風(fēng)險(xiǎn)評估技術(shù)方案

風(fēng)險(xiǎn)評定技術(shù)方案資產(chǎn)識別與分析保護(hù)資產(chǎn)免受安全威脅時(shí)本項(xiàng)目實(shí)施的根本目的。要做好這項(xiàng)工作，首先需要具體理解資產(chǎn)分類與管理的具體狀況。階段目的資產(chǎn)識別的目的就是要對系統(tǒng)的有關(guān)資產(chǎn)做潛在的價(jià)值分析，理解其資產(chǎn)運(yùn)用、維護(hù)和管理現(xiàn)狀。明確各類資產(chǎn)含有的保護(hù)價(jià)值和需要的保護(hù)層次，從而使公司能夠更合理的運(yùn)用現(xiàn)有資產(chǎn)，更有效地進(jìn)行資產(chǎn)管理，更有針對性的進(jìn)行資產(chǎn)保護(hù)，最含有方略性的進(jìn)行新的資產(chǎn)投入。階段環(huán)節(jié)階段一：根據(jù)項(xiàng)目范疇進(jìn)行資產(chǎn)分裂與識別，涉及主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)、文檔資產(chǎn)、人員資產(chǎn)等等。階段二：進(jìn)行資產(chǎn)識別，分類并賦值。階段辦法資產(chǎn)評定辦法項(xiàng)目名稱資產(chǎn)分類調(diào)查簡要描述采集資產(chǎn)信息，進(jìn)行資產(chǎn)分類，劃分資產(chǎn)重要級別及賦值。達(dá)成目的采集資產(chǎn)信息，進(jìn)行資產(chǎn)分類劃分資產(chǎn)重要級別及賦值；進(jìn)一步明確評定的范疇和重點(diǎn)。重要內(nèi)容采集資產(chǎn)信息，獲取資產(chǎn)清單；進(jìn)行資產(chǎn)分類劃分；擬定資產(chǎn)的重要級別，對資產(chǎn)進(jìn)行賦值。實(shí)現(xiàn)方式調(diào)查。填表式調(diào)查?！顿Y產(chǎn)調(diào)查表》，包含計(jì)算機(jī)設(shè)備、通訊設(shè)備、存儲及保障設(shè)備、信息、軟件等。交流。審視已有的針對資產(chǎn)的安全管理規(guī)章制度、制度。與高級主管、業(yè)務(wù)人員、網(wǎng)絡(luò)管理員（系統(tǒng)管理員）等進(jìn)行交流。工作條件電源和網(wǎng)絡(luò)環(huán)境，單位人員和資配合。工作成果資產(chǎn)類別、資產(chǎn)重要級別階段輸出本階段完畢后輸出文檔以下：《資產(chǎn)具體清單》、《資產(chǎn)賦值列表》威脅識別與分析威脅是指可能對資產(chǎn)或組織造成損害事故的潛在因素。作為風(fēng)險(xiǎn)評定的重要因素，威脅時(shí)一種客觀存在的事物，無論對于多么安全的信息系統(tǒng)，它都存在。為全方面、精確地理解系統(tǒng)所面臨的多個(gè)威脅，需采用威脅分析辦法。階段目的通過威脅分析，找出系統(tǒng)現(xiàn)在存在的潛在風(fēng)險(xiǎn)因素，并進(jìn)行統(tǒng)計(jì)，賦值，方便于列出風(fēng)險(xiǎn)。階段環(huán)節(jié)威脅識別采用人工審計(jì)、安全方略文檔審視、人員面談、入侵檢測系統(tǒng)收集的信息和人工分析。環(huán)節(jié)一：把已經(jīng)發(fā)現(xiàn)的威脅進(jìn)行分裂；環(huán)節(jié)二：把發(fā)現(xiàn)的威脅事件進(jìn)行分析。3.階段辦法威脅調(diào)查評定項(xiàng)目名稱威脅調(diào)查評定簡要描述使用技術(shù)手段分析系統(tǒng)可能面臨的全部安全威脅和風(fēng)險(xiǎn)。