书签分享收藏举报版权申诉 / 102

立即下载

当前位置：首页 > 技术资料 > 施工组织 > 信息安全风险评估与风险管理chjz.ppt

信息安全风险评估与风险管理chjz.ppt

上传人：jix****n11

文档编号：91231564

上传时间：2023-05-24

格式：PPT

页数：102

大小：1.96MB

( 4.5 )

《信息安全风险评估与风险管理chjz.ppt》由会员分享，可在线阅读，更多相关《信息安全风险评估与风险管理chjz.ppt（102页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险评估与风险管理国家信息中心信息安全服务与研究

2、中心范红二00四年九月SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 汇报内容一、前言二、信息安全风险管理概述三、信息安全风险管理各组成部分四、信息安全风险管理的运用五、结束语2023/5/21 2023/5/212SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFO

3、SEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 一、前言 2023/5/21 2023/5/213SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 二、信息安全风险管理概述 1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息

4、安全目标的关系5、信息安全风险管理的角色和责任2023/5/21 2023/5/214SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 二、信息安全风险管理概述 1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任2023/5/21 2023/

5、5/215SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险管理的目的和意义信息安全风险管理是信息安全保障工作中的一项基础性工作。1、信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。2、信息安全风险管理贯穿信息系统生命周期的全部过程。3、信息安全风险管理依据等级保护的思想和适度安全的原则，平衡成本与效益，合理部署和利用信息安全的信任体系、监控体系

6、和应急处理等重要的基础设施，确定合适的安全措施，从而确保机构具有完成其使命的信息安全保障能力。2023/5/21 2023/5/216SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 二、信息安全风险管理概述 1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风

7、险管理的角色和责任2023/5/21 2023/5/217SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险管理的范围和对象2023/5/21 2023/5/218SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC I

8、NFOSEC SIC INFOSEC SIC INFOSEC SIC 二、信息安全风险管理概述 1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任2023/5/21 2023/5/219SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安

9、全风险管理的内容和过程 2023/5/21 2023/5/2110SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 二、信息安全风险管理概述 1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任2023/5/21 2023/5/2111SIC

10、INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 三维结构关系2023/5/21 2023/5/2112SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 二、信息安

11、全风险管理概述 1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任2023/5/21 2023/5/2113SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险管理相关人员的角色和责任层面信息系统信息安全风险管理角色内外部责

12、任角色内外部责任决策层主管者内负责信息系统的重大决策。主管者内负责信息安全风险管理的重大决策。管理层管理者内负责信息系统的规划，以及建设、运行、维护和监控等方面的组织和协调。管理者内负责信息安全风险管理的规划，以及实施和监控过程中的组织和协调。执行层建设者内或外负责信息系统的设计和实施。执行者内或外负责信息安全风险管理的实施。运行者内负责信息系统的日常运行和操作。维护者内或外负责信息系统的日常维护，包括维修和升级。监控者内负责信息系统的监视和控制。监控者内负责信息安全风险管理过程和结果的监视和控制。支持层专业者外为信息系统提供专业咨询、培训、诊断和工具

13、等服务。专业者外为信息安全风险管理提供专业咨询、培训、诊断和工具等服务。用户层使用者内或外利用信息系统完成自身的任务。受益者内或外反馈信息安全风险管理的效果。2023/5/21 2023/5/2114SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 三、信息安全风险管理各组成部分 1、对象确立2、风险评估3、风险控制4、审核批准5、沟通与咨询6、监控与审查2023/

14、5/21 2023/5/2115SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 三、信息安全风险管理各组成部分 1、对象确立2、风险评估3、风险控制4、审核批准5、沟通与咨询6、监控与审查2023/5/21 2023/5/2116SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC S

15、IC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 对象确立概述对象确立是信息安全风险管理的第一步骤，根据要保护系统的业务目标和特性，确定风险管理对象。其目的是为了明确信息安全风险管理的范围和对象，以及对象的特性和安全要求。2023/5/21 2023/5/2117SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSE

16、C SIC 对象确立过程2023/5/21 2023/5/2118SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险管理准备2023/5/21 2023/5/2119SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFO

17、SEC SIC INFOSEC SIC INFOSEC SIC 信息系统调查 2023/5/21 2023/5/2120SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息系统分析2023/5/21 2023/5/2121SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC I

