信息系統(tǒng)安全集成第3章

1信息系統(tǒng)安全集成確定安全需求與目標目前一頁\總數(shù)七十七頁\編于十一點2本章摘要

本章從組織IT戰(zhàn)略出發(fā)，根據(jù)業(yè)務特征、法律法規(guī)及合同要求，在充分考慮風險的基礎(chǔ)上，確定組織的安全需求和目標，形成各方認可的安全需求文件。摘要目前二頁\總數(shù)七十七頁\編于十一點主要內(nèi)容一、概述二、組織IT戰(zhàn)略與安全需求三、組織業(yè)務與安全需求四、符合性的安全需求五、基于風險的安全要求六、確定組織的安全需求七、確定信息安全目標目前三頁\總數(shù)七十七頁\編于十一點4一、概述1.組織與信息安全需求從廣義上說，組織是指由諸多要素按照一定方式相互聯(lián)系起來的系統(tǒng)。從狹義上說，組織就是指人們?yōu)閷崿F(xiàn)一定的目標，互相協(xié)作結(jié)合而成的集體或團體，如黨團組織、工會組織、企業(yè)、軍事組織等等。狹義的組織專門指人群而言，運用于社會管理之中。組織概述目前四頁\總數(shù)七十七頁\編于十一點5一、概述1.組織與信息安全需求現(xiàn)代社會組織定義在現(xiàn)代社會生活中．組織是人們按照一定的目的、任務和形式編制起來的社會集團。組織是體現(xiàn)一定社會關(guān)系、具有一定結(jié)構(gòu)形式并且不斷從外部汲取資源以實現(xiàn)其目標的集合體。組織概述目前五頁\總數(shù)七十七頁\編于十一點6一、概述1.組織與信息安全需求組織安全需求--組織需要保護什么？信息安全的需求，是由于本身或類似組織經(jīng)歷了信息損失之后才有的需求。這些需求包括了從組織IT層面出發(fā)貫穿整個組織業(yè)務并符合法律法規(guī)、安全監(jiān)管要求、合同業(yè)務要求等，提出復合組織的基于風險管理的安全需求。組織應該將信息安全集成到業(yè)務運作的每一個層面。目前六頁\總數(shù)七十七頁\編于十一點7一、概述1.組織與信息安全需求組織安全需求分析的層次需求分析的層次：目標性需求，定義了整個系統(tǒng)需要達到的目標；功能性需求，定義了整個系統(tǒng)必須完成的任務；操作性需求，定義了完成每個任務的具體的人機交互.目前七頁\總數(shù)七十七頁\編于十一點8一、概述1.組織與信息安全需求組織安全需求挖掘的方法挖掘需求的方法：分析特定客戶的業(yè)務流程和模型;與特定客戶進行討論與交流(或聯(lián)合成立需求組)，包括：需求討論會,與專家或代表討論.通過調(diào)查獲取需求，常見需求調(diào)查方式有：與用戶交談，向用戶提問題等.目前八頁\總數(shù)七十七頁\編于十一點9一、概述1.組織與信息安全需求組織安全需求分析的方法—風險評估法安全需求分析的方法：資產(chǎn)清冊風險評估確定風險形成需求目前九頁\總數(shù)七十七頁\編于十一點10一、概述2.組織安全風險安全威脅--引入相關(guān)數(shù)據(jù)圖表介紹組織正在遭受越來越多的安全威脅和攻擊破壞。由于組織越來越依靠信息資源，安全事件不斷增長，而安全事件造成的損失以及用于事件處理的財力、人力以及IT資源的投入需要不斷增長。目前十頁\總數(shù)七十七頁\編于十一點11一、概述2.組織安全風險風險是指一個事件產(chǎn)生我們所不希望的后果可能性。組織的風險是指組織未來發(fā)生損失的不確定性。這些安全風險主要包括了業(yè)務的連續(xù)性、業(yè)務流程安全、法律安全要求、合同安全、隱私保護要求等。組織的風險目前十一頁\總數(shù)七十七頁\編于十一點12一、概述3.組織信息安全目標根據(jù)國際信息安全管理標準的描述，信息安全的目標是“通過防止和減小安全事故的影響，保證業(yè)務連續(xù)性，使業(yè)務損失最小化。”