《信息安全风险评估与风险管理共101页》由会员分享,可在线阅读,更多相关《信息安全风险评估与风险管理共101页(101页珍藏版)》请在金锄头文库上搜索。
1、SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险评估与风险管理国家信息中心信息安全服务与研究
2、中心范红二00四年九月SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 汇报内容一、前言一、前言二、信息安全风险管理概述二、信息安全风险管理概述三、信息安全风险管理各组成部分三、信息安全风险管理各组成部分四、信息安全风险管理的运用四、信息安全风险管理的运用五、结束语五、结束语2SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SI
3、C INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 一、前言 3SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 二、信息安全风险管理概述 1 1、 信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、 信息安全风险管理的范围和对象信息安全风险管
4、理的范围和对象3 3、 信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4、 信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目标的关系5 5、 信息安全风险管理的角色和责任信息安全风险管理的角色和责任4SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 二、信息安全风险管理概述 1 1、 信息安全风险管理的目的和意
5、义信息安全风险管理的目的和意义2 2、 信息安全风险管理的范围和对象信息安全风险管理的范围和对象3 3、 信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4、 信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目标的关系5 5、 信息安全风险管理的角色和责任信息安全风险管理的角色和责任5SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC IN
6、FOSEC SIC 信息安全风险管理的目的和意义 信息安全风险管理是信息安全保障工作中的一信息安全风险管理是信息安全保障工作中的一项基础性工作项基础性工作 。1 1、信息安全风险管理体现在信息安全保障体系信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。的技术、组织和管理等方面。 2 2、信息安全风险管理贯穿信息系统生命周期的信息安全风险管理贯穿信息系统生命周期的全部过程。全部过程。 3 3、信息安全风险管理依据等级保护的思想和适信息安全风险管理依据等级保护的思想和适度安全的原则,平衡成本与效益,合理部署和利用信度安全的原则,平衡成本与效益,合理部署和利用信息安全的信任体系、监控
7、体系和应急处理等重要的基息安全的信任体系、监控体系和应急处理等重要的基础设施,确定合适的安全措施,从而确保机构具有完础设施,确定合适的安全措施,从而确保机构具有完成其使命的信息安全保障能力。成其使命的信息安全保障能力。6SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 二、信息安全风险管理概述 1 1、 信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、 信息安
8、全风险管理的范围和对象信息安全风险管理的范围和对象3 3、 信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4、 信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目标的关系5 5、 信息安全风险管理的角色和责任信息安全风险管理的角色和责任7SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险管理的范围和对
9、象8SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 二、信息安全风险管理概述 1 1、 信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、 信息安全风险管理的范围和对象信息安全风险管理的范围和对象3 3、 信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4、 信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和
10、信息安全目标的关系5 5、 信息安全风险管理的角色和责任信息安全风险管理的角色和责任9SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险管理的内容和过程 10SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFO
11、SEC SIC INFOSEC SIC INFOSEC SIC 二、信息安全风险管理概述 1 1、 信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、 信息安全风险管理的范围和对象信息安全风险管理的范围和对象3 3、 信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4、 信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目标的关系5 5、 信息安全风险管理的角色和责任信息安全风险管理的角色和责任11SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SI