達(dá)成目的全方面理解掌握信息系統(tǒng)可能面臨的全部安全威脅和風(fēng)險(xiǎn)。對威脅進(jìn)行賦值并擬定威脅等級。重要內(nèi)容被動攻擊的威脅與風(fēng)險(xiǎn)：網(wǎng)絡(luò)通信數(shù)據(jù)被監(jiān)聽、口令等敏感信息被截獲等。主動攻擊威脅與風(fēng)險(xiǎn)：掃描目的主機(jī)、回絕服務(wù)攻擊、運(yùn)用合同、軟件、系統(tǒng)故障、漏洞插入或執(zhí)行惡意代碼（如：特洛伊木馬、病毒、后門等）、越權(quán)訪問、篡改數(shù)據(jù)、偽裝、重放所截獲數(shù)據(jù)等。鄰近攻擊威脅風(fēng)險(xiǎn)：損壞設(shè)備和線路、竊取存儲介質(zhì)、頭盔口令等。分發(fā)攻擊威脅與風(fēng)險(xiǎn)：在設(shè)備制造、安裝、維護(hù)過程中，在設(shè)備設(shè)立影藏的后門或攻擊途徑。內(nèi)部攻擊威脅與風(fēng)險(xiǎn)：惡意修改數(shù)據(jù)和安全機(jī)制配備參數(shù)、惡意建立未授權(quán)連接、惡意的物理損壞和破壞、無意的數(shù)據(jù)損壞和破壞。實(shí)現(xiàn)方式調(diào)查交流工具檢測人工檢測工作條件電源和網(wǎng)絡(luò)環(huán)境，單位人員和資料配合。工作成果根據(jù)分析成果列出系統(tǒng)所面臨的威脅，對威脅賦值并擬定威脅級別。參加人員網(wǎng)絡(luò)管理員、系統(tǒng)管理員4.階段輸出本階段完畢重要輸出文檔以下：《威脅調(diào)查表》《威脅賦值列表》脆弱性識別與分析脆弱性是對一種或多個(gè)資產(chǎn)脆弱點(diǎn)的總稱，脆弱性評定是對技術(shù)脆弱性和管理脆弱性識別和賦值的過程。階段目的技術(shù)脆弱性重要采用工具掃描、人工檢查、滲入測試、訪談等方式對物理環(huán)境、網(wǎng)絡(luò)構(gòu)造、應(yīng)用軟件、業(yè)務(wù)流程等進(jìn)行脆弱性識別并賦值。管理脆弱性重要通過管理訪談、文檔查閱等方式對安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、安全建設(shè)管理、安全運(yùn)維管理等進(jìn)行脆弱性識別并賦值。實(shí)施環(huán)節(jié)脆弱性識別環(huán)節(jié)重要通過技術(shù)脆弱性和管理脆弱性來進(jìn)行識別。2.1技術(shù)脆弱性-物理環(huán)境評定物理安全時(shí)一切系統(tǒng)安全的基礎(chǔ)。對物理安全的評定將從機(jī)房選址、建設(shè)、員工、外來訪問者進(jìn)入機(jī)房的權(quán)限控制，機(jī)房的報(bào)警、電子監(jiān)控以及防火、防水、防靜電、防雷擊、防鼠害、防輻射、防盜竊、火災(zāi)報(bào)警及消防方法、內(nèi)部裝修、供電系統(tǒng)等方面進(jìn)行。物理安全評定項(xiàng)目名稱物理安全評定項(xiàng)目名稱物理安全評定簡要描述分析物理安全中的安全隱患，提出安全建議。重要內(nèi)容評定環(huán)境安全：機(jī)房選址、建設(shè)、防火、防靜電、防雷擊、防鼠害、防輻射、防盜竊、火災(zāi)報(bào)警及消防方法、內(nèi)部裝修、供配電系統(tǒng)與否滿足有關(guān)國標(biāo)；內(nèi)部及外來人員對機(jī)房的訪問權(quán)限控制；安全審查及管理制度。評定設(shè)備安全：門控系統(tǒng)、網(wǎng)絡(luò)專用設(shè)備和主機(jī)設(shè)備。