18、NFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全分析2023/5/21 2023/5/2122SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 对象确立的文档阶段输出文档文档内容风险管理准备风险管理计划书风险管理的目的、意义、范围、目标、组织结构、经费预算和进度安排等。信息系统调查信息系统的描

19、述报告信息系统的业务目标、业务特性、管理特性和技术特性等。信息系统分析信息系统的分析报告信息系统的体系结构和关键要素等。信息安全分析信息系统的安全要求报告信息系统的安全环境和安全要求等。2023/5/21 2023/5/2123SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 三、信息安全风险管理各组成部分 1、对象确立2、风险评估3、风险控制4、审核批准5、沟通与咨询6、监

20、控与审查2023/5/21 2023/5/2124SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估概述风险评估是信息安全风险管理的第二步，针对确立的风险管理对象所面临的风险进行识别、分析和评价。2023/5/21 2023/5/2125SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC I

21、NFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估过程2023/5/21 2023/5/2126SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估准备2023/5/21 2023/5/2127SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC

22、 INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险因素识别2023/5/21 2023/5/2128SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险程度分析2023/5/21 2023/5/2129SIC INFOSEC S

23、IC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险等级评价2023/5/21 2023/5/2130SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估的文档阶段输出文档

24、文档内容风险评估准备风险评估计划书风险评估的目的、意义、范围、目标、组织结构、经费预算和进度安排等。风险评估程序风险评估的工作流程、输入数据和输出结果等。入选风险评估方法和工具列表合适的风险评估方法和工具列表。风险因素识别需要保护的资产清单对机构使命具有关键和重要作用的需要保护的资产清单。面临的威胁列表机构的信息资产面临的威胁列表。存在的脆弱性列表机构的信息资产存在的脆弱性列表。2023/5/21 2023/5/2131SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC S

25、IC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估的文档风险程度分析已有安全措施分析报告确认已有的安全措施，包括技术层面（即物理平台、系统平台、通信平台、网络平台和应用平台）的安全功能、组织层面（即结构、岗位和人员）的安全控制和管理层面（即策略、规章和制度）的安全对策。威胁源分析报告从利益、复仇、好奇和自负等驱使因素，分析威胁源动机的强弱。威胁行为分析报告从攻击的强度、广度、速度和深度等方面，分析威胁行为能力的高低。脆弱性分析报告按威胁/脆弱性对，分析脆弱性被威胁利用的难以程度。资产价值分析报告从敏感性、关键性和昂贵性等方面，分析资产

26、价值的大小。影响程度分析报告从资产损失、使命妨碍和人员伤亡等方面，分析影响程度的深浅。2023/5/21 2023/5/2132SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估的文档风险等级评价威胁源等级列表威胁源动机的等级列表。威胁行为等级列表威胁行为能力的等级列表。脆弱性等级列表脆弱性被利用的等级列表。资产价值等级列表资产价值的等级列表。影响程度等级列表

27、影响程度的等级列表。风险评估报告汇总上述分析报告和等级列表，综合评价风险的等级。2023/5/21 2023/5/2133SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 三、信息安全风险管理各组成部分 1、对象确立2、风险评估3、风险控制4、审核批准5、沟通与咨询6、监控与审查2023/5/21 2023/5/2134SIC INFOSEC SIC INFOSEC SIC

28、 INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险控制概述风险控制是信息安全风险管理的第三步骤，依据风险评估的结果，选择和实施合适的安全措施。风险控制方式主要有规避、转移和降低三种方式。2023/5/21 2023/5/2135SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC

29、 INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险控制需求及其相应的风险控制措施PPDRR风险控制需求风险控制措施策略Policy设备管理制度建立健全各种安全相关的规章制定和操作规范，使得保护、检测和响应环节有章可循、切实有效。机房出入守则系统安全管理守则系统安全配置明细网络安全管理守则网络安全配置明细应用安全管理守则应用安全配置明细应急响应计划安全事件处理准则2023/5/21 2023/5/2136SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSE

30、C SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 主要的风险控制需求及其相应的风险控制措施保护Protection机房严格按照GB 50174-1993电子计算机机房设计规范、GB 9361-1988计算站场地安全要求、GB 2887-1982计算机站场地技术要求和GB/T 2887-2000计算机场地通用规范等国家标准建设和维护计算机机房。门控安装门控系统保安建设保安制度和保安队伍。电磁屏蔽在必要的地方设置抗电磁干扰和防电磁泄漏的设施。病毒防杀全面部署防病毒系统。漏洞补丁及时下载和安装最新的漏洞补丁模块。安全配置严格遵守各

31、系统单元的安全配置明细，避免配置中的安全漏洞。身份认证根据不同的安全强度，分别采用身份标识/口令、数字钥匙、数字证书、生物识别、双因子等级别的身份认证系统，对设备、用户、服务等主客体进行身份认证。访问控制根据不同的安全强度，分别采用自主型、强制型等级别的访问控制系统，对设备、用户等主体访问客体的权限进行控制。数据加密根据不同的安全强度，分别采用商密、普密、机密等级别的数据加密系统，对传输数据和存储数据进行加密。边界控制在网络边界布置防火墙，阻止来自外界非法访问。数字水印对于需要版权保护的图片、声音、文字等形式的信息，采用数字水印技术加以保护。数字签名在需要防止事后否认时，可采用数字签名技

32、术。内容净化部署内容过滤系统。安全机构、安全岗位、安全责任建立健全安全机构，合理设置安全岗位，明确划分安全责任。2023/5/21 2023/5/2137SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 主要的风险控制需求及其相应的风险控制措施检测Detection监视、监测和报警在适当的位置安置监视器和报警器，在各系统单元中配备监测系统和报警系统，以实时发现安全事件并及时

33、报警。数据校验通过数据校验技术，发现数据篡改。主机入侵检测部署主机入侵检测系统，发现主机入侵行为。主机状态监测部署主机状态监测系统，随时掌握主机运行状态。网络入侵检测部署网络入侵检测系统，发现网络入侵行为。网络状态监测部署网络状态监测系统，随时掌握网络运行状态。安全审计在各系统单元中配备安全审计，以发现深层安全漏洞和安全事件。安全监督、安全检查实行持续有效的安全监督，预演应急响应计划。2023/5/21 2023/5/2138SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFO

34、SEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 主要的风险控制需求及其相应的风险控制措施响应Response恢复Recovery故障修复、事故排除确保随时能够获取故障修复和事故排除的技术人员和软硬件工具。设施备份与恢复对于关键设施，配备设施备份与恢复系统。系统备份与恢复对于关键系统，配备系统备份与恢复系统。数据备份与恢复对于关键数据，配备数据备份与恢复系统。信道备份与恢复对于关键信道，配备设信道份与恢复系统。应用备份与恢复对于关键应用，配备应用备份与恢复系统。应急响应按照应急响应计划处理应急事件。安全事件处理按照安全事

35、件处理找出原因、追究责任、总结经验、提出改进。2023/5/21 2023/5/2139SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险控制过程2023/5/21 2023/5/2140SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOS

36、EC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 现存风险判断2023/5/21 2023/5/2141SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 控制目标确立2023/5/21 2023/5/2142SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INF

37、OSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 控制措施选择2023/5/21 2023/5/2143SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 控制措施实施2023/5/21 2023/5/2144SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC I

38、NFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险控制的文档阶段输出文档文档内容现存风险判断风险接受等级划分表风险接受等级的划分，即把风险评估得出的风险等级划分为可接受和不可接受两种。现存风险接受判断书现存风险是否可接受的判断结果。控制目标确立风险控制需求分析报告从技术层面（即物理平台、系统平台、通信平台、网络平台和应用平台）、组织层面（即结构、岗位和人员）和管理层面（即策略、规章和制度），分析风险控制的需求。风险控制目标列表风险控制目标的列表，

39、包括控制对象及其最低保护等级。2023/5/21 2023/5/2145SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险控制的文档控制措施选择入选风险控制方式说明报告选择合适的风险控制方式（包括规避方式、转移方式和降低方式），并说明选择的理由以及被选控制方式的使用方法和注意事项等。入选风险控制措施说明报告选择合适的风险控制措施，并说明选择的理由以及被选控制措施的成本、使

40、用方法和注意事项等。控制措施实施风险控制实施计划书风险控制的范围、对象、目标、组织结构、成本预算和进度安排等。风险控制实施记录风险控制措施实施的过程和结果。2023/5/21 2023/5/2146SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 三、信息安全风险管理各组成部分 1、对象确立2、风险评估3、风险控制4、审核批准5、沟通与咨询6、监控与审查2023/5/21

