13.2 風險管理的過程與活動

13.2.1　風險管理過程概述

依據信息系統實施階段的安全目標和安全需求，該階段的主要風險管理活動包括：安全測試、檢查與配置、人員培訓及授權運行，同時在上述過程中通過監控審查、溝通咨詢來確保本階段風險管理目標的實現。各項活動在風險管理過程中所處位置如表19所示。

13.2.2　安全測試

系統安全測試是對所開發或采購的系統特定部分的測試和整個系統的測試，內容包括：
a)采購的設備和軟件、定制的軟件和系統各部分安全功能和安全特性的測試；
b)對集成后整個系統的整體安全測試；
c)對安全管理、物理設施、人員、流程、業務或內部服務（如網絡服務）的使用，以及應急計劃等進行測試。
如果在開發或采購階段增加了新的處理措施，應進行重新測試。安全測試可以由信息系統所屬機構內部實施，也可以聘請第三方專業機構實施。

13.2.3　檢查與配置

應對采購的設備、軟件、定制開發的軟件和系統進行檢查并正確配置，內容包括：
a)檢查采購的設備和軟件是否具有國家主管部門的生產和銷售許可證，以及是否通過了國家有關部門的測評和認證；
b)檢查采購的設備和軟件、定制的軟件和系統所具備的安全功能和安全特性；
c)按照產品說明書和設計說明書正確配置設備、軟件和系統，確保符合設計要求；

13.2.4　人員培訓

培訓的對象包括系統的使用人員、系統維護人員和安全管理人員，培訓過程是溝通咨詢的重要體現，培訓內容包括：
a)系統的操作流程和操作方法；
b)安全意識、基本安全技術知識和安全管理知識；
c)系統維護和安全功能的使用；
d)安全管理制度和管理流程；

13.2.5　授權系統運行

信息系統在投入運行前應進行批準監督。負責審批的管理者應與系統安全員、系統管理人員、系統使用人員進行充分溝通，必要時還可以聘請專家進行咨詢，以便對系統是否可以投入運行做出正確決策。管理者對信息系統可以有以下三種授權方式：
1、授權系統全面運行
在對安全測試的結果進行評估之后，如果系統的殘余風險被認為是完全可以接受的，那么就可以為系統發布一個全面運行的授權。這時信息系統已被認可，可以沒有限制地或制約地投入運行。
2、臨時批準運行
在對安全測試的結果做出評估之后，如果系統的殘余風險被認為不能完全接受，但是又迫切需要將信息系統投入運行，或機構的使命需要其繼續運行，那么就會為信息系統發布一個臨時的運行批準。臨時批準提供的是一種有限制的授權，允許信息系統在特定時限和條件下投入運行，并使相關人員了解到機構的運行和資產在限定時間內具有相對更高的風險。
臨時運行批準允許時限應與信息系統的風險等級相關聯，最長不應超過一年。在臨時批準運行結束前，信息系統應滿足全面批準運行的條件，開始全面批準的運行，否則應停止系統運行。
3、拒絕對運行進行授權
在對安全測試的結果做出評估之后，如果系統的殘余風險被認為是不可以接受的，那么就要拒絕批準信息系統投入運行。對于被拒絕運行的系統，信息系統擁有者應與授權管理者和其它相關方進行溝通，重新制定風險處理措施和改進計劃，將信息系統的安全風險降低到可接受的程度后，再進行授權審批。