1、信息安全風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理,國(guó)家信息中心信息安全服務(wù)與研究中心 范紅 二00四年九月,2020/9/24,2,匯報(bào)內(nèi)容,一、前言 二、信息安全風(fēng)險(xiǎn)管理概述 三、信息安全風(fēng)險(xiǎn)管理各組成部分 四、信息安全風(fēng)險(xiǎn)管理的運(yùn)用 五、結(jié)束語(yǔ),2020/9/24,3,一、前言,2020/9/24,4,二、信息安全風(fēng)險(xiǎn)管理概述,1、 信息安全風(fēng)險(xiǎn)管理的目的和意義 2、 信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象 3、 信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程 4、 信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系 5、 信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任,2020/9/24,5,二、信息安全風(fēng)險(xiǎn)管理概述,1、 信息安全風(fēng)險(xiǎn)管理的目的和

2、意義 2、 信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象 3、 信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程 4、 信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系 5、 信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任,2020/9/24,6,信息安全風(fēng)險(xiǎn)管理的目的和意義,信息安全風(fēng)險(xiǎn)管理是信息安全保障工作中的一項(xiàng)基礎(chǔ)性工作 。 1、信息安全風(fēng)險(xiǎn)管理體現(xiàn)在信息安全保障體系的技術(shù)、組織和管理等方面。 2、信息安全風(fēng)險(xiǎn)管理貫穿信息系統(tǒng)生命周期的全部過(guò)程。 3、信息安全風(fēng)險(xiǎn)管理依據(jù)等級(jí)保護(hù)的思想和適度安全的原則，平衡成本與效益，合理部署和利用信息安全的信任體系、監(jiān)控體系和應(yīng)急處理等重要的基礎(chǔ)設(shè)施，確定合適的安全措施，從而確保機(jī)構(gòu)具有完成其使

3、命的信息安全保障能力。,2020/9/24,7,二、信息安全風(fēng)險(xiǎn)管理概述,1、 信息安全風(fēng)險(xiǎn)管理的目的和意義 2、 信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象 3、 信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程 4、 信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系 5、 信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任,2020/9/24,8,信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象,2020/9/24,9,二、信息安全風(fēng)險(xiǎn)管理概述,1、 信息安全風(fēng)險(xiǎn)管理的目的和意義 2、 信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象 3、 信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程 4、 信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系 5、 信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任,202

4、0/9/24,10,信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程,2020/9/24,11,二、信息安全風(fēng)險(xiǎn)管理概述,1、 信息安全風(fēng)險(xiǎn)管理的目的和意義 2、 信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象 3、 信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程 4、 信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系 5、 信息安全風(fēng)險(xiǎn)管理的角色和責(zé)任,2020/9/24,12,三維結(jié)構(gòu)關(guān)系,2020/9/24,13,二、信息安全風(fēng)險(xiǎn)管理概述,1、 信息安全風(fēng)險(xiǎn)管理的目的和意義 2、 信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象 3、 信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程 4、 信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周 期和信息安全目標(biāo)的關(guān)系 5、 信息安全風(fēng)險(xiǎn)管理的角

5、色和責(zé)任,2020/9/24,14,信息安全風(fēng)險(xiǎn)管理相關(guān)人員的角色和責(zé)任,2020/9/24,15,三、信息安全風(fēng)險(xiǎn)管理各組成部分,1、對(duì)象確立 2、風(fēng)險(xiǎn)評(píng)估 3、風(fēng)險(xiǎn)控制 4、審核批準(zhǔn) 5、溝通與咨詢 6、監(jiān)控與審查,2020/9/24,16,三、信息安全風(fēng)險(xiǎn)管理各組成部分,1、對(duì)象確立 2、風(fēng)險(xiǎn)評(píng)估 3、風(fēng)險(xiǎn)控制 4、審核批準(zhǔn) 5、溝通與咨詢 6、監(jiān)控與審查,2020/9/24,17,對(duì)象確立概述,對(duì)象確立是信息安全風(fēng)險(xiǎn)管理的第一步驟，根據(jù)要保護(hù)系統(tǒng)的業(yè)務(wù)目標(biāo)和特性，確定風(fēng)險(xiǎn)管理對(duì)象。其目的是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象，以及對(duì)象的特性和安全要求。,2020/9/24,18,對(duì)象確

