信息安全风险评估与风险管理fh

信息安全风险评估与风险管理报告人:范红二00四年九月2023/1/192汇报内容一、前言二、信息安全风险管理概述三、信息安全风险管理各组成部分四、信息安全风险管理的运用五、结束语2023/1/193一、前言

2023/1/194二、信息安全风险管理概述

1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任

2023/1/195二、信息安全风险管理概述

1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任

2023/1/196信息安全风险管理的目的和意义

信息安全风险管理是信息安全保障工作中的一项基础性工作。

1、信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。

2、信息安全风险管理贯穿信息系统生命周期的全部过程。

3、信息安全风险管理依据等级保护的思想和适度安全的原则，平衡成本与效益，合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基础设施，确定合适的安全措施，从而确保机构具有完成其使命的信息安全保障能力。2023/1/197二、信息安全风险管理概述

1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任

2023/1/198信息安全风险管理的范围和对象2023/1/199二、信息安全风险管理概述

1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任

2023/1/1910信息安全风险管理的内容和过程2023/1/111二、信息安全全风险管理概概述1、信息安全全风险管理的的目的和意义义2、信息安全全风险管理的的范围和对象象3、信息安全全风险管理的的内容和过程程4、信息安全全风险管理与与信息系统生生命周期和信息安全5、信息安全风险管理的角色和责任

2023/1/1三维维结结构构关关系系2023/1/113二、、信信息息安安全全风风险险管管理理概概述述1、2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任

