信息安全风险评估与风险管理PPT.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2,*,SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC,信息安全风险评估与风险管理,国家信息中心信息安全服务与研究中心,范红,二,00,四年九月,1,2,2,2,汇报内容,一、前言,二、信息安全风险管理概述,三、信息安全风险管理各组成部分,四、信息安全风险管理的运用,五、结束语,2,3,一、前言,2,4,二、信息安全风险管理概述,1,、信息安全风险管理的目的和意义,2,、信息安全风险管理的范围和对象,3,、信息安全风险管理的内容和过程,4,、信息安全风险管理与信息系统生命周,期和信息安全目标的关系,5,、信息安全风险管理的角色和责任,2,5,二、信息安全风险管理概述,1,、信息安全风险管理的目的和意义,2,、信息安全风险管理的范围和对象,3,、信息安全风险管理的内容和过程,4,、信息安全风险管理与信息系统生命周,期和信息安全目标的关系,5,、信息安全风险管理的角色和责任,2,6,信息安全风险管理的目的和意义,信息安全风险管理是信息安全保障工作中的一项基础性工作。,1,、信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。,2,、信息安全风险管理贯穿信息系统生命周期的全部过程。,3,、信息安全风险管理依据等级保护的思想和适度安全的原则，平衡成本与效益，合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基础设施，确定合适的安全措施，从而确保机构具有完成其使命的信息安全保障能力。,2,7,二、信息安全风险管理概述,1,、信息安全风险管理的目的和意义,2,、信息安全风险管理的范围和对象,3,、信息安全风险管理的内容和过程,4,、信息安全风险管理与信息系统生命周,期和信息安全目标的关系,5,、信息安全风险管理的角色和责任,2,8,信息安全风险管理的范围和对象,2,9,二、信息安全风险管理概述,1,、信息安全风险管理的目的和意义,2,、信息安全风险管理的范围和对象,3,、信息安全风险管理的内容和过程,4,、信息安全风险管理与信息系统生命周,期和信息安全目标的关系,5,、信息安全风险管理的角色和责任,2,10,信息安全风险管理的内容和过程,2,11,二、信息安全风险管理概述,1,、信息安全风险管理的目的和意义,2,、信息安全风险管理的范围和对象,3,、信息安全风险管理的内容和过程,4,、信息安全风险管理与信息系统生命周,期和信息安全目标的关系,5,、信息安全风险管理的角色和责任,2,12,三维结构关系,2,13,二、信息安全风险管理概述,1,、信息安全风险管理的目的和意义,2,、信息安全风险管理的范围和对象,3,、信息安全风险管理的内容和过程,4,、信息安全风险管理与信息系统生命周,期和信息安全目标的关系,5,、信息安全风险管理的角色和责任,2,14,信息安全风险管理相关人员的角色和责任,层面,信息系统,信息安全风险管理,角色,内外部,责任,角色,内外部,责任,决策层,主管者,内,负责信息系统的重大决策。,主管者,内,负责信息安全风险管理的重大决策。,管理层,管理者,内,负责信息系统的规划，以及建设、运行、维护和监控等方面的组织和协调。,管理者,内,负责信息安全风险管理的规划，以及实施和监控过程中的组织和协调。,执行层,建设者,内或外,负责信息系统的设计和实施。,执行者,内或外,负责信息安全风险管理的实施。,运行者,内,负责信息系统的日常运行和操作。,维护者,内或外,负责信息系统的日常维护，包括维修和升级。,监控者,内,负责信息系统的监视和控制。,监控者,内,负责信息安全风险管理过程和结果的监视和控制。,支持层,专业者,外,为信息系统提供专业咨询、培训、诊断和工具等服务。