6、立過(guò)程,2020/9/24,19,風(fēng)險(xiǎn)管理準(zhǔn)備,2020/9/24,20,信息系統(tǒng)調(diào)查,2020/9/24,21,信息系統(tǒng)分析,2020/9/24,22,信息安全分析,2020/9/24,23,對(duì)象確立的文檔,2020/9/24,24,三、信息安全風(fēng)險(xiǎn)管理各組成部分,1、對(duì)象確立 2、風(fēng)險(xiǎn)評(píng)估 3、風(fēng)險(xiǎn)控制 4、審核批準(zhǔn) 5、溝通與咨詢 6、監(jiān)控與審查,2020/9/24,25,風(fēng)險(xiǎn)評(píng)估概述,風(fēng)險(xiǎn)評(píng)估是信息安全風(fēng)險(xiǎn)管理的第二步，針對(duì)確立的風(fēng)險(xiǎn)管理對(duì)象所面臨的風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析和評(píng)價(jià)。,2020/9/24,26,風(fēng)險(xiǎn)評(píng)估過(guò)程,2020/9/24,27,風(fēng)險(xiǎn)評(píng)估準(zhǔn)備,2020/9/24,28,風(fēng)險(xiǎn)

7、因素識(shí)別,2020/9/24,29,風(fēng)險(xiǎn)程度分析,2020/9/24,30,風(fēng)險(xiǎn)等級(jí)評(píng)價(jià),2020/9/24,31,風(fēng)險(xiǎn)評(píng)估的文檔,2020/9/24,32,風(fēng)險(xiǎn)評(píng)估的文檔,2020/9/24,33,風(fēng)險(xiǎn)評(píng)估的文檔,2020/9/24,34,三、信息安全風(fēng)險(xiǎn)管理各組成部分,1、對(duì)象確立 2、風(fēng)險(xiǎn)評(píng)估 3、風(fēng)險(xiǎn)控制 4、審核批準(zhǔn) 5、溝通與咨詢 6、監(jiān)控與審查,2020/9/24,35,風(fēng)險(xiǎn)控制概述,風(fēng)險(xiǎn)控制是信息安全風(fēng)險(xiǎn)管理的第三步驟，依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，選擇和實(shí)施合適的安全措施。風(fēng)險(xiǎn)控制方式主要有規(guī)避、轉(zhuǎn)移和降低三種方式。,2020/9/24,36,風(fēng)險(xiǎn)控制需求及其相應(yīng)的風(fēng)險(xiǎn)控制措施,202

8、0/9/24,37,主要的風(fēng)險(xiǎn)控制需求及其相應(yīng)的風(fēng)險(xiǎn)控制措施,2020/9/24,38,主要的風(fēng)險(xiǎn)控制需求及其相應(yīng)的風(fēng)險(xiǎn)控制措施,2020/9/24,39,主要的風(fēng)險(xiǎn)控制需求及其相應(yīng)的風(fēng)險(xiǎn)控制措施,2020/9/24,40,風(fēng)險(xiǎn)控制過(guò)程,2020/9/24,41,現(xiàn)存風(fēng)險(xiǎn)判斷,2020/9/24,42,控制目標(biāo)確立,2020/9/24,43,控制措施選擇,2020/9/24,44,控制措施實(shí)施,2020/9/24,45,風(fēng)險(xiǎn)控制的文檔,2020/9/24,46,風(fēng)險(xiǎn)控制的文檔,2020/9/24,47,三、信息安全風(fēng)險(xiǎn)管理各組成部分,1、對(duì)象確立 2、風(fēng)險(xiǎn)評(píng)估 3、風(fēng)險(xiǎn)控制 4、審核批準(zhǔn) 5、

