信息安全风险评估与风险管理课件

信息安全风险评估与风险管理

国家信息中心信息安全服务与研究中心

范红二00四年九月汇报内容一、前言二、信息安全风险管理概述三、信息安全风险管理各组成部分四、信息安全风险管理的运用五、结束语2023/7/282一、前言

2023/7/283

二、信息安全风险管理概述

2023/7/284

1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任

二、信息安全风险管理概述

2023/7/285

1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任

信息安全风险管理的目的和意义

2023/7/286

信息安全风险管理是信息安全保障工作中的一项基础性工作。

1、信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。

2、信息安全风险管理贯穿信息系统生命周期的全部过程。

3、信息安全风险管理依据等级保护的思想和适度安全的原则，平衡成本与效益，合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基础设施，确定合适的安全措施，从而确保机构具有完成其使命的信息安全保障能力。二、信息安全风险管理概述

2023/7/287

1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任

信息安全风险管理的范围和对象2023/7/288二、信息安全风险管理概述

2023/7/289

1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任

信息安全风险管理的内容和过程2023/7/2810二、信息安全风险管理概述

2023/7/2811

1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任

三维结构关系2023/7/2812二、信息安全风险管理概述

2023/7/2813

1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任

信息安全风险管理相关人员的角色和责任层面信息系统信息安全风险管理角色内外部责任角色内外部责任决策层主管者内负责信息系统的重大决策。主管者内负责信息安全风险管理的重大决策。管理层管理者内负责信息系统的规划，以及建设、运行、维护和监控等方面的组织和协调。管理者内负责信息安全风险管理的规划，以及实施和监控过程中的组织和协调。执行层建设者内或外负责信息系统的设计和实施。执行者内或外负责信息安全风险管理的实施。运行者内负责信息系统的日常运行和操作。维护者内或外负责信息系统的日常维护，包括维修和升级。监控者内负责信息系统的监视和控制。监控者内负责信息安全风险管理过程和结果的监视和控制。支持层专业者外为信息系统提供专业咨询、培训、诊断和工具等服务。专业者外为信息安全风险管理提供专业咨询、培训、诊断和工具等服务。用户层使用者内或外利用信息系统完成自身的任务。受益者内或外反馈信息安全风险管理的效果。2023/7/2814三、信息安全风险管理各组成部分

2023/7/2815

1、对象确立2、风险评估3、风险控制4、审核批准5、沟通与咨询6、监控与审查三、信息安全风险管理各组成部分

2023/7/2816

1、对象确立2、风险评估3、风险控制4、审核批准5、沟通与咨询6、监控与审查对象确立概述

对象确立是信息安全风险管理的第一步骤，根据要保护系统的业务目标和特性，确定风险管理对象。其目的是为了明确信息安全风险管理的范围和对象，以及对象的特性和安全要求。2023/7/2817对象确立过程2023/7/2818风险管理准备2023/7/2819

信息系统调查2023/7/2820信息系统分析2023/7/2821信息安全分析2023/7/2822对象确立的文档阶段输出文档文档内容风险管理准备《风险管理计划书》风险管理的目的、意义、范围、目标、组织结构、经费预算和进度安排等。信息系统调查《信息系统的描述报告》信息系统的业务目标、业务特性、管理特性和技术特性等。信息系统分析《信息系统的分析报告》信息系统的体系结构和关键要素等。信息安全分析《信息系统的安全要求报告》信息系统的安全环境和安全要求等。2023/7/2823三、信息安全风险管理各组成部分

2023/7/2824

1、对象确立2、风险评估3、风险控制4、审核批准5、沟通与咨询6、监控与审查风险评估概述

风险评估是信息安全风险管理的第二步，针对确立的风险管理对象所面临的风险进行识别、分析和评价。2023/7/2825风险评估过程2023/7/2826风险评估准备2023/7/2827风险因素识别2023/7/2828风险程度分析2023/7/2829风险等级评价2023/7/2830风险评估的文档阶段输出文档文档内容风险评估准备《风险评估计划书》风险评估的目的、意义、范围、目标、组织结构、经费预算和进度安排等。《风险评估程序》风险评估的工作流程、输入数据和输出结果等。《入选风险评估方法和工具列表》合适的风险评估方法和工具列表。风险因素识别《需要保护的资产清单》对机构使命具有关键和重要作用的需要保护的资产清单。《面临的威胁列表》机构的信息资产面临的威胁列表。《存在的脆弱性列表》机构的信息资产存在的脆弱性列表。2023/7/2831风险评估的文档风险程度分析《已有安全措施分析报告》确认已有的安全措施，包括技术层面（即物理平台、系统平台、通信平台、网络平台和应用平台）的安全功能、组织层面（即结构、岗位和人员）的安全控制和管理层面（即策略、规章和制度）的安全对策。《威胁源分析报告》从利益、复仇、好奇和自负等驱使因素，分析威胁源动机的强弱。《威胁行为分析报告》从攻击的强度、广度、速度和深度等方面，分析威胁行为能力的高低。《脆弱性分析报告》按威胁/脆弱性对，分析脆弱性被威胁利用的难以程度。《资产价值分析报告》从敏感性、关键性和昂贵性等方面，分析资产价值的大小。《影响程度分析报告》从资产损失、使命妨碍和人员伤亡等方面，分析影响程度的深浅。2023/7/2832风险评估的文档风险等级评价《威胁源等级列表》威胁源动机的等级列表。《威胁行为等级列表》威胁行为能力的等级列表。《脆弱性等级列表》脆弱性被利用的等级列表。《资产价值等级列表》资产价值的等级列表。《影响程度等级列表》影响程度的等级列表。《风险评估报告》汇总上述分析报告和等级列表，综合评价风险的等级。2023/7/2833三、信息安全风险管理各组成部分

2023/7/2834

1、对象确立2、风险评估3、风险控制4、审核批准5、沟通与咨询6、监控与审查风险控制概述

2023/7/2835

风险控制是信息安全风险管理的第三步骤，依据风险评估的结果，选择和实施合适的安全措施。风险控制方式主要有规避、转移和降低三种方式。风险控制需求及其相应的风险控制措施PPDRR风险控制需求风险控制措施策略Policy设备管理制度建立健全各种安全相关的规章制定和操作规范，使得保护、检测和响应环节有章可循、切实有效。机房出入守则系统安全管理守则系统安全配置明细网络安全管理守则网络安全配置明细应用安全管理守则应用安全配置明细应急响应计划安全事件处理准则2023/7/2836主要的风险控制需求及其相应的风险控制措施保护Protection机房严格按照GB50174-1993《电子计算机机房设计规范》、GB9361-1988《计算站场地安全要求》、GB2887-1982《计算机站场地技术要求》和GB/T2887-2000《计算机场地通用规范》等国家标准建设和维护计算机机房。门控安装门控系统保安建设保安制度和保安队伍。电磁屏蔽在必要的地方设置抗电磁干扰和防电磁泄漏的设施。病毒防杀全面部署防病毒系统。漏洞补丁及时下载和安装最新的漏洞补丁模块。安全配置严格遵守各系统单元的安全配置明细，避免配置中的安全漏洞。身份认证根据不同的安全强度，分别采用身份标识/口令、数字钥匙、数字证书、生物识别、双因子等级别的身份认证系统，对设备、用户、服务等主客体进行身份认证。访问控制根据不同的安全强度，分别采用自主型、强制型等级别的访问控制系统，对设备、用户等主体访问客体的权限进行控制。数据加密根据不同的安全强度，分别采用商密、普密、机密等级别的数据加密系统，对传输数据和存储数据进行加密。边界控制在网络边界布置防火墙，阻止来自外界非法访问。数字水印对于需要版权保护的图片、声音、文字等形式的信息，采用数字水印技术加以保护。数字签名在需要防止事后否认时，可采用数字签名技术。内容净化部署内容过滤系统。安全机构、安全岗位、安全责任建立健全安全机构，合理设置安全岗位，明确划分安全责任。2023/7/2837主要的风险控制需求及其相应的风险控制措施检测Detection监视、监测和报警在适当的位置安置监视器和报警器，在各系统单元中配备监测系统和报警系统，以实时发现安全事件并及时报警。数据校验通过数据校验技术，发现数据篡改。主机入侵检测部署主机入侵检测系统，发现主机入侵行为。主机状态监测部署主机状态监测系统，随时掌握主机运行状态。网络入侵检测部署网络入侵检测系统，发现网络入侵行为。网络状态监测部署网络状态监测系统，随时掌握网络运行状态。安全审计在各系统单元中配备安全审计，以发现深层安全漏洞和安全事件。安全监督、安全检查实行持续有效的安全监督，预演应急响应计划。2023/7/2838主要的风险控制需求及其相应的风险控制措施响应Response恢复Recovery故障修复、事故排除确保随时能够获取故障修复和事故排除的技术人员和软硬件工具。设施备份与恢复对于关键设施，配备设施备份与恢复系统。系统备份与恢复对于关键系统，配备系统备份与恢复系统。数据备份与恢复对于关键数据，配备数据备份与恢复系统。信道备份与恢复对于关键信道，配备设信道份与恢复系统。应用备份与恢复对于关键应用，配备应用备份与恢复系统。应急响应按照应急响应计划处理应急事件。安全事件处理按照安全事件处理找出原因、追究责任、总结经验、提出改进。2023/7/2839风险控制过程2023/7/2840现存风险判断2023/7/2841控制目标确立2023/7/2842控制措施选择2023/7/2843控制措施实施2023/7/2844风险控制的文档阶段输出文档文档内容现存风险判断《风险接受等级划分表》风险接受等级的划分，即把风险评估得出的风险等级划分为可接受和不可接受两种。《现存风险接受判断书》现存风险是否可接受的判断结果。控制目标确立《风险控制需求分析报告》从技术层面（即物理平台、系统平台、通信平台、网络平台和应用平台）、组织层面（即结构、岗位和人员）和管理层面（即策略、规章和制度），分析风险控制的需求。《风险控制目标列表》风险控制目标的列表，包括控制对象及其最低保护等级。2023/7/2845风险控制的文档控制措施选择《入选风险控制方式说明报告》选择合适的风险控制方式（包括规避方式、转移方式和降低方式），并说明选择的理由以及被选控制方式的使用方法和注意事项等。《入选风险控制措施说明报告》选择合适的风险控制措施，并说明选择的理由以及被选控制措施的成本、使用方法和注意事项等。控制措施实施《风险控制实施计划书》风险控制的范围、对象、目标、组织结构、成本预算和进度安排等。《风险控制实施记录》风险控制措施实施的过程和结果。2023/7/2846三、信息安全风险管理各组成部分

2023/7/2847

1、对象确立2、风险评估3、风险控制4、审核批准5、沟通与咨询6、监控与审查审核批准概述

2023/7/2848

审核批准是信息安全风险管理的第四步骤，审核批准包括审核和批准两部分：审核是指通过审查、测试、评审等手段，检验风险评估和风险控制的结果是否满足信息系统的安全要求；批准是指机构的决策层依据审核的结果，做出是否认可的决定。审核既可以由机构内部完成，也可以委托外部专业机构来完成，这主要取决于信息系统的性质和机构自身的专业能力。批准一般必须由机构内部或更高层的主管机构的决策层来执行。审核批准过程及其在信息安全风险管理中的位置2023/7/2849审核申请2023/7/2850审核处理2023/7/285152可编辑批准申请2023/7/2853批准处理2023/7/2854持续监督2023/7/2855审核批准的文档阶段输出文档文档内容审核申请《审核申请书》审核的范围、对象、目标和进度要求，以及申请者的基本信息和签字等。《审核材料》风险评估过程和风险控制过程输出的文档、软件和硬件等结果。《审核受理回执》同意受理、补充材料的要求和提交时间（如果需要）、审核的进度安排和收费标准，以及审核机构的名称和签章等。审核处理《审查结果报告》审查的范围、对象、意见和结论（即是否通过），以及审查人员的名字和签字等。《测试结果报告》测试的范围、对象、意见和结论（即是否通过），以及测试人员的名字和签字等。《专家鉴定报告》鉴定的范围、对象（及其基本情况）和结论，以及专家名单和签字等。《审核结论报告》审核的范围、对象、意见、结论（即是否通过）和有效期，以及审核机构的名称和签章等。2023/7/2856审核批准的文档批准申请《批准申请书》批准的范围、对象和期望，以及申请者的基本信息和签字等。《批准受理回执》同意受理、补充材料的要求和提交时间（如果需要），以及批准机构的名称和签章等。批准处理《批准决定书》批准的范围、对象、意见、结论（即是否通过）和有效期，以及批准机构的名称和签章等。持续监督《审核到期通知书》到期的时间和重新申请的要求，以及审核机构的名称和签章。《批准到期通知书》到期的时间和重新申请的要求，以及批准机构的名称和签章。《机构变化因素的描述报告》机构及其信息系统变化因素的列表、说明和安全隐患分析等。《环境变化因素的描述报告》信息安全相关环境变化因素的列表、说明和安全隐患分析等。2023/7/2857三、信息安全风险管理各组成部分

2023/7/2858

1、对象确立2、风险评估3、风险控制4、审核批准5、监控与审查6、沟通与咨询监控与审查的概述

2023/7/2859

监控与审查对信息安全风险管理主循环的四个步骤（即对象确立、风险评估、风险控制和审核批准）进行监控和审查。监控是监视和控制，一是监视和控制风险管理过程，即过程质量管理，以保证过程的有效性；二是分析和平衡成本效益，即成本效益管理，以保证成本的有效性。审查是跟踪受保护系统自身或所处环境的变化，以保证结果的有效性。监控与审查过程2023/7/2860贯穿对象确立阶段监控审查过程有效性成本有效性结果有效性风险管理准备风险管理计划制定的流程及其相关文档风险管理计划的成本与效果《风险管理计划书》的时效信息系统调查信息系统调查的流程及其相关文档信息系统调查的成本与效果《信息系统的描述报告》的时效信息系统分析信息系统分析的流程及其相关文档信息系统分析的成本与效果《信息系统的分析报告》的时效信息安全分析信息系统安全要求分析的流程及其相关文档信息系统安全要求分析的成本与效果《信息系统的安全要求报告》的时效2023/7/2861贯穿风险评估阶段监控审查过程有效性成本有效性结果有效性风险评估准备风险评估的计划制定、程序确定以及方法和工具选择的流程及其相关文档风险评估的计划、程序以及入选方法和工具的成本与效果《风险评估计划》、《风险评估程序》和《入选风险评估方法和工具列表》的时效风险因素识别资产、威胁列和脆弱性识别的流程及其相关文档资产、威胁列和脆弱性识别的成本与效果《需要保护的资产清单》、《面临的威胁列表》和《存在的脆弱性列表》的时效2023/7/2862贯穿风险评估风险程度分析已有安全措施、威胁源、威胁行为、脆弱性、资产价值和影响程度分析的流程及其相关文档已有安全措施、威胁源、威胁行为、脆弱性、资产价值和影响程度分析的成本与效果《已有安全措施分析报告》、《威胁源分析报告》、《威胁行为分析报告》、《脆弱性分析报告》、《资产价值分析报告》和《影响程度分析报告》的时效风险等级评价威胁源等级、威胁行为等级、脆弱性等级、资产价值等级和影响程度等级评价以及《风险评估报告》生成的流程及其相关文档威胁源等级、威胁行为等级、脆弱性等级、资产价值等级和影响程度等级评价以及《风险评估报告》生成的成本与效果《威胁源等级列表》、《威胁行为等级列表》、《脆弱性等级列表》、《资产价值等级列表》、《影响程度等级列表》和《风险评估报告》的时效2023/7/2863贯穿风险控制阶段监控审查过程有效性成本有效性结果有效性现存风险判断可接受风险等级确定和现存风险接受判断的流程及其相关文档可接受风险等级确定和现存风险接受判断的成本与效果《风险接受等级划分表》和《现存风险接受判断书》的时效控制目标确立风险控制需求分析和风险控制目标确立的流程及其相关文档风险控制需求分析和风险控制目标确立的成本与效果《风险控制需求分析报告》和《风险控制目标列表》的时效2023/7/2864贯穿风险控制控制措施选择风险控制方式和措施选择的流程及其相关文档入选风险控制方式和措施的成本与效果《入选风险控制方式说明报告》和《入选风险控制措施说明报告》的时效控制措施实施风险控制实施计划制定和风险控制措施实施的流程及其相关文档风险控制实施计划制定和风险控制措施实施的成本与效果《风险控制实施计划书》和《风险控制实施记录》的时效2023/7/2865贯穿审核批准阶段监控审查过程有效性成本有效性结果有效性审核申请审核申请和受理的流程及其相关文档审核申请和受理的成本与效果《审核申请书》、《审核材料》和《审核受理回执》的时效审核处理审核材料审查、审核对象测试、专家鉴定和审核结论给出的流程及其相关文档审核材料审查、审核对象测试、专家鉴定和审核结论给出的成本与效果《审查结果报告》、《测试结果报告》、《专家鉴定报告》和《审核结论报告》的时效2023/7/2866贯穿审核批准批准申请批准申请和受理的流程及其相关文档批准申请和受理的成本与效果《批准申请书》和《批准受理回执》的时效批准处理审阅批准材料和批准决定做出的流程及其相关文档审阅批准材料和批准决定做出的成本与效果《批准决定书》的时效持续监督《审核结论报告》和《批准决定书》到期检查和机构及其环境变化检查的流程及其相关文档《审核结论报告》和《批准决定书》到期检查和机构及其环境变化检查的成本与效果《机构变化因素的描述报告》和《环境变化因素的描述报告》的时效2023/7/2867监控与审查的文档2023/7/2868过程输出文档文档内容对象确立《对象确立的监控与审查记录》对象确立过程中监控和审查的范围、对象、时间、过程、结果和措施等。风险评估《风险评估的监控与审查记录》风险评估过程中监控和审查的范围、对象、时间、过程、结果和措施等。风险控制《风险控制的监控与审查记录》风险控制过程中监控和审查的范围、对象、时间、过程、结果和措施等。审核批准《审核批准的监控与审查记录》审核批准过程中监控和审查的范围、对象、时间、过程、结果和措施等。三、信息安全风险管理各组成部分

2023/7/2869

1、对象确立2、风险评估3、风险控制4、审核批准5、监控与审查6、沟通与咨询沟通与咨询的概述

2023/7/2870

沟通与咨询为信息安全风险管理主循环的四个步骤（即对象确立、风险评估、风险控制和审核批准）中相关人员提供沟通和咨询。沟通是为直接参与人员提供交流途径，以保持他们之间的协调一致，共同实现安全目标。咨询是为所有相关人员提供学习途径，以提高他们的风险意识、知识和技能，配合实现安全目标。沟通与咨询的方式方式接受方决策层管理层执行层支持层用户层发出方决策层交流指导和检查指导和检查表态表态管理层汇报交流指导和检查宣传和介绍宣传和介绍执行层汇报汇报交流宣传和介绍培训和咨询支持层培训和咨询培训和咨询培训和咨询交流培训和咨询用户层反馈反馈反馈反馈交流2023/7/2871沟通与咨询的过程2023/7/2872贯穿对象确立阶段参与人员涉及内容信息系统信息安全风险管理风险管理准备决策层决策层管理层《风险管理计划书》信息系统调查管理层执行层支持层管理层执行层《信息系统的描述报告》信息系统分析管理层执行层支持层管理层执行层《信息系统的分析报告》信息安全分析管理层执行层支持层《信息系统的安全要求报告》2023/7/2873贯穿风险评估阶段参与人员涉及内容信息系统信息安全风险管理风险评估准备决策层决策层管理层《风险评估计划》管理层管理层执行层支持层《风险评估程序》《入选风险评估方法和工具列表》风险因素识别管理层执行层执行层支持层《需要保护的资产清单》《面临的威胁列表》《存在的脆弱性列表》2023/7/2874贯穿风险评估风险程度分析管理层执行层执行层支持层《已有安全措施分析报告》《威胁源分析报告》《威胁行为分析报告》《脆弱性分析报告》《资产价值分析报告》《影响程度分析报告》风险等级评价执行层支持层《威胁源等级列表》《威胁行为等级列表》《脆弱性等级列表》《资产价值等级列表》《影响程度等级列表》《风险评估报告》2023/7/2875贯穿风险控制阶段参与人员涉及内容信息系统信息安全风险管理现存风险判断决策层管理层决策层管理层执行层支持层《风险接受等级划分表》《现存风险接受判断书》控制目标确立管理层管理层执行层支持层《风险控制需求分析报告》《风险控制目标列表》2023/7/2876贯穿风险控制控制措施选择执行层支持层《入选风险控制方式说明报告》《入选风险控制措施说明报告》控制措施实施管理层执行层管理层执行层支持层《风险控制实施计划书》《风险控制实施记录》2023/7/2877贯穿审核批准阶段参与人员涉及内容信息系统信息安全风险管理审核申请决策层管理层执行层《审核申请书》《审核材料》《审核受理回执》审核处理管理层执行层支持层《审查结果报告》《测试结果报告》《专家鉴定报告》《审核结论报告》2023/7/2878贯穿审核批准批准申请决策层管理层执行层《批准申请书》《批准受理回执》批准处理决策层决策层管理层《批准决定书》持续监督管理层执行层管理层执行层《机构变化因素的描述报告》《环境变化因素的描述报告》2023/7/2879沟通与咨询的文档过程输出文档文档内容对象确立《对象确立的沟通与咨询记录》对象确立过程中沟通和咨询的范围、对象、时间、内容和结果等。风险评估《风险评估的沟通与咨询记录》风险评估过程中沟通和咨询的范围、对象、时间、内容和结果等。风险控制《风险控制的沟通与咨询记录》风险控制过程中沟通和咨询的范围、对象、时间、内容和结果等。审核批准《审核批准的沟通与咨询记录》审核批准过程中沟通和咨询的范围、对象、时间、内容和结果等。2023/7/2880四、信息安全风险管理的运用

2023/7/28811、规划阶段2、设计阶段3、实施阶段4、运维阶段5、废弃阶段四、信息安全风险管理的运用

2023/7/28821、规划阶段2、设计阶段3、实施阶段4、运维阶段5、废弃阶段安全需求和目标明确安全总体方针确保安全总体方针源自业务期望明确项目范围清晰描述项目范围内所涉及系统的安全现状提交明确的安全需求文档清晰描述从系统的那些层次进行安全实现对实现的可能性进行充分分析、论证明确评价准则并达成一致2023/7/2883风险管理的过程概述

在项目规划阶段，风险管理者应能清楚、准确地描述机构的安全总体方针、安全策略、风险管理范围、当前正在进行的或计划中将要执行的风险管理活动以及当前特殊安全要求等。2023/7/2884风险管理的活动序号风险管理活动所处风险管理流程1明确安全总体方针对象确立2安全需求分析对象确立、风险评估3风险评价准则达成一致风险控制、审核批准2023/7/2885四、信息安全风险管理的运用

2023/7/28861、规划阶段2、设计阶段3、实施阶段4、运维阶段5、废弃阶段安全需求和目标对用以实现安全系统的各类技术进行有效性评估。对用于实施方案的产品需满足安全保护等级的要求对自开发的软件要在结构设计阶段就充分考虑安全风险2023/7/2887风险管理的过程概述在设计阶段，风险管理者应能标识出在项目结构实现过程中潜在的安全风险，为设计说明中的安全性设