,专业者,外,为信息安全风险管理提供专业咨询、培训、诊断和工具等服务。,用户层,使用者,内或外,利用信息系统完成自身的任务。,受益者,内或外,反馈信息安全风险管理的效果。,2,15,三、信息安全风险管理各组成部分,1,、对象确立,2,、风险评估,3,、风险控制,4,、审核批准,5,、沟通与咨询,6,、监控与审查,2,16,三、信息安全风险管理各组成部分,1,、对象确立,2,、风险评估,3,、风险控制,4,、审核批准,5,、沟通与咨询,6,、监控与审查,2,17,对象确立概述,对象确立是信息安全风险管理的第一步骤，根据要保护系统的业务目标和特性，确定风险管理对象。其目的是为了明确信息安全风险管理的范围和对象，以及对象的特性和安全要求。,2,18,对象确立过程,2,19,风险管理准备,2,20,信息系统调查,2,21,信息系统分析,2,22,信息安全分析,2,23,对象确立的文档,阶段,输出文档,文档内容,风险管理准备,风险管理计划书,风险管理的目的、意义、范围、目标、组织结构、经费预算和进度安排等。,信息系统调查,信息系统的描述报告,信息系统的业务目标、业务特性、管理特性和技术特性等。,信息系统分析,信息系统的分析报告,信息系统的体系结构和关键要素等。,信息安全分析,信息系统的安全要求报告,信息系统的安全环境和安全要求等。,2,24,三、信息安全风险管理各组成部分,1,、对象确立,2,、风险评估,3,、风险控制,4,、审核批准,5,、沟通与咨询,6,、监控与审查,2,25,风险评估概述,风险评估是信息安全风险管理的第二步，针对确立的风险管理对象所面临的风险进行识别、分析和评价。,2,26,风险评估过程,2,27,风险评估准备,2,28,风险因素识别,2,29,风险程度分析,2,30,风险等级评价,2,31,风险评估的文档,阶段,输出文档,文档内容,风险评估准备,风险评估计划书,风险评估的目的、意义、范围、目标、组织结构、经费预算和进度安排等。,风险评估程序,风险评估的工作流程、输入数据和输出结果等。,入选风险评估方法和工具列表,合适的风险评估方法和工具列表。,风险因素识别,需要保护的资产清单,对机构使命具有关键和重要作用的需要保护的资产清单。,面临的威胁列表,机构的信息资产面临的威胁列表。,存在的脆弱性列表,机构的信息资产存在的脆弱性列表。,2,32,风险评估的文档,风险程度分析,已有安全措施分析报告,确认已有的安全措施，包括技术层面（即物理平台、系统平台、通信平台、网络平台和应用平台）的安全功能、组织层面（即结构、岗位和人员）的安全控制和管理层面（即策略、规章和制度）的安全对策。,威胁源分析报告,从利益、复仇、好奇和自负等驱使因素，分析威胁源动机的强弱。,威胁行为分析报告,从攻击的强度、广度、速度和深度等方面，分析威胁行为能力的高低。,脆弱性分析报告,按威胁,/,脆弱性对，分析脆弱性被威胁利用的难以程度。,资产价值分析报告,从敏感性、关键性和昂贵性等方面，分析资产价值的大小。,影响程度分析报告,从资产损失、使命妨碍和人员伤亡等方面，分析影响程度的深浅。,2,33,风险评估的文档,风险等级评价,威胁源等级列表,威胁源动机的等级列表。,威胁行为等级列表,威胁行为能力的等级列表。,脆弱性等级列表,脆弱性被利用的等级列表。,资产价值等级列表,资产价值的等级列表。,影响程度等级列表,影响程度的等级列表。,风险评估报告,汇总上述分析报告和等级列表，综合评价风险的等级。,2,34,三、信息安全风险管理各组成部分,1,、对象确立,2,、风险评估,3,、风险控制,4,、审核批准,5,、沟通与咨询,6,、监控与审查,2,35,风险控制概述,风险控制是信息安全风险管理的第三步骤，依据风险评估的结果，选择和实施合适的安全措施。,风险控制方式主要有规避、转移和降低三种方式,。,2,36,风险控制需求及其相应的风险控制措施,PPDRR,风险控制需求,风险控制措施,策略,Policy,设备管理制度,建立健全各种安全相关的规章制定和操作规范，使得保护、检测和响应环节有章可循、切实有效。