需要進行IT規(guī)劃和費用調(diào)整以保證適當?shù)陌踩度?，部署有效的工具，來解決緊迫的安全問題，實現(xiàn)組織的安全目標。信息安全的目標目前十二頁\總數(shù)七十七頁\編于十一點13二、組織IT戰(zhàn)略與安全需求1.組織IT戰(zhàn)略組織戰(zhàn)略組織戰(zhàn)略是指組織對有關(guān)全局性,長遠性,綱領(lǐng)性目標的謀劃和決策.目前十三頁\總數(shù)七十七頁\編于十一點14二、組織IT戰(zhàn)略與安全需求1.組織IT戰(zhàn)略組織戰(zhàn)略組織戰(zhàn)略是表明組織如何達到目標，完成使命的整體謀劃,是提出詳細行動計劃的起點,但它又凌駕于任何特定計劃的各種細節(jié)之上.戰(zhàn)略反映了管理者對于行動,環(huán)境和業(yè)績之間關(guān)鍵聯(lián)系的理解,用以確保已確定的使命,愿景,價值觀的實現(xiàn)。目前十四頁\總數(shù)七十七頁\編于十一點15二、組織IT戰(zhàn)略與安全需求1.組織IT戰(zhàn)略組織IT戰(zhàn)略IT戰(zhàn)略即信息技術(shù)戰(zhàn)略（ITStrategy）是組織經(jīng)營戰(zhàn)略的有機組成部分，和財務戰(zhàn)略、人力資源戰(zhàn)略、運作戰(zhàn)略等一樣，是公司的職能戰(zhàn)略。IT戰(zhàn)是關(guān)于企業(yè)信息技術(shù)職能的目標及其實現(xiàn)的總體謀劃。對于大的組織公司而言，子公司或大的業(yè)務單元也會有其相對獨立的信息技術(shù)戰(zhàn)略。目前十五頁\總數(shù)七十七頁\編于十一點16二、組織IT戰(zhàn)略與安全需求1.組織IT戰(zhàn)略組織IT戰(zhàn)略的部分組成使命（Mission）：闡述信息技術(shù)存在的理由、目的以及在企業(yè)中的作用。遠景目標（Vision）：信息技術(shù)的發(fā)展方向和結(jié)果。中長期目標（MediumtoLong-termObjectives）：遠景目標的具體化，即企業(yè)未來2~3年信息技術(shù)發(fā)展的具體目標。目前十六頁\總數(shù)七十七頁\編于十一點17二、組織IT戰(zhàn)略與安全需求1.組織IT戰(zhàn)略組織IT戰(zhàn)略的要點戰(zhàn)略要點：是實現(xiàn)上述中長期目標的途徑或路線。組織IT戰(zhàn)略的規(guī)劃主要圍繞信息技術(shù)內(nèi)涵的四個方面展開：硬件與組建網(wǎng)絡與通信應用與數(shù)據(jù)組織與人員目前十七頁\總數(shù)七十七頁\編于十一點18二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求組織信息資產(chǎn)要進行信息安全建設(shè)，首先明確安全保護的對象---組織信息資產(chǎn)。目前十八頁\總數(shù)七十七頁\編于十一點19二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求組織信息資產(chǎn)明確安全保護的對象，即明確組織信息資產(chǎn)。分析業(yè)務流程識別關(guān)鍵的業(yè)務資產(chǎn)確定業(yè)務資產(chǎn)的安全所有人和責任人明確安全保護責任目前十九頁\總數(shù)七十七頁\編于十一點20二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求組織信息資產(chǎn)建立組織信息資產(chǎn)目錄并進行維護，幫助組織實施有效的信息資產(chǎn)安全保護，實現(xiàn)業(yè)務連續(xù)性和災難恢復。在信息資產(chǎn)目錄中應該定義資產(chǎn)的安全等級和安全責任人。