信息安全風(fēng)險評估與風(fēng)險管理

1、SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 1信息安全風(fēng)險評估與風(fēng)險管理國家信息中心信息安全服務(wù)與研

2、究中心范紅二00四年九月SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2匯報內(nèi)容一、前言一、前言二、信息安全風(fēng)險管理概述二、信息安全風(fēng)險管理概述三、信息安全風(fēng)險管理各組成部分三、信息安全風(fēng)險管理各組成部分四、信息安全風(fēng)險管理的運用四、信息安全風(fēng)險管理的運用五、結(jié)束語五、結(jié)束語SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC S

3、IC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 3一、前言 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 4二、信息安全風(fēng)險管理概述 1 1、 信息安全風(fēng)險管理的目的和意義信息安全風(fēng)險管理的目的和意義2 2、 信息安全風(fēng)險管理的范圍和對象信息安全風(fēng)

4、險管理的范圍和對象3 3、 信息安全風(fēng)險管理的內(nèi)容和過程信息安全風(fēng)險管理的內(nèi)容和過程4 4、 信息安全風(fēng)險管理與信息系統(tǒng)生命周信息安全風(fēng)險管理與信息系統(tǒng)生命周期和信息安全目標的關(guān)系期和信息安全目標的關(guān)系5 5、 信息安全風(fēng)險管理的角色和責(zé)任信息安全風(fēng)險管理的角色和責(zé)任SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 5二、信息安全風(fēng)險管理概述 1 1、 信息安全風(fēng)險管理的目的

5、和意義信息安全風(fēng)險管理的目的和意義2 2、 信息安全風(fēng)險管理的范圍和對象信息安全風(fēng)險管理的范圍和對象3 3、 信息安全風(fēng)險管理的內(nèi)容和過程信息安全風(fēng)險管理的內(nèi)容和過程4 4、 信息安全風(fēng)險管理與信息系統(tǒng)生命周信息安全風(fēng)險管理與信息系統(tǒng)生命周期和信息安全目標的關(guān)系期和信息安全目標的關(guān)系5 5、 信息安全風(fēng)險管理的角色和責(zé)任信息安全風(fēng)險管理的角色和責(zé)任SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC I

6、NFOSEC SIC 6信息安全風(fēng)險管理的目的和意義 信息安全風(fēng)險管理是信息安全保障工作中的一信息安全風(fēng)險管理是信息安全保障工作中的一項基礎(chǔ)性工作項基礎(chǔ)性工作 。1 1、信息安全風(fēng)險管理體現(xiàn)在信息安全保障體系、信息安全風(fēng)險管理體現(xiàn)在信息安全保障體系的技術(shù)、組織和管理等方面。的技術(shù)、組織和管理等方面。 2 2、信息安全風(fēng)險管理貫穿信息系統(tǒng)生命周期的、信息安全風(fēng)險管理貫穿信息系統(tǒng)生命周期的全部過程。全部過程。 3 3、信息安全風(fēng)險管理依據(jù)等級保護的思想和適、信息安全風(fēng)險管理依據(jù)等級保護的思想和適度安全的原則，平衡成本與效益，合理部署和利用信度安全的原則，平衡成本與效益，合理部署和利用信息安全的信任

7、體系、監(jiān)控體系和應(yīng)急處理等重要的基息安全的信任體系、監(jiān)控體系和應(yīng)急處理等重要的基礎(chǔ)設(shè)施，確定合適的安全措施，從而確保機構(gòu)具有完礎(chǔ)設(shè)施，確定合適的安全措施，從而確保機構(gòu)具有完成其使命的信息安全保障能力。成其使命的信息安全保障能力。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 7二、信息安全風(fēng)險管理概述 1 1、 信息安全風(fēng)險管理的目的和意義信息安全風(fēng)險管理的目的和意義2 2

8、、 信息安全風(fēng)險管理的范圍和對象信息安全風(fēng)險管理的范圍和對象3 3、 信息安全風(fēng)險管理的內(nèi)容和過程信息安全風(fēng)險管理的內(nèi)容和過程4 4、 信息安全風(fēng)險管理與信息系統(tǒng)生命周信息安全風(fēng)險管理與信息系統(tǒng)生命周期和信息安全目標的關(guān)系期和信息安全目標的關(guān)系5 5、 信息安全風(fēng)險管理的角色和責(zé)任信息安全風(fēng)險管理的角色和責(zé)任SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 8信息安全風(fēng)險管理