,机房出入守则,系统安全管理守则,系统安全配置明细,网络安全管理守则,网络安全配置明细,应用安全管理守则,应用安全配置明细,应急响应计划,安全事件处理准则,2,37,主要的风险控制需求及其相应的风险控制措施,保护,Protection,机房,严格按照,GB 50174-1993,电子计算机机房设计规范,、,GB 9361-1988,计算站场地安全要求,、,GB 2887-1982,计算机站场地技术要求,和,GB/T 2887-2000,计算机场地通用规范,等国家标准建设和维护计算机机房。,门控,安装门控系统,保安,建设保安制度和保安队伍。,电磁屏蔽,在必要的地方设置抗电磁干扰和防电磁泄漏的设施。,病毒防杀,全面部署防病毒系统。,漏洞补丁,及时下载和安装最新的漏洞补丁模块。,安全配置,严格遵守各系统单元的安全配置明细，避免配置中的安全漏洞。,身份认证,根据不同的安全强度，分别采用身份标识,/,口令、数字钥匙、数字证书、生物识别、双因子等级别的身份认证系统，对设备、用户、服务等主客体进行身份认证。,访问控制,根据不同的安全强度，分别采用自主型、强制型等级别的访问控制系统，对设备、用户等主体访问客体的权限进行控制。,数据加密,根据不同的安全强度，分别采用商密、普密、机密等级别的数据加密系统，对传输数据和存储数据进行加密。,边界控制,在网络边界布置防火墙，阻止来自外界非法访问。,数字水印,对于需要版权保护的图片、声音、文字等形式的信息，采用数字水印技术加以保护。,数字签名,在需要防止事后否认时，可采用数字签名技术。,内容净化,部署内容过滤系统。,安全机构、安全岗位、安全责任,建立健全安全机构，合理设置安全岗位，明确划分安全责任。,2,38,主要的风险控制需求及其相应的风险控制措施,检测,Detection,监视、监测和报警,在适当的位置安置监视器和报警器，在各系统单元中配备监测系统和报警系统，以实时发现安全事件并及时报警。,数据校验,通过数据校验技术，发现数据篡改。,主机入侵检测,部署主机入侵检测系统，发现主机入侵行为。,主机状态监测,部署主机状态监测系统，随时掌握主机运行状态。,网络入侵检测,部署网络入侵检测系统，发现网络入侵行为。,网络状态监测,部署网络状态监测系统，随时掌握网络运行状态。,安全审计,在各系统单元中配备安全审计，以发现深层安全漏洞和安全事件。,安全监督、安全检查,实行持续有效的安全监督，预演应急响应计划。,2,39,主要的风险控制需求及其相应的风险控制措施,响应,Response,恢复,Recovery,故障修复、事故排除,确保随时能够获取故障修复和事故排除的技术人员和软硬件工具。,设施备份与恢复,对于关键设施，配备设施备份与恢复系统。,系统备份与恢复,对于关键系统，配备系统备份与恢复系统。,数据备份与恢复,对于关键数据，配备数据备份与恢复系统。,信道备份与恢复,对于关键信道，配备设信道份与恢复系统。,应用备份与恢复,对于关键应用，配备应用备份与恢复系统。,应急响应,按照应急响应计划处理应急事件。,安全事件处理,按照安全事件处理找出原因、追究责任、总结经验、提出改进。,2,40,风险控制过程,2,41,现存风险判断,2,42,控制目标确立,2,43,控制措施选择,2,44,控制措施实施,2,45,风险控制的文档,阶段,输出文档,文档内容,现存风险判断,风险接受等级划分表,风险接受等级的划分，即把风险评估得出的风险等级划分为可接受和不可接受两种。,现存风险接受判断书,现存风险是否可接受的判断结果。,控制目标确立,风险控制需求分析报告,从技术层面（即物理平台、系统平台、通信平台、网络平台和应用平台）、组织层面（即结构、岗位和人员）和管理层面（即策略、规章和制度），分析风险控制的需求。,风险控制目标列表,风险控制目标的列表，包括控制对象及其最低保护等级。