1、3-1 信息安全风险评估2内容3.1 信息安全风险管理概述信息安全风险管理概述3.2 信息安全风险管理各组成部分信息安全风险管理各组成部分3. 3 信息安全风险管理的运用信息安全风险管理的运用33.1 信息安全风险管理概述 3.1.1 3.1.1 信息安全风险管理的目的和意义信息安全风险管理的目的和意义3.1.2 3.1.2 信息安全风险管理的范围和对象信息安全风险管理的范围和对象3.1.3 3.1.3 信息安全风险管理的内容和过程信息安全风险管理的内容和过程3.1.4 3.1.4 信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周 期和信息安全目标的关系期和信息安全目标的关系3
2、.1.5 3.1.5 信息安全风险管理的角色和责任信息安全风险管理的角色和责任43.1.1 信息安全风险管理的目的和意义 信息安全风险管理是信息安全保障工作中的一信息安全风险管理是信息安全保障工作中的一项基础性工作项基础性工作 。1 1、信息安全风险管理体现在信息安全保障体系、信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。的技术、组织和管理等方面。 2 2、信息安全风险管理贯穿信息系统生命周期的、信息安全风险管理贯穿信息系统生命周期的全部过程。全部过程。 3 3、信息安全风险管理依据等级保护的思想和适、信息安全风险管理依据等级保护的思想和适度安全的原则,平衡成本与效益,合理部
3、署和利用信度安全的原则,平衡成本与效益,合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基息安全的信任体系、监控体系和应急处理等重要的基础设施,确定合适的安全措施,从而确保机构具有完础设施,确定合适的安全措施,从而确保机构具有完成其使命的信息安全保障能力。成其使命的信息安全保障能力。53.1.2 信息安全风险管理的范围和对象63.1.3 信息安全风险管理的内容和过程 7三维结构关系3.1.4 信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目标的关系83.1.5 信息安全风险管理的角色和责任 层面层面信息系统信息系统信息安全风险管理
4、信息安全风险管理角色角色内外部内外部责任责任角色角色内外部内外部责任责任决策层主管者内负责信息系统的重大决策。主管者内负责信息安全风险管理的重大决策。管理层管理者内负责信息系统的规划,以及建设、运行、维护和监控等方面的组织和协调。管理者内负责信息安全风险管理的规划,以及实施和监控过程中的组织和协调。执行层建设者内或外负责信息系统的设计和实施。执行者内或外负责信息安全风险管理的实施。运行者内负责信息系统的日常运行和操作。维护者内或外负责信息系统的日常维护,包括维修和升级。监控者内负责信息系统的监视和控制。监控者内负责信息安全风险管理过程和结果的监视和控制。支持层专业者外为信息系统提供专业咨询、培
5、训、诊断和工具等服务。专业者外为信息安全风险管理提供专业咨询、培训、诊断和工具等服务。用户层使用者内或外利用信息系统完成自身的任务。受益者内或外反馈信息安全风险管理的效果。93.2 信息安全风险管理各组成部分 3.2.1 3.2.1 对象确立对象确立3.2.2 3.2.2 风险评估风险评估3.2.3 3.2.3 风险控制风险控制3.2.4 3.2.4 审核批准审核批准3.2.5 3.2.5 沟通与咨询沟通与咨询3.2.63.2.6 监控与审查监控与审查103.2.1 对象确立对象确立是信息安全风险管理的第一对象确立是信息安全风险管理的第一步骤,根据要保护系统的业务目标和特性步骤,根据要保护系统
