信息安全技术与实施（第4版） 课件 项目10 信息安全管理与实践

信息安全风险评估厚德强能、求实创新第十章任务1信息安全管理体系1信息安全风险评估的概念2信息安全风险评估内容3风险控制4厚德强能、求实创新1信息安全管理体系（1）信息安全管理体系框架信息安全管理体系（InformationSecurityManagementSystem，ISMS）由策略、规程、指南、相关资源及活动组成，由组织集中管理，目的在于保护信息资产。ISMS是建立、实施、运行、监视、评审、维护和改进组织信息安全来实现业务目标的系统方法。2013年10月，ISO正式发布了《Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—Requirements》（ISO/IEC

27001:2013），其最新版本是ISO/IEC27001:2022/Amd1:2024。ISO/IEC27001是国际上具有代表性的ISMS标准，该标准是基于英国BS

7799标准发展起来的。我国的《信息技术

安全技术

信息安全管理体系要求》（GB/T

22080—2016）国家标准使用翻译法等同采用。国内的大型机构多数参照ISO

27001标准建立其内部的ISMS，并通过了国际认证。厚德强能、求实创新（1）信息安全管理体系框架1信息安全管理体系PDCA-ISMS模型厚德强能、求实创新（2）ISO/IEC27001控制域1信息安全管理体系（1）信息安全策略（2）信息安全组织（3）人力资源安全（4）资产管理（5）访问控制（6）密码学（7）物理和环境安全（8）操作安全（9）通信安全（10）系统获取、开发和维护（11）供应商关系（12）安全事件管理（13）业务连续性管理的信息安全方面（14）符合性厚德强能、求实创新2信息安全风险评估的概念（1）定义风险是不确定性对目标的影响信息安全风险（Information

Security

Risk）是指人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性，导致安全事件发生并对组织造成的影响。厚德强能、求实创新（2）要素2信息安全风险评估的概念信息安全风险评估涉及资产、威胁、脆弱性、安全措施、风险等各个要素，各个要素之间相互作用信息安全风险评估要素关系图厚德强能、求实创新（1）风险评估的工作流程3信息安全风险评估内容风险评估工作涉及多个环节，主要包括：评估准备风险识别风险分析风险评价风险评估的工作流程厚德强能、求实创新3信息安全风险评估内容（2）资产识别资产识别是风险评估的核心环节。资产按照层次可划分为业务资产、系统资产、系统组件和单元资产.资产识别应从三个层次进行识别。资产层次图厚德强能、求实创新等级标识资产价值等级描述5很高安全属性破坏后会对组织造成非常严重的损失4高安全属性破坏后会对组织造成比较严重的损失3中等安全属性破坏后会对组织造成中等程度的损失2低安全属性破坏后会对组织造成较低的损失1很低安全属性破坏后会对组织造成很小的损失，甚至忽略不计资产价值等级表赋值标识资产保密性赋值描述5很高保密性要求非常高，一旦丢失或泄露会对资产造成重大的或无法接受的影响4高保密性要求较高，一旦丢失或泄露会对资产造成较大影响3中等保密性要求中等，一旦丢失或泄露会对资产造成影响2低保密性要求较低，一旦丢失或泄露会对资产造成轻微影响1很低保密性要求非常低，一旦丢失或泄露对资产造成的影响可以忽略赋值标识资产完整性赋值描述5很高完整性要求非常高，未经授权的修改或破坏会对资产造成重大的或无法接受的影响4高完整性要求较高，未经授权的修改或破坏会对资产造成较大影响3中等完整性要求中等，未经授权的修改或破坏会对资产造成影响2低完整性要求较低，未经授权的修改或破坏会对资产造成轻微影响1很低完整性要求非常低，未经授权的修改或破坏对资产造成的影响可以忽略赋值标识资产可用性赋值描述5很高可用性要求非常高，合法使用者对资产的可用度达到年度99.9%以上，或系统不准许中断4高可用性要求较高，合法使用者对资产的可用度达到每天90%以上，或系统允许中断时间小于10min3中等可用性要求中等，合法使用者对资产的可用度在正常工作时间达到70%以上，或系统允许中断时间小于30min2低可用性要求较低，合法使用者对资产的可用度在正常工作时间达到25%以上，或系统允许中断时间小于60min1很低可用性要求非常低，合法使用者对资产的可用度在正常工作时间低于25%