,2,46,风险控制的文档,控制措施选择,入选风险控制方式说明报告,选择合适的风险控制方式（包括规避方式、转移方式和降低方式），并说明选择的理由以及被选控制方式的使用方法和注意事项等。,入选风险控制措施说明报告,选择合适的风险控制措施，并说明选择的理由以及被选控制措施的成本、使用方法和注意事项等。,控制措施实施,风险控制实施计划书,风险控制的范围、对象、目标、组织结构、成本预算和进度安排等。,风险控制实施记录,风险控制措施实施的过程和结果。,2,47,三、信息安全风险管理各组成部分,1,、对象确立,2,、风险评估,3,、风险控制,4,、审核批准,5,、沟通与咨询,6,、监控与审查,2,48,审核批准概述,审核批准是信息安全风险管理的第四步骤，审核批准包括审核和批准两部分：审核是指通过审查、测试、评审等手段，检验风险评估和风险控制的结果是否满足信息系统的安全要求；批准是指机构的决策层依据审核的结果，做出是否认可的决定。,审核既可以由机构内部完成，也可以委托外部专业机构来完成，这主要取决于信息系统的性质和机构自身的专业能力。批准一般必须由机构内部或更高层的主管机构的决策层来执行。,2,49,审核批准过程及其在信息安全风险管理中的位置,2,50,审核申请,2,51,审核处理,2,52,批准申请,2,53,批准处理,2,54,持续监督,2,55,审核批准的文档,阶段,输出文档,文档内容,审核申请,审核申请书,审核的范围、对象、目标和进度要求，以及申请者的基本信息和签字等。,审核材料,风险评估过程和风险控制过程输出的文档、软件和硬件等结果。,审核受理回执,同意受理、补充材料的要求和提交时间（如果需要）、审核的进度安排和收费标准，以及审核机构的名称和签章等。,审核处理,审查结果报告,审查的范围、对象、意见和结论（即是否通过），以及审查人员的名字和签字等。,测试结果报告,测试的范围、对象、意见和结论（即是否通过），以及测试人员的名字和签字等。,专家鉴定报告,鉴定的范围、对象（及其基本情况）和结论，以及专家名单和签字等。,审核结论报告,审核的范围、对象、意见、结论（即是否通过）和有效期，以及审核机构的名称和签章等。,2,56,审核批准的文档,批准申请,批准申请书,批准的范围、对象和期望，以及申请者的基本信息和签字等。,批准受理回执,同意受理、补充材料的要求和提交时间（如果需要），以及批准机构的名称和签章等。,批准处理,批准决定书,批准的范围、对象、意见、结论（即是否通过）和有效期，以及批准机构的名称和签章等。,持续监督,审核到期通知书,到期的时间和重新申请的要求，以及审核机构的名称和签章。,批准到期通知书,到期的时间和重新申请的要求，以及批准机构的名称和签章。,机构变化因素的描述报告,机构及其信息系统变化因素的列表、说明和安全隐患分析等。,环境变化因素的描述报告,信息安全相关环境变化因素的列表、说明和安全隐患分析等。,2,57,三、信息安全风险管理各组成部分,1,、对象确立,2,、风险评估,3,、风险控制,4,、审核批准,5,、监控与审查,6,、沟通与咨询,2,58,监控与审查的概述,监控与审查对信息安全风险管理主循环的四个步骤（即对象确立、风险评估、风险控制和审核批准）进行监控和审查。监控是监视和控制，一是监视和控制风险管理过程，即过程质量管理，以保证过程的有效性；二是分析和平衡成本效益，即成本效益管理，以保证成本的有效性。审查是跟踪受保护系统自身或所处环境的变化，以保证结果的有效性。,2,59,监控与审查过程,2,60,贯穿对象确立,阶段,监控,审查,过程有效性,成本有效性,结果有效性,风险管理准备,风险管理计划制定的流程及其相关文档,风险管理计划的成本与效果,风险管理计划书,的时效,信息系统调查,信息系统调查的流程及其相关文档,信息系统调查的成本与效果,信息系统的描述报告,的时效,信息系统分析,信息系统分析的流程及其相关文档,信息系统分析的成本与效果,信息系统的分析报告,的时效,信息安全分析,信息系统安全要求分析的流程及其相关文档,信息系统安全要求分析的成本与效果,信息系统的安全要求报告,的时效,2,61,贯穿风险评估,阶段,监控,审查,过程有效性,成本有效性,结果有效性,风险评估准备,风险评估的计划制定、程序确定以及方法和工具选择的流程及其相关文档,风险评估的计划、程序以及入选方法和工具的成本与效果,风险评估计划,、,风险评估程序,和,入选风险评估方法和工具列表,的时效,风险因素识别,资产、威胁列和脆弱性识别的流程及其相关文档,资产、威胁列和脆弱性识别的成本与效果,需要保护的资产清单,、,面临的威胁列表,和,存在的脆弱性列表,的时效,2,62,贯穿风险评估,风险程度分析,已有安全措施、威胁源、威胁行为、脆弱性、资产价值和影响程度分析的流程及其相关文档,已有安全措施、威胁源、威胁行为、脆弱性、资产价值和影响程度分析的成本与效果,已有安全措施分析报告,、,威胁源分析报告,、,威胁行为分析报告,、,脆弱性分析报告,、,资产价值分析报告,和,影响程度分析报告,的时效,风险等级评价,威胁源等级、威胁行为等级、脆弱性等级、资产价值等级和影响程度等级评价以及,风险评估报告,生成的流程及其相关文档,威胁源等级、威胁行为等级、脆弱性等级、资产价值等级和影响程度等级评价以及,风险评估报告,生成的成本与效果,威胁源等级列表,、,威胁行为等级列表,、,脆弱性等级列表,、,资产价值等级列表,、,影响程度等级列表,和,风险评估报告,的时效,2,63,贯穿风险控制,阶段,监控,审查,过程有效性,成本有效性,结果有效性,现存风险判断,可接受风险等级确定和现存风险接受判断的流程及其相关文档,可接受风险等级确定和现存风险接受判断的成本与效果,风险接受等级划分表,和,现存风险接受判断书,的时效,控制目标确立,风险控制需求分析和风险控制目标确立的流程及其相关文档,风险控制需求分析和风险控制目标确立的成本与效果,风险控制需求分析报告,和,风险控制目标列表,的时效,2,64,贯穿风险控制,控制措施选择,风险控制方式和措施选择的流程及其相关文档,入选风险控制方式和措施的成本与效果,入选风险控制方式说明报告,和,入选风险控制措施说明报告,的时效,控制措施实施,风险控制实施计划制定和风险控制措施实施的流程及其相关文档,风险控制实施计划制定和风险控制措施实施的成本与效果,风险控制实施计划书,和,风险控制实施记录,的时效,2,65,贯穿审核批准,阶段,监控,审查,过程有效性,成本有效性,结果有效性,审核申请,审核申请和受理的流程及其相关文档,审核申请和受理的成本与效果,审核申请书,、,审核材料,和,审核受理回执,的时效,审核处理,审核材料审查、审核对象测试、专家鉴定和审核结论给出的流程及其相关文档,审核材料审查、审核对象测试、专家鉴定和审核结论给出的成本与效果,审查结果报告,、,测试结果报告,、,专家鉴定报告,和,审核结论报告,的时效,2,66,贯穿审核批准,批准申请,批准申请和受理的流程及其相关文档,批准申请和受理的成本与效果,批准申请书,和,批准受理回执,的时效,批准处理,审阅批准材料和批准决定做出的流程及其相关文档,审阅批准材料和批准决定做出的成本与效果,批准决定书,的时效,持续监督,审核结论报告,和,批准决定书,到期检查和机构及其环境变化检查的流程及其相关文档,审核结论报告,和,批准决定书,到期检查和机构及其环境变化检查的成本与效果,机构变化因素的描述报告,和,环境变化因素的描述报告,的时效,2,67,监控与审查的文档,过程,输出文档,文档内容,对象确立,对象确立的监控与审查记录,对象确立过程中监控和审查的范围、对象、时间、过程、结果和措施等。,风险评估,风险评估的监控与审查记录,风险评估过程中监控和审查的范围、对象、时间、过程、结果和措施等。,风险控制,风险控制的监控与审查记录,风险控制过程中监控和审查的范围、对象、时间、过程、结果和措施等。,审核批准,审核批准的监控与审查记录,审核批准过程中监控和审查的范围、对象、时间、过程、结果和措施等。