9、溝通與咨詢 6、監(jiān)控與審查,2020/9/24,48,審核批準(zhǔn)概述,審核批準(zhǔn)是信息安全風(fēng)險(xiǎn)管理的第四步驟，審核批準(zhǔn)包括審核和批準(zhǔn)兩部分：審核是指通過(guò)審查、測(cè)試、評(píng)審等手段，檢驗(yàn)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的結(jié)果是否滿足信息系統(tǒng)的安全要求；批準(zhǔn)是指機(jī)構(gòu)的決策層依據(jù)審核的結(jié)果，做出是否認(rèn)可的決定。 審核既可以由機(jī)構(gòu)內(nèi)部完成，也可以委托外部專(zhuān)業(yè)機(jī)構(gòu)來(lái)完成，這主要取決于信息系統(tǒng)的性質(zhì)和機(jī)構(gòu)自身的專(zhuān)業(yè)能力。批準(zhǔn)一般必須由機(jī)構(gòu)內(nèi)部或更高層的主管機(jī)構(gòu)的決策層來(lái)執(zhí)行。,2020/9/24,49,審核批準(zhǔn)過(guò)程及其在信息安全風(fēng)險(xiǎn)管理中的位置,2020/9/24,50,審核申請(qǐng),2020/9/24,51,審核處理,2020/

10、9/24,52,批準(zhǔn)申請(qǐng),2020/9/24,53,批準(zhǔn)處理,2020/9/24,54,持續(xù)監(jiān)督,2020/9/24,55,審核批準(zhǔn)的文檔,2020/9/24,56,審核批準(zhǔn)的文檔,2020/9/24,57,三、信息安全風(fēng)險(xiǎn)管理各組成部分,1、對(duì)象確立 2、風(fēng)險(xiǎn)評(píng)估 3、風(fēng)險(xiǎn)控制 4、審核批準(zhǔn) 5、監(jiān)控與審查 6、溝通與咨詢,2020/9/24,58,監(jiān)控與審查的概述,監(jiān)控與審查對(duì)信息安全風(fēng)險(xiǎn)管理主循環(huán)的四個(gè)步驟（即對(duì)象確立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制和審核批準(zhǔn)）進(jìn)行監(jiān)控和審查。監(jiān)控是監(jiān)視和控制，一是監(jiān)視和控制風(fēng)險(xiǎn)管理過(guò)程，即過(guò)程質(zhì)量管理，以保證過(guò)程的有效性；二是分析和平衡成本效益，即成本效益管理，以

11、保證成本的有效性。審查是跟蹤受保護(hù)系統(tǒng)自身或所處環(huán)境的變化，以保證結(jié)果的有效性。,2020/9/24,59,監(jiān)控與審查過(guò)程,2020/9/24,60,貫穿對(duì)象確立,2020/9/24,61,貫穿風(fēng)險(xiǎn)評(píng)估,2020/9/24,62,貫穿風(fēng)險(xiǎn)評(píng)估,2020/9/24,63,貫穿風(fēng)險(xiǎn)控制,2020/9/24,64,貫穿風(fēng)險(xiǎn)控制,2020/9/24,65,貫穿審核批準(zhǔn),2020/9/24,66,貫穿審核批準(zhǔn),2020/9/24,67,監(jiān)控與審查的文檔,2020/9/24,68,三、信息安全風(fēng)險(xiǎn)管理各組成部分,1、對(duì)象確立 2、風(fēng)險(xiǎn)評(píng)估 3、風(fēng)險(xiǎn)控制 4、審核批準(zhǔn) 5、監(jiān)控與審查 6、溝通與咨詢,202

