版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC信息安全风险评估与风险管理国家信息中心信息安全服务与研究中心范红二00四年九月SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC汇报内容27/19/2022一、前言二、信息安全风险管理概述三、信息安全风险管理各组成部分四、信息安全风险管理的运用五、结束语SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC一、前言37/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC二、信息安全风险管理概述47/19/20221、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5.信息安全风险管理的角色和责任SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC二、信息安全风险管理概述57/19/20221、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5.信息安全风险管理的角色和责任SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC信息安全风险管理的目的和意义67/19/2022信息安全风险管理是信息安全保障工作中的一项基础性工作。1、信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。2、信息安全风险管理贯穿信息系统生命周期的全部过程。3.信息安全风险管理依据等级保护的思想和适度安全的原则,平衡成本与效益,合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基础设施,确定合适的安全措施,从而确保机构具有完成其使命的信息安全保障能力。SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC二、信息安全风险管理概述77/19/20221、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5.信息安全风险管理的角色和责任SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC信息安全风险管理的范围和对象87/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC二、信息安全风险管理概述97/19/20221、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5.信息安全风险管理的角色和责任SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC信息安全风险管理的内容和过程107/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC二、信息安全风险管理概述117/19/20221、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5.信息安全风险管理的角色和责任SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC三维结构关系127/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC二、信息安全风险管理概述137/19/20221、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5.信息安全风险管理的角色和责任SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC信息安全风险管理相关人员的角色和责任层面信息系统信息安全风险管理角色内外部责任角色内外部责任决策层主管者内负责信息系统的重大决策。主管者内负责信息安全风险管理的重大决策。管理层管理者内负责信息系统的规划,以及建设、运行、维护和监控等方面的组织和协调。管理者内负责信息安全风险管理的规划,以及实施和监控过程中的组织和协调。执行层建设者内或外负责信息系统的设计和实施。执行者内或外负责信息安全风险管理的实施。运行者内负责信息系统的日常运行和操作。维护者内或外负责信息系统的日常维护,包括维修和升级。监控者内负责信息系统的监视和控制。监控者内负责信息安全风险管理过程和结果的监视和控制。支持层专业者外为信息系统提供专业咨询、培训、诊断和工具等服务。专业者外为信息安全风险管理提供专业咨询、培训、诊断和工具等服务。用户层7/19/20使用者22内或外利用信息系统完成自身的任务。受益者内或外反馈信息安全风险管理的效果。
14SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC三、信息安全风险管理各组成部分157/19/20221、对象确立2、风险评估3、风险控制4、审核批准5、沟通与咨询6.监控与审查SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC三、信息安全风险管理各组成部分167/19/20221、对象确立2、风险评估3、风险控制4、审核批准5、沟通与咨询6.监控与审查SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC对象确立概述177/19/2022对象确立是信息安全风险管理的第一步骤,根据要保护系统的业务目标和特性,确定风险管理对象。其目的是为了明确信息安全风险管理的范围和对象,以及对象的特性和安全要求。SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC对象确立过程187/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险管理准备197/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC信息系统调查207/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC信息系统分析217/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC信息安全分析227/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC对象确立的文档237/19/2022阶段输出文档文档内容风险管理准备《风险管理计划书》风险管理的目的、意义、范围、目标、组织结构、经费预算和进度安排等。信息系统调查《信息系统的描述报告》信息系统的业务目标、业务特性、管理特性和技术特性等。信息系统分析《信息系统的分析报告》信息系统的体系结构和关键要素等。信息安全分析《信息系统的安全要求报告》信息系统的安全环境和安全要求等。SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC三、信息安全风险管理各组成部分247/19/20221、对象确立2、风险评估3、风险控制4、审核批准5、沟通与咨询6.监控与审查SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险评估概述257/19/2022风险评估是信息安全风险管理的第二步,针对确立的风险管理对象所面临的风险进行识别、分析和评价。SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险评估过程267/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险评估准备277/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险因素识别287/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险程度分析297/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险等级评价307/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险评估的文档317/19/2022阶段输出文档文档内容风险评估准备《风险评估计划书》风险评估的目的、意义、范围、目标、组织结构、经费预算和进度安排等。《风险评估程序》风险评估的工作流程、输入数据和输出结果等。《入选风险评估方法和工具列表》合适的风险评估方法和工具列表。风险因素识别《需要保护的资产清单》对机构使命具有关键和重要作用的需要保护的资产清单。《面临的威胁列表》机构的信息资产面临的威胁列表。《存在的脆弱性列表》机构的信息资产存在的脆弱性列表。SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险评估的文档327/19/2022风险程度分析《已有安全措施分析报告》确认已有的安全措施,包括技术层面(即物理平台、系统平台、通信平台、网络平台和应用平台)的安全功能、组织层面(即结构、岗位和人员)的安全控制和管理层面(即策略、规章和制度)的安全对策。《威胁源分析报告》从利益、复仇、好奇和自负等驱使因素,分析威胁源动机的强弱。《威胁行为分析报告》从攻击的强度、广度、速度和深度等方面,分析威胁行为能力的高低。《脆弱性分析报告》按威胁/脆弱性对,分析脆弱性被威胁利用的难以程度。《资产价值分析报告》从敏感性、关键性和昂贵性等方面,分析资产价值的大小。《影响程度分析报告》从资产损失、使命妨碍和人员伤亡等方面,分析影响程度的深浅。SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险评估的文档337/19/2022风险等级评价《威胁源等级列表》威胁源动机的等级列表。《威胁行为等级列表》威胁行为能力的等级列表。《脆弱性等级列表》脆弱性被利用的等级列表。《资产价值等级列表》资产价值的等级列表。《影响程度等级列表》影响程度的等级列表。《风险评估报告》汇总上述分析报告和等级列表,综合评价风险的等级。SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC三、信息安全风险管理各组成部分347/19/20221、对象确立2、风险评估3、风险控制4、审核批准5、沟通与咨询6.监控与审查SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险控制概述357/19/2022风险控制是信息安全风险管理的第三步骤,依据风险评估的结果,选择和实施合适的安全措施。风险控制方式主要有规避、转移和降低三种方式。SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险控制需求及其相应的风险控制措施367/19/2022PPDRR风险控制需求风险控制措施策略
Policy设备管理制度建立健全各种安全相关的规章制定和操作规范,使得保护、检测和响应环节有章可循、切实有效。机房出入守则系统安全管理守则系统安全配置明细网络安全管理守则网络安全配置明细应用安全管理守则应用安全配置明细应急响应计划安全事件处理准则主要的风险控制需求及其相应的风险控制措施SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC保护
Protection7/19/2022机房严格按照GB
50174-1993《电子计算机机房设计规范》、GB
9361-1988《计算站场地安全要求》、GB
2887-1982《计算机站场地技术要求》和GB/T
