14.2 風險管理的過程與活動

14.2.1　風險管理過程概述

依據信息系統運行維護階段的安全目標和安全需求，該階段的主要風險管理活動包括：安全運行和管理、變更管理、風險再評估、定期重新審批，同時在上述過程中通過監控審查、溝通咨詢來確保本階段風險管理目標的實現。各項活動在風險管理過程中所處位置如表20所示。

圖24 描述了運行維護階段風險管理活動的過程。

安全運行和管理活動貫穿于整個運行維護階段，在系統發生變化、運行環境發生變化、以及發現新的脆弱性的情況下，應進行系統變更管理，并將管理要求反饋到安全運行與管理活動中；在變化較大的情況下，應進行風險再評估，再評估活動也應定期進行；系統授權運行的重新審批工作也應定期進行，保證系統的授權維持時間有效性。

14.2.2　安全運行和管理

信息系統在開始運行之后，應按照處理措施所定義的系統操作要求、運行要求和管理要求，進行安全操作和安全管理，保證系統的安全功能的實現。安全運行和管理的例子包括執行備份、舉辦培訓課程、管理密鑰、更新用戶管理和訪問特權、以及更新安全軟件等。

14.2.3　變更管理

在信息系統及其運行環境發生變化時，應評估其風險，并制定和實施相應的處理措施來控制風險。變更管理包括以下幾個方面：
a)信息系統的變更：包括系統升級、增加新功能、發現新的系統威脅和脆弱性等；
b)系統運行環境的變更：包括系統的硬環境、軟環境的變化，以及法律法規環境的變化。
在信息系統及其運行環境發生變化時，應執行風險管理過程中的風險評估過程和風險處理過程，分析可能出現的新風險，并制定和實施處理措施對風險進行處理。
變更管理主要用于信息系統及其運行環境發生變化不大的情況，變更管理無需對系統運行進行重新授權。

14.2.4　 風險再評估

風險再評估是對重新對系統進行風險評估的過程。應定期進行系統的風險再評估，在信息系統及其運行環境發生重大變化時，也應適時進行風險再評估。定期風險評估的周期一般應為一年，最長不應超過2年。
風險再評估后應執行風險處理過程，針對風險制定和實施處理措施。

14.2.5　重新審批

重新審批是重新執行信息系統批準監督的過程。信息系統在運行一段時間之后，系統及其運行環境、風險環境都會發生變化，應重新確認系統風險是否仍在可接受的范圍內。
信息系統授權的重新審批應以風險再評估的結果為依據，根據系統風險再評估后的風險狀況和殘余風險，重新審批信息系統是否可以繼續運行。