目前二十頁\總數(shù)七十七頁\編于十一點21二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求組織信息資產(chǎn)在以業(yè)務為核心的組織內(nèi)部，信息資產(chǎn)包括：業(yè)務應用軟件IT基礎(chǔ)設(shè)施（硬件、組件、網(wǎng)絡通訊等）相關(guān)的數(shù)據(jù)和信息關(guān)鍵業(yè)務流程和人員其他信息資產(chǎn)。目前二十一頁\總數(shù)七十七頁\編于十一點22二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求安全風險的評估安全風險評估的目的在于定義核心信息資產(chǎn)，并且分析應用環(huán)境中可能存在的風險。安全風險評估是定義安全需求、選擇相應對策以及設(shè)計安全系統(tǒng)的基礎(chǔ)。目前二十二頁\總數(shù)七十七頁\編于十一點23二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求安全風險的評估簡易風險評估模型：從風險性質(zhì)上,風險=威脅+弱點+影響考慮風險的影線,風險=威脅*弱點*影響風險三個要素：威脅--事件或行為,一般來自系統(tǒng)外部,可能在某些地方會影響固有的弱點,造成影響.弱點--系統(tǒng)內(nèi)部考慮之中的弱點,可能在某些地方受到威脅所利用。影響--短期與長期組織影響,威脅碰巧利用弱點。目前二十三頁\總數(shù)七十七頁\編于十一點24二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求安全風險的評估通過安全風險評估，識別關(guān)鍵業(yè)務資產(chǎn)的安全威脅和風險，了解企業(yè)的安全現(xiàn)狀和風險水平，分析安全需求和安全改進方向。安全需求必須基于風險評估，并且應該在設(shè)計階段開始前確定。目前二十四頁\總數(shù)七十七頁\編于十一點25二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求基于戰(zhàn)略的信息安全需求的確定組織需要制定與業(yè)務戰(zhàn)略和IT戰(zhàn)略一致的安全戰(zhàn)略，明確企業(yè)的安全建設(shè)目標和安全建設(shè)原則。通過風險評估了解了組織的安全現(xiàn)狀和風險水平，企業(yè)明確了各個層次的安全需求和改進方向。信息安全戰(zhàn)略是組織在一定時期內(nèi)的一整套安全決策，這一決策決定了企業(yè)的安全策略和制度、流程、行為和技術(shù)的建設(shè)。目前二十五頁\總數(shù)七十七頁\編于十一點26二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求基于戰(zhàn)略的信息安全需求的確定制定組織信息安全戰(zhàn)略的目標：支持組織戰(zhàn)略。平衡的信息安全風險。謹慎而有效的信息安全投資。信息安全建設(shè)能夠與業(yè)務發(fā)展和IT能力建設(shè)同步。促使信息安全成為業(yè)務發(fā)展的有力驅(qū)動。目前二十六頁\總數(shù)七十七頁\編于十一點27二、組織IT戰(zhàn)略與安全需求2.基于戰(zhàn)略的組織信息安全需求基于戰(zhàn)略的信息安全需求的確定基于戰(zhàn)略的信息安全需求的內(nèi)容：范圍需求安全的目標需求（可用性、完整性、保密性、不可地耐性等要求）安全的組織需求安全的資源需求安全的管理流程需求（突發(fā)事件與持續(xù)改進）后續(xù)展開這些需求。。。。目前二十七頁\總數(shù)七十七頁\編于十一點28三、組織業(yè)務與安全需求1.組織業(yè)務描述模型組織的分類方法有多種，這里講的組織按組織的目標分類，可以把組織分為：