2887-2000《计算机场地通用规范》等国家标准建设和维护计算机机房。门控安装门控系统保安建设保安制度和保安队伍。电磁屏蔽在必要的地方设置抗电磁干扰和防电磁泄漏的设施。病毒防杀全面部署防病毒系统。漏洞补丁及时下载和安装最新的漏洞补丁模块。安全配置严格遵守各系统单元的安全配置明细,避免配置中的安全漏洞。身份认证根据不同的安全强度,分别采用身份标识/口令、数字钥匙、数字证书、生物识别、双因子等级别的身份认证系统,对设备、用户、服务等主客体进行身份认证。访问控制根据不同的安全强度,分别采用自主型、强制型等级别的访问控制系统,对设备、用户等主体访问客体的权限进行控制。数据加密根据不同的安全强度,分别采用商密、普密、机密等级别的数据加密系统,对传输数据和存储数据进行加密。边界控制在网络边界布置防火墙,阻止来自外界非法访问。数字水印对于需要版权保护的图片、声音、文字等形式的信息,采用数字水印技术加以保护。数字签名在需要防止事后否认时,可采用数字签名技术。内容净化部署内容过滤系统。安全机构、安全岗位、安全责任建立健全安全机构,合理设置安全岗位,明确划分安全责任。
377/19/202238主要的风险控制需求及其相应的风险控制措施SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC检测
Detection监视、监测和报警在适当的位置安置监视器和报警器,在各系统单元中配备监测系统和报警系统,以实时发现安全事件并及时报警。数据校验通过数据校验技术,发现数据篡改。主机入侵检测部署主机入侵检测系统,发现主机入侵行为。主机状态监测部署主机状态监测系统,随时掌握主机运行状态。网络入侵检测部署网络入侵检测系统,发现网络入侵行为。网络状态监测部署网络状态监测系统,随时掌握网络运行状态。安全审计在各系统单元中配备安全审计,以发现深层安全漏洞和安全事件。安全监督、安全检查实行持续有效的安全监督,预演应急响应计划。主要的风险控制需求及其相应的风险控制措施SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC响应
Response恢复
Recovery7/19/2022故障修复、事故排除确保随时能够获取故障修复和事故排除的技术人员和软硬件工具。设施备份与恢复对于关键设施,配备设施备份与恢复系统。系统备份与恢复对于关键系统,配备系统备份与恢复系统。数据备份与恢复对于关键数据,配备数据备份与恢复系统。信道备份与恢复对于关键信道,配备设信道份与恢复系统。应用备份与恢复对于关键应用,配备应用备份与恢复系统。应急响应按照应急响应计划处理应急事件。安全事件处理按照安全事件处理找出原因、追究责任、总结经验、提出改进。
39SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险控制过程407/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC现存风险判断417/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC控制目标确立427/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC控制措施选择437/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC控制措施实施447/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险控制的文档457/19/2022阶段输出文档文档内容现存风险判断《风险接受等级划分表》风险接受等级的划分,即把风险评估得出的风险等级划分为可接受和不可接受两种。《现存风险接受判断书》现存风险是否可接受的判断结果。控制目标确立《风险控制需求分析报告》从技术层面(即物理平台、系统平台、通信平台、网络平台和应用平台)、组织层面(即结构、岗位和人员)和管理层面(即策略、规章和制度),分析风险控制的需求。《风险控制目标列表》风险控制目标的列表,包括控制对象及其最低保护等级。SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险控制的文档467/19/2022控制措施选择《入选风险控制方式说明报告》选择合适的风险控制方式(包括规避方式、转移方式和降低方式),并说明选择的理由以及被选控制方式的使用方法和注意事项等。《入选风险控制措施说明报告》选择合适的风险控制措施,并说明选择的理由以及被选控制措施的成本、使用方法和注意事项等。控制措施实施《风险控制实施计划书》风险控制的范围、对象、目标、组织结构、成本预算和进度安排等。《风险控制实施记录》风险控制措施实施的过程和结果。SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC三、信息安全风险管理各组成部分477/19/20221、对象确立2、风险评估3、风险控制4、审核批准5、沟通与咨询6.监控与审查SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC审核批准概述487/19/2022审核批准是信息安全风险管理的第四步骤,审核批准包括审核和批准两部分:审核是指通过审查、测试、评审等手段,检验风险评估和风险控制的结果是否满足信息系统的安全要求;批准是指机构的决策层依据审核的结果,做出是否认可的决定。审核既可以由机构内部完成,也可以委托外部专业机构来完成,这主要取决于信息系统的性质和机构自身的专业能力。批准一般必须由机构内部或更高层的主管机构的决策层来执行。