1128信息安全风险管理规范(征求意见稿)new.doc

.目　次 目　次 I 前 言 V 引 　言 I 信息安全风险管理规范 1 1 范围 1 2 规范性引用文件 1 3 信息安全风险管理概述 1 3.1 信息安全风险管理的范围和对象 1 3.2 信息安全风险管理的内容和过程 1 3.3 信息安全风险管理与信息系统生命周期和信息安全目标的关系 3 3.3.1 信息系统生命周期 3 3.3.2 信息安全目标 3 3.3.3 三者关系 4 3.4 信息安全风险管理的角色和责任 5 4 信息安全风险管理的对象确立 6 4.1 对象确立概述 6 4.1.1 对象确立的概念 6 4.1.2 对象确立的目的 6 4.1.3 对象确立的依据 6 4.2 对象确立过程 6 4.2.1 风险管理准备 7 4.2.2 信息系统调查 7 4.2.3 信息系统分析 8 4.2.4 信息安全分析 9 4.3 对象确立文档 9 5 信息安全风险管理的风险评估 10 5.1 风险评估概述 10 5.1.1 风险评估的概念 10 5.1.2 风险评估的地位和意义 10 5.1.3 风险评估的作用范围 10 5.2 风险评估过程 10 5.2.1 风险评估准备 11 5.2.2 风险因素识别 12 5.2.3 风险程度分析 13 5.2.4 风险等级评价 14 5.3 风险评估文档 16 6 信息安全风险管理的风险处理 17 6.1 风险处理概述 17 6.1.1 风险处理的概念 17 6.1.2 风险处理的目的 17 6.1.3 风险处理的方式 17 6.2 风险处理过程 18 6.2.1 现存风险判断 18 6.2.2 处理目标确立 19 6.2.3 处理措施选择 20 6.2.4 处理措施实施 21 6.3 风险处理文档 21 7 信息安全风险管理的审核批准 22 7.1 审核批准概述 22 7.1.1 审核批准的概念 22 7.1.2 审核批准的原则 23 7.2 审核批准过程 23 7.2.1 审核申请 23 7.2.2 审核处理 24 7.2.3 批准申请 26 7.2.4 批准处理 26 7.2.5 持续监督 27 7.3 审核批准文档 28 8 信息安全风险管理的监控与审查 29 8.1 监控与审查概述 29 8.1.1 监控与审查的概念 29 8.1.2 监控与审查的意义 29 8.1.3 监控与审查的内容 30 8.2 监控与审查过程 30 8.2.1 贯穿对象确立 30 8.2.2 贯穿风险评估 31 8.2.3 贯穿风险处理 32 8.2.4 贯穿审核批准 32 8.3 监控与审查文档 33 9 信息安全风险管理的沟通与咨询 33 9.1 沟通与咨询概述 34 9.1.1 沟通与咨询的概念 34 9.1.2 沟通与咨询的意义 34 9.1.3 沟通与咨询的目标 34 9.1.4 沟通与咨询的方式 34 9.2 沟通与咨询过程 35 9.2.1 贯穿对象确立 36 9.2.2 贯穿风险评估 37 9.2.3 贯穿风险处理 38 9.2.4 贯穿审核批准 38 9.3 沟通与咨询文档 39 10 规划阶段的信息安全风险管理 40 10.1 安全需求和目标 40 10.2 风险管理的过程与活动 40 10.2.1 风险管理过程概述 40 10.2.2 明确安全总体方针 41 10.2.3 安全需求分析 42 10.2.4 风险评价准则达成一致 42 11 设计阶段的信息安全风险管理 43 11.1 安全需求和目标 43 11.2 风险管理的过程和活动 43 11.2.1 风险管理过程概述 43 11.2.2 安全技术选择 43 11.2.3 安全产品选型 44 11.2.4 软件设计风险处理 44 12 实施阶段的信息安全风险管理 44 12.1 安全需求和目标 44 12.2 风险管理的过程与活动 45 12.2.1 风险管理过程概述 45 12.2.2 检查与配置 45 12.2.3 安全测试 46 12.2.4 人员培训 46 12.2.5 授权系统运行 46 13 运维阶段的信息安全风险管理 47 13.1 安全需求和目标 47 13.2 风险管理的过程和活动 47 13.2.1 风险管理过程概述 47 13.2.2 安全运行和管理 48 13.2.3 变更管理 48 13.2.4 风险再评估 49 13.2.5 定期重新审批 49 14 废弃阶段的信息安全风险管理 49 14.1 安全需求和目标 49 14.2 风险管理的过程和活动 49 14.2.1 风险管理过程概述 49 14.2.2 确定废弃对象 50 14.2.3 废弃对象的风险评估 50 14.2.4 废弃过程的风险处理 50 14.2.5 废弃后的评审 50 附 录 A（资料性附录）风险处理模型及需求措施 51 A