評定介質(zhì)安全：軟盤、硬盤、光盤、磁帶等媒體的管理，信息媒體的維修將確保所存儲的信息不被泄露，不再需要的媒體，將按規(guī)定及時(shí)安全地予以銷毀。實(shí)現(xiàn)方式詢問現(xiàn)場檢查資料收集工作條件單位人員和資料配合工作成果根據(jù)有關(guān)的物理安全原則，結(jié)合某單位的實(shí)際需求，協(xié)助某單位改善安全方法。參加人員設(shè)備管理員、維護(hù)人員2.2技術(shù)脆弱性-網(wǎng)絡(luò)架構(gòu)評定網(wǎng)絡(luò)構(gòu)造分析是風(fēng)險(xiǎn)評定中對業(yè)務(wù)系統(tǒng)安全性全方面理解的基礎(chǔ)，一種業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)構(gòu)造是整個(gè)業(yè)務(wù)系統(tǒng)的承載基礎(chǔ)，及時(shí)返現(xiàn)網(wǎng)絡(luò)構(gòu)造存在的安全性、網(wǎng)絡(luò)負(fù)載問題，網(wǎng)絡(luò)設(shè)備存在的安全性，抗攻擊的問題是整個(gè)業(yè)務(wù)系統(tǒng)評定的重要環(huán)節(jié)。網(wǎng)絡(luò)構(gòu)造分析能做到：改善網(wǎng)絡(luò)性能和運(yùn)用率，使之滿足業(yè)務(wù)系統(tǒng)需要，提供網(wǎng)絡(luò)有關(guān)擴(kuò)充圖、增加IT投資和提高網(wǎng)絡(luò)穩(wěn)定性，確保網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行，對網(wǎng)絡(luò)環(huán)境、性能、故障和配備進(jìn)行檢查。在評定過程中，重要針對網(wǎng)絡(luò)拓?fù)洹⒃L問控制方略與方法、網(wǎng)絡(luò)設(shè)備配備、安全設(shè)備配備、網(wǎng)絡(luò)性能與業(yè)務(wù)負(fù)載幾個(gè)方面進(jìn)行調(diào)查與分析。網(wǎng)絡(luò)拓?fù)渫{分析項(xiàng)目名稱網(wǎng)絡(luò)拓?fù)渫{分析簡要描述分析整體的網(wǎng)絡(luò)拓?fù)錁?gòu)造安全隱患，分析某單位網(wǎng)絡(luò)內(nèi)部網(wǎng)面臨的外部和內(nèi)部威脅達(dá)成目的精確把握網(wǎng)絡(luò)拓?fù)渖系陌踩[患，重點(diǎn)是網(wǎng)絡(luò)邊界面臨的安全隱患重要內(nèi)容設(shè)備擬定，基本的方略狀況外聯(lián)鏈路或接口擬定路由擬定備份方式確認(rèn)撥號接入確認(rèn)業(yè)務(wù)和網(wǎng)絡(luò)的關(guān)系網(wǎng)絡(luò)等級確認(rèn)實(shí)現(xiàn)方式詢問檢查資料收集工作條件電腦和網(wǎng)絡(luò)環(huán)境，單位人員和資料配合工作成果形成某單位的內(nèi)部網(wǎng)絡(luò)拓?fù)錁?gòu)造圖參加人員網(wǎng)絡(luò)管理員、業(yè)務(wù)維護(hù)員訪問控制方略與方法項(xiàng)目名稱訪問控制方略與方法評定簡要描述評定單位網(wǎng)絡(luò)內(nèi)部網(wǎng)的訪問控制方略與方法的安全狀況達(dá)成目的評定單位網(wǎng)絡(luò)內(nèi)部網(wǎng)的訪問控制方略與方法的安全狀況，協(xié)助某單位網(wǎng)絡(luò)進(jìn)行訪問控制方略和方法的優(yōu)化改善重要內(nèi)容網(wǎng)絡(luò)設(shè)備的訪問控制方略防火墻的訪問控制方略操作系統(tǒng)訪問控