9、的范圍和對象SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 9二、信息安全風(fēng)險管理概述 1 1、 信息安全風(fēng)險管理的目的和意義信息安全風(fēng)險管理的目的和意義2 2、 信息安全風(fēng)險管理的范圍和對象信息安全風(fēng)險管理的范圍和對象3 3、 信息安全風(fēng)險管理的內(nèi)容和過程信息安全風(fēng)險管理的內(nèi)容和過程4 4、 信息安全風(fēng)險管理與信息系統(tǒng)生命周信息安全風(fēng)險管理與信息系統(tǒng)生命周期和信息安全目標

10、的關(guān)系期和信息安全目標的關(guān)系5 5、 信息安全風(fēng)險管理的角色和責(zé)任信息安全風(fēng)險管理的角色和責(zé)任SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 10信息安全風(fēng)險管理的內(nèi)容和過程 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC

11、INFOSEC SIC INFOSEC SIC INFOSEC SIC 11二、信息安全風(fēng)險管理概述 1 1、 信息安全風(fēng)險管理的目的和意義信息安全風(fēng)險管理的目的和意義2 2、 信息安全風(fēng)險管理的范圍和對象信息安全風(fēng)險管理的范圍和對象3 3、 信息安全風(fēng)險管理的內(nèi)容和過程信息安全風(fēng)險管理的內(nèi)容和過程4 4、 信息安全風(fēng)險管理與信息系統(tǒng)生命周信息安全風(fēng)險管理與信息系統(tǒng)生命周期和信息安全目標的關(guān)系期和信息安全目標的關(guān)系5 5、 信息安全風(fēng)險管理的角色和責(zé)任信息安全風(fēng)險管理的角色和責(zé)任SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSE

12、C SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 12三維結(jié)構(gòu)關(guān)系SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 13二、信息安全風(fēng)險管理概述 1 1、 信息安全風(fēng)險管理的目的和意義信息安全風(fēng)險管理的目的和意義2 2、 信息安全風(fēng)險管理的范圍和對象信息安全風(fēng)險管理的范圍

13、和對象3 3、 信息安全風(fēng)險管理的內(nèi)容和過程信息安全風(fēng)險管理的內(nèi)容和過程4 4、 信息安全風(fēng)險管理與信息系統(tǒng)生命周信息安全風(fēng)險管理與信息系統(tǒng)生命周期和信息安全目標的關(guān)系期和信息安全目標的關(guān)系5 5、 信息安全風(fēng)險管理的角色和責(zé)任信息安全風(fēng)險管理的角色和責(zé)任SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 14信息安全風(fēng)險管理相關(guān)人員的角色和責(zé)任 層面層面信息系統(tǒng)信息系統(tǒng)信息安

14、全風(fēng)險管理信息安全風(fēng)險管理角色角色內(nèi)外部內(nèi)外部責(zé)任責(zé)任角色角色內(nèi)外部內(nèi)外部責(zé)任責(zé)任決策層主管者內(nèi)負責(zé)信息系統(tǒng)的重大決策。主管者內(nèi)負責(zé)信息安全風(fēng)險管理的重大決策。管理層管理者內(nèi)負責(zé)信息系統(tǒng)的規(guī)劃，以及建設(shè)、運行、維護和監(jiān)控等方面的組織和協(xié)調(diào)。管理者內(nèi)負責(zé)信息安全風(fēng)險管理的規(guī)劃，以及實施和監(jiān)控過程中的組織和協(xié)調(diào)。執(zhí)行層建設(shè)者內(nèi)或外負責(zé)信息系統(tǒng)的設(shè)計和實施。執(zhí)行者內(nèi)或外負責(zé)信息安全風(fēng)險管理的實施。運行者內(nèi)負責(zé)信息系統(tǒng)的日常運行和操作。維護者內(nèi)或外負責(zé)信息系統(tǒng)的日常維護，包括維修和升級。監(jiān)控者內(nèi)負責(zé)信息系統(tǒng)的監(jiān)視和控制。監(jiān)控者內(nèi)負責(zé)信息安全風(fēng)險管理過程和結(jié)果的監(jiān)視和控制。支持層專業(yè)者外為信息系統(tǒng)提供專