互益組織：如工會、俱樂部、政黨等。工商組織：如工廠、商店、銀行等。服務組織：如醫(yī)院、學校、社會機構(gòu)等。公益組織：如政府機構(gòu)、研究機構(gòu)、消防隊等。組織的分類目前二十八頁\總數(shù)七十七頁\編于十一點29三、組織業(yè)務與安全需求1.組織業(yè)務描述模型組織的業(yè)務描述模型業(yè)務模型是描述業(yè)務用例實現(xiàn)的對象模型，它是對業(yè)務角色和業(yè)務實體之間如何聯(lián)系和協(xié)作以執(zhí)行業(yè)務的一種抽象。目前二十九頁\總數(shù)七十七頁\編于十一點30三、組織業(yè)務與安全需求1.組織業(yè)務描述模型組織的業(yè)務描述模型業(yè)務流程描述模型刻畫以業(yè)務表單為中心的應用系統(tǒng)業(yè)務流程，解決其業(yè)務流程建模中的問題,包括:各類約束的嚴格描述、權(quán)限表示、流程關(guān)系、流程推進過程以及業(yè)務對象被調(diào)度和執(zhí)行的全過程描述。采用業(yè)務流程描述模型的業(yè)務系統(tǒng)更容易擴展和維護,能較好地滿足用戶的需求。目前三十頁\總數(shù)七十七頁\編于十一點31三、組織業(yè)務與安全需求1.組織業(yè)務描述模型業(yè)務描述模型例子---銀行業(yè)務模型業(yè)務事件[UML信號事件-指定的激勵表格或文檔]和過程(UML用例)過程名參與者事件/輸入轉(zhuǎn)換事件/輸出約束描述引用聯(lián)系WithdrawFromAccountCustomer,Teller,BankDBWithdrawRequestUpdateAccountWithdrawRecord

目前三十一頁\總數(shù)七十七頁\編于十一點32三、組織業(yè)務與安全需求1.組織業(yè)務描述模型業(yè)務描述模型例子---銀行業(yè)務模型Customer：客戶；Teller：出納員；withdraw：取款；account：賬戶；BankDB：銀行數(shù)據(jù)庫目前三十二頁\總數(shù)七十七頁\編于十一點33三、組織業(yè)務與安全需求2.基于業(yè)務的組織安全需求業(yè)務信息資產(chǎn)是企業(yè)信息安全保護的核心目標，因此要進行信息安全建設(shè)，首先明確安全保護的對象。組織需要通過分析業(yè)務流程，識別關(guān)鍵的業(yè)務資產(chǎn)，確定業(yè)務資產(chǎn)的安全所有人和認責人，明確安全保護責任。業(yè)務信息資產(chǎn)安全是組織信息安全保護的核心目前三十三頁\總數(shù)七十七頁\編于十一點34三、組織業(yè)務與安全需求2.基于業(yè)務的組織安全需求組織業(yè)務信息資產(chǎn)保護內(nèi)容在以業(yè)務為核心的組織內(nèi)部，信息資產(chǎn)包括業(yè)務硬件與組件、系統(tǒng)與網(wǎng)絡通信、應用軟件、相關(guān)的數(shù)據(jù)和信息，還包括相關(guān)的關(guān)鍵業(yè)務流程和人員。目前三十四頁\總數(shù)七十七頁\編于十一點35三、組織業(yè)務與安全需求2.基于業(yè)務的組織安全需求基于業(yè)務的組織安全需求對業(yè)務相關(guān)信息資產(chǎn)清冊，包括硬件與組件、系統(tǒng)與網(wǎng)絡通信、應用軟件、相關(guān)的數(shù)據(jù)和信息，關(guān)鍵業(yè)務流程和人員。建立組織信息資產(chǎn)目錄并進行維護，可以幫助企業(yè)實施有效的信息資產(chǎn)安全保護，業(yè)務連續(xù)性和災難恢復。