制方略其它訪問控制方略，如認(rèn)證等實(shí)現(xiàn)方式調(diào)查交流控制臺安全審計(jì)工具測試工作條件電腦和網(wǎng)絡(luò)環(huán)境，單位人員和資料配合工作成果針對某單位網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)的訪問控制方略和方法現(xiàn)狀，提出改善優(yōu)化建議所需時(shí)間1個(gè)工作日參加人員網(wǎng)絡(luò)管理員、業(yè)務(wù)維護(hù)員網(wǎng)絡(luò)設(shè)備方略與配備項(xiàng)目名稱網(wǎng)絡(luò)設(shè)備方略與配備評定簡要描述評定單位現(xiàn)有網(wǎng)絡(luò)設(shè)備和配備使用狀況，考察網(wǎng)絡(luò)設(shè)備的有效性、安全性達(dá)成目的協(xié)助某單位網(wǎng)絡(luò)改善網(wǎng)絡(luò)設(shè)備的安全配備，優(yōu)化其服務(wù)性能重要內(nèi)容網(wǎng)絡(luò)設(shè)備方略配備網(wǎng)絡(luò)設(shè)備的安全漏洞掃描檢測VLAN劃分設(shè)備與鏈路冗余狀況實(shí)現(xiàn)方式調(diào)查交流控制臺安全審計(jì)工具漏洞掃描工作條件電腦和網(wǎng)絡(luò)環(huán)境，單位人員和資料配合工作成果針對某單位網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)的方略配備狀況，提出改善優(yōu)化建議參加人員網(wǎng)絡(luò)管理員、業(yè)務(wù)維護(hù)員安全方略設(shè)備配備項(xiàng)目名稱安全設(shè)備評定簡要描述評定單位現(xiàn)有網(wǎng)絡(luò)設(shè)備和配備使用狀況，考察安全設(shè)備的有效性達(dá)成目的協(xié)助單位優(yōu)化安全設(shè)備的效用，生成新的安全技術(shù)和設(shè)備的配備需求重要內(nèi)容種類：防火墻數(shù)量位置方略、管理配備效用實(shí)現(xiàn)方式調(diào)查實(shí)地察看工作條件電腦和網(wǎng)絡(luò)環(huán)境，單位人員和資料配合工作成果協(xié)助單位優(yōu)化安全設(shè)備的效用，生成新的安全技術(shù)和設(shè)備的配備需求參加人員技術(shù)人員2.3技術(shù)脆弱性-應(yīng)用安全系統(tǒng)評定應(yīng)用評定概述針對公司核心應(yīng)用的安全性能進(jìn)行的評定，分析某單位應(yīng)用程序體系構(gòu)造、設(shè)計(jì)思想和功效模塊，從中可能發(fā)現(xiàn)的安全隱患。全方面的理解應(yīng)用系統(tǒng)在網(wǎng)絡(luò)上的“體現(xiàn)”，將有助于對應(yīng)用系統(tǒng)的維護(hù)與支持工作。理解單位應(yīng)用系統(tǒng)的現(xiàn)狀，發(fā)現(xiàn)存在的弱點(diǎn)和風(fēng)險(xiǎn)，作為后期改造的需求。在進(jìn)行評定的時(shí)候，引入了威脅建模的辦法，這一辦法是一種基于安全的分析，有助于我們擬定應(yīng)用系統(tǒng)造成的安全風(fēng)險(xiǎn)，以及攻擊時(shí)如何體現(xiàn)出來的。