2023學(xué)年完整公開課版準(zhǔn)備

信息安全管理實(shí)務(wù)信息安全風(fēng)險評估--項(xiàng)目實(shí)施過程2······刑事執(zhí)行專業(yè)教學(xué)資源庫22風(fēng)險評估項(xiàng)目實(shí)施過程計劃準(zhǔn)備實(shí)施報告跟蹤33檢查列表的四要素去哪里？找誰？查什么？如何查？44風(fēng)險評估常用方法

檢查列表：評估員根據(jù)自己的需要，事先編制針對某方面問題的檢查列表，然后逐項(xiàng)檢查符合性，在確認(rèn)檢查列表應(yīng)答時，評估員可以采取調(diào)查問卷、文件審查、現(xiàn)場觀察和人員訪談等方式。

文件評估：評估員在現(xiàn)場評估之前，應(yīng)該對受評估方與信息安全管理活動相關(guān)的所有文件進(jìn)行審查，包括安全方針和目標(biāo)、程序文件、作業(yè)指導(dǎo)書和記錄文件。

現(xiàn)場觀察：評估員到現(xiàn)場參觀，可以觀察并獲取關(guān)于現(xiàn)場物理環(huán)境、信息系統(tǒng)的安全操作和各類安全管理活動的第一手資料。

人員訪談：與受評估方人員進(jìn)行面談，評估員可以了解其職責(zé)范圍、工作陳述、基本安全意識、對安全管理獲知的程度等信息。評估員進(jìn)行人員訪談時要做好記錄和總結(jié)，必要時要和訪談對象進(jìn)行確認(rèn)。

技術(shù)評估：評估員可以采用各種技術(shù)手段，對技術(shù)性控制的效力及符合性進(jìn)行評估。這些技術(shù)性措施包括：自動化的掃描工具、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析、本地主機(jī)審查、滲透測試等。55評估員檢查工具——檢查列表

檢查列表（Checklist）是評估員進(jìn)行評估時必備的自用工具，是評估前需準(zhǔn)備的一個重要工作文件。

在實(shí)施評估之前，評估員將根據(jù)分工情況來準(zhǔn)備各自在現(xiàn)場評估所需的檢查列表，檢查列表的內(nèi)容，取決于評估主題和被評估部門的職能、范圍、評估方法及要求。

檢查列表在信息安全管理體系內(nèi)部評估中起著以下重要作用：

明確與評估目標(biāo)有關(guān)的抽樣問題；

使評估程序規(guī)范化，減少評估工作的隨意性和盲目性；

保證評估目標(biāo)始終明確，突出重點(diǎn)，避免在評估過程中因迷失方向而浪費(fèi)時間；

更好地控制評估進(jìn)度；

檢查列表、評估計劃和評估報告一起，都作為評估記錄而存檔。66

檢查列表編寫的依據(jù)，是評估準(zhǔn)則，也就是信息安全管理標(biāo)準(zhǔn)、組織信息安全方針手冊等文件的要求

針對受評估部門的特點(diǎn)，重點(diǎn)選擇某些應(yīng)該格外關(guān)注的信息安全問題

信息的收集和驗(yàn)證的方法應(yīng)該多種多樣，包括面談、觀察、文件和記錄的收集和匯總分析、從其他信息源（客戶反饋、外部報告等）收集信息等

檢查列表應(yīng)該具有可操作性

檢查列表內(nèi)容應(yīng)該能夠覆蓋體系所涉及的全部范圍和安全要求

如果采用了技術(shù)性評估，可在檢查列表中列出具體方法和工具

檢查列表的形式和詳略程度可采取靈活方式檢查列表要經(jīng)過信息安全主管人員審查無誤后才能使用檢查列表編寫注意事項(xiàng)7常用技術(shù)工具清單

技術(shù)漏洞掃描工具針對操作系統(tǒng)、典型應(yīng)用軟件漏洞（Nessus、綠盟極光、啟明天鏡）針對網(wǎng)絡(luò)端口（Nmap）針對數(shù)據(jù)庫漏洞(安信通、安恒)針對Web漏洞（IBMAppscan、HPWebInspectWVS）針對網(wǎng)絡(luò)數(shù)據(jù)流（