12、0/9/24,69,溝通與咨詢的概述,溝通與咨詢?yōu)樾畔踩L(fēng)險(xiǎn)管理主循環(huán)的四個(gè)步驟（即對(duì)象確立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制和審核批準(zhǔn)）中相關(guān)人員提供溝通和咨詢。溝通是為直接參與人員提供交流途徑，以保持他們之間的協(xié)調(diào)一致，共同實(shí)現(xiàn)安全目標(biāo)。咨詢是為所有相關(guān)人員提供學(xué)習(xí)途徑，以提高他們的風(fēng)險(xiǎn)意識(shí)、知識(shí)和技能，配合實(shí)現(xiàn)安全目標(biāo)。,2020/9/24,70,溝通與咨詢的方式,2020/9/24,71,溝通與咨詢的過(guò)程,2020/9/24,72,貫穿對(duì)象確立,2020/9/24,73,貫穿風(fēng)險(xiǎn)評(píng)估,2020/9/24,74,貫穿風(fēng)險(xiǎn)評(píng)估,2020/9/24,75,貫穿風(fēng)險(xiǎn)控制,2020/9/24,76,貫穿風(fēng)險(xiǎn)

13、控制,2020/9/24,77,貫穿審核批準(zhǔn),2020/9/24,78,貫穿審核批準(zhǔn),2020/9/24,79,溝通與咨詢的文檔,2020/9/24,80,四、信息安全風(fēng)險(xiǎn)管理的運(yùn)用,1、規(guī)劃階段 2、設(shè)計(jì)階段 3、實(shí)施階段 4、運(yùn)維階段 5、廢棄階段,2020/9/24,81,四、信息安全風(fēng)險(xiǎn)管理的運(yùn)用,1、規(guī)劃階段 2、設(shè)計(jì)階段 3、實(shí)施階段 4、運(yùn)維階段 5、廢棄階段,2020/9/24,82,安全需求和目標(biāo),明確安全總體方針 確保安全總體方針源自業(yè)務(wù)期望 明確項(xiàng)目范圍 清晰描述項(xiàng)目范圍內(nèi)所涉及系統(tǒng)的安全現(xiàn)狀 提交明確的安全需求文檔 清晰描述從系統(tǒng)的那些層次進(jìn)行安全實(shí)現(xiàn) 對(duì)實(shí)現(xiàn)的可能性進(jìn)

14、行充分分析、論證 明確評(píng)價(jià)準(zhǔn)則并達(dá)成一致,2020/9/24,83,風(fēng)險(xiǎn)管理的過(guò)程概述,在項(xiàng)目規(guī)劃階段，風(fēng)險(xiǎn)管理者應(yīng)能清楚、準(zhǔn)確地描述機(jī)構(gòu)的安全總體方針、安全策略、風(fēng)險(xiǎn)管理范圍、當(dāng)前正在進(jìn)行的或計(jì)劃中將要執(zhí)行的風(fēng)險(xiǎn)管理活動(dòng)以及當(dāng)前特殊安全要求等。,2020/9/24,84,風(fēng)險(xiǎn)管理的活動(dòng),2020/9/24,85,四、信息安全風(fēng)險(xiǎn)管理的運(yùn)用,1、規(guī)劃階段 2、設(shè)計(jì)階段 3、實(shí)施階段 4、運(yùn)維階段 5、廢棄階段,2020/9/24,86,安全需求和目標(biāo),對(duì)用以實(shí)現(xiàn)安全系統(tǒng)的各類(lèi)技術(shù)進(jìn)行有效性評(píng)估。 對(duì)用于實(shí)施方案的產(chǎn)品需滿足安全保護(hù)等級(jí)的要求 對(duì)自開(kāi)發(fā)的軟件要在結(jié)構(gòu)設(shè)計(jì)階段就充分考慮安全風(fēng)險(xiǎn),2