2.4管理脆弱性（1）安全管理方略項(xiàng)目名稱安全管理方略評定簡要描述評定單位現(xiàn)有安全管理方略的完善程度、合理程度；達(dá)成目的根據(jù)風(fēng)險(xiǎn)管理的有關(guān)國內(nèi)國際原則；貼近單位網(wǎng)絡(luò)內(nèi)部網(wǎng)的實(shí)際業(yè)務(wù)與應(yīng)用狀況；結(jié)合單位的實(shí)際需求，協(xié)助單位改善安全管理方法重要內(nèi)容人員組織安全管理安全規(guī)章制度安全方略方針實(shí)現(xiàn)方式調(diào)查分析廣泛交流工作條件電腦和網(wǎng)絡(luò)環(huán)境，單位人員和資料配合工作成果根據(jù)ISO17799的信息安全管理原則，結(jié)合實(shí)際需求，協(xié)助安全管理方法參加人員業(yè)務(wù)和技術(shù)負(fù)責(zé)人應(yīng)急安全管理項(xiàng)目名稱應(yīng)急安全管理簡要描述評定單位網(wǎng)絡(luò)的應(yīng)急安全管理現(xiàn)狀，涉及應(yīng)急流程、環(huán)節(jié)、能力和管理制度等達(dá)成目的精確評定某單位網(wǎng)絡(luò)應(yīng)急安全管理狀況；協(xié)助單位網(wǎng)絡(luò)提高應(yīng)急安全能力。重要內(nèi)容應(yīng)急案例應(yīng)急安全流程應(yīng)急安全環(huán)節(jié)應(yīng)急安全能力應(yīng)急管理制度實(shí)現(xiàn)方式調(diào)查交流工作條件電腦和網(wǎng)絡(luò)環(huán)境，單位人員和資料配合工作成果根據(jù)ISO17799的信息安全管理原則，結(jié)合實(shí)際需求，協(xié)助常規(guī)安全管理方法參加人員業(yè)務(wù)和技術(shù)負(fù)責(zé)人已有安全方法確認(rèn)在脆弱性識別中，發(fā)現(xiàn)已經(jīng)實(shí)施的安全脆弱性防護(hù)手段，進(jìn)行整頓。1.階段輸出本階段完畢后重要輸出文檔以下：《脆弱性賦值列表》《已有安全方法列表》綜合風(fēng)險(xiǎn)評定風(fēng)險(xiǎn)是一種潛在可能性，是指某個(gè)威脅運(yùn)用弱點(diǎn)引發(fā)某項(xiàng)資產(chǎn)或一組資產(chǎn)的損害，從而直街地或間接地引發(fā)公司或機(jī)構(gòu)的損害。因此，分先和具體資產(chǎn)、其價(jià)值、威脅等級以及有關(guān)的弱點(diǎn)直街有關(guān)。從上述的定義能夠看出，風(fēng)險(xiǎn)評定的方略是首先選定某項(xiàng)資產(chǎn)、評定資產(chǎn)價(jià)值、挖掘并評定資產(chǎn)面臨的威脅、挖掘并評定存在的弱點(diǎn)、評定該資產(chǎn)風(fēng)險(xiǎn)、進(jìn)而得出整個(gè)評定目的的風(fēng)險(xiǎn)。階段目的本階段目的是對現(xiàn)在存在的安全風(fēng)險(xiǎn)進(jìn)行分析，涉及風(fēng)險(xiǎn)計(jì)算、風(fēng)險(xiǎn)處置和風(fēng)險(xiǎn)的安全控制方法選擇。根據(jù)計(jì)算出的風(fēng)險(xiǎn)值，對風(fēng)險(xiǎn)進(jìn)行排序，并與單位共同選擇風(fēng)險(xiǎn)的處置方式和風(fēng)險(xiǎn)的安全控制方法。