在信息資產(chǎn)目錄中應該定義資產(chǎn)的安全等級和安全責任人。目前三十五頁\總數(shù)七十七頁\編于十一點36三、組織業(yè)務與安全需求2.基于業(yè)務的組織安全需求基于業(yè)務的組織安全需求通過安全風險評估，識別關(guān)鍵業(yè)務信息資產(chǎn)的安全威脅和風險，將安全需求列表并排出優(yōu)先級。確定基于業(yè)務的組織安全需求和安全改進方向。目前三十六頁\總數(shù)七十七頁\編于十一點37四、符合性的安全需求1.符合性概述符合性需求的意義為了避免任何違反法律、法令、法定的或者合同的義務，使信息系統(tǒng)安全集成和運行置于法律、法規(guī)或者合同的約定的要求之下，以避免或減少安全風險。目前三十七頁\總數(shù)七十七頁\編于十一點38四、符合性的安全需求1.符合性概述符合性是指符合現(xiàn)行法規(guī)、規(guī)章、制度，技術(shù)規(guī)范等。符合性要求組織所有行為必須合法，符合相關(guān)的規(guī)章制度及規(guī)則。就是不但要遵守法律，而且也要符合組織內(nèi)部、行業(yè)等的規(guī)章制度。

符合性與遵守組織適用的法律和法規(guī)有關(guān)。它們依賴于外部因素，如環(huán)境法規(guī)，在某些方面對于整個組織、或整個行業(yè)是類似的。什么是符合性目前三十八頁\總數(shù)七十七頁\編于十一點39四、符合性的安全需求2.法律法規(guī)要求法律法規(guī)的識別識別收集與安全集成有關(guān)的法律法規(guī)并對適應性進行評價，確定其適用范圍和具體適應條款，形成適應的法律法規(guī)清單。目前三十九頁\總數(shù)七十七頁\編于十一點40四、符合性的安全需求2.法律法規(guī)要求法律法規(guī)的識別評估法律法規(guī)復合性的需要定期評估，保持適應的法律、法規(guī)的有效最新版本。法律法規(guī)復合性的需要定期評價，保持適應的法律、法規(guī)的符合性。目前四十頁\總數(shù)七十七頁\編于十一點41四、符合性的安全需求2.法律法規(guī)要求知識產(chǎn)權(quán)保護需求嚴格執(zhí)行國家有關(guān)知識產(chǎn)權(quán)方面的法律法規(guī)，保證使用合法的正版地軟件。這些需要，確定合法獲得軟件的途徑合法；審查軟件資產(chǎn)清單，確保使用的軟件已經(jīng)被授權(quán)；列出需要的軟件或未被授權(quán)軟件清單；確保用戶數(shù)不超出允許的上限；嚴禁員工私自安裝任何軟件。目前四十一頁\總數(shù)七十七頁\編于十一點42四、符合性的安全需求2.法律法規(guī)要求記錄的保護需求應按照法律法規(guī)要求和組織規(guī)定，明確重要記錄的保存期限并適當保護，防止丟失、損壞和偽造；處理與個人數(shù)據(jù)與信息應按照國家法律法規(guī)的規(guī)定和相關(guān)合同約束，對個人信息進行妥善管理與保護，防止丟失或泄漏個人信息；將需要保護記錄和個數(shù)據(jù)與人信息列出清單，并明確保護要求。目前四十二頁\總數(shù)七十七頁\編于十一點43四、符合性的安全需求3.安全監(jiān)管要求安全監(jiān)管是為預防和遏制組織內(nèi)信息系統(tǒng)缺陷、或用戶濫權(quán)、或管理不善導致信息安全事件的發(fā)生，并保證及時處理由此引起的各類安全事件，減輕或消除信息安全事件造成的經(jīng)濟損失或信譽損失，確保組織業(yè)務的連續(xù)性。目前四十三頁\總數(shù)七十七頁\編于十一點44四、符合性的安全需求3.安全監(jiān)管要求安全監(jiān)管的要求主要分為：國家要求；行業(yè)要求；組織內(nèi)部；其他監(jiān)管要求。