15、業(yè)咨詢、培訓(xùn)、診斷和工具等服務(wù)。專業(yè)者外為信息安全風(fēng)險管理提供專業(yè)咨詢、培訓(xùn)、診斷和工具等服務(wù)。用戶層使用者內(nèi)或外利用信息系統(tǒng)完成自身的任務(wù)。受益者內(nèi)或外反饋信息安全風(fēng)險管理的效果。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 15三、信息安全風(fēng)險管理各組成部分 1 1、對象確立、對象確立2 2、風(fēng)險評估、風(fēng)險評估3 3、風(fēng)險控制、風(fēng)險控制4 4、審核批準、審核批準5 5

16、、溝通與咨詢、溝通與咨詢6 6、監(jiān)控與審查、監(jiān)控與審查SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 16三、信息安全風(fēng)險管理各組成部分 1 1、對象確立、對象確立2 2、風(fēng)險評估、風(fēng)險評估3 3、風(fēng)險控制、風(fēng)險控制4 4、審核批準、審核批準5 5、溝通與咨詢、溝通與咨詢6 6、監(jiān)控與審查、監(jiān)控與審查SIC INFOSEC SIC INFOSEC SIC INFOSEC S

17、IC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 17對象確立概述對象確立是信息安全風(fēng)險管理的第一對象確立是信息安全風(fēng)險管理的第一步驟，根據(jù)要保護系統(tǒng)的業(yè)務(wù)目標和特性步驟，根據(jù)要保護系統(tǒng)的業(yè)務(wù)目標和特性，確定風(fēng)險管理對象。其目的是為了明確，確定風(fēng)險管理對象。其目的是為了明確信息安全風(fēng)險管理的范圍和對象，以及對信息安全風(fēng)險管理的范圍和對象，以及對象的特性和安全要求。象的特性和安全要求。SIC INFOSEC SIC INFOSEC SIC INFOS

18、EC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 18對象確立過程SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 19風(fēng)險管理準備SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOS

19、EC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 20信息系統(tǒng)調(diào)查 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 21信息系統(tǒng)分析SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFO

20、SEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 22信息安全分析SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 23對象確立的文檔階段階段輸出文檔輸出文檔文檔內(nèi)容文檔內(nèi)容風(fēng)險管理準備風(fēng)險管理計劃書風(fēng)險管理的目的、意義、范圍、目標、組織結(jié)構(gòu)、經(jīng)費預(yù)算和進度安排等。信

21、息系統(tǒng)調(diào)查信息系統(tǒng)的描述報告信息系統(tǒng)的業(yè)務(wù)目標、業(yè)務(wù)特性、管理特性和技術(shù)特性等。信息系統(tǒng)分析信息系統(tǒng)的分析報告信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素等。信息安全分析信息系統(tǒng)的安全要求報告信息系統(tǒng)的安全環(huán)境和安全要求等。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 24三、信息安全風(fēng)險管理各組成部分 1 1、對象確立、對象確立2 2、風(fēng)險評估、風(fēng)險評估3 3、風(fēng)險控制、風(fēng)險控制4 4

22、、審核批準、審核批準5 5、溝通與咨詢、溝通與咨詢6 6、監(jiān)控與審查、監(jiān)控與審查SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 25風(fēng)險評估概述 風(fēng)險評估是信息安全風(fēng)險管理的第二風(fēng)險評估是信息安全風(fēng)險管理的第二步，針對確立的風(fēng)險管理對象所面臨的風(fēng)步，針對確立的風(fēng)險管理對象所面臨的風(fēng)險進行識別、分析和評價。險進行識別、分析和評價。SIC INFOSEC SIC INFOSEC

23、 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 26風(fēng)險評估過程SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 27風(fēng)險評估準備SIC INFOSEC SIC INFOSEC SIC INFOSEC

24、 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 28風(fēng)險因素識別SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 29風(fēng)險程度分析SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC

25、 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 30風(fēng)險等級評價SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 31風(fēng)險評估的文檔階段階段輸出文檔輸出文檔文檔內(nèi)容文檔內(nèi)容風(fēng)險評估準備風(fēng)險評估計劃書風(fēng)險評估的目的、意義、范圍、目標、組織結(jié)構(gòu)、經(jīng)費預(yù)

