信息安全工程03-1信息安全评估与风险相关管理.ppt

* * 审核申请 * * 审核处理 * * 批准申请 * * 批准处理 * * 持续监督 * * 审核批准的文档 阶段 输出文档 文档内容 审核申请 《审核申请书》 审核的范围、对象、目标和进度要求，以及申请者的基本信息和签字等。 《审核材料》 风险评估过程和风险控制过程输出的文档、软件和硬件等结果。 《审核受理回执》 同意受理、补充材料的要求和提交时间（如果需要）、审核的进度安排和收费标准，以及审核机构的名称和签章等。 审核处理 《审查结果报告》 审查的范围、对象、意见和结论（即是否通过），以及审查人员的名字和签字等。 《测试结果报告》 测试的范围、对象、意见和结论（即是否通过），以及测试人员的名字和签字等。 《专家鉴定报告》 鉴定的范围、对象（及其基本情况）和结论，以及专家名单和签字等。 《审核结论报告》 审核的范围、对象、意见、结论（即是否通过）和有效期，以及审核机构的名称和签章等。 * * 审核批准的文档 批准申请 《批准申请书》 批准的范围、对象和期望，以及申请者的基本信息和签字等。 《批准受理回执》 同意受理、补充材料的要求和提交时间（如果需要），以及批准机构的名称和签章等。 批准处理 《批准决定书》 批准的范围、对象、意见、结论（即是否通过）和有效期，以及批准机构的名称和签章等。 持续监督 《审核到期通知书》 到期的时间和重新申请的要求，以及审核机构的名称和签章。 《批准到期通知书》 到期的时间和重新申请的要求，以及批准机构的名称和签章。 《机构变化因素的描述报告》 机构及其信息系统变化因素的列表、说明和安全隐患分析等。 《环境变化因素的描述报告》 信息安全相关环境变化因素的列表、说明和安全隐患分析等。 * * 监控与审查的概述 　　 　　监控与审查对信息安全风险管理主循环的四个步骤（即对象确立、风险评估、风险控制和审核批准）进行监控和审查。监控是监视和控制，一是监视和控制风险管理过程，即过程质量管理，以保证过程的有效性；二是分析和平衡成本效益，即成本效益管理，以保证成本的有效性。审查是跟踪受保护系统自身或所处环境的变化，以保证结果的有效性。 3.2.5 监控与审查 * * 监控与审查过程 * * 贯穿对象确立 阶段 监控 审查 过程有效性 成本有效性 结果有效性 风险管理准备 风险管理计划制定的流程及其相关文档 风险管理计划的成本与效果 《风险管理计划书》的时效 信息系统调查 信息系统调查的流程及其相关文档 信息系统调查的成本与效果 《信息系统的描述报告》的时效 信息系统分析 信息系统分析的流程及其相关文档 信息系统分析的成本与效果 《信息系统的分析报告》的时效 信息安全分析 信息系统安全要求分析的流程及其相关文档 信息系统安全要求分析的成本与效果 《信息系统的安全要求报告》的时效 * * 贯穿风险评估 阶段 监控 审查 过程有效性 成本有效性 结果有效性 风险评估准备 风险评估的计划制定、程序确定以及方法和工具选择的流程及其相关文档 风险评估的计划、程序以及入选方法和工具的成本与效果 《风险评估计划》、《风险评估程序》和《入选风险评估方法和工具列表》的时效 风险因素识别 资产、威胁列和脆弱性识别的流程及其相关文档 资产、威胁列和脆弱性识别的成本与效果 《需要保护的资产清单》、《面临的威胁列表》和《存在的脆弱性列表》的时效 * * 贯穿风险评估 风险程度分析 已有安全措施、威胁源、威胁行为、脆弱性、资产价值和影响程度分析的流程及其相关文档 已有安全措施、威胁源、威胁行为、脆弱性、资产价值和影响程度分析的成本与效果 《已有安全措施分析报告》、《威胁源分析报告》、《威胁行为分析报告》、《脆弱性分析报告》、《资产价值分析报告》和《影响程度分析报告》的时效 风险等级评价 威胁源等级、威胁行为等级、脆弱性等级、资产价值等级和影响程度等级评价以及《风险评估报告》生成的流程及其相关文档 威胁源等级、威胁行为等级、脆弱性等级、资产价值等级和影响程度等级评价以及《风险评估报告》生成的成本与效果 《威胁源等级列表》、《威胁行为等级列表》、《脆弱性等级列表》、《资产价值等级列表》、《影响程度等级列表》和《风险评估报告》的时效 * * 贯穿风险控制 阶段 监控 审查 过程有效性 成本有效性 结果有效性 现存风险判断 可接受风险等级确定和现存风险接受判断的流程及其相关文档 可接受风险等级确定和现存风险接受判断的成本与效果 《风险接受等级划分表》和《现存风险接受判断书》的时效 控制目标确立 风险控制需求分析和风险控制目标确立的流程及其相关文档 风险控制需求分析和风险控制目标确立的成本与效果 《风险控制需求分析报告》和《风险控制目标列表》的时效 * * 贯穿风险控制 控制措施选择 风险控制方式和措施选择的流程及其相