目前四十四頁\總數(shù)七十七頁\編于十一點45四、符合性的安全需求3.安全監(jiān)管要求信息安全等級保護管理的要求什么是信息安全等級保護信息安全等級保護是指國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。目前四十五頁\總數(shù)七十七頁\編于十一點46四、符合性的安全需求3.安全監(jiān)管要求信息安全等級保護管理的要求組織對信息和信息系統(tǒng)分等級進行保護的需求：信息安全等級保護管理要求信息和信息系統(tǒng)分等級進行保護，按組織的利益，社會公眾利益，對國家安全的影響一共分為五級，第一級是最低的，第五級是最高。確定組織是否強制或自愿納入信息安全等級保護管理，明確納入分級保護的級別。目前四十六頁\總數(shù)七十七頁\編于十一點47四、符合性的安全需求3.安全監(jiān)管要求信息安全等級保護管理的要求組織對信息系統(tǒng)安全專用產(chǎn)品分等級的需求：信息安全等級保護管理要求對信息系統(tǒng)安全專用產(chǎn)品分等級進行管理，根據(jù)可控性、可靠性、安全性和可監(jiān)督性這四個屬性確定信息系統(tǒng)使用的安全產(chǎn)品等級，各個單位使用的安全產(chǎn)品應該是分等級的。定了三級的系統(tǒng)不能使用二級以下的安全產(chǎn)品；確定組織納入分級保護的級別，明確使用信息安全產(chǎn)品的等級需求。目前四十七頁\總數(shù)七十七頁\編于十一點48四、符合性的安全需求3.安全監(jiān)管要求信息安全等級保護管理的要求組織對所發(fā)生的信息安全事件分等級進行響應和處置的需求：信息安全等級保護管理要求，對所發(fā)生的信息安全事件分等級進行響應和處置，對不同的信息安全事件，由監(jiān)管部門牽頭組織全社會的應急響應和單位的應急響應相結(jié)合，最大限度的減輕信息安全事件造成的損失。確定組織納入分級保護的級別，明確信息安全事件響應的等級需求。目前四十八頁\總數(shù)七十七頁\編于十一點49四、符合性的安全需求3.安全監(jiān)管要求組織內(nèi)部信息安全監(jiān)管要求監(jiān)管范圍與內(nèi)容：定義監(jiān)管范圍，明確定義組織物理邊界，信息系統(tǒng)部署的物理邊界，應用運行的區(qū)域；明確監(jiān)管設(shè)備，包括防火墻、入侵檢測系統(tǒng)、鑒權(quán)系統(tǒng)、服務器、路由器、交換機等；目前四十九頁\總數(shù)七十七頁\編于十一點50四、符合性的安全需求3.安全監(jiān)管要求組織內(nèi)部信息安全監(jiān)管要求監(jiān)管范圍與內(nèi)容：操作系統(tǒng)與應用系統(tǒng)日志，包括操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、應用系統(tǒng)及設(shè)備運行域操作日志的監(jiān)管要求；網(wǎng)站內(nèi)容監(jiān)管，網(wǎng)站內(nèi)容發(fā)布的監(jiān)控與審計要求，非法、敏感類信息以及克訪問性的適時監(jiān)管要求。目前五十頁\總數(shù)七十七頁\編于十一點51四、符合性的安全需求3.安全監(jiān)管要求組織內(nèi)部信息安全監(jiān)管要求監(jiān)管職責：內(nèi)部監(jiān)管機構(gòu)的指定與監(jiān)管責任的定義，如誰分管，哪個部門承擔監(jiān)管責任，對監(jiān)管對象、安全事件處理，上下協(xié)調(diào)等責任的定義；監(jiān)管人員的監(jiān)管職責的明確，日常監(jiān)管要求，問題處理方式與報告流程；事件分類及事件處理流程定義。目前五十一頁\總數(shù)七十七頁\編于十一點52四、符合性的安全需求4.