资产保密性赋值表资产完整性赋值表资产可用性赋值表系统在完成资产识别后，应依据资产的保密性、完整性和可用性，并结合业务的重要性，进行综合计算赋值，赋值等级越高表示资产越重要。3信息安全风险评估内容厚德强能、求实创新3信息安全风险评估内容（3）威胁识别威胁识别包括识别威胁的来源、主体、种类、动机、时机和频率威胁赋值表赋值标识威胁赋值描述5很高出现的频率很高，或在大多数情况下几乎不可避免，或可以证实经常发生4高出现的频率较高，或在大多数情况下很有可能会发生，或可以证实多次发生过3中等出现的频率中等，或在某种情况下可能会发生，或被证实曾经发生过2低出现的频率较小，或一般不太可能发生，或没有被证实发生过1很低威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生威胁等级赋值表赋值标识威胁等级赋值描述5很高根据威胁的行为能力、频率和时机，综合评价等级为很高4高根据威胁的行为能力、频率和时机，综合评价等级为高3中等根据威胁的行为能力、频率和时机，综合评价等级为中2低根据威胁的行为能力、频率和时机，综合评价等级为低1很低根据威胁的行为能力、频率和时机，综合评价等级为很低厚德强能、求实创新（4）已有安全措施识别3信息安全风险评估内容安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性保护性安全措施可以降低安全事件发生后对组织或系统造成的影响。厚德强能、求实创新（5）脆弱性识别3信息安全风险评估内容脆弱性是指资产中所存在的安全缺陷。脆弱性可从技术和管理两个方面进行审视。技术脆弱性涉及IT环境的物理层、网络层、系统层、应用层等各个层面的安全问题或隐患。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两个方面，前者与具体的技术活动相关，后者与管理环境相关。脆弱性识别以资产为核心，针对每项需要保护的资产，识别可能被威胁利用的脆弱性，并对脆弱性的严重程度进行评估；也可以先从物理、网络、系统、应用等层次进行识别，然后与资产、威胁对应起来。厚德强能、求实创新脆弱性赋值包括脆弱性被利用难易程度赋值和影响程度赋值两个部分（5）脆弱性识别3信息安全风险评估内容脆弱性被利用难易程度赋值需要综合考虑已有安全措施的作用，依据脆弱性和已有安全措施识别结果，得出脆弱性被利用难易程度，并进行等级化处理，不同的等级代表脆弱性被利用难易程度的高低，等级数值越大，脆弱性越容易被利用。赋值标识脆弱性被利用难易程度赋值描述5很高在实施了控制措施后，脆弱性仍然很容易被利用4高在实施了控制措施后，脆弱性较容易被利用3中等在实施了控制措施后，脆弱性被利用难易程度一般2低在实施了控制措施后，脆弱性难被利用1很低在实施了控制措施后，脆弱性基本不可能被利用脆弱性被利用难易程度赋值表赋值标识脆弱性影响程度赋值描述5很高如果脆弱性被威胁利用，将对资产造成特别重大损害4高如果脆弱性被威胁利用，将对资产造成重大损害3中等如果脆弱性被威胁利用，将对资产造成一般损害2低如果脆弱性被威胁利用，将对资产造成较小损害1很低如果脆弱性被威胁利用，对资产造成的损害可以忽略脆弱性影响程度赋值表厚德强能、求实创新（6）风险分析与风险评价3信息安全风险评估内容风险分析是指在资产评估、威胁评估、脆弱性评估、安全管理评估、安全影响评估的基础上，综合利用定性和定量分析方法，选择适当的风险计算方法或工具确定风险的大小与风险等级。风险分析的基本原理厚德强能、求实创新威胁发生频率脆弱性严重程度123451247111423610131735912162047111418225812172025（6）风险分析与风险评价3信息安全风险评估内容安全事件发生可能性矩阵资产价值脆弱性严重程度1234512461013235912163471115204581419225610162125安全事件损失矩阵厚德强能、求实创新3风险控制（1）降低风险：实施安全措施，把风险降低到一个可接受的级别。（2）承受风险：接受潜在的风险，并继续运行系统。（3）规避风险：通过消除风险的原因或后果来规避风险。例如，在发现风险后放弃系统某项功能，或关闭系统。（4）转移风险：通过使用其他措施来补偿损失从而转移风险，如购买保险。网络安全等级保护厚德强能、求实创新第十章任务2