12、C INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 三维结构关系12SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 二、信息安全风险管理概述 1 1、 信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、 信息安全风险管理的范围和对象信息安全风险管理的范围和对象3 3
13、、 信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4、 信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目标的关系5 5、 信息安全风险管理的角色和责任信息安全风险管理的角色和责任13SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险管理相关人员的角色和责任 层面层面信息系统信息系统信息安全风险管理信
14、息安全风险管理角色角色内外部内外部责任责任角色角色内外部内外部责任责任决策层主管者内负责信息系统的重大决策。主管者内负责信息安全风险管理的重大决策。管理层管理者内负责信息系统的规划,以及建设、运行、维护和监控等方面的组织和协调。管理者内负责信息安全风险管理的规划,以及实施和监控过程中的组织和协调。执行层建设者内或外负责信息系统的设计和实施。执行者内或外负责信息安全风险管理的实施。运行者内负责信息系统的日常运行和操作。维护者内或外负责信息系统的日常维护,包括维修和升级。监控者内负责信息系统的监视和控制。监控者内负责信息安全风险管理过程和结果的监视和控制。支持层专业者外为信息系统提供专业咨询、培训
15、、诊断和工具等服务。专业者外为信息安全风险管理提供专业咨询、培训、诊断和工具等服务。用户层使用者内或外利用信息系统完成自身的任务。受益者内或外反馈信息安全风险管理的效果。14SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 三、信息安全风险管理各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、沟通与咨询
16、、沟通与咨询6 6、监控与审查、监控与审查15SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 三、信息安全风险管理各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、沟通与咨询、沟通与咨询6 6、监控与审查、监控与审查16SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC I
17、NFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 对象确立概述对象确立是信息安全风险管理的第一对象确立是信息安全风险管理的第一步骤,根据要保护系统的业务目标和特性,步骤,根据要保护系统的业务目标和特性,确定风险管理对象。其目的是为了明确信确定风险管理对象。其目的是为了明确信息安全风险管理的范围和对象,以及对象息安全风险管理的范围和对象,以及对象的特性和安全要求。的特性和安全要求。17SIC INFOSEC SIC INFOSEC SIC INFOSEC S
18、IC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 对象确立过程18SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险管理准备19SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC S
19、IC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息系统调查 20SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息系统分析21SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC
20、SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全分析22SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 对象确立的文档阶段阶段输出文档输出文档文档内容文档内容风险管理准备风险管理计划书风险管理的目的、意义、范围、目标、组织结构、经费预算和进度安排等。信息系统调查信
21、息系统的描述报告信息系统的业务目标、业务特性、管理特性和技术特性等。信息系统分析信息系统的分析报告信息系统的体系结构和关键要素等。信息安全分析信息系统的安全要求报告信息系统的安全环境和安全要求等。23SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 三、信息安全风险管理各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、
22、审核批准5 5、沟通与咨询、沟通与咨询6 6、监控与审查、监控与审查24SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估概述 风险评估是信息安全风险管理的第二风险评估是信息安全风险管理的第二步,针对确立的风险管理对象所面临的风步,针对确立的风险管理对象所面临的风险进行识别、分析和评价。险进行识别、分析和评价。25SIC INFOSEC SIC INFOSEC SIC