,2,68,三、信息安全风险管理各组成部分,1,、对象确立,2,、风险评估,3,、风险控制,4,、审核批准,5,、监控与审查,6,、沟通与咨询,2,69,沟通与咨询的概述,沟通与咨询为信息安全风险管理主循环的四个步骤（即对象确立、风险评估、风险控制和审核批准）中相关人员提供沟通和咨询。沟通是为直接参与人员提供交流途径，以保持他们之间的协调一致，共同实现安全目标。咨询是为所有相关人员提供学习途径，以提高他们的风险意识、知识和技能，配合实现安全目标。,2,70,沟通与咨询的方式,方式,接受方,决策层,管理层,执行层,支持层,用户层,发,出,方,决策层,交流,指导和检查,指导和检查,表态,表态,管理层,汇报,交流,指导和检查,宣传和介绍,宣传和介绍,执行层,汇报,汇报,交流,宣传和介绍,培训和咨询,支持层,培训和咨询,培训和咨询,培训和咨询,交流,培训和咨询,用户层,反馈,反馈,反馈,反馈,交流,2,71,沟通与咨询的过程,2,72,贯穿对象确立,阶段,参与人员,涉及内容,信息系统,信息安全风险管理,风险管理准备,决策层,决策层,管理层,风险管理计划书,信息系统调查,管理层,执行层,支持层,管理层,执行层,信息系统的描述报告,信息系统分析,管理层,执行层,支持层,管理层,执行层,信息系统的分析报告,信息安全分析,管理层,执行层,支持层,信息系统的安全要求报告,2,73,贯穿风险评估,阶段,参与人员,涉及内容,信息系统,信息安全风险管理,风险评估准备,决策层,决策层,管理层,风险评估计划,管理层,管理层,执行层,支持层,风险评估程序,入选风险评估方法和工具列表,风险因素识别,管理层,执行层,执行层,支持层,需要保护的资产清单,面临的威胁列表,存在的脆弱性列表,2,74,贯穿风险评估,风险程度分析,管理层,执行层,执行层,支持层,已有安全措施分析报告,威胁源分析报告,威胁行为分析报告,脆弱性分析报告,资产价值分析报告,影响程度分析报告,风险等级评价,执行层,支持层,威胁源等级列表,威胁行为等级列表,脆弱性等级列表,资产价值等级列表,影响程度等级列表,风险评估报告,2,75,贯穿风险控制,阶段,参与人员,涉及内容,信息系统,信息安全风险管理,现存风险判断,决策层,管理层,决策层,管理层,执行层,支持层,风险接受等级划分表,现存风险接受判断书,控制目标确立,管理层,管理层,执行层,支持层,风险控制需求分析报告,风险控制目标列表,2,76,贯穿风险控制,控制措施选择,执行层,支持层,入选风险控制方式说明报告,入选风险控制措施说明报告,控制措施实施,管理层,执行层,管理层,执行层,支持层,风险控制实施计划书,风险控制实施记录,2,77,贯穿审核批准,阶段,参与人员,涉及内容,信息系统,信息安全风险管理,审核申请,决策层,管理层,执行层,审核申请书,审核材料,审核受理回执,审核处理,管理层,执行层,支持层,审查结果报告,测试结果报告,专家鉴定报告,审核结论报告,2,78,贯穿审核批准,批准申请,决策层,管理层,执行层,批准申请书,批准受理回执,批准处理,决策层,决策层,管理层,批准决定书,持续监督,管理层,执行层,管理层,执行层,机构变化因素的描述报告,环境变化因素的描述报告,2,79,沟通与咨询的文档,过程,输出文档,文档内容,对象确立,对象确立的沟通与咨询记录,对象确立过程中沟通和咨询的范围、对象、时间、内容和结果等。,风险评估,风险评估的沟通与咨询记录,风险评估过程中沟通和咨询的范围、对象、时间、内容和结果等。,风险控制,风险控制的沟通与咨询记录,风险控制过程中沟通和咨询的范围、对象、时间、内容和结果等。,审核批准,审核批准的沟通与咨询记录,审核批准过程中沟通和咨询的范围、对象、时间、内容和结果等。