网络安全等级保护标准体系1等级保护的工作流程2等级保护的基本要求3厚德强能、求实创新1网络安全等级保护标准体系网络安全等级保护是指对网络（含信息系统、数据等）实施分等级保护、分等级监督，对网络中发生的安全事件分等级响应、处置。在2017年6月1日正式实施的《网络安全法》中明确了国家实行网络安全等级保护制度。自2019年12月，一系列等级保护更新标准的发布与实施，标志着网络安全等级保护正式进入“网络安全等级保护2.0”（简称等保2.0）时代。网络安全等级保护2.0标准体系厚德强能、求实创新1网络安全等级保护标准体系实施等级保护过程中应遵循以下基本原则：等级保护对象的运营、使用单位及其主管部门应按照国家相关法规和标准，自主确定等级保护对象的安全保护等级，自行组织实施安全保护。自主保护原则根据等级保护对象的重要程度、业务特点，通过将其划分成不同的安全保护等级，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的等级保护对象。重点保护原则等级保护对象在新建、改建、扩建时应同步规划和设计安全方案，投入一定比例的资金建设网络安全设施，保障网络安全与信息化建设相适应。同步建设原则应跟踪定级对象的变化情况，调整安全保护措施。由于定级对象的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应根据等级保护的管理规范和技术标准的要求，重新确定定级对象的安全保护等级、根据其安全保护等级的调整情况，重新实施安全保护措施。自主保护原则厚德强能、求实创新2等级保护的工作流程网络安全等级保护的实施过程一般包括定级、备案、安全建设整改、等级测评、监督检查。保护对象定级矩阵表所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级1定级网络运营者应当在规划设计阶段确定网络的安全保护等级厚德强能、求实创新2等级保护的工作流程2备案安全保护等级在第二级以上的网络运营者，在定级、撤销或变更调整网络安全保护等级时，需在明确安全保护等级后的10个工作日内，到县级以上公安机关备案，提交相关材料。公安机关应当对网络运营者提交的备案材料进行审核。对定级准确、备案材料符合要求的，应在10个工作日内出具网络安全等级保护备案证明。3安全建设整改安全建设方案须经专家评审论证，三级以上报公安机关审核厚德强能、求实创新4等级测评2等级保护的工作流程等级测评是由经公安部认证的具有资质的第三方测评机构，依据国家信息安全等级保护规范的规定，受有关单位委托，按照《网络安全等级保护基本要求》等有关管理规范和技术标准，定期对信息系统安全等级保护状况进行检测与评估的活动。等保2.0规定，通过等级测评需满足两个条件：等级测评分在70分以上无高危风险项。安全保护等级在第三级以上的网络运营者应当每年开展一次等级测评安全保护等级在第二级的建议每两年开展一次等级测评厚德强能、求实创新2等级保护的工作流程5监督检查公安机关对安全保护等级在第三级以上的网络运营者，每年至少开展一次监督检查，涉及相关行业的可以会同其行业主管部门开展监督检查。厚德强能、求实创新3等级保护的基本要求1不同级别的安全保护能力：（1）第一级安全保护能力。应能够防护和免受来自个人的或拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的关键资源损害；在自身遭到损害后，能够恢复部分功能。（2）第二级安全保护能力。应能够防护和免受来自外部小型组织的或拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的重要资源损害；能够发现重要的漏洞和处置安全事件；在自身遭到损害后，能在一段时间内恢复部分功能。（3）第三级安全保护能力。应能够在统一安全策略下防护和免受来自外部有组织的团体或拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难，以及其他相当危害程度的威胁所造成的主要资源损害；能够及时发现、监测攻击行为和处置安全事件；在自身遭到损害后，能够较快恢复绝大部分功能。厚德强能、求实创新（4）第四级安全保护能力。应能够在统一安全策略下防护和免受来自国家级别的、敌对组织的或拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难，以及其他相当危害程度的威胁所造成的资源损害；能够及时发现、监测攻击行为和处置安全事件；在自身遭到损害后，能够迅速恢复所有功能。（5）第五级安全保护能力。第五级安全保护是等级保护中的最高级别，对信息系统的安全防护要求极为严格。除涵盖前四级的所有保护措施外，还可能涉及更高级别的安全技术和策略，如量子加密、高级入侵检测系统等。同时，需要建立更加完善的安全管理体系和应急响应机制，以确保在面临极端安全威胁时能够迅速有效地应对。3等级保护的基本要求厚德强能、求实创新2安全通用要求框架结构：3等级保护的基本要求安全通用要求框架结构厚德强能、求实创新3安全扩展要求3等级保护的基本要求（1）移动互联安全扩展要求。针对移动互联的特点提出了特殊保护要求，主要增加的内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等。（2）物联网安全扩展要求。针对物联网的特点提出了特殊保护要求，主要增加的内容包括“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等。（3）工业控制系统安全扩展要求。针对工业控制系统的特点提出了特殊保护要求，主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等。