合同業(yè)務要求合同受到法律保護：合同是當事人之間設(shè)立、變更、終止民事關(guān)系的協(xié)議。依法成立的合同，受法律保護。組織明確雙方合同協(xié)議中對信息安全的要求。組織在合同業(yè)務中對信息安全的要求目前五十二頁\總數(shù)七十七頁\編于十一點53四、符合性的安全需求4.

合同業(yè)務要求將雙方合同協(xié)議中對信息安全的要求列出作為安全集成中的需求管理；組織也需要明確提出第三方機構(gòu)及人員的信息安全要求，涉及第三方接觸本組織的信息處理設(shè)備應當基于正式的合同提出所有的基于信息安全的要求，以便確保符合組織的安全政策和標準。組織在合同業(yè)務中對信息安全的要求目前五十三頁\總數(shù)七十七頁\編于十一點54五、基于風險的安全要求1.風險管理綜述風險的定義風險大致有兩種定義：一種定義強調(diào)了風險表現(xiàn)為不確定性；而另一種定義則強調(diào)風險表現(xiàn)為損失的不確定性。學術(shù)界對風險的內(nèi)涵還沒有統(tǒng)一的定義，由于對風險的理解和認識程度不同，或?qū)︼L險的研究的角度不同，不同的學者對風險概念有著不同的解釋。目前五十四頁\總數(shù)七十七頁\編于十一點55五、基于風險的安全要求1.風險管理綜述信息安全風險在信息安全領(lǐng)域來講我們這樣來定義風險：風險就是發(fā)生損失事件的概率，也可以說是損失發(fā)生的不確定性，即信息資產(chǎn)遭受破壞或被非正常利用給組織帶來損失的可能性。目前五十五頁\總數(shù)七十七頁\編于十一點56五、基于風險的安全要求1.風險管理綜述風險管理風險管理是指通過風險識別、風險評估與分析、風險處置、風險監(jiān)控等一系列活動來消除或減少風險的管理過程。風險識別>>風險評估與分析>>風險處置>>風險監(jiān)控目前五十六頁\總數(shù)七十七頁\編于十一點57五、基于風險的安全要求1.風險管理綜述風險管理風險管理必須識別、分析風險，風險識別是確定何種風險可能會對組織產(chǎn)生影響，最重要的是量化不確定性的程度和每個風險可能造成損失的程度。風險管理要著眼于風險控制，組織通常采用積極的措施來控制風險。通過降低其損失發(fā)生的概率，縮小其損失程度來達到控制目的。風險管理要學會規(guī)避風險，在既定目標不變的情況下，改變方案的實施路徑，從根本上消除特定的風險因素。目前五十七頁\總數(shù)七十七頁\編于十一點58五、基于風險的安全要求1.風險管理綜述風險評估對信息和信息處理設(shè)施面臨的威脅、受到的影響、存在的弱點以及威脅發(fā)生的可能性的評估。風險評估是確定風險優(yōu)先級的方法。大多數(shù)風險評估都基于定量風險評估和定性風險評估這兩種方法或這兩種方法的組合。目前五十八頁\總數(shù)七十七頁\編于十一點59五、基于風險的安全要求2.風險與安全需求組織需要根據(jù)對信息資產(chǎn)風險評估的結(jié)果，結(jié)合業(yè)務需求來確定組織安全需求。安全需求中不僅包括具體信息資產(chǎn)對安全的要求，還應包括軟件功能方面的安全需求，以及物理安全、管理流程、系統(tǒng)管理等非軟件方面的需求。風險評估與安全需求目前五十九頁\總數(shù)七十七頁\編于十一點60五、基于風險的安全要求2.風險與安全需求組織根據(jù)應用以及關(guān)鍵數(shù)據(jù)的重要程度，確定所需要采用的安全機制。