审核批准过程及其在信息安全风险管理中的位置SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC497/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC审核申请507/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC审核处理517/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC可编辑SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC可编辑SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC批准申请547/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC批准处理557/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC持续监督567/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC审核批准的文档阶段输出文档文档内容审核申请《审核申请书》审核的范围、对象、目标和进度要求,以及申请者的基本信息和签字等。《审核材料》风险评估过程和风险控制过程输出的文档、软件和硬件等结果。《审核受理回执》同意受理、补充材料的要求和提交时间(如果需要)、审核的进度安排和收费标准,以及审核机构的名称和签章等。审核处理7/19/2022《审查结果报告》审查的范围、对象、意见和结论(即是否通过),以及审查人员的名字和签字等。《测试结果报告》测试的范围、对象、意见和结论(即是否通过),以及测试人员的名字和签字等。《专家鉴定报告》鉴定的范围、对象(及其基本情况)和结论,以及专家名单和签字等。《审核结论报告》审核的范围、对象、意见、结论(即是否通过)和有效期,以及审核机构的名称和签章等。
57SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC审核批准的文档批准申请《批准申请书》批准的范围、对象和期望,以及申请者的基本信息和签字等。《批准受理回执》同意受理、补充材料的要求和提交时间(如果需要),以及批准机构的名称和签章等。批准处理《批准决定书》批准的范围、对象、意见、结论(即是否通过)和有效期,以及批准机构的名称和签章等。持续监督7/19/2022《审核到期通知书》到期的时间和重新申请的要求,以及审核机构的名称和签章。《批准到期通知书》到期的时间和重新申请的要求,以及批准机构的名称和签章。《机构变化因素的描述报告》机构及其信息系统变化因素的列表、说明和安全隐患分析等。《环境变化因素的描述报告》信息安全相关环境变化因素的列表、说明和安全隐患分析等。58SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC三、信息安全风险管理各组成部分597/19/20221、对象确立2、风险评估3、风险控制4、审核批准5、监控与审查6.沟通与咨询SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC监控与审查的概述607/19/2022监控与审查对信息安全风险管理主循环的四个步骤(即对象确立、风险评估、风险控制和审核批准)进行监控和审查。监控是监视和控制,一是监视和控制风险管理过程,即过程质量管理,以保证过程的有效性;二是分析和平衡成本效益,即成本效益管理,以保证成本的有效性。审查是跟踪受保护系统自身或所处环境的变化,以保证结果的有效性。SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC监控与审查过程617/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC贯穿对象确立627/19/2022阶段监控审查过程有效性成本有效性结果有效性风险管理准备风险管理计划制定的流程及其相关文档风险管理计划的成本与效果《风险管理计划书》的时效信息系统调查信息系统调查的流程及其相关文档信息系统调查的成本与效果《信息系统的描述报告》的时效信息系统分析信息系统分析的流程及其相关文档信息系统分析的成本与效果《信息系统的分析报告》的时效信息安全分析信息系统安全要求分析的流程及其相关文档信息系统安全要求分析的成本与效果《信息系统的安全要求报告》的时效SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC贯穿风险评估637/19/2022阶段监控审查过程有效性成本有效性结果有效性风险评估准备风险评估的计划制定、程序确定以及方法和工具选择的流程及其相关文档风险评估的计划、程序以及入选方法和工具的成本与效果《风险评估计划》、《风险评估程序》和《入选风险评估方法和工具列表》的时效风险因素识别资产、威胁列和脆弱性识别的流程及其相关文档资产、威胁列和脆弱性识别的成本与效果《需要保护的资产清单》、《面临的威胁列表》和《存在的脆弱性列表》的时效SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC贯穿风险评估647/19/2022风险程度分析已有安全措施、威胁源、威胁行为、脆弱性、资产价值和影响程度分析的流程及其相关文档已有安全措施、威胁源、威胁行为、脆弱性、资产价值和影响程度分析的成本与效果《已有安全措施分析报告》、《威胁源分析报告》、《威胁行为分析报告》、《脆弱性分析报告》、《资产价值分析报告》和《影响程度分析报告》的时效风险等级评价威胁源等级、威胁行为等级、脆弱性等级、资产价值等级和影响程度等级评价以及《风险评估报告》生成的流程及其相关文档威胁源等级、威胁行为等级、脆弱性等级、资产价值等级和影响程度等级评价以及《风险评估报告》生成的成本与效果《威胁源等级列表》、《威胁行为等级列表》、《脆弱性等级列表》、《资产价值等级列表》、《影响程度等级列表》和《风险评估报告》的时效SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC贯穿风险控制657/19/2022阶段监控审查过程有效性成本有效性结果有效性现存风险判断可接受风险等级确定和现存风险接受判断的流程及其相关文档可接受风险等级确定和现存风险接受判断的成本与效果《风险接受等级划分表》和《现存风险接受判断书》的时效控制目标确立风险控制需求分析和风险控制目标确立的流程及其相关文档风险控制需求分析和风险控制目标确立的成本与效果《风险控制需求分析报告》和《风险控制目标列表》的时效SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC贯穿风险控制667/19/2022控制措施选择风险控制方式和措施选择的流程及其相关文档入选风险控制方式和措施的成本与效果《入选风险控制方式说明报告》和《入选风险控制措施说明报告》的时效控制措施实施风险控制实施计划制定和风险控制措施实施的流程及其相关文档风险控制实施计划制定和风险控制措施实施的成本与效果《风险控制实施计划书》和《风险控制实施记录》的时效SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC贯穿审核批准677/19/2022阶段监控审查过程有效性成本有效性结果有效性审核申请审核申请和受理的流程及其相关文档审核申请和受理的成本与效果《审核申请书》、《审核材料》和《审核受理回执》的时效审核处理审核材料审查、审核对象测试、专家鉴定和审核结论给出的流程及其相关文档审核材料审查、审核对象测试、专家鉴定和审核结论给出的成本与效果《审查结果报告》、《测试结果报告》、《专家鉴定报告》和《审核结论报告》的时效SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC贯穿审核批准687/19/2022批准申请批准申请和受理的流程及其相关文档批准申请和受理的成本与效果《批准申请书》和《批准受理回执》的时效批准处理审阅批准材料和批准决定做出的流程及其相关文档审阅批准材料和批准决定做出的成本与效果《批准决定书》的时效持续监督《审核结论报告》和《批准决定书》到期检查和机构及其环境变化检查的流程及其相关文档《审核结论报告》和《批准决定书》到期检查和机构及其环境变化检查的成本与效果《机构变化因素的描述报告》和《环境变化因素的描述报告》的时效SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC监控与审查的文档697/19/2022过程输出文档文档内容对象确立《对象确立的监控与审查记录》对象确立过程中监控和审查的范围、对象、时间、过程、结果和措施等。风险评估《风险评估的监控与审查记录》风险评估过程中监控和审查的范围、对象、时间、过程、结果和措施等。风险控制《风险控制的监控与审查记录》风险控制过程中监控和审查的范围、对象、时间、过程、结果和措施等。审核批准《审核批准的监控与审查记录》审核批准过程中监控和审查的范围、对象、时间、过程、结果和措施等。SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC三、信息安全风险管理各组成部分707/19/20221、对象确立2、风险评估3、风险控制4、审核批准5、监控与审查6.沟通与咨询SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC沟通与咨询的概述717/19/2022沟通与咨询为信息安全风险管理主循环的四个步骤(即对象确立、风险评估、风险控制和审核批准)中相关人员提供沟通和咨询。沟通是为直接参与人员提供交流途径,以保持他们之间的协调一致,共同实现安全目标。咨询是为所有相关人员提供学习途径,以提高他们的风险意识、知识和技能,配合实现安全目标。SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC沟通与咨询的方式727/19/2022方式接受方决策层管理层执行层支持层用户层发出方决策层交流指导和检查指导和检查表态表态管理层汇报交流指导和检查宣传和介绍宣传和介绍执行层汇报汇报交流宣传和介绍培训和咨询支持层培训和咨询培训和咨询培训和咨询交流培训和咨询用户层反馈反馈反馈反馈交流SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC沟通与咨询的过程737/19/2022SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC贯穿对象确立747/19/2022阶段参与人员涉及内容信息系统信息安全风险管理风险管理准备决策层决策层管理层《风险管理计划书》信息系统调查管理层执行层支持层管理层执行层《信息系统的描述报告》信息系统分析管理层执行层支持层管理层执行层《信息系统的分析报告》信息安全分析管理层执行层支持层《信息系统的安全要求报告》SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC贯穿风险评估757/19/2022阶段参与人员涉及内容信息系统信息安全风险管理风险评估准备决策层决策层管理层《风险评估计划》管理层管理层执行层支持层《风险评估程序》《入选风险评估方法和工具列表》风险因素识别管理层执行层执行层支持层《需要保护的资产清单》《面临的威胁列表》《存在的脆弱性列表》SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC贯穿风险评估767/19/2022风险程度分析管理层执行层执行层支持层《已有安全措施分析报告》《威胁源分析报告》《威胁行为分析报告》《脆弱性分析报告》《资产价值分析报告》《影响程度分析报告》风险等级评价执行层支持层《威胁源等级列表》《威胁行为等级列表》《脆弱性等级列表》《资产价值等级列表》《影响程度等级列表》《风险评估报告》SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC贯穿风险控制777/19/2022阶段参与人员涉及内容信息系统信息安全风险管理现存风险判断决策层管理层决策层管理层执行层支持层《风险接受等级划分表》《现存风险接受判断书》控制目标确立管理层管理层执行层支持层《风险控制需求分析报告》《风险控制目标列表》SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC贯穿风险控制787/19/2022控制措施选择执行层支持层《入选风险控制方式说明报告》《入选风险控制措施说明报告》控制措施实施管理层执行层管理层执行层支持层《风险控制实施计划书》《风险控制实施记录》SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC贯穿审核批准797/19/2022阶段参与人员涉及内容信息系统信息安全风险管理审核申请决策层管理层执行层《审核申请书》《审核材料》《审核受理回执》审核处理管理层执行层支持层《审查结果报告》《测试结果报告》《专家鉴定报告》《审核结论报告》SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC贯穿审核批准807/19/2022批准申请决策层管理层执行层《批准申请书》《批准受理回执》批准处理决策层决策层管理层《批准决定书》持续监督管理层执行层管理层执行层《机构变化因素的描述报告》《环境变化因素的描述报告》SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC沟通与咨询的文档817/19/2022过程输出文档文档内容对象确立《对象确立的沟通与咨询记录》对象确立过程中沟通和咨询的范围、对象、时间、内容和结果等。风险评估《风险评估的沟通与咨询记录》风险评估过程中沟通和咨询的范围、对象、时间、内容和结果等。风险控制《风险控制的沟通与咨询记录》风险控制过程中沟通和咨询的范围、对象、时间、内容和结果等。审核批准《审核批准的沟通与咨询记录》审核批准过程中沟通和咨询的范围、对象、时间、内容和结果等。SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC四、信息安全风险管理的运用827/19/20221、规划阶段2、设计阶段3、实施阶段4、运维阶段5.废弃阶段SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC四、信息安全风险管理的运用837/19/20221、规划阶段2、设计阶段3、实施阶段4、运维阶段5.废弃阶段SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC安全需求和目标847/19/2022明确安全总体方针确保安全总体方针源自业务期望明确项目范围清晰描述项目范围内所涉及系统的安全现状提交明确的安全需求文档清晰描述从系统的那些层次进行安全实现对实现的可能性进行充分分析、论证明确评价准则并达成一致SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险管理的过程概述857/19/2022在项目规划阶段,风险管理者应能清楚、准确地描述机构的安全总体方针、安全策略、风险管理范围、当前正在进行的或计划中将要执行的风险管理活动以及当前特殊安全要求等。SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险管理的活动867/19/2022序号风险管理活动所处风险管理流程1明确安全总体方针对象确立2安全需求分析对象确立、风险评估3风险评价准则达成一致风险控制、审核批准SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC四、信息安全风险管理的运用877/19/20221、规划阶段2、设计阶段3、实施阶段4、运维阶段5.废弃阶段SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC安全需求和目标887/19/2022对用以实现安全系统的各类技术进行有效性评估。对用于实施方案的产品需满足安全保护等级的要求对自开发的软件要在结构设计阶段就充分考虑安全风险SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险管理的过程概述897/19/2022在设计阶段,风险管理者应能标识出在项目结构实现过程中潜在的安全风险,为设计说明中的安全性设计提供评判依据,并对实施方案中选择的产品进行合格检查,确保项目设计阶段的重要环节均能得到较好的安全风险控制。SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC风险管理的活动907/19/2022序号风险管理活动所处风险管理流程1安全技术选择风险控制2安全产品选择风险控制3软件设计风险控制风险控制SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC四、信息安全风险管理的运用917/19/20221、规划阶段2、设计阶段3、实施阶段4、运维阶段5.废弃阶段SICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSEC
SICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC安全需求和目标927/19/2022实施阶段是按照规划和设计阶段所定义的信息系统实施方案,采购设备和软件,开发定制功能,集成、部署、配置和测试系统,培训人员,并对是否允许系统投入运行进行审核批准
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024年度品牌授权合同:知名品牌授权经营与销售合作3篇
- 2024年度服装设计与制作服务合同2篇
- 《颅内肿瘤讲义》课件
- 二手挖掘机买卖合同范本2024年度3篇
- 2024年度建筑设计合同的设计变更2篇
- 2024年度建筑施工合同:某开发商与施工单位2024年度住宅小区建设2篇
- 2024年度环保服务合同:甲方委托乙方提供环保服务包括废水处理、废气治理和废弃物处理等2篇
- 音乐巨匠的生涯
- 二零二四年度企业网站建设与内容更新合同3篇
- 河北省承德市2024-2025学年高三上学期期中考试数学试卷含答案
- VB Winsock控件(UDP协议)的使用
- 办公室工作存在的问题与对策
- 世界各国常用插头形式尺寸标准
- 水轮机结构图
- 关于高中生课外阅读的研究报告
- 上海市单位退工证明退工单(共1页)
- 个人所得税完税证明英文翻译模板
- 浅析某燃气轮机发电厂节能降耗的主要措施
- 《渔夫和金鱼的故事》.ppt
- 国家公派出国留学经验交流PPT课件
- 资产管理流程图及管控点
评论
0/150
提交评论