网络安全应急响应厚德强能、求实创新第十章任务3网络安全应急响应概述1应急响应计划2网络安全事件应急演练3厚德强能、求实创新1网络安全应急响应概述网络安全应急响应是指为应对网络安全事件，相关人员或组织机构对网络安全事件进行的监测、预警、分析、响应和恢复等工作，是针对潜在发生的网络安全事件采取的网络安全措施，已经成为信息系统安全保障的重要组成部分。网络安全应急响应相关要求:对于网络安全应急响应管理和技术要求，国家有关部门相继发布了《信息安全技术

信息系统安全管理要求》（GB/T20269—2006）、《信息安全技术

信息系统灾难恢复规范》（GB/T20988—2007）、《信息安全技术

灾难恢复中心建设与运维管理规范》（GB/T30285—2013）、《信息安全技术

网络安全事件分类分级指南》（GB/T20986—2023）等标准规范。厚德强能、求实创新网络安全应急响应组织的工作主要包括如下几个方面。①网络安全威胁情报的分析与研究。②网络安全事件的监测与分析。③网络安全预警信息的发布。④网络安全应急响应预案的编写与修订。⑤网络安全应急响应知识库的开发与管理。⑥网络安全应急响应演练。⑦网络安全事件的响应与处置。⑧网络安全事件的分析与总结。⑨网络安全教育与培训。1网络安全应急响应概述厚德强能、求实创新2应急响应计划应急响应计划应包含总则、角色及职责、预防及预警机制、应急响应流程、应急响应保障措施和附件6个基本要素网络安全事件分级表事件响应等级内容描述一级事件特别重大事件。发生在特别重要的事件影响对象上，并且导致特别严重的业务损失，或造成特别重大的社会危害二级事件重大事件。发生在特别重要或重要的事件影响对象上，并且导致特别重要的事件影响对象遭受严重的业务损失或导致重要的事件影响对象遭受特别严重的业务损失，或造成重大的社会危害三级事件较大事件。发生在特别重要或重要或一般的事件影响对象上，并且导致特别重要的事件影响对象遭受较大或较小的业务损失，或重要的事件影响对象遭受严重或较大的业务损失，或导致一般的事件影响对象遭受较大（含）以上级别的业务损失，或造成较大的社会危害四级事件一般事件。发生在重要或一般的事件影响对象上，并且导致较小的业务损失，或造成一般的社会危害厚德强能、求实创新2应急响应计划网络安全事件应急响应结果报告表网络安全事件应急响应结果报告表原事件报告时间：年月日时分备案编号：年月日第号总第号单位名称：联