,2,80,四、信息安全风险管理的运用,1,、规划阶段,2,、设计阶段,3,、实施阶段,4,、运维阶段,5,、废弃阶段,2,81,四、信息安全风险管理的运用,1,、规划阶段,2,、设计阶段,3,、实施阶段,4,、运维阶段,5,、废弃阶段,2,82,安全需求和目标,明确安全总体方针,确保安全总体方针源自业务期望,明确项目范围,清晰描述项目范围内所涉及系统的安全现状,提交明确的安全需求文档,清晰描述从系统的那些层次进行安全实现,对实现的可能性进行充分分析、论证,明确评价准则并达成一致,2,83,风险管理的过程概述,在项目规划阶段，风险管理者应能清楚、准确地描述机构的安全总体方针、安全策略、风险管理范围、当前正在进行的或计划中将要执行的风险管理活动以及当前特殊安全要求等。,2,84,风险管理的活动,序号,风险管理活动,所处风险管理流程,1,明确安全总体方针,对象确立,2,安全需求分析,对象确立、风险评估,3,风险评价准则达成一致,风险控制、审核批准,2,85,四、信息安全风险管理的运用,1,、规划阶段,2,、设计阶段,3,、实施阶段,4,、运维阶段,5,、废弃阶段,2,86,安全需求和目标,对用以实现安全系统的各类技术进行有效性评估。,对用于实施方案的产品需满足安全保护等级的要求,对自开发的软件要在结构设计阶段就充分考虑安全风险,2,87,风险管理的过程概述,在设计阶段，风险管理者应能标识出在项目结构实现过程中潜在的安全风险，为设计说明中的安全性设计提供评判依据，并对实施方案中选择的产品进行合格检查，确保项目设计阶段的重要环节均能得到较好的安全风险控制。,2,88,风险管理的活动,序号,风险管理活动,所处风险管理流程,1,安全技术选择,风险控制,2,安全产品选择,风险控制,3,软件设计风险控制,风险控制,2,89,四、信息安全风险管理的运用,1,、规划阶段,2,、设计阶段,3,、实施阶段,4,、运维阶段,5,、废弃阶段,2,90,安全需求和目标,实施阶段是按照规划和设计阶段所定义的信息系统实施方案，采购设备和软件，开发定制功能，集成、部署、配置和测试系统，培训人员，并对是否允许系统投入运行进行审核批准。,2,91,风险管理的过程概述,实施阶段的风险管理主要活动包括检查与配置、安全测试、人员培训及授权运行，同时在上述过程中通过监控与审查、沟通与咨询来确保本阶段风险管理目标的实现。,2,92,风险管理的活动,序号,风险管理活动,所处风险管理流程,1,检查与配置,风险控制,2,安全测试,风险控制,3,人员培训,风险控制,4,授权系统运行,审核批准,2,93,四、信息安全风险管理的运用,1,、规划阶段,2,、设计阶段,3,、实施阶段,4,、运维阶段,5,、废弃阶段,2,94,安全需求和目标,运行维护阶段是在信息系统经过授权投入运行之后，通过风险管理的相关过程和活动，确保信息系统在运行过程中、以及信息系统或其运行环境发生变化时维持系统的正常运行和安全性。,2,95,风险管理的过程概述,运行维护阶段的风险管理主要活动包括安全运行和管理、变更管理、风险再评估、定期重新审批，同时在上述过程中通过监控与审查、沟通与咨询来确保本阶段风险管理目标的实现。,2,96,运行维护阶段风险管理活动的流程,2,97,四、信息安全风险管理的运用,1,、规划阶段,2,、设计阶段,3,、实施阶段,4,、运维阶段,5,、废弃阶段,2,98,安全需求和目标,废弃阶段是对信息系统的过时或无用部分进行报废处理的过程。在废弃阶段，风险管理的目标是确保信息、硬件、软件在执行废弃的过程中确保其安全废弃，防止发生信息系统的安全目标遭到破坏。,2,99,风险管理的过程概述,系统废弃阶段涉及到信息、硬件和软件的安全处置，应防止敏感信息就泄漏给外部人员。系统废弃的风险管理活动包括：确定废弃对象，对废弃对象的风险评估，对废弃对象及废弃过程的风险控制。同时在上述过程中通过监控与审查、沟通与咨询来确保本阶段风险管理目标的实现。,2,100,风险管理的活动,序号,风险管理活动,所处风险管理流程,1,确立废弃对象,对象确立,2,废弃对象的风险评估,风险评估,3,废弃过程的风险控制,风险控制,4,废弃后的评审,审核批准,2,101,五、结束语,