23、 INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估过程26SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估准备27SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC
24、 INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险因素识别28SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险程度分析29SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC
25、 INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险等级评价30SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估的文档阶段阶段输出文档输出文档文档内容文档内容风险评估准备风险评估计划书风险评估的目的、意义、范围、目标、组织结构、经费预算和进度安排
26、等。风险评估程序风险评估的工作流程、输入数据和输出结果等。入选风险评估方法和工具列表合适的风险评估方法和工具列表。风险因素识别需要保护的资产清单对机构使命具有关键和重要作用的需要保护的资产清单。面临的威胁列表机构的信息资产面临的威胁列表。存在的脆弱性列表机构的信息资产存在的脆弱性列表。31SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估的文档风险程度分析已有安全措施
27、分析报告确认已有的安全措施,包括技术层面(即物理平台、系统平台、通信平台、网络平台和应用平台)的安全功能、组织层面(即结构、岗位和人员)的安全控制和管理层面(即策略、规章和制度)的安全对策。威胁源分析报告从利益、复仇、好奇和自负等驱使因素,分析威胁源动机的强弱。威胁行为分析报告从攻击的强度、广度、速度和深度等方面,分析威胁行为能力的高低。脆弱性分析报告按威胁/脆弱性对,分析脆弱性被威胁利用的难以程度。资产价值分析报告从敏感性、关键性和昂贵性等方面,分析资产价值的大小。影响程度分析报告从资产损失、使命妨碍和人员伤亡等方面,分析影响程度的深浅。32SIC INFOSEC SIC INFOSEC S
28、IC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估的文档风险等级评价威胁源等级列表威胁源动机的等级列表。威胁行为等级列表威胁行为能力的等级列表。脆弱性等级列表脆弱性被利用的等级列表。资产价值等级列表资产价值的等级列表。影响程度等级列表影响程度的等级列表。风险评估报告汇总上述分析报告和等级列表,综合评价风险的等级。33SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC
29、 INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 三、信息安全风险管理各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、沟通与咨询、沟通与咨询6 6、监控与审查、监控与审查34SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INF
30、OSEC SIC INFOSEC SIC 风险控制概述 风险控制是信息安全风险管理的第三步骤,风险控制是信息安全风险管理的第三步骤,依据风险评估的结果,选择和实施合适的安全措依据风险评估的结果,选择和实施合适的安全措施。施。风险控制方式主要有规避、转移和降低三种风险控制方式主要有规避、转移和降低三种方式方式。35SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险控制需求及
31、其相应的风险控制措施PPDRR风险控制需求风险控制需求风险控制措施风险控制措施策略Policy设备管理制度建立健全各种安全相关的规章制定和操作规范,使得保护、检测和响应环节有章可循、切实有效。机房出入守则系统安全管理守则系统安全配置明细网络安全管理守则网络安全配置明细应用安全管理守则应用安全配置明细应急响应计划安全事件处理准则36SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SI
32、C 主要的风险控制需求及其相应的风险控制措施保护Protection机房严格按照GB 50174-1993电子计算机机房设计规范、GB 9361-1988计算站场地安全要求、GB 2887-1982计算机站场地技术要求和GB/T 2887-2000计算机场地通用规范等国家标准建设和维护计算机机房。门控安装门控系统保安建设保安制度和保安队伍。电磁屏蔽在必要的地方设置抗电磁干扰和防电磁泄漏的设施。病毒防杀全面部署防病毒系统。漏洞补丁及时下载和安装最新的漏洞补丁模块。安全配置严格遵守各系统单元的安全配置明细,避免配置中的安全漏洞。身份认证根据不同的安全强度,分别采用身份标识/口令、数字钥匙、数字证书
33、、生物识别、双因子等级别的身份认证系统,对设备、用户、服务等主客体进行身份认证。访问控制根据不同的安全强度,分别采用自主型、强制型等级别的访问控制系统,对设备、用户等主体访问客体的权限进行控制。数据加密根据不同的安全强度,分别采用商密、普密、机密等级别的数据加密系统,对传输数据和存储数据进行加密。边界控制在网络边界布置防火墙,阻止来自外界非法访问。数字水印对于需要版权保护的图片、声音、文字等形式的信息,采用数字水印技术加以保护。数字签名在需要防止事后否认时,可采用数字签名技术。内容净化部署内容过滤系统。安全机构、安全岗位、安全责任建立健全安全机构,合理设置安全岗位,明确划分安全责任。37SIC
34、 INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 主要的风险控制需求及其相应的风险控制措施检测Detection监视、监测和报警在适当的位置安置监视器和报警器,在各系统单元中配备监测系统和报警系统,以实时发现安全事件并及时报警。数据校验通过数据校验技术,发现数据篡改。主机入侵检测部署主机入侵检测系统,发现主机入侵行为。主机状态监测部署主机状态监测系统,随时掌握主机运行状态。网络入侵
35、检测部署网络入侵检测系统,发现网络入侵行为。网络状态监测部署网络状态监测系统,随时掌握网络运行状态。安全审计在各系统单元中配备安全审计,以发现深层安全漏洞和安全事件。安全监督、安全检查实行持续有效的安全监督,预演应急响应计划。38SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 主要的风险控制需求及其相应的风险控制措施响应Response恢复Recovery故障修复、事故排除
36、确保随时能够获取故障修复和事故排除的技术人员和软硬件工具。设施备份与恢复对于关键设施,配备设施备份与恢复系统。系统备份与恢复对于关键系统,配备系统备份与恢复系统。数据备份与恢复对于关键数据,配备数据备份与恢复系统。信道备份与恢复对于关键信道,配备设信道份与恢复系统。应用备份与恢复对于关键应用,配备应用备份与恢复系统。应急响应按照应急响应计划处理应急事件。安全事件处理按照安全事件处理找出原因、追究责任、总结经验、提出改进。39SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SI
37、C INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险控制过程40SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 现存风险判断41SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SI
38、C INFOSEC SIC INFOSEC SIC INFOSEC SIC 控制目标确立42SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 控制措施选择43SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SI
39、C INFOSEC SIC INFOSEC SIC 控制措施实施44SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险控制的文档阶段阶段输出文档输出文档文档内容文档内容现存风险判断风险接受等级划分表风险接受等级的划分,即把风险评估得出的风险等级划分为可接受和不可接受两种。现存风险接受判断书现存风险是否可接受的判断结果。控制目标确立风险控制需求分析报告从技术层面(即物理平台
40、、系统平台、通信平台、网络平台和应用平台)、组织层面(即结构、岗位和人员)和管理层面(即策略、规章和制度),分析风险控制的需求。风险控制目标列表风险控制目标的列表,包括控制对象及其最低保护等级。45SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险控制的文档控制措施选择入选风险控制方式说明报告选择合适的风险控制方式(包括规避方式、转移方式和降低方式),并说明选择的理由以及
41、被选控制方式的使用方法和注意事项等。入选风险控制措施说明报告选择合适的风险控制措施,并说明选择的理由以及被选控制措施的成本、使用方法和注意事项等。控制措施实施风险控制实施计划书风险控制的范围、对象、目标、组织结构、成本预算和进度安排等。风险控制实施记录风险控制措施实施的过程和结果。46SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 三、信息安全风险管理各组成部分 1 1、对
42、象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、沟通与咨询、沟通与咨询6 6、监控与审查、监控与审查47SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 审核批准概述 审核批准是信息安全风险管理的第四步骤,审核批审核批准是信息安全风险管理的第四步骤,审核批准包括审核和批准两部分:审核是指通过审查、测试、准包括审核和批准两部
43、分:审核是指通过审查、测试、评审等手段,检验风险评估和风险控制的结果是否满足评审等手段,检验风险评估和风险控制的结果是否满足信息系统的安全要求;批准是指机构的决策层依据审核信息系统的安全要求;批准是指机构的决策层依据审核的结果,做出是否认可的决定。的结果,做出是否认可的决定。审核既可以由机构内部完成,也可以委托外部专业审核既可以由机构内部完成,也可以委托外部专业机构来完成,这主要取决于信息系统的性质和机构自身机构来完成,这主要取决于信息系统的性质和机构自身的专业能力。批准一般必须由机构内部或更高层的主管的专业能力。批准一般必须由机构内部或更高层的主管机构的决策层来执行。机构的决策层来执行。48
44、SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 审核批准过程及其在信息安全风险管理中的位置 49SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 审核申请
45、50SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 审核处理51SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 批准申请52SIC INFOSEC SI
46、C INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 批准处理53SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 持续监督54SIC INFOSEC SIC INFOSEC SIC IN
47、FOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 审核批准的文档阶段阶段输出文档输出文档文档内容文档内容审核申请审核申请书审核的范围、对象、目标和进度要求,以及申请者的基本信息和签字等。审核材料风险评估过程和风险控制过程输出的文档、软件和硬件等结果。审核受理回执同意受理、补充材料的要求和提交时间(如果需要)、审核的进度安排和收费标准,以及审核机构的名称和签章等。审核处理审查结果报告审查的范围、对象、意见和结论(即是否通过),以及审查人
48、员的名字和签字等。测试结果报告测试的范围、对象、意见和结论(即是否通过),以及测试人员的名字和签字等。专家鉴定报告鉴定的范围、对象(及其基本情况)和结论,以及专家名单和签字等。审核结论报告审核的范围、对象、意见、结论(即是否通过)和有效期,以及审核机构的名称和签章等。55SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 审核批准的文档批准申请批准申请书批准的范围、对象和期望,
49、以及申请者的基本信息和签字等。批准受理回执同意受理、补充材料的要求和提交时间(如果需要),以及批准机构的名称和签章等。批准处理批准决定书批准的范围、对象、意见、结论(即是否通过)和有效期,以及批准机构的名称和签章等。持续监督审核到期通知书到期的时间和重新申请的要求,以及审核机构的名称和签章。批准到期通知书到期的时间和重新申请的要求,以及批准机构的名称和签章。机构变化因素的描述报告机构及其信息系统变化因素的列表、说明和安全隐患分析等。环境变化因素的描述报告信息安全相关环境变化因素的列表、说明和安全隐患分析等。56SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC IN
50、FOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 三、信息安全风险管理各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、监控与审查、监控与审查6 6、沟通与咨询、沟通与咨询57SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSE
51、C SIC INFOSEC SIC INFOSEC SIC 监控与审查的概述 监控与审查对信息安全风险管理主循环的四个步监控与审查对信息安全风险管理主循环的四个步骤(即对象确立、风险评估、风险控制和审核批准)骤(即对象确立、风险评估、风险控制和审核批准)进行监控和审查。监控是监视和控制,一是监视和控进行监控和审查。监控是监视和控制,一是监视和控制风险管理过程,即过程质量管理,以保证过程的有制风险管理过程,即过程质量管理,以保证过程的有效性;二是分析和平衡成本效益,即成本效益管理,效性;二是分析和平衡成本效益,即成本效益管理,以保证成本的有效性。审查是跟踪受保护系统自身或以保证成本的有效性。审查
52、是跟踪受保护系统自身或所处环境的变化,以保证结果的有效性。所处环境的变化,以保证结果的有效性。58SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 监控与审查过程 59SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOS
53、EC SIC INFOSEC SIC INFOSEC SIC 贯穿对象确立阶段阶段监控监控审查审查过程有效性成本有效性 结果有效性风险管理准备风险管理计划制定的流程及其相关文档风险管理计划的成本与效果风险管理计划书的时效信息系统调查信息系统调查的流程及其相关文档信息系统调查的成本与效果信息系统的描述报告的时效信息系统分析信息系统分析的流程及其相关文档信息系统分析的成本与效果信息系统的分析报告的时效信息安全分析信息系统安全要求分析的流程及其相关文档信息系统安全要求分析的成本与效果信息系统的安全要求报告的时效60SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INF
54、OSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 贯穿风险评估阶段阶段监控监控审查审查过程有效性成本有效性 结果有效性风险评估准备风险评估的计划制定、程序确定以及方法和工具选择的流程及其相关文档风险评估的计划、程序以及入选方法和工具的成本与效果风险评估计划、风险评估程序和入选风险评估方法和工具列表的时效风险因素识别资产、威胁列和脆弱性识别的流程及其相关文档资产、威胁列和脆弱性识别的成本与效果需要保护的资产清单、面临的威胁列表和存在的脆弱性列表的时效61SIC
55、INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 贯穿风险评估风险程度分析已有安全措施、威胁源、威胁行为、脆弱性、资产价值和影响程度分析的流程及其相关文档已有安全措施、威胁源、威胁行为、脆弱性、资产价值和影响程度分析的成本与效果已有安全措施分析报告、威胁源分析报告、威胁行为分析报告、脆弱性分析报告、资产价值分析报告和影响程度分析报告的时效风险等级评价威胁源等级、威胁行为等级、脆弱性等
56、级、资产价值等级和影响程度等级评价以及风险评估报告生成的流程及其相关文档威胁源等级、威胁行为等级、脆弱性等级、资产价值等级和影响程度等级评价以及风险评估报告生成的成本与效果威胁源等级列表、威胁行为等级列表、脆弱性等级列表、资产价值等级列表、影响程度等级列表和风险评估报告的时效62SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 贯穿风险控制阶段阶段监控监控审查审查过程有效性成
57、本有效性 结果有效性现存风险判断可接受风险等级确定和现存风险接受判断的流程及其相关文档可接受风险等级确定和现存风险接受判断的成本与效果风险接受等级划分表和现存风险接受判断书的时效控制目标确立风险控制需求分析和风险控制目标确立的流程及其相关文档风险控制需求分析和风险控制目标确立的成本与效果风险控制需求分析报告和风险控制目标列表的时效63SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC
58、SIC 贯穿风险控制控制措施选择风险控制方式和措施选择的流程及其相关文档入选风险控制方式和措施的成本与效果入选风险控制方式说明报告和入选风险控制措施说明报告的时效控制措施实施风险控制实施计划制定和风险控制措施实施的流程及其相关文档风险控制实施计划制定和风险控制措施实施的成本与效果风险控制实施计划书和风险控制实施记录的时效64SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 贯
59、穿审核批准阶段阶段监控监控审查审查过程有效性成本有效性 结果有效性审核申请审核申请和受理的流程及其相关文档审核申请和受理的成本与效果审核申请书、审核材料和审核受理回执的时效审核处理审核材料审查、审核对象测试、专家鉴定和审核结论给出的流程及其相关文档审核材料审查、审核对象测试、专家鉴定和审核结论给出的成本与效果审查结果报告、测试结果报告、专家鉴定报告和审核结论报告的时效65SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC I
60、NFOSEC SIC INFOSEC SIC 贯穿审核批准批准申请批准申请和受理的流程及其相关文档批准申请和受理的成本与效果批准申请书和批准受理回执的时效批准处理审阅批准材料和批准决定做出的流程及其相关文档审阅批准材料和批准决定做出的成本与效果批准决定书的时效持续监督审核结论报告和批准决定书到期检查和机构及其环境变化检查的流程及其相关文档审核结论报告和批准决定书到期检查和机构及其环境变化检查的成本与效果机构变化因素的描述报告和环境变化因素的描述报告的时效66SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOS
61、EC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 监控与审查的文档过程过程输出文档输出文档文档内容文档内容对象确立对象确立的监控与审查记录对象确立过程中监控和审查的范围、对象、时间、过程、结果和措施等。风险评估风险评估的监控与审查记录风险评估过程中监控和审查的范围、对象、时间、过程、结果和措施等。风险控制风险控制的监控与审查记录风险控制过程中监控和审查的范围、对象、时间、过程、结果和措施等。审核批准审核批准的监控与审查记录审核批准过程中监控和审查的范围、对象、时间、过程、结果和措施等。67SIC INFOSEC
62、 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 三、信息安全风险管理各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、监控与审查、监控与审查6 6、沟通与咨询、沟通与咨询68SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC
63、 INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 沟通与咨询的概述 沟通与咨询为信息安全风险管理主循环的四个沟通与咨询为信息安全风险管理主循环的四个步骤(即对象确立、风险评估、风险控制和审核批步骤(即对象确立、风险评估、风险控制和审核批准)中相关人员提供沟通和咨询。沟通是为直接参准)中相关人员提供沟通和咨询。沟通是为直接参与人员提供交流途径,以保持他们之间的协调一致,与人员提供交流途径,以保持他们之间的协调一致,共同实现安全目标。咨询是为所有相关人员提供学共同实现安全目标。咨询是为所有相关人员提供学习途径,以提高他们的风险
64、意识、知识和技能,配习途径,以提高他们的风险意识、知识和技能,配合实现安全目标。合实现安全目标。69SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 沟通与咨询的方式方式方式接受方接受方决策层决策层管理层管理层执行层执行层支持层支持层用户层用户层发发出出方方决策决策层层交流指导和检查指导和检查表态表态管理管理层层汇报交流指导和检查宣传和介绍宣传和介绍执行执行层层汇报汇报交流宣
65、传和介绍培训和咨询支持支持层层培训和咨询培训和咨询培训和咨询交流培训和咨询用户用户层层反馈反馈反馈反馈交流70SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 沟通与咨询的过程71SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC
66、 INFOSEC SIC INFOSEC SIC INFOSEC SIC 贯穿对象确立阶段阶段参与人员参与人员涉及内容涉及内容信息系统信息安全风险管理风险管理准备决策层决策层管理层风险管理计划书信息系统调查管理层执行层支持层管理层执行层信息系统的描述报告信息系统分析管理层执行层支持层管理层执行层信息系统的分析报告信息安全分析管理层执行层支持层信息系统的安全要求报告72SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INF
67、OSEC SIC INFOSEC SIC 贯穿风险评估阶段阶段参与人员参与人员涉及内容涉及内容信息系统信息安全风险管理风险评估准备决策层决策层管理层风险评估计划管理层管理层执行层支持层风险评估程序入选风险评估方法和工具列表风险因素识别管理层执行层执行层支持层需要保护的资产清单面临的威胁列表存在的脆弱性列表73SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 贯穿风险评估风险程
68、度分析管理层执行层执行层支持层已有安全措施分析报告威胁源分析报告威胁行为分析报告脆弱性分析报告资产价值分析报告影响程度分析报告风险等级评价执行层支持层威胁源等级列表威胁行为等级列表脆弱性等级列表资产价值等级列表影响程度等级列表风险评估报告74SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 贯穿风险控制阶段阶段参与人员参与人员涉及内容涉及内容信息系统信息安全风险管理现存风险判
