,treatmentandmanagementComplianceaudit/reviews(SHALLstatements)GovernanceprinciplesISMSStandards

ISO/IEC17799a70ISMSSpecifications

ISMSStandards

Managementsystemspecs,guidance&auditingBS7799Part2ISMSGuidelines(riskassessment,selectionofcontrols)GMITS/MICTSISO/IEC18044IncidenthandlingPD3000seriesonriskandselectionofcontrolsISMSControlCataloguesISO/IEC17799Managementsystemcertificationandaccreditationstandards(auditingprocess,proceduresetc)ISOGuide62EA7/03EN45013EN45012ISO19011ISO9001NationalschemesandstandardsISMSSpecificationsISMSStanda71ProductStandardsTechnicalimplementationandspecificationstandardsEncryptionAuthenticationDigitalsignaturesKeymanagementNon-repudiationITnetworksecurityTPPservicesTimestampingAccesscontrolBiometricsCardsProductandproductsystemtestingandevaluationISO/IEC15408EvaluationcriteriaProtectionprofilesProductStandardsTechnicalimp72ISMSStandards

BS7799-2:2002PLANDOACTCHECKPDCAModelDesignISMSImplement&useISMSMonitor&reviewISMSMaintain&improveISMSRiskbasedcontinualimprovementframeworkforinformationsecuritymanagementISMSStandards

BS7799-2:2002P73ISO/IEC17799新老版本对比SecuritypolicySecurityorganisationAssetclassification&controlPersonnelsecurityPhysical&environmentalsecurityCommunications&operationsmanagementAccesscontrolSystemsdevelopment&maintenanceBusinesscontinuityCompliance2000versionSecuritypolicyOrganisinginformationsecurityAssetmanagementHumanresourcessecurityPhysical&environmentalsecurityCommunications&operationsmanagementAccesscontrolInformationsystemsacquisition,developmentandmaintenance

BusinesscontinuitymanagementComplianceInformationsecurityincidentmanagementnewversionSecuritypolicyOrganisinginformationsecurityAssetmanagementHumanresourcessecurityPhysical&environmentalsecurityCommunications&operationsmanagementAccesscontrolInformationsystemsacquisition,developmentandmaintenance

BusinesscontinuitymanagementComplianceInformationsecurityincidentmanagementnewversionISO/IEC17799新老版本对比Securitypo74ISMSStandards

RevisionofISO/IEC17799:2000SatisfyrequirementControl(plussupportingtext)Staterequirement2000editionControlObjectiveControlImplementationguidanceOtherinformationRevisededitionControlObjectiveISMSStandards

RevisionofISO75新老版本变化ISO/IEC17799neweditionISO/IEC17799oldedition9oldcontrolsdeleted16newcontrolsadded118controlsremaining老版本:包含10个控制要项，36个控制目标，127个控制措施新版本:11个39个134个新老版本变化ISO/IEC17799ISO/IEC17776风险评估如何贯穿于安全管理

BS7799-2:2002设计ISMSImplementandusetheISMSMonitoringandreviewtheISMSImproveandupdatetheISMS计划DOCHECKACTISMS定义ISMS的执行范围和政策执行风险评估对风险评估处理作出决定

选择控制风险评估如何贯穿于安全管理

BS7799-2:2002设计77ISMSStandards

BS7799-2:2002DesigntheISMS执行和使用ISMSMonitoringandreviewtheISMSImproveandupdatetheISMSPLAN行动CHECKACTISMS执行风险评估处理计划执行控制执行意识/培训将ISMS放到

操作使用中ISMSStandards

BS7799-2:2002D78ISMSStandards

BS7799-2:2002DesigntheISMSImplementandusetheISMS监控和检查ISMSImproveandupdatetheISMSPLANDO检查ACTISMS执行监控进程执行定期检查

检查剩余风险和可接受的风险内部审计ISMSStandards

BS7799-2:2002D79ISMSStandards

BS7799-2:2002DesigntheISMSImplementandusetheISMSMonitoringandreviewtheISMS改进和升级ISMSPLANDOCHECKACTISMS实现改进矫正性和预防性的活动传达结果

检查改进达到的目标ISMSStandards

BS7799-2:2002D80ISMSAssetsBusinessprocessesInformation

PeopleServicesICTPhysicallocationApplications

assetdirectoryAssetsCorporateimagePeopleInformation/informationsystemsProcessesProducts/servicesApplicationsICTPhysicalISO/IEC177997.1.1InventoryofassetsISMSAssetsBusinessprocessesI81ISMSRisksAssetthreats&vulnerabilitiesAssetvalue&utility

assetdirectoryAssetsCorporateimagePeopleInformation/informationsystemsProcessesProducts/servicesApplicationsICTPhysicalRisktreatmentRisks&impactsRisktreatmentISMSRisksAssetAssetvaluea82风险等级不可容忍的风险可容忍的风险很少发生业务暴露持续的业务暴露对业务影响的因果关系较小对业务产生灾难性影响的因果关系业务影响低(可忽略,无关紧要,为不足道,无须重视)

中低(值得注意,相当可观但不是主要的)

中

(重要,主要)中高

(严重危险,潜在灾难)高

(破坏性的,总体失灵,完全停顿)风险等级不可容忍可容忍很少发生业务暴露持续的业务暴露对业务影83保密性要求(C)资产价值分级描述1–低可公开非敏感信息和信息处理设施及系统资源，可以公开.。2–中仅供内部使用或限制使用非敏感的信息仅限内部使用，即不能公开或限制信息或信息处理设施及系统资源可在组织内部根据业务需要的约束来使用。3–高秘密或绝密敏感的信息或信息处理设施和系统资源，只能根据需要（need-to-know）或严格依据工作需要。资产分级

保密性要求(C)资产价值分级描述1–低可公开非敏感信息84完整性要求(I)资产价值分级描述1–低低完整性对信息的非授权的损害或更改不会危及业务应用或对业务的影响可以忽略。2–中中完整性对信息的非授权的损害或更改不会危及业务应用，但是值得注意以及对业务的影响是重要的。3–高高或非常高完整性对信息的非授权的损害或更改危及业务应用，且对业务的影响是严重的并会导致业务应用的重大或全局失败。资产分级完整性要求(I)资产价值分级描述1–低低完整性对信息的85可用性要求

(A)资产价值分级描述1-低低可用性资产(信息,信息系统

系统资源/网络服务,人员等.)可以容忍多于一天的不能使用。2–中中可用性资产(信息,信息系统

系统资源/网络