41、2023/5/2147SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 审核批准概述审核批准是信息安全风险管理的第四步骤，审核批准包括审核和批准两部分：审核是指通过审查、测试、评审等手段，检验风险评估和风险控制的结果是否满足信息系统的安全要求；批准是指机构的决策层依据审核的结果，做出是否认可的决定。审核既可以由机构内部完成，也可以委托外部专业机构来完成，这主要取决于信息系统

42、的性质和机构自身的专业能力。批准一般必须由机构内部或更高层的主管机构的决策层来执行。2023/5/21 2023/5/2148SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 审核批准过程及其在信息安全风险管理中的位置 2023/5/21 2023/5/2149SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSE

43、C SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 审核申请2023/5/21 2023/5/2150SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 审核处理2023/5/21 2023/5/2151SIC INFOSEC SIC INFOSEC SIC INFOSEC

44、SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 批准申请2023/5/21 2023/5/2152SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 批准处理2023/5/21 2023/5/2153SIC INFOSEC SI

45、C INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 持续监督2023/5/21 2023/5/2154SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 审核批准的文档阶段输出文档文档

46、内容审核申请审核申请书审核的范围、对象、目标和进度要求，以及申请者的基本信息和签字等。审核材料风险评估过程和风险控制过程输出的文档、软件和硬件等结果。审核受理回执同意受理、补充材料的要求和提交时间（如果需要）、审核的进度安排和收费标准，以及审核机构的名称和签章等。审核处理审查结果报告审查的范围、对象、意见和结论（即是否通过），以及审查人员的名字和签字等。测试结果报告测试的范围、对象、意见和结论（即是否通过），以及测试人员的名字和签字等。专家鉴定报告鉴定的范围、对象（及其基本情况）和结论，以及专家名单和签字等。审核结论报告审核的范围、对象、意见、结论（即是否通过）和有效期，以及审核机构的名称和签

47、章等。2023/5/21 2023/5/2155SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 审核批准的文档批准申请批准申请书批准的范围、对象和期望，以及申请者的基本信息和签字等。批准受理回执同意受理、补充材料的要求和提交时间（如果需要），以及批准机构的名称和签章等。批准处理批准决定书批准的范围、对象、意见、结论（即是否通过）和有效期，以及批准机构的名称和签章等。持续监

48、督审核到期通知书到期的时间和重新申请的要求，以及审核机构的名称和签章。批准到期通知书到期的时间和重新申请的要求，以及批准机构的名称和签章。机构变化因素的描述报告机构及其信息系统变化因素的列表、说明和安全隐患分析等。环境变化因素的描述报告信息安全相关环境变化因素的列表、说明和安全隐患分析等。2023/5/21 2023/5/2156SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SI

49、C 三、信息安全风险管理各组成部分 1、对象确立2、风险评估3、风险控制4、审核批准5、监控与审查6、沟通与咨询2023/5/21 2023/5/2157SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 监控与审查的概述监控与审查对信息安全风险管理主循环的四个步骤（即对象确立、风险评估、风险控制和审核批准）进行监控和审查。监控是监视和控制，一是监视和控制风险管理过程，即过程

50、质量管理，以保证过程的有效性；二是分析和平衡成本效益，即成本效益管理，以保证成本的有效性。审查是跟踪受保护系统自身或所处环境的变化，以保证结果的有效性。2023/5/21 2023/5/2158SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 监控与审查过程 2023/5/21 2023/5/2159SIC INFOSEC SIC INFOSEC SIC INFOSEC SI

文档加载中……请稍候！
如果长时间未打开，您也可以点击刷新试试。

下载文档到电脑，查找使用更方便

20 金币

版权申诉 word格式文档无特别注明外均可编辑修改；预览文档经过压缩，下载后原文更清晰！ 立即下载

配套讲稿：: 如PPT文件的首页显示word图标，表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
特殊限制：: 部分文档作品中含有的国旗、国徽等图片，仅作为作品整体效果示例展示，禁止商用。设计者仅对作品中独创性部分享有著作权。
关键词：: 信息安全风险评估管理 chjz

淘文阁 - 分享文档赚钱的网站所有资源均是用户自行上传分享，仅供网友学习交流，未经上传用户书面授权，请勿作他用。

限制150内

关于本文

本文标题：信息安全风险评估与风险管理chjz.ppt
链接地址：https://www.taowenge.com/p-91231564.html