階段環(huán)節(jié)環(huán)節(jié)一：風(fēng)險(xiǎn)計(jì)算完畢了資產(chǎn)識別、威脅識別、脆弱性識別后，將采用適宜的辦法擬定威脅運(yùn)用脆弱性造成安全事件發(fā)生的可能性，綜合資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度來判斷安全事件一旦發(fā)生造成的損失，最后得到風(fēng)險(xiǎn)值，風(fēng)險(xiǎn)計(jì)算原理如圖所示：對風(fēng)險(xiǎn)計(jì)算原理可采用下面的范式形式化加以闡明：風(fēng)險(xiǎn)值=R(A,T,V)=R(L(Ta,Vb),F(Ia,Va))其中，R表達(dá)安全風(fēng)險(xiǎn)計(jì)算函數(shù)，A表達(dá)資產(chǎn)，T表達(dá)威脅，V表達(dá)脆弱性，Ta表達(dá)威脅出現(xiàn)的頻率，Ia表達(dá)安全事件所用的資產(chǎn)價(jià)值，Va表達(dá)脆弱性嚴(yán)重程度，Vb表達(dá)存在的脆弱性，L表達(dá)威脅運(yùn)用資產(chǎn)存在的脆弱性造成安全事件發(fā)生的可能性，F(xiàn)表達(dá)安全事件發(fā)生后產(chǎn)生的損失。有下列三個(gè)核心計(jì)算環(huán)節(jié)：（1）計(jì)算安全事件發(fā)生的可能性安全事件發(fā)生的可能性=L（威脅出現(xiàn)頻率，脆弱性）=L（Ta,Vb）（2）計(jì)算安全事件的損失計(jì)算安全事件的損失=F（資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度）=F(Ia,Va)（3）計(jì)算風(fēng)險(xiǎn)值風(fēng)險(xiǎn)值=R（安全事件發(fā)生的可能性，安全事件的損失）=R（L(Ta,Vb),F(Ia,Va))環(huán)節(jié)二：進(jìn)行風(fēng)險(xiǎn)成果鑒定擬定風(fēng)險(xiǎn)數(shù)值的大小不是組織風(fēng)險(xiǎn)評定的最后目的，重要的是明確不同威脅對資產(chǎn)產(chǎn)生的風(fēng)險(xiǎn)的相對值，即要擬定不同風(fēng)險(xiǎn)的優(yōu)先次序或等級，對于風(fēng)險(xiǎn)級別高的資產(chǎn)應(yīng)被優(yōu)先分派資源進(jìn)行保護(hù)。環(huán)節(jié)三：選擇控制方法根據(jù)風(fēng)險(xiǎn)分析的成果，綜合考慮單位信息系統(tǒng)的實(shí)際狀況、成本因素等選擇對應(yīng)的管理或技術(shù)控制手段，并結(jié)合已經(jīng)發(fā)現(xiàn)的業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)，給出整治建議。環(huán)節(jié)四：殘存風(fēng)險(xiǎn)處置對于不可接受范疇內(nèi)的風(fēng)險(xiǎn)，應(yīng)在選擇適宜的控制方法后，對殘存風(fēng)險(xiǎn)進(jìn)行評價(jià)，鑒定風(fēng)險(xiǎn)與否已經(jīng)減少到能夠接受的水平，為風(fēng)險(xiǎn)管理提供輸入。殘存風(fēng)險(xiǎn)的評價(jià)能夠根據(jù)組織風(fēng)險(xiǎn)評定的準(zhǔn)則進(jìn)行，考慮選擇的控制方法和已有的控制方法對于威脅發(fā)生的可能性減少。某些風(fēng)險(xiǎn)可能在選擇了適宜控制方法后仍處在不可接受這類風(fēng)險(xiǎn)或增加控制方法。為確保所選控制方法的有效性，必要時(shí)可進(jìn)行再評定，以判斷實(shí)施控制方法后的殘存風(fēng)險(xiǎn)與否是可被接受的。階段輸出本階段完畢后重要輸出文檔以下：《風(fēng)險(xiǎn)計(jì)算列表》《風(fēng)險(xiǎn)處置計(jì)劃方案》《風(fēng)險(xiǎn)綜合評定報(bào)告》六.