26、算和進度安排等。風(fēng)險評估程序風(fēng)險評估的工作流程、輸入數(shù)據(jù)和輸出結(jié)果等。入選風(fēng)險評估方法和工具列表合適的風(fēng)險評估方法和工具列表。風(fēng)險因素識別需要保護的資產(chǎn)清單對機構(gòu)使命具有關(guān)鍵和重要作用的需要保護的資產(chǎn)清單。面臨的威脅列表機構(gòu)的信息資產(chǎn)面臨的威脅列表。存在的脆弱性列表機構(gòu)的信息資產(chǎn)存在的脆弱性列表。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 32風(fēng)險評估的文檔風(fēng)險程度分析

27、已有安全措施分析報告確認已有的安全措施，包括技術(shù)層面（即物理平臺、系統(tǒng)平臺、通信平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺）的安全功能、組織層面（即結(jié)構(gòu)、崗位和人員）的安全控制和管理層面（即策略、規(guī)章和制度）的安全對策。威脅源分析報告從利益、復(fù)仇、好奇和自負等驅(qū)使因素，分析威脅源動機的強弱。威脅行為分析報告從攻擊的強度、廣度、速度和深度等方面，分析威脅行為能力的高低。脆弱性分析報告按威脅/脆弱性對，分析脆弱性被威脅利用的難以程度。資產(chǎn)價值分析報告從敏感性、關(guān)鍵性和昂貴性等方面，分析資產(chǎn)價值的大小。影響程度分析報告從資產(chǎn)損失、使命妨礙和人員傷亡等方面，分析影響程度的深淺。SIC INFOSEC SIC INFOS

28、EC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 33風(fēng)險評估的文檔風(fēng)險等級評價威脅源等級列表威脅源動機的等級列表。威脅行為等級列表威脅行為能力的等級列表。脆弱性等級列表脆弱性被利用的等級列表。資產(chǎn)價值等級列表資產(chǎn)價值的等級列表。影響程度等級列表影響程度的等級列表。風(fēng)險評估報告匯總上述分析報告和等級列表，綜合評價風(fēng)險的等級。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC

29、 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 34三、信息安全風(fēng)險管理各組成部分 1 1、對象確立、對象確立2 2、風(fēng)險評估、風(fēng)險評估3 3、風(fēng)險控制、風(fēng)險控制4 4、審核批準、審核批準5 5、溝通與咨詢、溝通與咨詢6 6、監(jiān)控與審查、監(jiān)控與審查SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC

30、 INFOSEC SIC INFOSEC SIC 35風(fēng)險控制概述 風(fēng)險控制是信息安全風(fēng)險管理的第三步驟，風(fēng)險控制是信息安全風(fēng)險管理的第三步驟，依據(jù)風(fēng)險評估的結(jié)果，選擇和實施合適的安全措依據(jù)風(fēng)險評估的結(jié)果，選擇和實施合適的安全措施。施。風(fēng)險控制方式主要有規(guī)避、轉(zhuǎn)移和降低三種風(fēng)險控制方式主要有規(guī)避、轉(zhuǎn)移和降低三種方式方式。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 36風(fēng)

31、險控制需求及其相應(yīng)的風(fēng)險控制措施PPDRR風(fēng)險控制需求風(fēng)險控制需求風(fēng)險控制措施風(fēng)險控制措施策略Policy設(shè)備管理制度建立健全各種安全相關(guān)的規(guī)章制定和操作規(guī)范，使得保護、檢測和響應(yīng)環(huán)節(jié)有章可循、切實有效。機房出入守則系統(tǒng)安全管理守則系統(tǒng)安全配置明細網(wǎng)絡(luò)安全管理守則網(wǎng)絡(luò)安全配置明細應(yīng)用安全管理守則應(yīng)用安全配置明細應(yīng)急響應(yīng)計劃安全事件處理準則SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSE

32、C SIC 37主要的風(fēng)險控制需求及其相應(yīng)的風(fēng)險控制措施保護Protection機房嚴格按照GB 50174-1993電子計算機機房設(shè)計規(guī)范、GB 9361-1988計算站場地安全要求、GB 2887-1982計算機站場地技術(shù)要求和GB/T 2887-2000計算機場地通用規(guī)范等國家標準建設(shè)和維護計算機機房。門控安裝門控系統(tǒng)保安建設(shè)保安制度和保安隊伍。電磁屏蔽在必要的地方設(shè)置抗電磁干擾和防電磁泄漏的設(shè)施。病毒防殺全面部署防病毒系統(tǒng)。漏洞補丁及時下載和安裝最新的漏洞補丁模塊。安全配置嚴格遵守各系統(tǒng)單元的安全配置明細，避免配置中的安全漏洞。身份認證根據(jù)不同的安全強度，分別采用身份標識/口令、數(shù)字鑰

