一、信息安全风险管理的范围及对象
二、信息安全风险管理的内容及过程
三、信息安全风险控制需求及其相应的风险控制措施
风险控制是信息安全风险管理的第三步骤,依据风险评估的结果,选择和实施合适的安全措施。风险控制方式主要有规避、转移和降低三种方式。
| PPDRR | 风险控制需求 | 风险控制措施 |
| 策略 Policy | 设备管理制度 | 建立健全各种安全相关的规章制定和操作规范,使得保护、检测和响应环节有章可循、切实有效。 |
| 机房出入守则 | ||
| 系统管理员规章制度 | ||
| 系统安全配置明细 | ||
| 网络安全管理守则 | ||
| 网络安全配置明细 | ||
| 应用安全管理守则 | ||
| 应用安全配置明细 | ||
| 应急响应计划 | ||
| 安全事件处理准则 | ||
| 保护 Protection | 机房 | 严格按照GB 50174-1993《电子计算机机房设计规范》、GB 9361-1988《计算站场地安全要求》、GB 2887-1982《计算机站场地技术要求》和GB/T 2887-2000《计算机场地通用规范》等国家标准建设和维护计算机机房。 |
| 门控 | 安装门控系统 | |
| 病毒防杀 | 全面部署防病毒系统。 | |
| 漏洞补丁 | 及时下载和安装最新的漏洞补丁模块。 | |
| 安全配置 | 严格遵守各系统单元的安全配置明细,避免配置中的安全漏洞。 | |
| 身份认证 | 利用WINDOWS域认证及各种不同口令方式 | |
| 访问控制 | 根据不同的安全强度,分别采用自主型、强制型等级别的访问控制,对设备、用户等主体访问客体的权限进行控制。 | |
| 边界控制 | 在网络边界布置防火墙,阻止来自外界非法访问。 | |
| 安全机构、安全岗位、安全责任 | 建立健全安全机构,合理设置安全岗位,明确划分安全责任。 | |
| 检测 Detection | 监视、监测和报警 | 在适当的位置安置监视器和报警器,在各系统单元中配备监测系统和报警系统,以实时发现安全事件并及时报警。 |
| 数据校验 | 通过数据校验技术,发现数据篡改。 | |
| 主机入侵检测 | 部署主机入侵检测系统,发现主机入侵行为。 | |
| 主机状态监测 | 部署主机状态监测系统,随时掌握主机运行状态。 | |
| 网络入侵检测 | 部署网络入侵检测系统,发现网络入侵行为。 | |
| 网络状态监测 | 部署网络状态监测系统,随时掌握网络运行状态。 | |
| 安全审计 | 在各系统单元中配备安全审计,以发现深层安全漏洞和安全事件。 | |
| 安全监督、安全检查 | 实行持续有效的安全监督,预演应急响应计划。 | |
| 响应 Response 恢复 Recovery | 故障修复、事故排除 | 确保随时能够获取故障修复和事故排除的技术人员和软硬件工具。 |
| 设施备份与恢复 | 对于关键设施,配备设施备份与恢复系统。 | |
| 系统备份与恢复 | 对于关键系统,配备系统备份与恢复系统。 | |
| 数据备份与恢复 | 对于关键数据,配备数据备份与恢复系统。 | |
| 信道备份与恢复 | 对于关键信道,配备设信道份与恢复系统。 | |
| 应用备份与恢复 | 对于关键应用,配备应用备份与恢复系统。 | |
| 应急响应 | 按照应急响应计划处理应急事件。 | |
| 安全事件处理 | 按照安全事件处理找出原因、追究责任、总结经验、提出改进。 |