6、的业务目标和特性,确定风险管理对象。其目的是为了明确,确定风险管理对象。其目的是为了明确信息安全风险管理的范围和对象,以及对信息安全风险管理的范围和对象,以及对象的特性和安全要求。象的特性和安全要求。11对象确立过程12风险管理准备13信息系统调查 14信息系统分析15信息安全分析16对象确立的文档阶段阶段输出文档输出文档文档内容文档内容风险管理准备风险管理计划书风险管理的目的、意义、范围、目标、组织结构、经费预算和进度安排等。信息系统调查信息系统的描述报告信息系统的业务目标、业务特性、管理特性和技术特性等。信息系统分析信息系统的分析报告信息系统的体系结构和关键要素等。信息安全分析信息系统的安
7、全要求报告信息系统的安全环境和安全要求等。17风险评估概述 风险评估是信息安全风险管理的第二风险评估是信息安全风险管理的第二步,针对确立的风险管理对象所面临的风步,针对确立的风险管理对象所面临的风险进行识别、分析和评价。险进行识别、分析和评价。3.2.2 风险评估18风险评估过程19风险评估准备20风险因素识别 恶意破坏 供电失败 硬件故障 静电 偷窃可能的威胁列表如何进行风险评估?脆弱性资产重要性风险基线风险评估模型?非正式风险评估模型?详细风险评估模型?威胁常见脆弱点列表 对建筑物、门、窗等缺乏物理保护; 软件测试不充分或没有; 通信线路缺乏保护; 缺乏安全意识; 服务维护责任不清。风险评
8、估首先应启始于理解组织的安全需求了解组织经营战略了解组织企业文化了解组织业务流程信息安全总体策略定义风险评估模型将各个信息安全措 施结合进各业务流 程,达到体系整合 目的。确定推行组织方式和方法理解组织近期经营管理目标理解对组织经营管理目标影响最为重 要的业务理解影响这些最重要业务的信息安全 要求哪些信息安全系统对这些有 致命的影响,如果没有这些信息安全 系统这些业务将难以实现?理解组织高层管理崇高核心价值观感受组织内部企业文化氛围,了解员 工做事的行为准则与核心价值观的一 致性 理解组织为实现组织目标的业务流程描述组织总体业务流程框架理解信息安全对业务流程的影响理解现有业务流程的控制措施风险
9、评估方法包括以下几类:基线风险评估模型非正式风险评估模型详细风险评估模型综合风险评估模型基本方法选用标准控制措施对照组织信息安全体系内 所有 业务流利弊分析不需要花费太多资源和时间如果基线标准设定太高或太 低,对安全的控制或者是多余 或者是不足风险控制的平衡难以实现基本方法深度地对所有系统的资产 进行识别重要性评估、威胁与脆弱 性评估。风险评估与排序利弊分析全面、周密地识别风险 花费大量时间和精力 基本方法基于对信息安全管理的经验 和知识,没有正式的结构化 方法利弊分析时间快、不需要太多技术但会遗漏重要的风险对风险可接受及不可接受难以 合理判定基本方法高风险流程/系统判定应用基线风险评估模型评
10、价 低风险流程/系统应用详细风险评估模型评价 高风险流程/系统利弊分析快速、简单识别主要风险区域 从战略角度控制风险时间、资源可以优先控制高 风险区域建议采用的风险评估方法了解组织战略目标业务流程低风险过程/系统基线风险评估了解组织战略目标业务流程区分高风险、低风险过程/系统应用不同风险评估模型评估不同风险级别的过程/系统描述组织业务流程框架/系统高风险过程/系统详细风险评估识别已采用的控制措施比较现有措施与基本控制准则对照ISO17799要求,建立基本措施准则采用措施或接受风险资产分类及识别重要性评估威胁评估脆弱性评估现有措施风险评估选择控制措施接受风险识别评审各种制约情况在进行风险评估时,
11、需要有明确的风险评估准则准则一流程(系统)高风险判定标准,将考虑该流程(系统)对组织经营战略和目标的 影响程度组织其他流程(系统)对该流程(系统) 的依赖 程度,即该流程(系统)的功能(保密性、可用性、完整性、可靠性)对 公司业务的有效执行是致命的。对某些过程(系统)投资成本大小准则二基线风险评估准则,将考虑:对照ISO17799标准控制措施措施要求针对低风险流程/系统建立基线风险措 施标准建立基线风险评估检查表准则三详细风险评估准则(将应用量化打分标准),包括:资产分类准则(描述组织资产类别)资产重要性评估准则(从保密性、可用性、完整性、公司声誉影响、法规要求等 方面)确定资产评估准则威胁/
12、脆弱性评估准则(从发生可能性、损害程度等)确定威胁/脆弱性评估准则风险评估优先度准则(确定风险接受与不可接受优先排序准则)实施控制措施准则(针对选择的控制措施,从时间、成本限制角度考虑,确定优先 选择顺序人信息业务过程应用系统服务厂房详细的风险评估开始于资产的识别资产分类资产分类公司形象人员信息/信息系统过程产品/服务应用厂房针对重要的资产进行风险评估资产重要性评估资产在失去保密性造成的影响?资产失去完整性造成的影响?资产失去可用性造成的影响?资产本身的价值?威胁识别与评估资产面临哪些威胁?威胁造成的后果有过大?这样的威胁发生的可能性 有多大?脆弱性识别与评估资本本身有哪些脆弱性?这些脆弱性被
13、威胁利用的 难易程度?现有控制措施识别针对威胁/脆弱性,已经采 取了哪些措施? 这些措施是否被有效执行?风险评估与排序风险评估风险排序与处置优先处理高级别的风险风险值低风险值中风险值高接受采取措施减少损失采取措施避免损失选择的控制措施应考虑成本投入预防风险所需要的成本风险发生造成的影响对组织造成多大的影响?需要付出多少代价?风险与成本两者达到一个平衡风险评估与处置重要的数据威胁脆弱性存储器故障数据易丢失控制措施备份(是否充分)?风险数据损失33风险程度分析34风险等级评价35风险评估的文档阶段阶段输出文档输出文档文档内容文档内容风险评估准备风险评估计划书风险评估的目的、意义、范围、目标、组织结
14、构、经费预算和进度安排等。风险评估程序风险评估的工作流程、输入数据和输出结果等。入选风险评估方法和工具列表合适的风险评估方法和工具列表。风险因素识别需要保护的资产清单对机构使命具有关键和重要作用的需要保护的资产清单。面临的威胁列表机构的信息资产面临的威胁列表。存在的脆弱性列表机构的信息资产存在的脆弱性列表。36风险评估的文档风险程度分析已有安全措施分析报告确认已有的安全措施,包括技术层面(即物理平台、系统平台、通信平台、网络平台和应用平台)的安全功能、组织层面(即结构、岗位和人员)的安全控制和管理层面(即策略、规章和制度)的安全对策。威胁源分析报告从利益、复仇、好奇和自负等驱使因素,分析威胁源
15、动机的强弱。威胁行为分析报告从攻击的强度、广度、速度和深度等方面,分析威胁行为能力的高低。脆弱性分析报告按威胁/脆弱性对,分析脆弱性被威胁利用的难以程度。资产价值分析报告从敏感性、关键性和昂贵性等方面,分析资产价值的大小。影响程度分析报告从资产损失、使命妨碍和人员伤亡等方面,分析影响程度的深浅。37风险评估的文档风险等级评价威胁源等级列表威胁源动机的等级列表。威胁行为等级列表威胁行为能力的等级列表。脆弱性等级列表脆弱性被利用的等级列表。资产价值等级列表资产价值的等级列表。影响程度等级列表影响程度的等级列表。风险评估报告汇总上述分析报告和等级列表,综合评价风险的等级。38风险控制概述 风险控制是
16、信息安全风险管理的第三步骤,风险控制是信息安全风险管理的第三步骤,依据风险评估的结果,选择和实施合适的安全措依据风险评估的结果,选择和实施合适的安全措施。施。风险控制方式主要有规避、转移和降低三种风险控制方式主要有规避、转移和降低三种方式方式。3.2.3 风险控制39风险控制需求及其相应的风险控制措施PPDRR风险控制需求风险控制需求风险控制措施风险控制措施策略Policy设备管理制度建立健全各种安全相关的规章制定和操作规范,使得保护、检测和响应环节有章可循、切实有效。机房出入守则系统安全管理守则系统安全配置明细网络安全管理守则网络安全配置明细应用安全管理守则应用安全配置明细应急响应计划安全事
17、件处理准则40主要的风险控制需求及其相应的风险控制措施保护Protection机房严格按照GB 50174-1993电子计算机机房设计规范、GB 9361-1988计算站场地安全要求、GB 2887-1982计算机站场地技术要求和GB/T 2887-2000计算机场地通用规范等国家标准建设和维护计算机机房。门控安装门控系统保安建设保安制度和保安队伍。电磁屏蔽在必要的地方设置抗电磁干扰和防电磁泄漏的设施。病毒防杀全面部署防病毒系统。漏洞补丁及时下载和安装最新的漏洞补丁模块。安全配置严格遵守各系统单元的安全配置明细,避免配置中的安全漏洞。身份认证根据不同的安全强度,分别采用身份标识/口令、数字钥匙
18、、数字证书、生物识别、双因子等级别的身份认证系统,对设备、用户、服务等主客体进行身份认证。访问控制根据不同的安全强度,分别采用自主型、强制型等级别的访问控制系统,对设备、用户等主体访问客体的权限进行控制。数据加密根据不同的安全强度,分别采用商密、普密、机密等级别的数据加密系统,对传输数据和存储数据进行加密。边界控制在网络边界布置防火墙,阻止来自外界非法访问。数字水印对于需要版权保护的图片、声音、文字等形式的信息,采用数字水印技术加以保护。数字签名在需要防止事后否认时,可采用数字签名技术。内容净化部署内容过滤系统。安全机构、安全岗位、安全责任建立健全安全机构,合理设置安全岗位,明确划分安全责任。
19、41主要的风险控制需求及其相应的风险控制措施检测Detection监视、监测和报警在适当的位置安置监视器和报警器,在各系统单元中配备监测系统和报警系统,以实时发现安全事件并及时报警。数据校验通过数据校验技术,发现数据篡改。主机入侵检测部署主机入侵检测系统,发现主机入侵行为。主机状态监测部署主机状态监测系统,随时掌握主机运行状态。网络入侵检测部署网络入侵检测系统,发现网络入侵行为。网络状态监测部署网络状态监测系统,随时掌握网络运行状态。安全审计在各系统单元中配备安全审计,以发现深层安全漏洞和安全事件。安全监督、安全检查实行持续有效的安全监督,预演应急响应计划。42主要的风险控制需求及其相应的风险
20、控制措施响应Response恢复Recovery故障修复、事故排除确保随时能够获取故障修复和事故排除的技术人员和软硬件工具。设施备份与恢复对于关键设施,配备设施备份与恢复系统。系统备份与恢复对于关键系统,配备系统备份与恢复系统。数据备份与恢复对于关键数据,配备数据备份与恢复系统。信道备份与恢复对于关键信道,配备设信道份与恢复系统。应用备份与恢复对于关键应用,配备应用备份与恢复系统。应急响应按照应急响应计划处理应急事件。安全事件处理按照安全事件处理找出原因、追究责任、总结经验、提出改进。43风险控制过程44现存风险判断45控制目标确立46控制措施选择47控制措施实施48风险控制的文档阶段阶段输出
21、文档输出文档文档内容文档内容现存风险判断风险接受等级划分表风险接受等级的划分,即把风险评估得出的风险等级划分为可接受和不可接受两种。现存风险接受判断书现存风险是否可接受的判断结果。控制目标确立风险控制需求分析报告从技术层面(即物理平台、系统平台、通信平台、网络平台和应用平台)、组织层面(即结构、岗位和人员)和管理层面(即策略、规章和制度),分析风险控制的需求。风险控制目标列表风险控制目标的列表,包括控制对象及其最低保护等级。49风险控制的文档控制措施选择入选风险控制方式说明报告选择合适的风险控制方式(包括规避方式、转移方式和降低方式),并说明选择的理由以及被选控制方式的使用方法和注意事项等。入
22、选风险控制措施说明报告选择合适的风险控制措施,并说明选择的理由以及被选控制措施的成本、使用方法和注意事项等。控制措施实施风险控制实施计划书风险控制的范围、对象、目标、组织结构、成本预算和进度安排等。风险控制实施记录风险控制措施实施的过程和结果。50审核批准概述 审核批准是信息安全风险管理的第四步骤,审核批审核批准是信息安全风险管理的第四步骤,审核批准包括审核和批准两部分:审核是指通过审查、测试、准包括审核和批准两部分:审核是指通过审查、测试、评审等手段,检验风险评估和风险控制的结果是否满足评审等手段,检验风险评估和风险控制的结果是否满足信息系统的安全要求;批准是指机构的决策层依据审核信息系统的
23、安全要求;批准是指机构的决策层依据审核的结果,做出是否认可的决定。的结果,做出是否认可的决定。审核既可以由机构内部完成,也可以委托外部专业审核既可以由机构内部完成,也可以委托外部专业机构来完成,这主要取决于信息系统的性质和机构自身机构来完成,这主要取决于信息系统的性质和机构自身的专业能力。批准一般必须由机构内部或更高层的主管的专业能力。批准一般必须由机构内部或更高层的主管机构的决策层来执行。机构的决策层来执行。3.2.4 审核批准51审核批准过程及其在信息安全风险管理中的位置 52审核申请53审核处理54批准申请55批准处理56持续监督57审核批准的文档阶段阶段输出文档输出文档文档内容文档内容
24、审核申请审核申请书审核的范围、对象、目标和进度要求,以及申请者的基本信息和签字等。审核材料风险评估过程和风险控制过程输出的文档、软件和硬件等结果。审核受理回执同意受理、补充材料的要求和提交时间(如果需要)、审核的进度安排和收费标准,以及审核机构的名称和签章等。审核处理审查结果报告审查的范围、对象、意见和结论(即是否通过),以及审查人员的名字和签字等。测试结果报告测试的范围、对象、意见和结论(即是否通过),以及测试人员的名字和签字等。专家鉴定报告鉴定的范围、对象(及其基本情况)和结论,以及专家名单和签字等。审核结论报告审核的范围、对象、意见、结论(即是否通过)和有效期,以及审核机构的名称和签章等
25、。58审核批准的文档批准申请批准申请书批准的范围、对象和期望,以及申请者的基本信息和签字等。批准受理回执同意受理、补充材料的要求和提交时间(如果需要),以及批准机构的名称和签章等。批准处理批准决定书批准的范围、对象、意见、结论(即是否通过)和有效期,以及批准机构的名称和签章等。持续监督审核到期通知书到期的时间和重新申请的要求,以及审核机构的名称和签章。批准到期通知书到期的时间和重新申请的要求,以及批准机构的名称和签章。机构变化因素的描述报告机构及其信息系统变化因素的列表、说明和安全隐患分析等。环境变化因素的描述报告信息安全相关环境变化因素的列表、说明和安全隐患分析等。59监控与审查的概述 监控
26、与审查对信息安全风险管理主循环的四个步监控与审查对信息安全风险管理主循环的四个步骤(即对象确立、风险评估、风险控制和审核批准)骤(即对象确立、风险评估、风险控制和审核批准)进行监控和审查。监控是监视和控制,一是监视和控进行监控和审查。监控是监视和控制,一是监视和控制风险管理过程,即过程质量管理,以保证过程的有制风险管理过程,即过程质量管理,以保证过程的有效性;二是分析和平衡成本效益,即成本效益管理,效性;二是分析和平衡成本效益,即成本效益管理,以保证成本的有效性。审查是跟踪受保护系统自身或以保证成本的有效性。审查是跟踪受保护系统自身或所处环境的变化,以保证结果的有效性。所处环境的变化,以保证结
27、果的有效性。3.2.5 监控与审查60监控与审查过程 61贯穿对象确立阶段阶段监控监控审查审查过程有效性成本有效性 结果有效性风险管理准备风险管理计划制定的流程及其相关文档风险管理计划的成本与效果风险管理计划书的时效信息系统调查信息系统调查的流程及其相关文档信息系统调查的成本与效果信息系统的描述报告的时效信息系统分析信息系统分析的流程及其相关文档信息系统分析的成本与效果信息系统的分析报告的时效信息安全分析信息系统安全要求分析的流程及其相关文档信息系统安全要求分析的成本与效果信息系统的安全要求报告的时效62贯穿风险评估阶段阶段监控监控审查审查过程有效性成本有效性 结果有效性风险评估准备风险评估的
28、计划制定、程序确定以及方法和工具选择的流程及其相关文档风险评估的计划、程序以及入选方法和工具的成本与效果风险评估计划、风险评估程序和入选风险评估方法和工具列表的时效风险因素识别资产、威胁列和脆弱性识别的流程及其相关文档资产、威胁列和脆弱性识别的成本与效果需要保护的资产清单、面临的威胁列表和存在的脆弱性列表的时效63贯穿风险评估风险程度分析已有安全措施、威胁源、威胁行为、脆弱性、资产价值和影响程度分析的流程及其相关文档已有安全措施、威胁源、威胁行为、脆弱性、资产价值和影响程度分析的成本与效果已有安全措施分析报告、威胁源分析报告、威胁行为分析报告、脆弱性分析报告、资产价值分析报告和影响程度分析报告
29、的时效风险等级评价威胁源等级、威胁行为等级、脆弱性等级、资产价值等级和影响程度等级评价以及风险评估报告生成的流程及其相关文档威胁源等级、威胁行为等级、脆弱性等级、资产价值等级和影响程度等级评价以及风险评估报告生成的成本与效果威胁源等级列表、威胁行为等级列表、脆弱性等级列表、资产价值等级列表、影响程度等级列表和风险评估报告的时效64贯穿风险控制阶段阶段监控监控审查审查过程有效性成本有效性 结果有效性现存风险判断可接受风险等级确定和现存风险接受判断的流程及其相关文档可接受风险等级确定和现存风险接受判断的成本与效果风险接受等级划分表和现存风险接受判断书的时效控制目标确立风险控制需求分析和风险控制目标
30、确立的流程及其相关文档风险控制需求分析和风险控制目标确立的成本与效果风险控制需求分析报告和风险控制目标列表的时效65贯穿风险控制控制措施选择风险控制方式和措施选择的流程及其相关文档入选风险控制方式和措施的成本与效果入选风险控制方式说明报告和入选风险控制措施说明报告的时效控制措施实施风险控制实施计划制定和风险控制措施实施的流程及其相关文档风险控制实施计划制定和风险控制措施实施的成本与效果风险控制实施计划书和风险控制实施记录的时效66贯穿审核批准阶段阶段监控监控审查审查过程有效性成本有效性 结果有效性审核申请审核申请和受理的流程及其相关文档审核申请和受理的成本与效果审核申请书、审核材料和审核受理回
31、执的时效审核处理审核材料审查、审核对象测试、专家鉴定和审核结论给出的流程及其相关文档审核材料审查、审核对象测试、专家鉴定和审核结论给出的成本与效果审查结果报告、测试结果报告、专家鉴定报告和审核结论报告的时效67贯穿审核批准批准申请批准申请和受理的流程及其相关文档批准申请和受理的成本与效果批准申请书和批准受理回执的时效批准处理审阅批准材料和批准决定做出的流程及其相关文档审阅批准材料和批准决定做出的成本与效果批准决定书的时效持续监督审核结论报告和批准决定书到期检查和机构及其环境变化检查的流程及其相关文档审核结论报告和批准决定书到期检查和机构及其环境变化检查的成本与效果机构变化因素的描述报告和环境变
32、化因素的描述报告的时效68监控与审查的文档过程过程输出文档输出文档文档内容文档内容对象确立对象确立的监控与审查记录对象确立过程中监控和审查的范围、对象、时间、过程、结果和措施等。风险评估风险评估的监控与审查记录风险评估过程中监控和审查的范围、对象、时间、过程、结果和措施等。风险控制风险控制的监控与审查记录风险控制过程中监控和审查的范围、对象、时间、过程、结果和措施等。审核批准审核批准的监控与审查记录审核批准过程中监控和审查的范围、对象、时间、过程、结果和措施等。69沟通与咨询的概述 沟通与咨询为信息安全风险管理主循环的四个沟通与咨询为信息安全风险管理主循环的四个步骤(即对象确立、风险评估、风险
33、控制和审核批步骤(即对象确立、风险评估、风险控制和审核批准)中相关人员提供沟通和咨询。沟通是为直接参准)中相关人员提供沟通和咨询。沟通是为直接参与人员提供交流途径,以保持他们之间的协调一致与人员提供交流途径,以保持他们之间的协调一致,共同实现安全目标。咨询是为所有相关人员提供,共同实现安全目标。咨询是为所有相关人员提供学习途径,以提高他们的风险意识、知识和技能,学习途径,以提高他们的风险意识、知识和技能,配合实现安全目标。配合实现安全目标。3.2.6 沟通与咨询70沟通与咨询的方式方式方式接受方接受方决策层决策层管理层管理层执行层执行层支持层支持层用户层用户层发发出出方方决策层决策层交流指导和
34、检查指导和检查表态表态管理层管理层汇报交流指导和检查宣传和介绍宣传和介绍执行层执行层汇报汇报交流宣传和介绍培训和咨询支持层支持层培训和咨询培训和咨询培训和咨询交流培训和咨询用户层用户层反馈反馈反馈反馈交流71沟通与咨询的过程72贯穿对象确立阶段阶段参与人员参与人员涉及内容涉及内容信息系统信息安全风险管理风险管理准备决策层决策层管理层风险管理计划书信息系统调查管理层执行层支持层管理层执行层信息系统的描述报告信息系统分析管理层执行层支持层管理层执行层信息系统的分析报告信息安全分析管理层执行层支持层信息系统的安全要求报告73贯穿风险评估阶段阶段参与人员参与人员涉及内容涉及内容信息系统信息安全风险管理
35、风险评估准备决策层决策层管理层风险评估计划管理层管理层执行层支持层风险评估程序入选风险评估方法和工具列表风险因素识别管理层执行层执行层支持层需要保护的资产清单面临的威胁列表存在的脆弱性列表74贯穿风险评估风险程度分析管理层执行层执行层支持层已有安全措施分析报告威胁源分析报告威胁行为分析报告脆弱性分析报告资产价值分析报告影响程度分析报告风险等级评价执行层支持层威胁源等级列表威胁行为等级列表脆弱性等级列表资产价值等级列表影响程度等级列表风险评估报告75贯穿风险控制阶段阶段参与人员参与人员涉及内容涉及内容信息系统信息安全风险管理现存风险判断决策层管理层决策层管理层执行层支持层风险接受等级划分表现存风
36、险接受判断书控制目标确立管理层管理层执行层支持层风险控制需求分析报告风险控制目标列表76贯穿风险控制控制措施选择执行层支持层入选风险控制方式说明报告入选风险控制措施说明报告控制措施实施管理层执行层管理层执行层支持层风险控制实施计划书风险控制实施记录77贯穿审核批准阶段阶段参与人员参与人员涉及内容涉及内容信息系统信息安全风险管理审核申请决策层管理层执行层审核申请书审核材料审核受理回执审核处理管理层执行层支持层审查结果报告测试结果报告专家鉴定报告审核结论报告78贯穿审核批准批准申请决策层管理层执行层批准申请书批准受理回执批准处理决策层决策层管理层批准决定书持续监督管理层执行层管理层执行层机构变化因
37、素的描述报告环境变化因素的描述报告79沟通与咨询的文档过程过程输出文档输出文档文档内容文档内容对象确立对象确立的沟通与咨询记录对象确立过程中沟通和咨询的范围、对象、时间、内容和结果等。风险评估风险评估的沟通与咨询记录风险评估过程中沟通和咨询的范围、对象、时间、内容和结果等。风险控制风险控制的沟通与咨询记录风险控制过程中沟通和咨询的范围、对象、时间、内容和结果等。审核批准审核批准的沟通与咨询记录审核批准过程中沟通和咨询的范围、对象、时间、内容和结果等。803.3 信息安全风险管理的运用 3.3.1 3.3.1 规划阶段规划阶段3.3.2 3.3.2 设计阶段设计阶段3.3.3 3.3.3 实施阶
38、段实施阶段3.3.4 3.3.4 运维阶段运维阶段3.3.5 3.3.5 废弃阶段废弃阶段81安全需求和目标 明确安全总体方针明确安全总体方针 确保安全总体方针源自业务期望确保安全总体方针源自业务期望 明确项目范围明确项目范围 清晰描述项目范围内所涉及系统的安全现状清晰描述项目范围内所涉及系统的安全现状 提交明确的安全需求文档提交明确的安全需求文档 清晰描述从系统的那些层次进行安全实现清晰描述从系统的那些层次进行安全实现 对实现的可能性进行充分分析、论证对实现的可能性进行充分分析、论证 明确评价准则并达成一致明确评价准则并达成一致3.3.1 3.3.1 规划阶段规划阶段82风险管理的过程概述在
39、项目规划阶段,风险管理者应能清楚、准在项目规划阶段,风险管理者应能清楚、准确地描述机构的安全总体方针、安全策略、风险确地描述机构的安全总体方针、安全策略、风险管理范围、当前正在进行的或计划中将要执行的管理范围、当前正在进行的或计划中将要执行的风险管理活动以及当前特殊安全要求等。风险管理活动以及当前特殊安全要求等。83风险管理的活动序号序号风险管理活动风险管理活动所处风险管理流程所处风险管理流程1明确安全总体方针对象确立2安全需求分析对象确立、风险评估3风险评价准则达成一致风险控制、审核批准84安全需求和目标 对用以实现安全系统的各类技术进行有效性对用以实现安全系统的各类技术进行有效性评估。评估
40、。 对用于实施方案的产品需满足安全保护等级对用于实施方案的产品需满足安全保护等级的要求的要求 对自开发的软件要在结构设计阶段就充分考对自开发的软件要在结构设计阶段就充分考虑安全风险虑安全风险3.3.2 3.3.2 设计阶段设计阶段85风险管理的过程概述在设计阶段,风险管理者应能标识出在在设计阶段,风险管理者应能标识出在项目结构实现过程中潜在的安全风险,为设项目结构实现过程中潜在的安全风险,为设计说明中的安全性设计提供评判依据,并对计说明中的安全性设计提供评判依据,并对实施方案中选择的产品进行合格检查,确保实施方案中选择的产品进行合格检查,确保项目设计阶段的重要环节均能得到较好的安项目设计阶段的
41、重要环节均能得到较好的安全风险控制。全风险控制。86风险管理的活动序号序号风险管理活动风险管理活动所处风险管理流程所处风险管理流程1安全技术选择风险控制2安全产品选择风险控制3软件设计风险控制风险控制87安全需求和目标实施阶段是按照规划和设计阶段所定义的实施阶段是按照规划和设计阶段所定义的信息系统实施方案,采购设备和软件,开发定信息系统实施方案,采购设备和软件,开发定制功能,集成、部署、配置和测试系统,培训制功能,集成、部署、配置和测试系统,培训人员,并对是否允许系统投入运行进行审核批人员,并对是否允许系统投入运行进行审核批准。准。3.3.3 3.3.3 实施阶段实施阶段88风险管理的过程概述
42、实施阶段的风险管理主要活动包括检查实施阶段的风险管理主要活动包括检查与配置、安全测试、人员培训及授权运行与配置、安全测试、人员培训及授权运行,同时在上述过程中通过监控与审查、沟,同时在上述过程中通过监控与审查、沟通与咨询来确保本阶段风险管理目标的实通与咨询来确保本阶段风险管理目标的实现。现。 89风险管理的活动序号序号风险管理活动风险管理活动所处风险管理流程所处风险管理流程1检查与配置风险控制2安全测试风险控制3人员培训风险控制4授权系统运行审核批准90安全需求和目标运行维护阶段是在信息系统经过授权投入运行维护阶段是在信息系统经过授权投入运行之后,通过风险管理的相关过程和活动运行之后,通过风险
43、管理的相关过程和活动,确保信息系统在运行过程中、以及信息系,确保信息系统在运行过程中、以及信息系统或其运行环境发生变化时维持系统的正常统或其运行环境发生变化时维持系统的正常运行和安全性。运行和安全性。3.3.4 3.3.4 运维阶段运维阶段91风险管理的过程概述运行维护阶段的风险管理主要活动包括安全运行维护阶段的风险管理主要活动包括安全运行和管理、变更管理、风险再评估、定期重新运行和管理、变更管理、风险再评估、定期重新审批,同时在上述过程中通过监控与审查、沟通审批,同时在上述过程中通过监控与审查、沟通与咨询来确保本阶段风险管理目标的实现。与咨询来确保本阶段风险管理目标的实现。 92运行维护阶段
44、风险管理活动的流程 93安全需求和目标废弃阶段是对信息系统的过时或无用部分废弃阶段是对信息系统的过时或无用部分进行报废处理的过程。在废弃阶段,风险管理进行报废处理的过程。在废弃阶段,风险管理的目标是确保信息、硬件、软件在执行废弃的的目标是确保信息、硬件、软件在执行废弃的过程中确保其安全废弃,防止发生信息系统的过程中确保其安全废弃,防止发生信息系统的安全目标遭到破坏。安全目标遭到破坏。3.3.5 3.3.5 废弃阶段废弃阶段94风险管理的过程概述系统废弃阶段涉及到信息、硬件和软件的安系统废弃阶段涉及到信息、硬件和软件的安全处置,应防止敏感信息就泄漏给外部人员。系统全处置,应防止敏感信息就泄漏给外部人员。系统废弃的风险管理活动包括:确定废弃对象,对废弃废弃的风险管理活动包括:确定废弃对象,对废弃对象的风险评估,对废弃对象及废弃过程的风险控对象的风险评估,对废弃对象及废弃过程的风险控制。同时在上述过程中通过监控与审查、沟通与咨制。同时在上述过程中通过监控与审查、沟通与咨询来确保本阶段风险管理目标的实现。询来确保本阶段风险管理目标的实现。 95风险管理的活动序号序号风险管理活动风险管理活动所处风险管理流程所处风险管理流程1确立废弃对象对象确立2废弃对象的风险评估风险评估3废弃过程的风险控制风险控制4废弃后的评审审核批准