33、匙、數(shù)字證書、生物識別、雙因子等級別的身份認證系統(tǒng)，對設(shè)備、用戶、服務(wù)等主客體進行身份認證。訪問控制根據(jù)不同的安全強度，分別采用自主型、強制型等級別的訪問控制系統(tǒng)，對設(shè)備、用戶等主體訪問客體的權(quán)限進行控制。數(shù)據(jù)加密根據(jù)不同的安全強度，分別采用商密、普密、機密等級別的數(shù)據(jù)加密系統(tǒng)，對傳輸數(shù)據(jù)和存儲數(shù)據(jù)進行加密。邊界控制在網(wǎng)絡(luò)邊界布置防火墻，阻止來自外界非法訪問。數(shù)字水印對于需要版權(quán)保護的圖片、聲音、文字等形式的信息，采用數(shù)字水印技術(shù)加以保護。數(shù)字簽名在需要防止事后否認時，可采用數(shù)字簽名技術(shù)。內(nèi)容凈化部署內(nèi)容過濾系統(tǒng)。安全機構(gòu)、安全崗位、安全責(zé)任建立健全安全機構(gòu)，合理設(shè)置安全崗位，明確劃分安全責(zé)任

34、。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 38主要的風(fēng)險控制需求及其相應(yīng)的風(fēng)險控制措施檢測Detection監(jiān)視、監(jiān)測和報警在適當(dāng)?shù)奈恢冒仓帽O(jiān)視器和報警器，在各系統(tǒng)單元中配備監(jiān)測系統(tǒng)和報警系統(tǒng)，以實時發(fā)現(xiàn)安全事件并及時報警。數(shù)據(jù)校驗通過數(shù)據(jù)校驗技術(shù)，發(fā)現(xiàn)數(shù)據(jù)篡改。主機入侵檢測部署主機入侵檢測系統(tǒng)，發(fā)現(xiàn)主機入侵行為。主機狀態(tài)監(jiān)測部署主機狀態(tài)監(jiān)測系統(tǒng)，隨時掌握主機運行狀

35、態(tài)。網(wǎng)絡(luò)入侵檢測部署網(wǎng)絡(luò)入侵檢測系統(tǒng)，發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為。網(wǎng)絡(luò)狀態(tài)監(jiān)測部署網(wǎng)絡(luò)狀態(tài)監(jiān)測系統(tǒng)，隨時掌握網(wǎng)絡(luò)運行狀態(tài)。安全審計在各系統(tǒng)單元中配備安全審計，以發(fā)現(xiàn)深層安全漏洞和安全事件。安全監(jiān)督、安全檢查實行持續(xù)有效的安全監(jiān)督，預(yù)演應(yīng)急響應(yīng)計劃。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 39主要的風(fēng)險控制需求及其相應(yīng)的風(fēng)險控制措施響應(yīng)Response恢復(fù)Recovery故障修

36、復(fù)、事故排除確保隨時能夠獲取故障修復(fù)和事故排除的技術(shù)人員和軟硬件工具。設(shè)施備份與恢復(fù)對于關(guān)鍵設(shè)施，配備設(shè)施備份與恢復(fù)系統(tǒng)。系統(tǒng)備份與恢復(fù)對于關(guān)鍵系統(tǒng)，配備系統(tǒng)備份與恢復(fù)系統(tǒng)。數(shù)據(jù)備份與恢復(fù)對于關(guān)鍵數(shù)據(jù)，配備數(shù)據(jù)備份與恢復(fù)系統(tǒng)。信道備份與恢復(fù)對于關(guān)鍵信道，配備設(shè)信道份與恢復(fù)系統(tǒng)。應(yīng)用備份與恢復(fù)對于關(guān)鍵應(yīng)用，配備應(yīng)用備份與恢復(fù)系統(tǒng)。應(yīng)急響應(yīng)按照應(yīng)急響應(yīng)計劃處理應(yīng)急事件。安全事件處理按照安全事件處理找出原因、追究責(zé)任、總結(jié)經(jīng)驗、提出改進。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSE

37、C SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 40風(fēng)險控制過程SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 41現(xiàn)存風(fēng)險判斷SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSE

38、C SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 42控制目標確立SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 43控制措施選擇SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSE

39、C SIC INFOSEC SIC INFOSEC SIC 44控制措施實施SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 45風(fēng)險控制的文檔階段階段輸出文檔輸出文檔文檔內(nèi)容文檔內(nèi)容現(xiàn)存風(fēng)險判斷風(fēng)險接受等級劃分表風(fēng)險接受等級的劃分，即把風(fēng)險評估得出的風(fēng)險等級劃分為可接受和不可接受兩種。現(xiàn)存風(fēng)險接受判斷書現(xiàn)存風(fēng)險是否可接受的判斷結(jié)果?？刂颇繕舜_立風(fēng)險控制需求分析報告從技術(shù)層面

40、（即物理平臺、系統(tǒng)平臺、通信平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺）、組織層面（即結(jié)構(gòu)、崗位和人員）和管理層面（即策略、規(guī)章和制度），分析風(fēng)險控制的需求。風(fēng)險控制目標列表風(fēng)險控制目標的列表，包括控制對象及其最低保護等級。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 46風(fēng)險控制的文檔控制措施選擇入選風(fēng)險控制方式說明報告選擇合適的風(fēng)險控制方式（包括規(guī)避方式、轉(zhuǎn)移方式和降低方式），并說明選

41、擇的理由以及被選控制方式的使用方法和注意事項等。入選風(fēng)險控制措施說明報告選擇合適的風(fēng)險控制措施，并說明選擇的理由以及被選控制措施的成本、使用方法和注意事項等?？刂拼胧嵤╋L(fēng)險控制實施計劃書風(fēng)險控制的范圍、對象、目標、組織結(jié)構(gòu)、成本預(yù)算和進度安排等。風(fēng)險控制實施記錄風(fēng)險控制措施實施的過程和結(jié)果。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 47三、信息安全風(fēng)險管理各組成部分

42、 1 1、對象確立、對象確立2 2、風(fēng)險評估、風(fēng)險評估3 3、風(fēng)險控制、風(fēng)險控制4 4、審核批準、審核批準5 5、溝通與咨詢、溝通與咨詢6 6、監(jiān)控與審查、監(jiān)控與審查SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 48審核批準概述 審核批準是信息安全風(fēng)險管理的第四步驟，審核批審核批準是信息安全風(fēng)險管理的第四步驟，審核批準包括審核和批準兩部分：審核是指通過審查、測試、準包括審

43、核和批準兩部分：審核是指通過審查、測試、評審等手段，檢驗風(fēng)險評估和風(fēng)險控制的結(jié)果是否滿足評審等手段，檢驗風(fēng)險評估和風(fēng)險控制的結(jié)果是否滿足信息系統(tǒng)的安全要求；批準是指機構(gòu)的決策層依據(jù)審核信息系統(tǒng)的安全要求；批準是指機構(gòu)的決策層依據(jù)審核的結(jié)果，做出是否認可的決定。的結(jié)果，做出是否認可的決定。審核既可以由機構(gòu)內(nèi)部完成，也可以委托外部專業(yè)審核既可以由機構(gòu)內(nèi)部完成，也可以委托外部專業(yè)機構(gòu)來完成，這主要取決于信息系統(tǒng)的性質(zhì)和機構(gòu)自身機構(gòu)來完成，這主要取決于信息系統(tǒng)的性質(zhì)和機構(gòu)自身的專業(yè)能力。批準一般必須由機構(gòu)內(nèi)部或更高層的主管的專業(yè)能力。批準一般必須由機構(gòu)內(nèi)部或更高層的主管機構(gòu)的決策層來執(zhí)行。機構(gòu)的決策層

44、來執(zhí)行。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 49審核批準過程及其在信息安全風(fēng)險管理中的位置 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC

45、50審核申請SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 51審核處理SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 52批準申請SIC INFOSE

46、C SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 53批準處理SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 54持續(xù)監(jiān)督SIC INFOSEC SIC INFOSEC SI

47、C INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 55審核批準的文檔階段階段輸出文檔輸出文檔文檔內(nèi)容文檔內(nèi)容審核申請審核申請書審核的范圍、對象、目標和進度要求，以及申請者的基本信息和簽字等。審核材料風(fēng)險評估過程和風(fēng)險控制過程輸出的文檔、軟件和硬件等結(jié)果。審核受理回執(zhí)同意受理、補充材料的要求和提交時間（如果需要）、審核的進度安排和收費標準，以及審核機構(gòu)的名稱和簽章等。審核處理審查結(jié)果報告審查的范圍、對象、意見和結(jié)論（即是否通過）