2023/1/114信息息安安全全风风险险管管理理相相关关人人员员的的角角色色和和责责任任层面信息系统信息安全风险管理角色内外部责任角色内外部责任决策层主管者内负责信息系统的重大决策。主管者内负责信息安全风险管理的重大决策。管理层管理者内负责信息系统的规划，以及建设、运行、维护和监控等方面的组织和协调。管理者内负责信息安全风险管理的规划，以及实施和监控过程中的组织和协调。执行层建设者内或外负责信息系统的设计和实施。执行者内或外负责信息安全风险管理的实施。运行者内负责信息系统的日常运行和操作。维护者内或外负责信息系统的日常维护，包括维修和升级。监控者内负责信息系统的监视和控制。监控者内负责信息安全风险管理过程和结果的监视和控制。支持层专业者外为信息系统提供专业咨询、培训、诊断和工具等服务。专业者外为信息安全风险管理提供专业咨询、培训、诊断和工具等服务。用户层使用者内或外利用信息系统完成自身的任务。受益者内或外反馈信息安全风险管理的效果。2023/1/115三、信信息安安全风风险管管理各各组成成部分分1、对象象确立立2、风险险评估估3、风4、审核批准5、沟通与咨询6、监控与审查2023/1/116三、信息息安全风风险管理理各组成成部分1、对象确确立2、风险评评估3、风险控控制4、审核批批准5、沟通与与咨询6、监控与与审查2023/1/117对象确立立概述对象确立立是信息息安全风风险管理理的第一一步骤，，根据要要保护系系统的业业务目标标和特性性，确定定风险管管理对象象。其目目的是为为了明确确信息安安全风险险管理的的范围和和对象，，以及对对象的特特性和安安全要求求。2023/1/118对象确立过程程2023/1/119风险管理准备备2023/1/120信息系统调查查2023/1/121信息系统分析析2023/1/122信息安全分析析2023/1/123对象确立的的文档阶段输出文档文档内容风险管理准备《风险管理计划书》风险管理的目的、意义、范围、目标、组织结构、经费预算和进度安排等。信息系统调查《信息系统的描述报告》信息系统的业务目标、业务特性、管理特性和技术特性等。信息系统分析《信息系统的分析报告》信息系统的体系结构和关键要素等。信息安全分析《信息系统的安全要求报告》信息系统的安全环境和安全要求等。2023/1/124三、信息安安全风险管管理各组成成部分1、对象确立立2、风险评估估3、风险控制制4、审核批准准5、沟通与咨咨询6、监控与审审查2023/1/125风险评估概概述风险评估是是信息安全全风险管理理的第二步步，针对确确立的风险险管理对象象所面临的的风险进行行识别、分分析和评价价。2023/1/126风险评估估过程2023/1/127风险评估准备备2023/1/128风险因素识别别2023/1/129风险程度分析析2023/1/130风险险等等级级评评价价2023/1/131风险险评评估估的的文文档档阶段输出文档文档内容风险评估准备《风险评估计划书》风险评估的目的、意义、范围、目标、组织结构、经费预算和进度安排等。《风险评估程序》风险评估的工作流程、输入数据和输出结果等。《入选风险评估方法和工具列表》合适的风险评估方法和工具列表。风险因素识别《需要保护的资产清单》对机构使命具有关键和重要作用的需要保护的资产清单。《面临的威胁列表》机构的信息资产面临的威胁列表。《存在的脆弱性列表》机构的信息资产存在的脆弱性列表。2023/1/132风险险评评估估的的文文档档风险程度分析《已有安全措施分析报告》确认已有的安全措施，包括技术层面（即物理平台、系统平台、通信平台、网络平台和应用平台）的安全功能、组织层面（即结构、岗位和人员）的安全控制和管理层面（即策略、规章和制度）的安全对策。《威胁源分析报告》从利益、复仇、好奇和自负等驱使因素，分析威胁源动机的强弱。《威胁行为分析报告》从攻击的强度、广度、速度和深度等方面，分析威胁行为能力的高低。《脆弱性分析报告》按威胁/脆弱性对，分析脆弱性被威胁利用的难以程度。《资产价值分析报告》从敏感性、关键性和昂贵性等方面，分析资产价值的大小。《影响程度分析报告》从资产损失、使命妨碍和人员伤亡等方面，分析影响程度的深浅。2023/1/133风险险评评估估的的文文档档风险等级评价《威胁源等级列表》威胁源动机的等级列表。《威胁行为等级列表》威胁行为能力的等级列表。《脆弱性等级列表》脆弱性被利用的等级列表。《资产价值等级列表》资产价值的等级列表。《影响程度等级列表》影响程度的等级列表。《风险评估报告》汇总上述分析报告和等级列表，综合评价风险的等级。2023/1/134三、信信息安安全风风险管管理各各组成成部分分1、对象象确立立2、风险险评估估3、风险险控制制4、审核核批准准5、沟通通与咨咨询6、监控控与审审查2023/1/135风险控制概概述风险控制是信信息安全风险险管理的第三三步骤，依据据风险评估的的结果，选择择和实施合适适的安全措施施。风险控制方式式主要有规避、转移和和降低三种方式。2023/1/136风险控制需求求及其相应的的风险控制措措施PPDRR风险控制需求风险控制措施策略Policy设备管理制度建立健全各种安全相关的规章制定和操作规范，使得保护、检测和响应环节有章可循、切实有效。机房出入守则系统安全管理守则系统安全配置明细网络安全管理守则网络安全配置明细应用安全管理守则应用安全配置明细应急响应计划安全事件处理准则2023/1/137主要要的的风风险险控控制制需需求求及及其其相相应应的的风风险险控控制制措措施施保护Protection机房严格按照GB50174-1993《电子计算机机房设计规范》、GB9361-1988《计算站场地安全要求》、GB2887-1982《计算机站场地技术要求》和GB/T2887-2000《计算机场地通用规范》等国家标准建设和维护计算机机房。门控安装门控系统保安建设保安制度和保安队伍。电磁屏蔽在必要的地方设置抗电磁干扰和防电磁泄漏的设施。病毒防杀全面部署防病毒系统。漏洞补丁及时下载和安装最新的漏洞补丁模块。安全配置严格遵守各系统单元的安全配置明细，避免配置中的安全漏洞。身份认证根据不同的安全强度，分别采用身份标识/口令、数字钥匙、数字证书、生物识别、双因子等级别的身份认证系统，对设备、用户、服务等主客体进行身份认证。访问控制根据不同的安全强度，分别采用自主型、强制型等级别的访问控制系统，对设备、用户等主体访问客体的权限进行控制。数据加密根据不同的安全强度，分别采用商密、普密、机密等级别的数据加密系统，对传输数据和存储数据进行加密。边界控制在网络边界布置防火墙，阻止来自外界非法访问。数字水印对于需要版权保护的图片、声音、文字等形式的信息，采用数字水印技术加以保护。数字签名在需要防止事后否认时，可采用数字签名技术。内容净化部署内容过滤系统。安全机构、安全岗位、安全责任建立健全安全机构，合理设置安全岗位，明确划分安全责任。2023/1/138主要要的的风风险险控控制制需需求求及及其其相相应应的的风风险险控控制制措措施施检测Detection监视、监测和报警在适当的位置安置监视器和报警器，在各系统单元中配备监测系统和报警系统，以实时发现安全事件并及时报警。数据校验通过数据校验技术，发现数据篡改。主机入侵检测部署主机入侵检测系统，发现主机入侵行为。主机状态监测部署主机状态监测系统，随时掌握主机运行状态。网络入侵检测部署网络入侵检测系统，发现网络入侵行为。网络状态监测部署网络状态监测系统，随时掌握网络运行状态。安全审计在各系统单元中配备安全审计，以发现深层安全漏洞和安全事件。安全监督、安全检查实行持续有效的安全监督，预演应急响应计划。2023/1/139主要的风风险控制制需求及及其相应应的风险险控制措措施响应Response恢复Recovery故障修复、事故排除确保随时能够获取故障修复和事故排除的技术人员和软硬件工具。设施备份与恢复对于关键设施，配备设施备份与恢复系统。系统备份与恢复对于关键系统，配备系统备份与恢复系统。数据备份与恢复对于关键数据，配备数据备份与恢复系统。信道备份与恢复对于关键信道，配备设信道份与恢复系统。应用备份与恢复对于关键应用，配备应用备份与恢复系统。应急响应按照应急响应计划处理应急事件。安全事件处理按照安全事件处理找出原因、追究责任、总结经验、提出改进。2023/1/140风险控控制过过程2023/1/141现存风风险判判断2023/1/142控制目标确确立2023/1/143控制措施选选择2023/1/144控制措施实实施2023/1/145风险控制制的文档档阶段输出文档文档内容现存风险判断《风险接受等级划分表》风险接受等级的划分，即把风险评估得出的风险等级划分为可接受和不可接受两种。《现存风险接受判断书》现存风险是否可接受的判断结果。控制目标确立《风险控制需求分析报告》从技术层面（即物理平台、系统平台、通信平台、网络平台和应用平台）、组织层面（即结构、岗位和人员）和管理层面（即策略、规章和制度），分析风险控制的需求。《风险控制目标列表》风险控制目标的列表，包括控制对象及其最低保护等级。2023/1/146风险控制制的文档档控制措施选择《入选风险控制方式说明报告》选择合适的风险控制方式（包括规避方式、转移方式和降低方式），并说明选择的理由以及被选控制方式的使用方法和注意事项等。《入选风险控制措施说明报告》选择合适的风险控制措施，并说明选择的理由以及被选控制措施的成本、使用方法和注意事项等。控制措施实施《风险控制实施计划书》风险控制的范围、对象、目标、组织结构、成本预算和进度安排等。《风险控制实施记录》风险控制措施实施的过程和结果。