15、020/9/24,87,風(fēng)險(xiǎn)管理的過(guò)程概述,在設(shè)計(jì)階段，風(fēng)險(xiǎn)管理者應(yīng)能標(biāo)識(shí)出在項(xiàng)目結(jié)構(gòu)實(shí)現(xiàn)過(guò)程中潛在的安全風(fēng)險(xiǎn)，為設(shè)計(jì)說(shuō)明中的安全性設(shè)計(jì)提供評(píng)判依據(jù)，并對(duì)實(shí)施方案中選擇的產(chǎn)品進(jìn)行合格檢查，確保項(xiàng)目設(shè)計(jì)階段的重要環(huán)節(jié)均能得到較好的安全風(fēng)險(xiǎn)控制。,2020/9/24,88,風(fēng)險(xiǎn)管理的活動(dòng),2020/9/24,89,四、信息安全風(fēng)險(xiǎn)管理的運(yùn)用,1、規(guī)劃階段 2、設(shè)計(jì)階段 3、實(shí)施階段 4、運(yùn)維階段 5、廢棄階段,2020/9/24,90,安全需求和目標(biāo),實(shí)施階段是按照規(guī)劃和設(shè)計(jì)階段所定義的信息系統(tǒng)實(shí)施方案，采購(gòu)設(shè)備和軟件，開(kāi)發(fā)定制功能，集成、部署、配置和測(cè)試系統(tǒng)，培訓(xùn)人員，并對(duì)是否允許系統(tǒng)投入運(yùn)行進(jìn)

16、行審核批準(zhǔn)。,2020/9/24,91,風(fēng)險(xiǎn)管理的過(guò)程概述,實(shí)施階段的風(fēng)險(xiǎn)管理主要活動(dòng)包括檢查與配置、安全測(cè)試、人員培訓(xùn)及授權(quán)運(yùn)行，同時(shí)在上述過(guò)程中通過(guò)監(jiān)控與審查、溝通與咨詢來(lái)確保本階段風(fēng)險(xiǎn)管理目標(biāo)的實(shí)現(xiàn)。,2020/9/24,92,風(fēng)險(xiǎn)管理的活動(dòng),2020/9/24,93,四、信息安全風(fēng)險(xiǎn)管理的運(yùn)用,1、規(guī)劃階段 2、設(shè)計(jì)階段 3、實(shí)施階段 4、運(yùn)維階段 5、廢棄階段,2020/9/24,94,安全需求和目標(biāo),運(yùn)行維護(hù)階段是在信息系統(tǒng)經(jīng)過(guò)授權(quán)投入運(yùn)行之后，通過(guò)風(fēng)險(xiǎn)管理的相關(guān)過(guò)程和活動(dòng)，確保信息系統(tǒng)在運(yùn)行過(guò)程中、以及信息系統(tǒng)或其運(yùn)行環(huán)境發(fā)生變化時(shí)維持系統(tǒng)的正常運(yùn)行和安全性。,2020/9/24,95,風(fēng)險(xiǎn)管理的過(guò)程概述,運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)管理主要活動(dòng)包括安全運(yùn)行和管理、變更管理、風(fēng)險(xiǎn)再評(píng)估、定期重新審批，同時(shí)在上述過(guò)程中通過(guò)監(jiān)控與審查、溝通與咨詢來(lái)確保本階段風(fēng)險(xiǎn)管理目標(biāo)的實(shí)現(xiàn)。,2020/9/24,96,運(yùn)行維護(hù)階段風(fēng)險(xiǎn)管理活動(dòng)的流程,2020/9/24,97,四、信息安全風(fēng)險(xiǎn)管理的運(yùn)用,1、規(guī)劃階段 2、設(shè)計(jì)階段 3、實(shí)施階段 4、運(yùn)維階段 5、廢棄階段,2020/9/24,98,安全需求和目標(biāo),廢棄階段是對(duì)信息系統(tǒng)的過(guò)時(shí)或