信息安全风险评估与风险管理

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC信息安全风险评估与风险管理国家信息中心信息安全服务与研究中心范红二00四年九月SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC2020/9/152汇报内容一、前言二、信息安全风险管理概述三、信息安全风险管理各组成部分四、信息安全风险管理的运用五、结束语SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC2020/9/153一、前言SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC2020/9/154二、信息安全风险管理概述1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC2020/9/155二、信息安全风险管理概述1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC2020/9/156信息安全风险管理的目的和意义信息安全风险管理是信息安全保障工作中的一项基础性工作。1、信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。2、信息安全风险管理贯穿信息系统生命周期的全部过程。3、信息安全风险管理依据等级保护的思想和适度安全的原则，平衡成本与效益，合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基础设施，确定合适的安全措施，从而确保机构具有完成其使命的信息安全保障能力。SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC2020/9/157二、信息安全风险管理概述1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC2020/9/158信息安全风险管理的范围和对象信息自身信息载体信息载体信息载体信息载体信息环境信息环境信息环境信息环境信息环境信息环境SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC2020/9/159二、信息安全风险管理概述1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC2020/9/1510信息安全风险管理的内容和过程对象确立风险评估风险控制审核批准沟通与咨询沟通与咨询沟通与咨询沟通与咨询监控与审查SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC2020/9/1511二、信息安全风险管理概述1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC2020/9/1512三维结构关系对象确立风险控制风险评估审核批准监控与审查沟通与咨询　　保　密性　　　可　　追　究性　　完　整性　　可　用性信息安全风险管理　　　　　信　　　　息　　　安　　全　目标信息系统生命周期XYZ保障级别规划设计实施运维废弃　　　抗　　否　认性SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC2020/9/1513二、信息安全风险管理概述1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的内容和过程4、信息安全风险管理与信息系统生命周期和信息安全目标的关系5、信息安全风险管理的角色和责任SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC2020/9/1514信息安全风险管理相关人员的角色和责任层面信息系统信息安全风险管理角色内外部责任角色内外部责任决策层主管者内负责信息系统的重大决策。主管者内负责信息安全风险管理的重大决策。管理层管理者内负责信息系统的规划，以及建设、运行、维护和监控等方面的组织和协调。管理者内负责信息安全风险管理的规划，以及实施和监控过程中的组织和协调。执行层建设者内或外负责信息系统的设计和实施。执行者内或外负责信息安全风险管理的实施。运行者内负责信息系统的日常运行和操作。维护者内或外负责信息系统的日常维护，包括维修和升级。监控者内负责信息系统的监视和控制。监控者内负责信息安全风险管理过程和结果的监视和控制。支持层专业者外为信息系统提供专业咨询、培训、诊断和工具等服务。专业者外为信息安全风险管理提供专业咨询、培训、诊断和工具等服务。用户层使用者内或外利用信息系统完成自身的任务。受益者内或外反馈信息安全风险管理的效果。SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC2020/9/1515三、信息安全风险管理各组成部分1、对象确立2、风险评估3、风险控制4、审核批准5、沟通与咨询6、监控与审查SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC2020/9/1516三、信息安全风险管理各组成部分1、对象确立2、风险评估3、风险控制4、审核批准5、沟通与咨询6、监控与审查SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC2020/9/1517对象确立概述对象确立是信息安全风险管理的第一步骤，根据要保护系统的业务目标和特性，确定风险管理对象。其目的是为了明确信息安全风险管理的范围和对象，以及对象的特性和安全要求。SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC2020/9/1518对象确立过程对象确立信息系统调查对象确立的沟通与咨询风险评估调查信息系统的业务目标调查信息系统的业务特性调查信息系统的技术特性调查信息系统的管理特性信息系统分析分析信息系统的体系结构分析信息系统的关键要素信息安全分析分析信息系统的安全要求分析信息系统的安全环境风险管理准备制定风险管理计划对象确立的监控与审查SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC2020/9/1519风险管理准备制定风险管理计划风险管理计划机构的使命SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC2020/9/1520信息系统调查信息系统的描述报告调查信息系统的业务目标调查信息系统的业务特性调查信息系统的管理特性调查信息系统的技术特性机构的使命机构的组织结构和管理制度机构的业务机构的技术平台SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC2020/9/1521信息系统分析信息系统的分析报告分析信息系统的体系结构分析信息系统的关键要素信息系统的描述报告SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC2020/9/1522信息安全分析信息系统的安全要求报告分析信息系统的安全环境分析信息系统的安全要求相关的政策、法律、法规和标准信息系统的描述报告信息系统的分析报告SICINFOSECSICINFOSECSICINFOSECSICINFOS