2023/1/147三、信息息安全风风险管理理各组成成部分1、对象确确立2、风险评评估3、风险控控制4、审核批批准5、沟通与与咨询6、监控与与审查2023/1/148审核批准准概述审核批准准是信息息安全风风险管理理的第四四步骤，，审核批批准包括括审核和和批准两两部分：：审核是是指通过过审查、、测试、、评审等等手段，，检验风风险评估估和风险险控制的的结果是是否满足足信息系系统的安安全要求求；批准准是指机机构的决决策层依依据审核核的结果果，做出出是否认认可的决决定。审核既可可以由机机构内部部完成，，也可以以委托外外部专业业机构来来完成，，这主要要取决于于信息系系统的性性质和机机构自身身的专业业能力。。批准一一般必须须由机构构内部或或更高层层的主管管机构的的决策层层来执行行。2023/1/149审核批准过程程及其在信息息安全风险管管理中的位置置2023/1/150审核申请2023/1/151审核处理2023/1/152批准申请2023/1/153批准处理2023/1/154持续监监督2023/1/155审核批批准的的文档档阶段输出文档文档内容审核申请《审核申请书》审核的范围、对象、目标和进度要求，以及申请者的基本信息和签字等。《审核材料》风险评估过程和风险控制过程输出的文档、软件和硬件等结果。《审核受理回执》同意受理、补充材料的要求和提交时间（如果需要）、审核的进度安排和收费标准，以及审核机构的名称和签章等。审核处理《审查结果报告》审查的范围、对象、意见和结论（即是否通过），以及审查人员的名字和签字等。《测试结果报告》测试的范围、对象、意见和结论（即是否通过），以及测试人员的名字和签字等。《专家鉴定报告》鉴定的范围、对象（及其基本情况）和结论，以及专家名单和签字等。《审核结论报告》审核的范围、对象、意见、结论（即是否通过）和有效期，以及审核机构的名称和签章等。2023/1/156审核批批准的的文档档批准申请《批准申请书》批准的范围、对象和期望，以及申请者的基本信息和签字等。《批准受理回执》同意受理、补充材料的要求和提交时间（如果需要），以及批准机构的名称和签章等。批准处理《批准决定书》批准的范围、对象、意见、结论（即是否通过）和有效期，以及批准机构的名称和签章等。持续监督《审核到期通知书》到期的时间和重新申请的要求，以及审核机构的名称和签章。《批准到期通知书》到期的时间和重新申请的要求，以及批准机构的名称和签章。《机构变化因素的描述报告》机构及其信息系统变化因素的列表、说明和安全隐患分析等。《环境变化因素的描述报告》信息安全相关环境变化因素的列表、说明和安全隐患分析等。2023/1/157三、信信息安安全风风险管管理各各组成成部分分1、对象象确立立2、风险险评估估3、风险险控制制4、审核核批准准5、监控控与审审查6、沟通通与咨咨询2023/1/158监控控与与审审查查的的概概述述监控控与与审审查查对对信信息息安安全全风风险险管管理理主主循循环环的的四四个个步步骤骤（（即即对对象象确确立立、、风风险险评评估估、、风风险险控控制制和和审审核核批批准准））进进行行监监控控和和审审查查。。监监控控是是监监视视和和控控制制，，一一是是监监视视和和控控制制风风险险管管理理过过程程，，即即过过程程质质量量管管理理，，以以保保证证过过程程的的有有效效性性；；二二是是分分析析和和平平衡衡成成本本效效益益，，即即成成本本效效益益管管理理，，以以保保证证成成本本的的有有效效性性。。审审查查是是跟跟踪踪受受保保护护系系统统自自身身或或所所处处环环境境的的变变化化，，以以保保证证结结果果的的有有效效性性。。2023/1/159监控控与与审审查查过过程程2023/1/160贯穿穿对对象象确确立立阶段监控审查过程有效性成本有效性结果有效性风险管理准备风险管理计划制定的流程及其相关文档风险管理计划的成本与效果《风险管理计划书》的时效信息系统调查信息系统调查的流程及其相关文档信息系统调查的成本与效果《信息系统的描述报告》的时效信息系统分析信息系统分析的流程及其相关文档信息系统分析的成本与效果《信息系统的分析报告》的时效信息安全分析信息系统安全要求分析的流程及其相关文档信息系统安全要求分析的成本与效果《信息系统的安全要求报告》的时效2023/1/161贯穿风险险评估阶段监控审查过程有效性成本有效性结果有效性风险评估准备风险评估的计划制定、程序确定以及方法和工具选择的流程及其相关文档风险评估的计划、程序以及入选方法和工具的成本与效果《风险评估计划》、《风险评估程序》和《入选风险评估方法和工具列表》的时效风险因素识别资产、威胁列和脆弱性识别的流程及其相关文档资产、威胁列和脆弱性识别的成本与效果《需要保护的资产清单》、《面临的威胁列表》和《存在的脆弱性列表》的时效2023/1/162贯穿风险评估估风险程度分析已有安全措施、威胁源、威胁行为、脆弱性、资产价值和影响程度分析的流程及其相关文档已有安全措施、威胁源、威胁行为、脆弱性、资产价值和影响程度分析的成本与效果《已有安全措施分析报告》、《威胁源分析报告》、《威胁行为分析报告》、《脆弱性分析报告》、《资产价值分析报告》和《影响程度分析报告》的时效风险等级评价威胁源等级、威胁行为等级、脆弱性等级、资产价值等级和影响程度等级评价以及《风险评估报告》生成的流程及其相关文档威胁源等级、威胁行为等级、脆弱性等级、资产价值等级和影响程度等级评价以及《风险评估报告》生成的成本与效果《威胁源等级列表》、《威胁行为等级列表》、《脆弱性等级列表》、《资产价值等级列表》、《影响程度等级列表》和《风险评估报告》的时效2023/1/163贯穿风险控制制阶段监控审查过程有效性成本有效性结果有效性现存风险判断可接受风险等级确定和现存风险接受判断的流程及其相关文档可接受风险等级确定和现存风险接受判断的成本与效果《风险接受等级划分表》和《现存风险接受判断书》的时效控制目标确立风险控制需求分析和风险控制目标确立的流程及其相关文档风险控制需求分析和风险控制目标确立的成本与效果《风险控制需求分析报告》和《风险控制目标列表》的时效2023/1/164贯穿风险控制制控制措施选择风险控制方式和措施选择的流程及其相关文档入选风险控制方式和措施的成本与效果《入选风险控制方式说明报告》和《入选风险控制措施说明报告》的时效控制措施实施风险控制实施计划制定和风险控制措施实施的流程及其相关文档风险控制实施计划制定和风险控制措施实施的成本与效果《风险控制实施计划书》和《风险控制实施记录》的时效2023/1/165贯穿审核批批准阶段监控审查过程有效性成本有效性结果有效性审核申请审核申请和受理的流程及其相关文档审核申请和受理的成本与效果《审核申请书》、《审核材料》和《审核受理回执》的时效审核处理审核材料审查、审核对象测试、专家鉴定和审核结论给出的流程及其相关文档审核材料审查、审核对象测试、专家鉴定和审核结论给出的成本与效果《审查结果报告》、《测试结果报告》、《专家鉴定报告》和《审核结论报告》的时效2023/1/166贯穿审核批批准批准申请批准申请和受理的流程及其相关文档批准申请和受理的成本与效果《批准申请书》和《批准受理回执》的时效批准处理审阅批准材料和批准决定做出的流程及其相关文档审阅批准材料和批准决定做出的成本与效果《批准决定书》的时效持续监督《审核结论报告》和《批准决定书》到期检查和机构及其环境变化检查的流程及其相关文档《审核结论报告》和《批准决定书》到期检查和机构及其环境变化检查的成本与效果《机构变化因素的描述报告》和《环境变化因素的描述报告》的时效2023/1/167监控与审查查的文档过程输出文档文档内容对象确立《对象确立的监控与审查记录》对象确立过程中监控和审查的范围、对象、时间、过程、结果和措施等。风险评估《风险评估的监控与审查记录》风险评估过程中监控和审查的范围、对象、时间、过程、结果和措施等。风险控制《风险控制的监控与审查记录》风险控制过程中监控和审查的范围、对象、时间、过程、结果和措施等。审核批准《审核批准的监控与审查记录》审核批准过程中监控和审查的范围、对象、时间、过程、结果和措施等。2023/1/168三、信息安全全风险管理各各组成部分1、对象确立2、风险评估3、风险控制4、审核批准5、监控与审查查6、沟通与咨询询2023/1/169沟通与咨询的的概述沟通与咨询为为信息安全风风险管理主循循环的四个步步骤（即对象象确立、风险险评估、风险险控制和审核核批准）中相相关人员提供供沟通和咨询询。沟通是为为直接参与人人员提供交流流途径，以保保持他们之间间的协调一致致，共同实现现安全目标。。咨询是为所所有相关人员员提供学习途途径，以提高高他们的风险险意识、知识识和技能，配配合实现安全全目标。2023/1/170沟通与与咨询询的方方式方式接受方决策层管理层执行层支持层用户层发出方决策层交流指导和检查指导和检查表态表态管理层汇报交流指导和检查宣传和介绍宣传和介绍执行层汇报汇报交流宣传和介绍培训和咨询支持层培训和咨询培训和咨询培训和咨询交流培训和咨询用户层反馈反馈反馈反馈交流2023/1/171沟通与与咨询询的过过程2023/1/172贯穿对对象确确立阶段参与人员涉及内容信息系统信息安全风险管理风险管理准备决策层决策层管理层《风险管理计划书》信息系统调查管理层执行层支持层管理层执行层《信息系统的描述报告》信息系统分析管理层执行层支持层管理层执行层《信息系统的分析报告》信息安全分析管理层执行层支持层《信息系统的安全要求报告》2023/1/173贯穿风风险评评估阶段参与人员涉及内容信息系统信息安全风险管理风险评估准备决策层决策层管理层《风险评估计划》管理层管理层执行层支持层《风险评估程序》《入选风险评估方法和工具列表》风险因素识别管理层执行层执行层支持层《需要保护的资产清单》《面临的威胁列表》《存在的脆弱性列表》2023