信息安全风险评估与风险管理

信息安全风险评估与风险管理

国家信息中心信息安全服务与研究中心

范红二00四年九月汇报内容一、前言二、信息安全风险管理概述三、信息安全风险管理各组成部分四、信息安全风险管理的运用五、结束语2023/7/212一、前言

2023/7/213二村、免信溪息封安材全狸风刷险休管稍理离概啄述1、传信制息仁安肉全谦风董险枯管幅理崭的远目仗的炊和执意串义2、高信商息溪安段全扔风馅险皆管面理透的优范拒围悠和链对第象3、茫信屡息飘安宫全骄风逗险悔管谢理忌的侮内放容卖和蕉过燥程4、谅信带息伴安爽全伶风稀险绩管唤理板与蓝信息息夏系席统锄生准命炒周期侄和翠信耻息眠安姿全放目朋标售的载关旋系5、修信叶息哪安热全崭风疯险泼管相理持的之角筹色宿和匀责米任2珍0涉2手3剑/很7碧/使1狼74二萄、谋信朵息哈安盏全倚风裂险辨管赠理全概尖述1、奏信叠息违安软全腥风接险痕管凤理挠的往目法的州和去意院义2、朗信陡息身安巾全宴风兼险胖管摩理议的铸范喷围放和熄对差象3、衰信遮息眨安凭全柏风狼险缘瑞管走理难的潜内侄容哑和严过熟程4、棒信色息贩安蜂全脉风弃险咸管纤理娇与骨信股息朋系惠统霞生删命泽周期四和秒信最息舍安辩全族目旧标绍的利关崭系5、愧信毕息腹安芬全朽风艘险蛮管握理形的裕角策色龙和引责粮任2普0慈2悟3泄/植7联/塔1陶75信泪息婆安勿全左风降险销管松理宇的粉目过的类和眉意感义信息息欢安赢全京风平险精管哄理野是湾信镰息邻安粥全看保饲障琴工市作剖中岩的纹一户项合基理础损性喉工易作丛。1、耐信制息堵安垒全抓风告险怖管顾理策体锦现势在南信造息妇安内全她保博障仙体劲系幅的讲技巷术盯、盛组葵织得和嚷管洗理映等莲方颤面仁。2、焰信合息滴安贼全称风厅险仆管边理恐贯爱穿谎信捎息翠系浩统聚生夹命余周佩期鲜的菠全料部乖过犁程券。3、证信潮息钱安稿全富风壁险睁管委理酸依掘据敌等惭级模保璃护迁的樱思败想嚼和孝适龟度产安谜全雨的真原鬼则逮，仅平凭衡议成杰本植与投效言益时，仰合导理门部应署饥和愤利僵用僵信哨息缩慧安填全雀的射信苹任当体盾系平、交监拆控建体打系津和脆应支急威处叹理慢等英重身要桐的塞基京础昨设难施惭，镇确滴定叨合慈适径的劲安折全乔措府施脸，景从夸而圈确杏保罢机近构峰具塑有携完亦成徐其蚕使螺命堡的弓信煎息皱安辅全马保化障歪能芦力撕。2脱0肯2乘3哲/粉7张/献1剩76二浪、凶信辜息缎安跨全苏风轻险永管浊理号概嫩述1、尼信围息代安箱全铺风笋险厌管段理厉的制目组的泥和茄意征义2、阔信论息置安嫂全搅风伞险朋管梁理扮的脚范盈围席和速对轧象3、委信英息学安石全种风贪险沃管右理传的或内话容羊和丹过态程4、疯信熟息顶安青全通风蒸险烧管冠理持与渡信买息寄系惩统馋生嫁命柴周期商和须信思息态安晨全仓目快标术的带关票系5、火信略息祝安总全无风灰险漫管滑理赚的储角皱色掘和堪责证任2幅0劲2毅3叹/熔7文/酬1梁77信朴息剧安析全绢风勒险拌管峡理僻的匀范招围焦和券对理象2导0怪2威3袜/伤7唐/刘1舱78二特、竖信届息脾安鼻全玻风鹊险货管派理迷概聚述1、听信登息住安求全辨风轿险差管肤理扣的滔目苗的湿和玻意遥义2、促信董息盐安西全从风蹲险鞠管啄理之的宝范愧围勉和镇对绢象3、卸信蛋息趟安锋全忧风务险持管胃理镜的弹内踢容辰和哭过嗓程4、匹信矮息摄安磁全击风那险剖管意理谅与记信节息洪系衣统品生霜命榜周期聪和零信塑息高安解全侄目浙标缴的继关帐系5、堵信栽息塌安倚全歌风继险务管外理惕的海角忆色事和来责堡任2酬0棚2脾3辽/枣7后/辅1祖79信顿息匠安稠全射风马险提管颤理涝的耗内叫容誉和仍过误程2栽0宽2香3巡寿/始7战/栋1舰71覆0二虑、嘴信蓬息译安掏全纪风踪蝶险辣管湿理夸概怜述1、千信总息唤安纤全观风谜险典管页理珍的乳目欺的素和菊意填义2、卷信骄息贿安名全狱风弱险揉管碍理拜的脏范山围谣和垒对激象3、烧信西息翼安械全崇风捎险蜜管彻理床的伐内岗容执和谊过汉程4、仇信连息胃安急全饥风帝险态管乌理枪与劈燕信洽息戴系捞统蚁生意命崇周期那和猜信哨息竟安菠全亭目危标虑的业关登系5、蛮信咳息懒安里全惭风左险判管疏理僵的德角逗色耳和冻责肥任2超0钱2庸3分/结7晕/伟1户71懒1三鹿维霜结司构列关递系2摇0斧2斑3幸/滤7帐/悟1餐71抵2二洒、挥信腰息损安辞全嘴风阴险魄管劈燕理宴概运述1、款信坏息蜻安非全洒风打险俘管项理别的容目忘的花和飞意抵义2、请信职息桨安扫全赛风预险琴管驳理呼的叮范趴围楼和胖对织象3、录信弦息僻安寨全团风勒险肠管融理莲的丽内适容药和吐过寻程4、摧信嫁息亭安矛全都风思险茧管盒理个与垮信能息遵系握统姥生钟命顺周期洞和晴信吉息泡安郑全态目保标吼的爸关尊系5、汗信糕息绒安露全掏风捧险阅管客理洗的店角种色采和蓄责辰任2苹0名2怪3敬/悦7雀/担1竖71按3信喊息我安枣全挣风徒险茶管牧理那相忘关考人夸员夸的月角伶色豆和事责县任层面信息系统信息安全风险管理角色内外部责任角色内外部责任决策层主管者内负责信息系统的重大决策。主管者内负责信息安全风险管理的重大决策。管理层管理者内负责信息系统的规划，以及建设、运行、维护和监控等方面的组织和协调。管理者内负责信息安全风险管理的规划，以及实施和监控过程中的组织和协调。执行层建设者内或外负责信息系统的设计和实施。执行者内或外负责信息安全风险管理的实施。运行者内负责信息系统的日常运行和操作。维护者内或外负责信息系统的日常维护，包括维修和升级。监控者内负责信息系统的监视和控制。监控者内负责信息安全风险管理过程和结果的监视和控制。支持层专业者外为信息系统提供专业咨询、培训、诊断和工具等服务。专业者外为信息安全风险管理提供专业咨询、培训、诊断和工具等服务。用户层使用者内或外利用信息系统完成自身的任务。受益者内或外反馈信息安全风险管理的效果。2般0借2绞3激/须7扯/斤1完71与4三报、割信兄息碗安煤全充风拘险婆管马理欣各拍组恳成情部逐分1、宝对多象盟确辅立2、龙风俗险私评餐估3、这风图险侨控当制4、扫审诞核构批吓准5、渠沟睛通钳与炭咨滋询6、休监怒控伤与抓审配查2融0脖2削3烧/旅7坡/鼠1脏71膀5三德、挽信袜息殃安博全躬风悉险野管接理福各亭组微成辅部宜分1、歌对识象狮确堆立2、白风覆险蚊评脏估3、使风订险敢控犯制4、汁审执核茫批检准5、颗沟气通铲与御咨授询6、粮监洽控牺与奸审故查2夫0幕2缩慧3毙/来7袄/取1属71高6对哀象梁确雅立蹈概陪述对宗象植确榨立功是肿信晃息锐安滩全蛛风表险飞管苹理湖的拼第刃一定步亿骤毙，粗根餐据批要舅保猜护水系里统箱的馋业蚊务帝目筑标健和舱特男性脉，质确驰定逮风鬼险腔管暴理光对内象捏。或其记目早的愉是蹈为迹了谎明笋确义信缩慧息词安友全逆风忆险键管释理弦的搁范远围乳和蹈对萍象饱，叫以招及本对筐象悦的胆特揭性棉和尊安刘全拔要狗求算。2混0捷2萄3广/添7趣/袭1袋71运7对香象稼确模立附过伤程2挠0泪2钻3红/炭7渡/穿1麻71戚8风码险育管窜理骨准训备2粗0赌2惭3叨/战7毒/辅1饰71正9信彩息御系尾统嫩调治查2愤0犁2饭3讨/园7冬/微1俩72贱0信拘息载系璃统剩分滚析2香0肆2落3次/绕7扒/贷1籍72品1信马息糖安级全臭分举析2自0亲2津3放/勒7粥/混1罗72绪2对蒸象裁确仅立装的论文块档阶段输出文档文档内容风险管理准备《风险管理计划书》风险管理的目的、意义、范围、目标、组织结构、经费预算和进度安排等。信息系统调查《信息系统的描述报告》信息系统的业务目标、业务特性、管理特性和技术特性等。信息系统分析《信息系统的分析报告》信息系统的体系结构和关键要素等。信息安全分析《信息系统的安全要求报告》信息系统的安全环境和安全要求等。2兼0杯2品3慢/部7偶/单1贺72俭3三疼、涌信滚息钢安滑全某风攻险城管绞理简各垦组盾成摘部陶分1、社对蕉象忍确扒立2、首风君险芳评海估3、代风烈险揭控偷制4、须审筝核浮批温准5、怪沟菜通畜与跪咨爸询6、跑监驰控咐与帮审房诚查2直0洲2赛3神/膜7樱/袜1芹72仆4风捆险侮评父估高概溪述风籍险列评岔估葛是穷信咽息瓣安次全所风登险谣管海理递的袜第打二激步哲，桃针盲对抖确庭立暗的垦风雕险奴管坏理脾对披象烂所君面租临贪的荐风漏险分进皇行饿识喇别桌、暗分献析咱和丹评皱价福。2挑0察2削3缩慧/蹦7胆/溜1歌72扣5风显险陆评行估弄过蓝程2芝0驾2耍3腊/补7搞/律1槐72逗6风渐险初评悦估碧准左备2袖0威2雨3特/倡7闪/许1生72倦7风侮险闷因滴素破识也别2迟0晕2津3冻/矛7屿/催1胆72辟8风唉险这程盏度法分寸析2伐0插2商3禾/宵7浙/凡1走72追9风驱险毯等哭级址评浊价2来0津2状3范/亿7万/熊1胸73届0风堂险渠评灿估缸的负文菜档阶段输出文档文档内容风险评估准备《风险评估计划书》风险评估的目的、意义、范围、目标、组织结构、经费预算和进度安排等。《风险评估程序》风险评估的工作流程、输入数据和输出结果等。《入选风险评估方法和工具列表》合适的风险评估方法和工具列表。风险因素识别《需要保护的资产清单》对机构使命具有关键和重要作用的需要保护的资产清单。《面临的威胁列表》机构的信息资产面临的威胁列表。《存在的脆弱性列表》机构的信息资产存在的脆弱性列表。2萝0壮2策3剃/桑7诞/筋1哄73盟1风堵险弃评抗估售的辅文识档风险程度分析《已有安全措施分析报告》确认已有的安全措施，包括技术层面（即物理平台、系统平台、通信平台、网络平台和应用平台）的安全功能、组织层面（即结构、岗位和人员）的安全控制和管理层面（即策略、规章和制度）的安全对策。《威胁源分析报告》从利益、复仇、好奇和自负等驱使因素，分析威胁源动机的强弱。《威胁行为分析报告》从攻击的强度、广度、速度和深度等方面，分析威胁行为能力的高低。《脆弱性分析报告》按威胁/脆弱性对，分析脆弱性被威胁利用的难以程度。《资产价值分析报告》从敏感性、关键性和昂贵性等方面，分析资产价值的大小。《影响程度分析报告》从资产损失、使命妨碍和人员伤亡等方面，分析影响程度的深浅。2首0夺2掘3男/少7材/筝1石73昏2风采险郑评故估良的情文目档风险等级评价《威胁源等级列表》威胁源动机的等级列表。《威胁行为等级列表》威胁行为能力的等级列表。《脆弱性等级列表》脆弱性被利用的等级列表。《资产价值等级列表》资产价值的等级列表。《影响程度等级列表》影响程度的等级列表。《风险评估报告》汇总上述分析报告和等级列表，综合评价风险的等级。2米0观2鱼3液/江7鄙/划1是73乞3三湖、突信巾息续安僻全呜风如险妇管打理祝各耗组驰成子部通分1、窗对铸象克确专立2、浑风锯险灯评房诚估3、包风飘险弯控急制4、陡审士核武批备准5、摘沟贞通组与璃咨脑询6、骄监铁控宪与枕审掉查2凑0烦2越3痛/服7悟/肠1版73镜4风淡险涨控辨制工概例述风混险房诚控冰制笨是巴信欺息圈安绑全围风序险温管愉理象的盼第蕉三陵步南骤苏，挤依栋据没风耐险慰评睬估丹的撤结予果存，棋选滑择导和勿实筑施黎合婶适舍的叠安笨全尖措赔施俊。风谊险徒控蚂制膏方钱式匀主少要仗有裳规亚避宣、阅转食移柳和肿降损低斧三捆种惨方旁式。2规0骂2展3圈/脸7稠/聪1偷73警5风溪险着控晃制柱需竖求喝及造其歇相显应音的缠风岛险率控板制沾措狭施PPDRR风险控制需求风险控制措施策略Policy设备管理制度建立健全各种安全相关的规章制定和操作规范，使得保护、检测和响应环节有章可循、切实有效。机房出入守则系统安全管理守则系统安全配置明细网络安全管理守则网络安全配置明细应用安全管理守则应用安全配置明细应急响应计划安全事件处理准则2苍0超2奥3渣/光7拉/钉1逗73姻6主蠢要速的权风怎险果控叛制朝需卷求币及志其拢相戒应辨的麻风剧险惯控翁制只措四施保护Protection机房严格按照GB50174-1993《电子计算机机房设计规范》、GB9361-1988《计算站场地安全要求》、GB2887-1982《计算机站场地技术要求》和GB/T2887-2000《计算机场地通用规范》等国家标准建设和维护计算机机房。门控安装门控系统保安建设保安制度和保安队伍。电磁屏蔽在必要的地方设置抗电磁干扰和防电磁泄漏的设施。病毒防杀全面部署防病毒系统。漏洞补丁及时下载和安装最新的漏洞补丁模块。安全配置严格遵守各系统单元的安全配置明细，避免配置中的安全漏洞。身份认证根据不同的安全强度，分别采用身份标识/口令、数字钥匙、数字证书、生物识别、双因子等级别的身份认证系统，对设备、用户、服务等主客体进行身份认证。访问控制根据不同的安全强度，分别采用自主型、强制型等级别的访问控制系统，对设备、用户等主体访问客体的权限进行控制。数据加密根据不同的安全强度，分别采用商密、普密、机密等级别的数据加密系统，对传输数据和存储数据进行加密。边界控制在网络边界布置防火墙，阻止来自外界非法访问。数字水印对于需要版权保护的图片、声音、文字等形式的信息，采用数字水印技术加以保护。数字签名在需要防止事后否认时，可采用数字签名技术。内容净化部署内容过滤系统。安全机构、安全岗位、安全责任建立健全安全机构，合理设置安全岗位，明确划分安全责任。2贺0锤2粒3薯/蛇7聪/帽1驶73曲7主谋要萌的订风浩险画控书制芒需裂求染及吹其枝相优应粘的努风扛险缘瑞控驳制念措磨施检测Detection监视、监测和报警在适当的位置安置监视器和报警器，在各系统单元中配备监测系统和报警系统，以实时发现安全事件并及时报警。数据校验通过数据校验技术，发现数据篡改。主机入侵检测部署主机入侵检测系统，发现主机入侵行为。主机状态监测部署主机状态监测系统，随时掌握主机运行状态。网络入侵检测部署网络入侵检测系统，发现网络入侵行为。网络状态监测部署网络状态监测系统，随时掌握网络运行状态。安全审计在各系统单元中配备安全审计，以发现深层安全漏洞和安全事件。安全监督、安全检查实行持续有效的安全监督，预演应急响应计划。2漆0太2蛋3奇/挡7居/陷1堵73胸8主斯要笑的挖风层险孤控吊制泊需肿求弯及混其眼相舅应堡的叔风机险训控邮制靠措毯施响应Response恢复Recovery故障修复、事故排除确保随时能够获取故障修复和事故排除的技术人员和软硬件工具。设施备份与恢复对于关键设施，配备设施备份与恢复系统。系统备份与恢复对于关键系统，配备系统备份与恢复系统。数据备份与恢复对于关键数据，配备数据备份与恢复系统。信道备份与恢复对于关键信道，配备设信道份与恢复系统。应用备份与恢复对于关键应用，配备应用备份与恢复系统。应急响应按照应急响应计划处理应急事件。安全事件处理按照安全事件处理找出原因、追究责任、总结经验、提出改进。2罗0追2李3带/找7香/泽1予73挣9风预险景控挣制石过排程2论0拒2胶3孩/朴7普/柜1疼74叨0现宽存弯风猛险爱判俘断2寒0遣2杀3宿/封7顷/或1走74驴1控哭制舌目暂标尘确仆立2茂0团2酸3烂/颗7的/响1指74港2控杨制颗措滔施继选剂择2晓0狂2调3型/明7泽/墓1趟74斩3控部制灿措军施循实悬施2湿0极2下3蜜/旬7饶/脉1盖74四4风碰险脉控虽制掩的套文少档阶段输出文档文档内容现存风险判断《风险接受等级划分表》风险接受等级的划分，即把风险评估得出的风险等级划分为可接受和不可接受两种。《现存风险接受判断书》现存风险是否可接受的判断结果。控制目标确立《风险控制需求分析报告》从技术层面（即物理平台、系统平台、通信平台、网络平台和应用平台）、组织层面（即结构、岗位和人员）和管理层面（即策略、规章和制度），分析风险控制的需求。《风险控制目标列表》风险控制目标的列表，包括控制对象及其最低保护等级。2浩0途2讨3浆/架7纯/渗1雁74朗5风时险御控兽制顾的祖文闪档控制措施选择《入选风险控制方式说明报告》选择合适的风险控制方式（包括规避方式、转移方式和降低方式），并说明选择的理由以及被选控制方式的使用方法和注意事项等。《入选风险控制措施说明报告》选择合适的风险控制措施，并说明选择的理由以及被选控制措施的成本、使用方法和注意事项等。控制措施实施《风险控制实施计划书》风险控制的范围、对象、目标、组织结构、成本预算和进度安排等。《风险控制实施记录》风险控制措施实施的过程和结果。2嚷0越2楚3周/丑7膊/辫1谋74阔6三尚、乐信徐息炉安滋全瓶风呆险订管蜂理弄各卸组朵成芬部权分1、丧对周象害确北立2、习风岗险较评研估3、久风码险泛控梨制4、凳审苗核览批梦准5、涛沟扯通超与窃咨惕询6、合监严控容与殃审吸查2辽0少2览3摆/抗7怖/贱1贿74向7审叫核符批语准讲概仪述审妥核棚批贱准效是矿信魂息点安绢全网风时险未管沃理坝的什第政四啊步刻骤毒，蛇审阴核酸批懒准牲包国括亩审挡核齐和里批晋准陡两泉部胶分爽：亲审塘核蔽是皂指瓣通俭过驾审摇查钟、株测税试揪、总评遍审嫁等荒手饼段承，胆检梨验堪风哨险汪评诉估西和败风源险娱控花制处的晃结盖果绍是索否菠满闯足送信枣息炎系熄统冶的雨安贯全闸要绢求株；渗批党准肠是雅指扔机机构攀的暮决敲策榨层捐依倡据页审逢核党的宿结脑果鱼，壁做平出或是慢否岂认领可舞的多决开定振。审泛核董既挂可盒以找由勉机亚构柿内具部闹完常成暮，析也客可晌以营委筹托殃外骑部卵专座业舍机领构杆来脸完恶成罗，久这缎主破要字取流决针于泻信蝇息朗系欠统粱的久性高质嗓和若机厨构撞自秋身戏的丸专橡业校能少力拢。薄批蜓准砍一时般群必方须远由躁机脏构吸内母部铅或续更找高勿层朗的锻主倘管精机瓶构激的查决朴策京层纱来套执葛行章。2衣0虽2捡3容/模7罗/语1补74仅8审身核早批这准像过暴程写及设其踪蝶在淹信代息乔安捞全壤风革险两管胜理赌中渡的枪位岂置2循0昆2食3母/桶7功/桂1警74狸9审齿核蚁申紧请2经0距2崖3兴/睬7接/互1梨75唤0审矿核丽处奔理2景0涛2辞3毕/跟7级/接1匹75陡1批节准未申精请2春0吵2较3辟/元7吉/佣1谈75柴2批户准冈处坡理2田0款2沙3便/针7酷/连1踢75榴3持微续径监糊督2羡0叔2喊3尽/命7吼/录1喂75酷4审剧核嚼批漂准景的甚文绞档阶段输出文档文档内容审核申请《审核申请书》审核的范围、对象、目标和进度要求，以及申请者的基本信息和签字等。《审核材料》风险评估过程和风险控制过程输出的文档、软件和硬件等结果。《审核受理回执》同意受理、补充材料的要求和提交时间（如果需要）、审核的进度安排和收费标准，以及审核机构的名称和签章等。审核处理《审查结果报告》审查的范围、对象、意见和结论（即是否通过），以及审查人员的名字和签字等。《测试结果报告》测试的范围、对象、意见和结论（即是否通过），以及测试人员的名字和签字等。《专家鉴定报告》鉴定的范围、对象（及其基本情况）和结论，以及专家名单和签字等。《审核结论报告》审核的范围、对象、意见、结论（即是否通过）和有效期，以及审核机构的名称和签章等。2销0渴2繁3否/及7绵/璃1我75语5审边核毒批秀准愤的之文坚档批准申请《批准申请书》批准的范围、对象和期望，以及申请者的基本信息和签字等。《批准受理回执》同意受理、补充材料的要求和提交时间（如果需要），以及批准机构的名称和签章等。批准处理《批准决定书》批准的范围、对象、意见、结论（即是否通过）和有效期，以及批准机构的名称和签章等。持续监督《审核到期通知书》到期的时间和重新申请的要求，以及审核机构的名称和签章。《批准到期通知书》到期的时间和重新申请的要求，以及批准机构的名称和签章。《机构变化因素的描述报告》机构及其信息系统变化因素的列表、说明和安全隐患分析等。《环境变化因素的描述报告》信息安全相关环境变化因素的列表、说明和安全隐患分析等。2惯0草2墨3扑/评7节/身1梦75这6三谜、精信查息膀安振全栗风岸险霜管诊理援各偶组危成恩部背分1、装对服象去确舅立2、疫风冶险反评永估3、铜风渐险牛控净制4、祝审聋核遥批号准5、惰监恒控蜻与浙审氏查6、均沟误通搁与晕咨知询2律0际2灰3主/鹿7因/湿1寺75瓜7监燥控串与浸审厚查味的钳概政述监计控慈与注审墓查拢对鹊信勺息岩安煌全箱风夜险高管争理乌主坟循鸦环乘的铺四匹个温步眼骤颈（葬即厚对或象唐确列立谢、耻风柴险搁评贼估拉、鸦风早险举控逗制键和贱审娃核拿批飞准厨）灵进晒行柔监霉控氏和较审贤查驱。腐监芒控粥是羞监补视托和撒控帝制能，船一似是森监阿视字和硬控纽奉制距风辟险球管跟理脖过拆程胃，扶即掘过融程骂质槐量朝管培理仗，吧以芹保快证惰过哗程界的御有嫂效详性站；帜二锐是童分厚析束和贴平司衡智成邮本困效师益蔽，映即荷成秩本烛效疼益踢管拥理唐，只以粘保糟证席成摘本柔的之有齿效纳性渴。简审队查佣是否跟钓踪贸受益保淘护标系钩统使自订身济或城所撑处柜环惨境累的花变粪化愤，楼以总保葡证结结臭果傍的那有退效难性哄。2陵0呆2捉3到/山7络/润1谎75令8监忆控趣与擦审历查盈过印程2妹0湖2驴3谱/浅7皂/荷1某75耕9贯捡穿闯对论象奋确津立阶段监控审查过程有效性成本有效性结果有效性风险管理准备风险管理计划制定的流程及其相关文档风险管理计划的成本与效果《风险管理计划书》的时效信息系统调查信息系统调查的流程及其相关文档信息系统调查的成本与效果《信息系统的描述报告》的时效信息系统分析信息系统分析的流程及其相关文档信息系统分析的成本与效果《信息系统的分析报告》的时效信息安全分析信息系统安全要求分析的流程及其相关文档信息系统安全要求分析的成本与效果《信息系统的安全要求报告》的时效2当0电2键3晃/绞7议/窄1疑76灭0贯绿穿纸风劣险储评燥估阶段监控审查过程有效性成本有效性结果有效性风险评估准备风险评估的计划制定、程序确定以及方法和工具选择的流程及其相关文档风险评估的计划、程序以及入选方法和工具的成本与效果《风险评估计划》、《风险评估程序》和《入选风险评估方法和工具列表》的时效风险因素识别资产、威胁列和脆弱性识别的流程及其相关文档资产、威胁列和脆弱性识别的成本与效果《需要保护的资产清单》、《面临的威胁列表》和《存在的脆弱性列表》的时效2高0纤2替3博/唤7搞/医1垂76删1贯消穿纳风闹险涉评课估风险程度分析已有安全措施、威胁源、威胁行为、脆弱性、资产价值和影响程度分析的流程及其相关文档已有安全措施、威胁源、威胁行为、脆弱性、资产价值和影响程度分析的成本与效果《已有安全措施分析报告》、《威胁源分析报告》、《威胁行为分析报告》、《脆弱性分析报告》、《资产价值分析报告》和《影响程度分析报告》的时效风险等级评价威胁源等级、威胁行为等级、脆弱性等级、资产价值等级和影响程度等级评价以及《风险评估报告》生成的流程及其相关文档威胁源等级、威胁行为等级、脆弱性等级、资产价值等级和影响程度等级评价以及《风险评估报告》生成的成本与效果《威胁源等级列表》、《威胁行为等级列表》、《脆弱性等级列表》、《资产价值等级列表》、《影响程度等级列表》和《风险评估报告》的时效2津0地2趁3址/床7伞/润1优76算2贯碧穿视风旬险略控跟制阶段监控审查过程有效性成本有效性结果有效性现存风险判断可接受风险等级确定和现存风险接受判断的流程及其相关文档可接受风险等级确定和现存风险接受判断的成本与效果《风险接受等级划分表》和《现存风险接受判断书》的时效控制目标确立风险控制需求分析和风险控制目标确立的流程及其相关文档风险控制需求分析和风险控制目标确立的成本与效果《风险控制需求分析报告》和《风险控制目标列表》的时效2窗0涉2块3甩/央7滩/页1要76愿3贯趁穿疮风脏险谎控事制控制措施选择风险控制方式和措施选择的流程及其相关文档入选风险控制方式和措施的成本与效果《入选风险控制方式说明报告》和《入选风险控制措施说明报告》的时效控制措施实施风险控制实施计划制定和风险控制措施实施的流程及其相关文档风险控制实施计划制定和风险控制措施实施的成本与效果《风险控制实施计划书》和《风险控制实施记录》的时效2迅0拥2呀3砍/启7恢/捷1总76钉4贯样穿范审伙核穿批插准阶段监控审查过程有效性成本有效性结果有效性审核申请审核申请和受理的流程及其相关文档审核申请和受理的成本与效果《审核申请书》、《审核材料》和《审核受理回执》的时效审核处理审核材料审查、审核对象测试、专家鉴定和审核结论给出的流程及其相关文档审核材料审查、审核对象测试、专家鉴定和审核结论给出的成本与效果《审查结果报告》、《测试结果报告》、《专家鉴定报告》和《审核结论报告》的时效2藏0怎2半3侮/咳7括/冈1们76箩5贯许穿轨审航核坐批领准批准申请批准申请和受理的流程及其相关文档批准申请和受理的成本与效果《批准申请书》和《批准受理回执》的时效批准处理审阅批准材料和批准决定做出的流程及其相关文档审阅批准材料和批准决定做出的成本与效果《批准决定书》的时效持续监督《审核结论报告》和《批准决定书》到期检查和机构及其环境变化检查的流程及其相关文档《审核结论报告》和《批准决定书》到期检查和机构及其环境变化检查的成本与效果《机构变化因素的描述报告》和《环境变化因素的描述报告》的时效2惊0抖2贯3叛/易7括/步1雷76金6监罩控篮与另审苹查舒的贝文盟档过程输出文档文档内容对象确立《对象确立的监控与审查记录》对象确立过程中监控和审查的范围、对象、时间、过程、结果和措施等。风险评估《风险评估的监控与审查记录》风险评估过程中监控和审查的范围、对象、时间、过程、结果和措施等。风险控制《风险控制的监控与审查记录》风险控制过程中监控和审查的范围、对象、时间、过程、结果和措施等。审核批准《审核批准的监控与审查记录》审核批准过程中监控和审查的范围、对象、时间、过程、结果和措施等。2灵0建2市3纹/使7恨/赞1塔76氏7三股、泳信背息亡安燥全普风惑险碧管衔理船各很组垫成落部谣分1、蕉对呆象照确津立2、肿风钻险曾评帜估3、锤风刃险姥控柴制4、铅审短核叙批键准5、错监扔控慈与让审球查6、语沟躲通摔与税咨包询2钓0绢2晋3沾/正7苦/毯1弯76卸8沟名通煌与究咨嘴询瓶的饱概今述沟劫通秤与抬咨晒询忍为托信邪息惹安涨全阁风片险畜管误理剑主督循惑环疫的宝四促个罩步热骤胶（企即疼对预象唇确蚊立锋、虹风发险蜓评替估陕、捧风禾险朵控矮制户和衣审陵核题批灾准讨）国中超相竞关轮人添员赌提五供舒沟惜通匪和欧咨唱询顾。垫沟职通裳是笼为疫直若接改参冠与停人饮员坑提感供诞交雪流滚途耐径辰，脾以锻保弟持迷他筐们雹之贝间呆的蒜协万调故一牢致方，奸共叮同慰实科现彩安阳全页目砍标乔。拿咨翼询络是饿为竿所弦有咱相幸关汉人巩员咐提饺供清学询习限途古径狸，集以鼠提哑高宵他拌们隔的钉风谅险旧意此识韵、赚知器识晚和英技裁能剥，迟配启合德实决现迫安敌全骑目活标滔。2惊0将2脉3阿/阔7嫩/外1婚76炎9沟丢通积与闪咨伸询动的口方锁式方式接受方决策层管理层执行层支持层用户层发出方决策层交流指导和检查指导和检查表态表态管理层汇报交流指导和检查宣传和介绍宣传和介绍执行层汇报汇报交流宣传和介绍培训和咨询支持层培训和咨询培训和咨询培训和咨询交流培训和咨询用户层反馈反馈反馈反馈交流2笔0脆2拣3记/非7犯/觉1弄77茂0沟房诚通桥与泪咨御询形的制过钞程2赚0星2们3迁/汽7辰/嫁1衬77述1贯罢穿熔对繁象卵确梨立阶段参与人员涉及内容信息系统信息安全风险管理风险管理准备决策层决策层管理层《风险管理计划书》信息系统调查管理层执行层支持层管理层执行层《信息系统的描述报告》信息系统分析管理层执行层支持层管理层执行层《信息系统的分析报告》信息安全分析管理层执行层支持层《信息系统的安全要求报告》2施0祖2接3忠/已7扬/美1奶77僚2贯俘穿省风赶险数评枯估阶段参与人员涉及内容信息系统信息安全风险管理风险评估准备决策层决策层管理层《风险评估计划》管理层管理层执行层支持层《风险评估程序》《入选风险评估方法和工具列表》风险因素识别管理层执行层执行层支持层《需要保护的资产清单》《面临的威胁列表》《存在的脆弱性列表》2候0会2冤3攻/展7挥/肯1卫77渴3贯牌穿水风隶险烦评玩估风险程度分析管理层执行层执行层支持层《已有安全措施分析报告》《威胁源分析报告》《威胁行为分析报告》《脆弱性分析报告》《资产价值分析报告》《影响程度分析报告》风险等级评价执行层支持层《威胁源等级列表》《威胁行为等级列表》《脆弱性等级列表》《资产价值等级列表》《影响程度等级列表》《风险评估报告》2还0樱2揭3揉/欠7方/动1堆77者4贯砌穿拜风朗险径控蚊制阶段参与人员涉及内容信息系统信息安全风险管理现存风险判断决策层管理层决策层管理层执行层支持层《风险接受等级划分表》《现存风险接受判断书》控制目标确立管理层管理层执行层支持层《风险控制需求分析报告》《风险控制目标列表》2扣0资2警3厦/高7续/娘1歌77荡5贯双穿急风旧险悉控惭制控制措施选择执行层支持层《入选风险控制方式说明报告》《入选风险控制措施说明报告》控制措施实施管理层执行层管理层执行层支持层《风险控制实施计划书》《风险控制实施记录》2绣0裂2想3狠/胶7家/捐1劈燕77慎6贯歼穿怎审驻核丛批蕉准阶段参与人员涉及内容信息系统信息安全风险管理审核申请决策层管理层执行层《审核申请书》《审核材料》《审核受理回执》审核处理管理层执行层支持层《审查结果报告》《测试结果报告》《专家鉴定报告》《审核结论报告》2尸0摸2霞3柔/奋7掌/池1扩77耳7贯芹穿怠审垂核共批肢准批准申请决策层管理层执行层《批准申请书》《批准受理回执》批准处理决策层决策层管理层《批准决定书》持续监督管理层执行层管理层执行层《机构变化因素的描述报告》《环境变化因素的描述报告》2并0投2技3朵/沉7跨/恳1偿77扛8沟禾通该与缝咨挽询坦的奶文飞档过程输出文档文档内容对象确立《对象确立的沟通与咨询记录》对象确立过程中沟通和咨询的范围、对象、时间、内容和结果等。风险评估《风险评估的沟通与咨询记录》风险评估过程中沟通和咨询的范围、对象、时间、内容和结果等。风险控制《风险控制的沟通与咨询记录》风险控制过程中沟通和咨询的范围、对象、时间、内容和结果等。审核批准《审核批准的沟通与咨询记录》审核批准过程中沟通和咨询的范围、对象、时间、内容和结果等。2佣0冬2娇3前/巧7夫/脖1锻77弓9四殃、染信渗息拒安磨全膊风烛险思管维理桃的飘运淘用1、套规和划浆阶蔽段2、工设赤计屿阶百段3、绪实为施罢阶溜段4、地运疼维幼阶澡段5、勉废仰弃颗阶讽段2贵0婶2梅3奔/胸7曲/阻1膛78士0四阿、行信骆息罪安纯全霜风系险双管席理朗的嗓运女用1、政规的划嚷阶傻段2、绝设段计悼阶豆段3、伏实为施驼阶攀段4、尖运价维灾阶躲段5、遍废拼弃公阶蹄段2雁0春2妈3悬/谣7贯/钞1行78增1安杂全棚需烂求携和兼目吃标明除确灵安暴全携总喇体壁方割针确拐保温安判全恰总轧体塑方欺针是源免自歇业吩务俱期缸望明天确弯项挣目搭范身围清死晰欧描锡述摔项衔目摸范蜻围瓦内便所沫涉哲及怜系脉统壁的歉安雕全枪现做状提洪交碍明米确腹的恐安嫁全帽需辨求来文掏档清也晰兔描绿述龄从华系痰统损的输那我些积层释次宪进圣行上安午全阶实爷现对杠实漏现迹的知可杀能惨性衫进虹行程充途分柔分好析相、蔑论若证明抬确舌评博价锹准祝则吧并战达款成径一申致2陶0温2锄3肝/矿7会/屿1还78傻2风技险讲管春理隶的南过欧程悬概呀述在傅项孟目浊规缓划徒阶尤段颈，恳风未险前管弱理润者面应受能食清康楚砌、目准医确贱地夫描萝述辟机指构扇的唤安新全造总欺体写方籍针赴、愿安透全公策芳略宇、她风摇险我管畜理蚀范励围泽、菠当瓣前柳正馒在平进嗽行摸的征或调计局划氧中朽将度要仗执江行夫的存风则险痰管踪蝶理炸活李动痕以絮及枪当这前垦特佛殊扭安澡全割要胜求枯等俩。2便0注2欠3必/枕7喂/零1绝78峰3风院险顶管检理作的风活著动序号风险管理活动所处风险管理流程1明确安全总体方针对象确立2安全需求分析对象确立、风险评估3风险评价准则达成一致风险控制、审核批准2坚0础2欧3歌/兼7滩/愈1揪78嘴4四头、窄信正息播安冲全各风青险猪管肾理刺的单运棉用1、姥规们划天阶稀段2、寒设鼓计琴阶赴段3、撒实久施园阶蓬段4、糕运含维浓阶超段5、傲废恨弃泻阶目段2肃0热2鸣3骨/项7覆/续1但78眯5安金全脚需壳求墙和淋目牌标对邮用扁以类实拨现舱安寺全移系未统辣的绸各鲜类险技距术跟进蚕行辞有磨效寒性保评身估蜂。对宾用活于流实括施粘方布案药的照产截品抄需们满慢足毒安袄全柄保屯护赠等淋级念的字要庙求对如自西开坦发陡的漫软廊件载要凑在旧结隔构善设肃计贞阶吧段赞就拌充锣分蹈考急虑血安掏全肯风岛险2絮0摇2供3榆/弦7届/盐1岗78瓦6风耻险康管赔理网的著过烂程暮概朴述在旗设年计傅阶属段湾，皆风融险态管掉理陵者央应阁能氏标坚识喘出捕在碍项冬目着结色构疮实划现惩过浊程占中抵潜长在笛的拨安博全聋风白险柱，赠为寄设爬计饥说冶明乎中弱的块安括全从性恋设视计怕提全供老评疑判并依岗据落，谨并各对涌实践施苗方沃案揭中弯选艰择兵的习产截品餐进镰行正合布格钟检孤查省，核确口保去项樱目旧设用计宇阶圣段宰的休重榴要棵环虫节疫均遭能汗得汽到押较震好勿的等安狱全耻风围险膛控孤制百。2尾0永2防3梢/竹7搏/拘1集78丹7风葡险闯管塌理幻玉的灿活校动序号风险管理活动所处风险管理流程1安全技术选择风险控制2安全产品选择风险控制3软件设计风险控制风险控制2鞠0致2惯3耗/旺7柿/吧1币78秋8四康、馒信柳息脖安喇全克风赏险样管汁理促的鲜运朴用1、钻规矮划肥阶惩段2、瓶设刑计阁阶贿段3、袄实背施胶阶摧段4、阴运岂维价阶撇段5、及废梅弃梳阶腊段2酷0把2纲3梯/县7山/部1暖78程9安航全昏需享求售和信目懂标实吐施记阶讯段棋是骆按具照鄙规登划服和吹设婶计委阶土段踏所辽定惭义京的仗信声息使系斯统伙实弱施尊方迹案沟，捏采绪购价设届备带和万软串件处，昂开蒙发躺定哲制朱功棚能痰，愉集袖成雪、抖部姻署树、筛配修置串和政测仗试仿系揉统絮，糕培玻训亩人返员言，葵并皮对著是膝否跑允谜许圾系誉统晌投吹入棕运焦行端进挂行虹审端核贷批薪准敌。2疮0喜2冲3咬/道7幸/徐1劳79毙0风刑险然管盐理扶的欢过栽程须概励述实牺施棚阶嗽段元的遗风魄险盯管辰理的主辽要遵活谨动召包而括补检埋查坐与欣配影置悔、败安瞧全侄测慌试拴、遇人塑员牙培喘训效及浸授繁权脸运重行破，棒同恶时攻在南上捞述蒸过税程第中耳通硬过卷监残控阁与岔审笨查奔、另沟锡通灯与肾咨徒询怪来另确莫保下本切阶扰段贯风鹿险标管辨理齐目倘标宪的贸实燥现文。2逼0竭2夏3佳/泡7秩/极1暗79显1风拐险萝管颠理翠的毕活深动序号风险管理活动所处风险管理流程1检查与配置风险控制2安全测试风险控制3人员培训风险控制4授权系统运行