69、断决策层管理层决策层管理层执行层支持层风险接受等级划分表现存风险接受判断书控制目标确立管理层管理层执行层支持层风险控制需求分析报告风险控制目标列表75SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 贯穿风险控制控制措施选择执行层支持层入选风险控制方式说明报告入选风险控制措施说明报告控制措施实施管理层执行层管理层执行层支持层风险控制实施计划书风险控制实施记录76SIC INF
70、OSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 贯穿审核批准阶段阶段参与人员参与人员涉及内容涉及内容信息系统信息安全风险管理审核申请决策层管理层执行层审核申请书审核材料审核受理回执审核处理管理层执行层支持层审查结果报告测试结果报告专家鉴定报告审核结论报告77SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC IN
71、FOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 贯穿审核批准批准申请决策层管理层执行层批准申请书批准受理回执批准处理决策层决策层管理层批准决定书持续监督管理层执行层管理层执行层机构变化因素的描述报告环境变化因素的描述报告78SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 沟通与咨询的
72、文档过程过程输出文档输出文档文档内容文档内容对象确立对象确立的沟通与咨询记录对象确立过程中沟通和咨询的范围、对象、时间、内容和结果等。风险评估风险评估的沟通与咨询记录风险评估过程中沟通和咨询的范围、对象、时间、内容和结果等。风险控制风险控制的沟通与咨询记录风险控制过程中沟通和咨询的范围、对象、时间、内容和结果等。审核批准审核批准的沟通与咨询记录审核批准过程中沟通和咨询的范围、对象、时间、内容和结果等。79SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC
73、SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 四、信息安全风险管理的运用 1 1、规划阶段、规划阶段2 2、设计阶段、设计阶段3 3、实施阶段、实施阶段4 4、运维阶段、运维阶段5 5、废弃阶段、废弃阶段80SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 四、信息安全风险管理的运用 1 1、规划阶段、规划阶段2 2、设计阶段、设计阶段3 3
74、、实施阶段、实施阶段4 4、运维阶段、运维阶段5 5、废弃阶段、废弃阶段81SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 安全需求和目标明确安全总体方针明确安全总体方针确保安全总体方针源自业务期望确保安全总体方针源自业务期望明确项目范围明确项目范围清晰描述项目范围内所涉及系统的安全现状清晰描述项目范围内所涉及系统的安全现状提交明确的安全需求文档提交明确的安全需求文档清晰描
75、述从系统的那些层次进行安全实现清晰描述从系统的那些层次进行安全实现对实现的可能性进行充分分析、论证对实现的可能性进行充分分析、论证明确评价准则并达成一致明确评价准则并达成一致82SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险管理的过程概述在项目规划阶段,风险管理者应能清楚、准在项目规划阶段,风险管理者应能清楚、准确地描述机构的安全总体方针、安全策略、风险确地描述机构的
76、安全总体方针、安全策略、风险管理范围、当前正在进行的或计划中将要执行的管理范围、当前正在进行的或计划中将要执行的风险管理活动以及当前特殊安全要求等。风险管理活动以及当前特殊安全要求等。83SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险管理的活动序序号号风险管理活风险管理活动动所处风险管所处风险管理流程理流程1明确安全总体方针对象确立2安全需求分析对象确立、风险评估3风
77、险评价准则达成一致风险控制、审核批准84SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 四、信息安全风险管理的运用 1 1、规划阶段、规划阶段2 2、设计阶段、设计阶段3 3、实施阶段、实施阶段4 4、运维阶段、运维阶段5 5、废弃阶段、废弃阶段85SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC
78、 INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 安全需求和目标对用以实现安全系统的各类技术进行有效性评对用以实现安全系统的各类技术进行有效性评估。估。对用于实施方案的产品需满足安全保护等级的对用于实施方案的产品需满足安全保护等级的要求要求对自开发的软件要在结构设计阶段就充分考虑对自开发的软件要在结构设计阶段就充分考虑安全风险安全风险86SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSE
79、C SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险管理的过程概述在设计阶段,风险管理者应能标识出在在设计阶段,风险管理者应能标识出在项目结构实现过程中潜在的安全风险,为设项目结构实现过程中潜在的安全风险,为设计说明中的安全性设计提供评判依据,并对计说明中的安全性设计提供评判依据,并对实施方案中选择的产品进行合格检查,确保实施方案中选择的产品进行合格检查,确保项目设计阶段的重要环节均能得到较好的安项目设计阶段的重要环节均能得到较好的安全风险控制。全风险控制。87SIC INFOSEC SIC INFOSEC SIC INFOSEC S
80、IC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险管理的活动序序号号风险管理活风险管理活动动所处风险管所处风险管理流程理流程1安全技术选择风险控制2安全产品选择风险控制3软件设计风险控制风险控制88SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC I
81、NFOSEC SIC 四、信息安全风险管理的运用 1 1、规划阶段、规划阶段2 2、设计阶段、设计阶段3 3、实施阶段、实施阶段4 4、运维阶段、运维阶段5 5、废弃阶段、废弃阶段89SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 安全需求和目标实实施施阶阶段段是是按按照照规规划划和和设设计计阶阶段段所所定定义义的的信信息息系系统统实实施施方方案案,采采购购设设备备和和软软
82、件件,开开发发定定制制功功能能,集集成成、部部署署、配配置置和和测测试试系系统统,培培训训人人员,并对是否允许系统投入运行进行审核批准。员,并对是否允许系统投入运行进行审核批准。90SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险管理的过程概述实施阶段的风险管理主要活动包括检查实施阶段的风险管理主要活动包括检查与配置、安全测试、人员培训及授权运行,与配置、安全测试、人员
83、培训及授权运行,同时在上述过程中通过监控与审查、沟通与同时在上述过程中通过监控与审查、沟通与咨询来确保本阶段风险管理目标的实现。咨询来确保本阶段风险管理目标的实现。 91SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险管理的活动序序号号风险管理风险管理活动活动所处风险管所处风险管理流程理流程1检查与配置风险控制2安全测试 风险控制3人员培训 风险控制4授权系统运行审核批
84、准92SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 四、信息安全风险管理的运用 1 1、规划阶段、规划阶段2 2、设计阶段、设计阶段3 3、实施阶段、实施阶段4 4、运维阶段、运维阶段5 5、废弃阶段、废弃阶段93SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFO
85、SEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 安全需求和目标运运行行维维护护阶阶段段是是在在信信息息系系统统经经过过授授权权投投入入运运行行之之后后,通通过过风风险险管管理理的的相相关关过过程程和和活活动动,确确保保信信息息系系统统在在运运行行过过程程中中、以以及及信信息息系系统统或或其其运运行行环环境境发发生生变变化化时时维维持持系系统统的的正正常常运运行行和和安全性。安全性。94SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SI
86、C INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险管理的过程概述运行维护阶段的风险管理主要活动包括安全运运行维护阶段的风险管理主要活动包括安全运行和管理、变更管理、风险再评估、定期重新审行和管理、变更管理、风险再评估、定期重新审批,同时在上述过程中通过监控与审查、沟通与批,同时在上述过程中通过监控与审查、沟通与咨询来确保本阶段风险管理目标的实现。咨询来确保本阶段风险管理目标的实现。 95SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC IN
87、FOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 运行维护阶段风险管理活动的流程 96SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 四、信息安全风险管理的运用 1 1、规划阶段、规划阶段2 2、设计阶段、设计阶段3 3、实施阶段、实施阶段4 4、运维阶段、运维阶段5 5、废弃阶段、废
88、弃阶段97SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 安全需求和目标废弃阶段是对信息系统的过时或无用部分废弃阶段是对信息系统的过时或无用部分进行报废处理的过程。在废弃阶段,风险管理进行报废处理的过程。在废弃阶段,风险管理的目标是确保信息、硬件、软件在执行废弃的的目标是确保信息、硬件、软件在执行废弃的过程中确保其安全废弃,防止发生信息系统的过程中确保其安全废弃,防止发生信
89、息系统的安全目标遭到破坏。安全目标遭到破坏。98SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险管理的过程概述系统废弃阶段涉及到信息、硬件和软件的安系统废弃阶段涉及到信息、硬件和软件的安全处置,应防止敏感信息就泄漏给外部人员。系统全处置,应防止敏感信息就泄漏给外部人员。系统废弃的风险管理活动包括:确定废弃对象,对废弃废弃的风险管理活动包括:确定废弃对象,对废弃对象的风险
90、评估,对废弃对象及废弃过程的风险控对象的风险评估,对废弃对象及废弃过程的风险控制。同时在上述过程中通过监控与审查、沟通与咨制。同时在上述过程中通过监控与审查、沟通与咨询来确保本阶段风险管理目标的实现。询来确保本阶段风险管理目标的实现。 99SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险管理的活动序号序号风险管理活动风险管理活动所处风险管理流程所处风险管理流程1确立废弃对象对象确立2废弃对象的风险评估风险评估3废弃过程的风险控制风险控制4废弃后的评审审核批准100SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 五、结束语 101