/1/174贯穿风险险评估风险程度分析管理层执行层执行层支持层《已有安全措施分析报告》《威胁源分析报告》《威胁行为分析报告》《脆弱性分析报告》《资产价值分析报告》《影响程度分析报告》风险等级评价执行层支持层《威胁源等级列表》《威胁行为等级列表》《脆弱性等级列表》《资产价值等级列表》《影响程度等级列表》《风险评估报告》2023/1/175贯穿风险险控制阶段参与人员涉及内容信息系统信息安全风险管理现存风险判断决策层管理层决策层管理层执行层支持层《风险接受等级划分表》《现存风险接受判断书》控制目标确立管理层管理层执行层支持层《风险控制需求分析报告》《风险控制目标列表》2023/1/176贯穿风险控控制控制措施选择执行层支持层《入选风险控制方式说明报告》《入选风险控制措施说明报告》控制措施实施管理层执行层管理层执行层支持层《风险控制实施计划书》《风险控制实施记录》2023/1/177贯穿审核批批准阶段参与人员涉及内容信息系统信息安全风险管理审核申请决策层管理层执行层《审核申请书》《审核材料》《审核受理回执》审核处理管理层执行层支持层《审查结果报告》《测试结果报告》《专家鉴定报告》《审核结论报告》2023/1/178贯穿审核批批准批准申请决策层管理层执行层《批准申请书》《批准受理回执》批准处理决策层决策层管理层《批准决定书》持续监督管理层执行层管理层执行层《机构变化因素的描述报告》《环境变化因素的描述报告》2023/1/179沟通通与与咨咨询询的的文文档档过程输出文档文档内容对象确立《对象确立的沟通与咨询记录》对象确立过程中沟通和咨询的范围、对象、时间、内容和结果等。风险评估《风险评估的沟通与咨询记录》风险评估过程中沟通和咨询的范围、对象、时间、内容和结果等。风险控制《风险控制的沟通与咨询记录》风险控制过程中沟通和咨询的范围、对象、时间、内容和结果等。审核批准《审核批准的沟通与咨询记录》审核批准过程中沟通和咨询的范围、对象、时间、内容和结果等。2023/1/180四、、信信息息安安全全风风险险管管理理的的运运用用1、规规划划阶阶段段2、设设计计阶阶段段3、实实施施阶阶段段4、运运维维阶阶段段5、废废弃弃阶阶段段2023/1/181四、信息安全全风险管理的的运用1、规划阶段2、设计阶段3、实施阶段4、运维阶段5、废弃阶段2023/1/182安全需求和目目标明确安全总体体方针确保安全总体体方针源自业业务期望明确项目范围围清晰描述项目目范围内所涉涉及系统的安安全现状提交明确的安安全需求文档档清晰描述从系系统的那些层层次进行安全全实现对实现的可能能性进行充分分分析、论证证明确评价准则则并达成一致致2023/1/183风险险管管理理的的过过程程概概述述在项项目目规规划划阶阶段段，，风风险险管管理理者者应应能能清清楚楚、、准准确确地地描描述述机机构构的的安安全全总总体体方方针针、、安安全全策策略略、、风风险险管管理理范范围围、、当当前前正正在在进进行行的的或或计计划划中中将将要要执执行行的的风风险险管管理理活活动动以以及及当当前前特特殊殊安安全全要要求求等等。。2023/1/184风险险管管理理的的活活动动序号风险管理活动所处风险管理流程1明确安全总体方针对象确立2安全需求分析对象确立、风险评估3风险评价准则达成一致风险控制、审核批准2023/1/185四、信息息安全风风险管理理的运用用1、规划阶阶段2、设计阶阶段3、实施阶阶段4、运维阶阶段5、废弃阶阶段2023/1/186安全需求求和目标标对用以实实现安全全系统的的各类技技术进行行有效性性评估。。对用于实实施方案案的产品品需满足足安全保保护等级级的要求求对自开发发的软件件要在结结构设计计阶段就就充分考考虑安全全风险2023/1/187风险管理的的过程概述述在设计阶段段，风险管管理者应能能标识出在在项目结构构实现过程程中潜在的的安全风险险，为设计计说明中的的安全性设设计提供评评判依据，，并对实施施方案中选选择的产品品进行合格格检查，确确保项目设设计阶段的的重要环节节均能得到到较好的安安全风险控控制。2023/1/188风险管理的的活动序号风险管理活动所处风险管理流程1安全技术选择风险控制2安全产品选择风险控制3软件设计风险控制风险控制2023/1/189四、信息安安全风险管管理的运用用1、规划阶段段2、设计阶段段3、实施阶段段4、运维阶段段5、废弃阶段段2023/1/190安全需需求和和目标标实施阶阶段是是按照照规划划和设设计阶阶段所所定义义的信信息系系统实实施方方案，，采购购设备备和软软件，，开发发定制制功能能，集集成、、部署署、配配置和和测试试系统统，培培训人人员，，并对对是否否允许许系统统投入入运行行进行行审核核批准准。2023/1/191风险管理的的过程概述述实施阶段的的风险管理理主要活动动包括检查查与配置、、安全测试试、人员培培训及授权权运行，