風(fēng)險(xiǎn)評定結(jié)論成果交付風(fēng)險(xiǎn)評定完畢后將提交下列文檔：《風(fēng)險(xiǎn)評定綜合報(bào)告》主體報(bào)告，描述被評定信息系統(tǒng)得信息安全現(xiàn)狀，對評定范疇內(nèi)的業(yè)務(wù)資產(chǎn)進(jìn)行了分析，明確出威脅源采用何種威脅辦法，運(yùn)用了哪些脆弱性，對范疇內(nèi)的哪些資產(chǎn)產(chǎn)生了什么影響，采用何種對策進(jìn)行防備威脅，減少脆弱性，并對風(fēng)險(xiǎn)評定做出總結(jié)，總結(jié)出哪些問題需要解決，哪些問題能夠分部分期解決。（2）《資產(chǎn)賦值列表》綜合報(bào)告的子報(bào)告，描述了資產(chǎn)識別后，對資產(chǎn)進(jìn)行分類整頓，并根據(jù)其所受破壞后所造成的影響，分析出其影響權(quán)值及其重要性。（3）《威脅賦值列表》綜合報(bào)告的子報(bào)告，描述總結(jié)出評定范疇內(nèi)業(yè)務(wù)資產(chǎn)所面臨的威脅源，以及其所采用的辦法。（4）《脆弱性賦值列表》（包含《脆弱性掃描分析報(bào)告》）綜合報(bào)告的子報(bào)告，描述出通過安全管理調(diào)查、工具掃描、手工檢查進(jìn)行專業(yè)分析后，總結(jié)出評定范疇內(nèi)業(yè)務(wù)資產(chǎn)存在的脆弱性。（5）《風(fēng)險(xiǎn)處置計(jì)劃》綜合報(bào)告后的輔助報(bào)告，通過綜合分析，理解了現(xiàn)在安全現(xiàn)狀，提出了針對現(xiàn)在問題的信息系統(tǒng)總體安全解決方案。成果驗(yàn)收對風(fēng)險(xiǎn)評定成果目的進(jìn)行驗(yàn)收，在評定過程中及評定完畢后，我方提供對因評定操作引發(fā)的設(shè)備、系統(tǒng)故障的應(yīng)急響應(yīng)服務(wù)。在顧客方提出服務(wù)規(guī)定后，在1小時(shí)內(nèi)給出有效的解決方案，2小時(shí)內(nèi)解決問題；對重大故障，在8小時(shí)內(nèi)予以解決。我方將提供額外的信息安全技術(shù)服務(wù)，不額外收取費(fèi)用。服務(wù)原則我方將按照GB/T20984-《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評定規(guī)范》規(guī)定，對全市一體化在線政務(wù)服務(wù)平臺系統(tǒng)開展風(fēng)險(xiǎn)評定服務(wù)。評定內(nèi)容以下：《全市一體化在線政務(wù)服務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評定報(bào)告》，報(bào)告最少涉及下列內(nèi)容：資產(chǎn)識別與分析；威脅識別與分析；脆弱性識別與分析；已有安全方法確認(rèn)；綜合風(fēng)險(xiǎn)評定；評定結(jié)論；評定內(nèi)容（涉及但不限于下列內(nèi)容）：信息及信息載體：涉及信息（數(shù)據(jù)）資產(chǎn)、應(yīng)用資產(chǎn)、系統(tǒng)資產(chǎn)、硬件資產(chǎn)等。信息環(huán)境：涉及硬件環(huán)境、軟件環(huán)境等。根據(jù)風(fēng)險(xiǎn)評定有關(guān)技術(shù)規(guī)定，對被評定信息系統(tǒng)進(jìn)行評定分析，提出優(yōu)化改善建議，最后形成風(fēng)險(xiǎn)評定報(bào)告。報(bào)告內(nèi)容涉及：評定概述、評定對象狀況、資產(chǎn)識別與分析、威脅識別與分析、脆弱性識別與分析（如管理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)、應(yīng)急、運(yùn)維、