通過安全風險評估明確存在風險的關(guān)鍵的業(yè)務資產(chǎn)和業(yè)務流程，識別其安全需求和安全現(xiàn)狀。風險評估與安全需求目前六十頁\總數(shù)七十七頁\編于十一點61五、基于風險的安全要求2.風險與安全需求安全風險的可接受水平以及安全需求的確認，需要業(yè)務人員和管理層來確認，應該將實施控制措施的支出與安全故障可能造成的業(yè)務損失進行權(quán)衡考慮，對安全建設(shè)的方向和目標進行決策。風險評估與安全需求目前六十一頁\總數(shù)七十七頁\編于十一點62六、確定組織的安全需求1.安全需求的協(xié)商協(xié)商協(xié)商是利益關(guān)系者共同商量以便取得一致意見。目前六十二頁\總數(shù)七十七頁\編于十一點63六、確定組織的安全需求1.安全需求的協(xié)商安全需求的協(xié)商對于信息安全的需求，在符合國家法律、行業(yè)規(guī)定、以及上級主管部門、組織內(nèi)部不同機構(gòu)、以及客戶等的需求重點不一樣，同時組織建設(shè)信息系統(tǒng)，保證信息安全還受投資限制，因此需要對信息安全的需求進行商量，以最終求得各方一致認同的適合組織建設(shè)的安全需求。需求平衡投資平衡目前六十三頁\總數(shù)七十七頁\編于十一點64六、確定組織的安全需求1.安全需求的協(xié)商整理需求有優(yōu)先順序的安全需求清單業(yè)務的組織安全需求符合性的安全需求合同業(yè)務要求風險的安全要求目前六十四頁\總數(shù)七十七頁\編于十一點65六、確定組織的安全需求1.安全需求的協(xié)商利益關(guān)系者間溝通溝通是為了一個設(shè)定的目標，把信息、思想和情感在個人或群體間傳遞，并且達成共同協(xié)議的過程。信息安全需求的溝通，是將將組織業(yè)務的組織安全需求、符合性的安全需求、合同業(yè)務要求，以及風險的安全要求綜合處理成有優(yōu)先順序的安全需求清單，用這個清單去向各利益關(guān)系者傳達，收集意見和建議，以達成一致意見。目前六十五頁\總數(shù)七十七頁\編于十一點66六、確定組織的安全需求1.安全需求的協(xié)商與利益關(guān)系者溝通的步驟：第一步事前準備第一步闡述觀點第一步收集信息第一步處理異議第一步達成一致目前六十六頁\總數(shù)七十七頁\編于十一點67六、確定組織的安全需求1.安全需求的協(xié)商與利益關(guān)系者有效溝通的基本技巧組織清晰語言簡潔關(guān)注非語言的暗示傾聽溝通對象表達求同存異有效反饋目前六十七頁\總數(shù)七十七頁\編于十一點68六、確定組織的安全需求2.安全需求的確定根據(jù)溝通結(jié)果重新整理需求清單意見建議需求清單經(jīng)多方協(xié)商后的達成基本一致的需求清單目前六十八頁\總數(shù)七十七頁\編于十一點69六、確定組織的安全需求2.安全需求的確定召開會議形成多方認可的需求清單在與各方充分溝通的達成基本一致的基礎(chǔ)上，召開關(guān)系者代表全體會議，傳達溝通結(jié)果，形成多方認可的需求清單，并簽注確認。召開關(guān)系者代表會議經(jīng)多方認可的需求清單簽字確認目前六十九頁\總數(shù)七十七頁\編于十一點70七、確定信息安全目標總體目標的起草與確定組織定義信息安全總目標：確保組織的信息資產(chǎn)的機密性、完整性和可用性（不同的組織