48、，以及審查人員的名字和簽字等。測試結(jié)果報告測試的范圍、對象、意見和結(jié)論（即是否通過），以及測試人員的名字和簽字等。專家鑒定報告鑒定的范圍、對象（及其基本情況）和結(jié)論，以及專家名單和簽字等。審核結(jié)論報告審核的范圍、對象、意見、結(jié)論（即是否通過）和有效期，以及審核機構(gòu)的名稱和簽章等。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 56審核批準的文檔批準申請批準申請書批準的范圍、

49、對象和期望，以及申請者的基本信息和簽字等。批準受理回執(zhí)同意受理、補充材料的要求和提交時間（如果需要），以及批準機構(gòu)的名稱和簽章等。批準處理批準決定書批準的范圍、對象、意見、結(jié)論（即是否通過）和有效期，以及批準機構(gòu)的名稱和簽章等。持續(xù)監(jiān)督審核到期通知書到期的時間和重新申請的要求，以及審核機構(gòu)的名稱和簽章。批準到期通知書到期的時間和重新申請的要求，以及批準機構(gòu)的名稱和簽章。機構(gòu)變化因素的描述報告機構(gòu)及其信息系統(tǒng)變化因素的列表、說明和安全隱患分析等。環(huán)境變化因素的描述報告信息安全相關(guān)環(huán)境變化因素的列表、說明和安全隱患分析等。SIC INFOSEC SIC INFOSEC SIC INFOSEC SI

50、C INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 57三、信息安全風(fēng)險管理各組成部分 1 1、對象確立、對象確立2 2、風(fēng)險評估、風(fēng)險評估3 3、風(fēng)險控制、風(fēng)險控制4 4、審核批準、審核批準5 5、監(jiān)控與審查、監(jiān)控與審查6 6、溝通與咨詢、溝通與咨詢SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC IN

51、FOSEC SIC INFOSEC SIC INFOSEC SIC 58監(jiān)控與審查的概述 監(jiān)控與審查對信息安全風(fēng)險管理主循環(huán)的四個步監(jiān)控與審查對信息安全風(fēng)險管理主循環(huán)的四個步驟（即對象確立、風(fēng)險評估、風(fēng)險控制和審核批準）驟（即對象確立、風(fēng)險評估、風(fēng)險控制和審核批準）進行監(jiān)控和審查。監(jiān)控是監(jiān)視和控制，一是監(jiān)視和控進行監(jiān)控和審查。監(jiān)控是監(jiān)視和控制，一是監(jiān)視和控制風(fēng)險管理過程，即過程質(zhì)量管理，以保證過程的有制風(fēng)險管理過程，即過程質(zhì)量管理，以保證過程的有效性；二是分析和平衡成本效益，即成本效益管理，效性；二是分析和平衡成本效益，即成本效益管理，以保證成本的有效性。審查是跟蹤受保護系統(tǒng)自身或以保證成本的

52、有效性。審查是跟蹤受保護系統(tǒng)自身或所處環(huán)境的變化，以保證結(jié)果的有效性。所處環(huán)境的變化，以保證結(jié)果的有效性。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 59監(jiān)控與審查過程 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC I

53、NFOSEC SIC INFOSEC SIC INFOSEC SIC 60貫穿對象確立階段階段監(jiān)控監(jiān)控審查審查過程有效性成本有效性 結(jié)果有效性風(fēng)險管理準備風(fēng)險管理計劃制定的流程及其相關(guān)文檔風(fēng)險管理計劃的成本與效果風(fēng)險管理計劃書的時效信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查的流程及其相關(guān)文檔信息系統(tǒng)調(diào)查的成本與效果信息系統(tǒng)的描述報告的時效信息系統(tǒng)分析信息系統(tǒng)分析的流程及其相關(guān)文檔信息系統(tǒng)分析的成本與效果信息系統(tǒng)的分析報告的時效信息安全分析信息系統(tǒng)安全要求分析的流程及其相關(guān)文檔信息系統(tǒng)安全要求分析的成本與效果信息系統(tǒng)的安全要求報告的時效SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC

54、 INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 61貫穿風(fēng)險評估階段階段監(jiān)控監(jiān)控審查審查過程有效性成本有效性 結(jié)果有效性風(fēng)險評估準備風(fēng)險評估的計劃制定、程序確定以及方法和工具選擇的流程及其相關(guān)文檔風(fēng)險評估的計劃、程序以及入選方法和工具的成本與效果風(fēng)險評估計劃、風(fēng)險評估程序和入選風(fēng)險評估方法和工具列表的時效風(fēng)險因素識別資產(chǎn)、威脅列和脆弱性識別的流程及其相關(guān)文檔資產(chǎn)、威脅列和脆弱性識別的成本與效果需要保護的資產(chǎn)清單、面臨的威脅列表和存在的脆弱性列表的時效

55、SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 62貫穿風(fēng)險評估風(fēng)險程度分析已有安全措施、威脅源、威脅行為、脆弱性、資產(chǎn)價值和影響程度分析的流程及其相關(guān)文檔已有安全措施、威脅源、威脅行為、脆弱性、資產(chǎn)價值和影響程度分析的成本與效果已有安全措施分析報告、威脅源分析報告、威脅行為分析報告、脆弱性分析報告、資產(chǎn)價值分析報告和影響程度分析報告的時效風(fēng)險等級評價威脅源等級、威脅行為等

56、級、脆弱性等級、資產(chǎn)價值等級和影響程度等級評價以及風(fēng)險評估報告生成的流程及其相關(guān)文檔威脅源等級、威脅行為等級、脆弱性等級、資產(chǎn)價值等級和影響程度等級評價以及風(fēng)險評估報告生成的成本與效果威脅源等級列表、威脅行為等級列表、脆弱性等級列表、資產(chǎn)價值等級列表、影響程度等級列表和風(fēng)險評估報告的時效SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 63貫穿風(fēng)險控制階段階段監(jiān)控監(jiān)控審查審查

57、過程有效性成本有效性 結(jié)果有效性現(xiàn)存風(fēng)險判斷可接受風(fēng)險等級確定和現(xiàn)存風(fēng)險接受判斷的流程及其相關(guān)文檔可接受風(fēng)險等級確定和現(xiàn)存風(fēng)險接受判斷的成本與效果風(fēng)險接受等級劃分表和現(xiàn)存風(fēng)險接受判斷書的時效控制目標確立風(fēng)險控制需求分析和風(fēng)險控制目標確立的流程及其相關(guān)文檔風(fēng)險控制需求分析和風(fēng)險控制目標確立的成本與效果風(fēng)險控制需求分析報告和風(fēng)險控制目標列表的時效SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFO

58、SEC SIC 64貫穿風(fēng)險控制控制措施選擇風(fēng)險控制方式和措施選擇的流程及其相關(guān)文檔入選風(fēng)險控制方式和措施的成本與效果入選風(fēng)險控制方式說明報告和入選風(fēng)險控制措施說明報告的時效控制措施實施風(fēng)險控制實施計劃制定和風(fēng)險控制措施實施的流程及其相關(guān)文檔風(fēng)險控制實施計劃制定和風(fēng)險控制措施實施的成本與效果風(fēng)險控制實施計劃書和風(fēng)險控制實施記錄的時效SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC S

59、IC 65貫穿審核批準階段階段監(jiān)控監(jiān)控審查審查過程有效性成本有效性 結(jié)果有效性審核申請審核申請和受理的流程及其相關(guān)文檔審核申請和受理的成本與效果審核申請書、審核材料和審核受理回執(zhí)的時效審核處理審核材料審查、審核對象測試、專家鑒定和審核結(jié)論給出的流程及其相關(guān)文檔審核材料審查、審核對象測試、專家鑒定和審核結(jié)論給出的成本與效果審查結(jié)果報告、測試結(jié)果報告、專家鑒定報告和審核結(jié)論報告的時效SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC S

60、IC INFOSEC SIC INFOSEC SIC 66貫穿審核批準批準申請批準申請和受理的流程及其相關(guān)文檔批準申請和受理的成本與效果批準申請書和批準受理回執(zhí)的時效批準處理審閱批準材料和批準決定做出的流程及其相關(guān)文檔審閱批準材料和批準決定做出的成本與效果批準決定書的時效持續(xù)監(jiān)督審核結(jié)論報告和批準決定書到期檢查和機構(gòu)及其環(huán)境變化檢查的流程及其相關(guān)文檔審核結(jié)論報告和批準決定書到期檢查和機構(gòu)及其環(huán)境變化檢查的成本與效果機構(gòu)變化因素的描述報告和環(huán)境變化因素的描述報告的時效SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC I