稅務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評估評估指南

稅務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評估評估指南稅務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評估評估指南稅務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評估評估指南“稅務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評估指南”編制說明稅務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評估指南就是為了對全稅務(wù)系統(tǒng)的信息安全風(fēng)險(xiǎn)評估工作提供實(shí)施的指導(dǎo)，從而統(tǒng)一整個(gè)稅務(wù)系統(tǒng)風(fēng)險(xiǎn)評估工作的實(shí)施辦法和工作流程，產(chǎn)生相同的工作成果，確保各地稅務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評估工作結(jié)果的可比性。稅務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評估指南對稅務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評估的過程、關(guān)鍵點(diǎn)以及工作成果等方面提出了具體的實(shí)施方法和產(chǎn)生的文檔類別和內(nèi)容。稅務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評估的內(nèi)容包括:資產(chǎn)分析，漏洞、脆弱性及弱點(diǎn)評估、威脅評估、影響與可能性分析和系統(tǒng)分析等方面。風(fēng)險(xiǎn)評估過程分為三個(gè)階段：確定資產(chǎn)的威脅概況、確定基礎(chǔ)設(shè)施風(fēng)險(xiǎn)和制定安全策略和計(jì)劃。本風(fēng)險(xiǎn)評估指南規(guī)定了風(fēng)險(xiǎn)評估項(xiàng)目組織、跟進(jìn)工作等。限定了風(fēng)險(xiǎn)評估的前提和分工。本風(fēng)險(xiǎn)評估指南共提供了六個(gè)附錄，附錄A為術(shù)語表，對本指南內(nèi)的專業(yè)術(shù)語進(jìn)行解釋，附錄B為調(diào)查問卷，對稅務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評估的調(diào)查問卷種類和內(nèi)容進(jìn)行規(guī)定，附錄C為交付文檔范例，確定了稅務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評估工作需完成的工作文檔，附錄D資產(chǎn)分類清單，對稅務(wù)系統(tǒng)內(nèi)的資產(chǎn)進(jìn)行了分類，附錄E資產(chǎn)脆弱性清單列舉了各類資產(chǎn)可能存在的脆弱性，附錄F為資產(chǎn)威脅清單，列舉了資產(chǎn)所面臨的威脅。稅務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評估指南（征求意見稿）〖作者，單位〗〖本頁是封面，按要求制作〗版號：1.0發(fā)布日期：200制定：審核：批準(zhǔn)：國家稅務(wù)總局信息中心安全處二〇〇四年六月說明〖關(guān)于本文檔的說明，留空?！侥夸浶畔⑾到y(tǒng)安全風(fēng)險(xiǎn)評估指南 1目錄 31 前言 11.1 關(guān)于本文檔 11.2 目標(biāo)讀者 11.3 文檔結(jié)構(gòu) 21.3.1 相關(guān)標(biāo)準(zhǔn) 21.3.2 相關(guān)文檔 21.4 關(guān)于術(shù)語與縮略語的約定 32 風(fēng)險(xiǎn)評估概述 32.1 基本概念 32.2 意義與作用 42.3 過程概述 42.4 工具 52.5 成功的關(guān)鍵因素 52.6 收益 62.7 面臨的挑戰(zhàn) 63 風(fēng)險(xiǎn)評估的內(nèi)容 73.1 資產(chǎn)分析 73.1.1 資產(chǎn)定義 73.1.2 資產(chǎn)類別 73.1.3 資產(chǎn)評估 83.1.4 資產(chǎn)評估的目的 83.1.5 資產(chǎn)的重要性 83.1.6 資產(chǎn)級別 93.1.7 評估實(shí)例 103.2 漏洞/脆弱性/弱點(diǎn)評估 103.2.1 弱點(diǎn)評估的目的 103.2.2 弱點(diǎn)評估的內(nèi)容 103.2.3 弱點(diǎn)評估手段 113.3 威脅評估 123.3.1 威脅定義 123.3.2 威脅分類 133.3.3 威脅屬性 133.3.4 威脅的獲取方法 143.3.5 威脅評估手段 153.3.6 威脅評估實(shí)例 153.4 影響與可能性分析 153.5 系統(tǒng)分析 163.5.1 系統(tǒng)結(jié)構(gòu)及邊界 163.5.2 信息的敏感度評估 163.6 調(diào)查問卷的結(jié)構(gòu) 173.6.1 調(diào)查系統(tǒng)控制 173.6.2 系統(tǒng)確認(rèn) 173.6.3 目的和評估者信息 173.6.4 信息的決定性 183.7 利用問卷調(diào)查結(jié)果 183.7.1 調(diào)查問卷分析 183.7.2 行動(dòng)計(jì)劃 183.8 綜合風(fēng)險(xiǎn)分析 183.8.1 風(fēng)險(xiǎn)分析矩陣 193.8.2 風(fēng)險(xiǎn)評估層面 203.8.3 風(fēng)險(xiǎn)評估實(shí)例 203.8.4 ISO17799十個(gè)域 203.9 可交付的文檔 213.9.1 信息網(wǎng)絡(luò) 213.9.2 文檔一覽 224 風(fēng)險(xiǎn)評估過程 224.1 評估過程 224.1.1 階段1：提取基于資產(chǎn)的威脅概況 224.1.2 階段2：確定基礎(chǔ)設(shè)施漏洞 234.1.3 階段3：制訂安全策略和計(jì)劃 234.2 風(fēng)險(xiǎn)評估的輸入 244.3 各階段的一般過程 244.3.1 調(diào)查與分析 244.3.2 數(shù)據(jù)/信息收集與處理 244.3.3 撰寫評估報(bào)告 244.4 風(fēng)險(xiǎn)控制 244.4.1 風(fēng)險(xiǎn)控制的方式 244.4.2 風(fēng)險(xiǎn)控制措施舉例： 254.5 風(fēng)險(xiǎn)評估項(xiàng)目 264.5.1 計(jì)劃 264.5.2 監(jiān)控與執(zhí)行 265 風(fēng)險(xiǎn)評估人員組織 285.1 評估方人員組織 285.2 被評估方人員組織 296 風(fēng)險(xiǎn)評估的跟進(jìn)工作 316.1 跟進(jìn)的重要性 316.2 有效的，合格的建議 316.3 委托事項(xiàng) 316.3.1 安全審計(jì)師 316.3.2 員工 326.3.3 管理層 326.4 監(jiān)督與跟進(jìn) 326.4.1 建立監(jiān)督與跟進(jìn)機(jī)制 326.4.2 標(biāo)識推薦并制定跟進(jìn)計(jì)劃 336.4.3 執(zhí)行主動(dòng)監(jiān)督與報(bào)告 337 風(fēng)險(xiǎn)評估的前提與分工 347.1 假設(shè)與限制 347.2 客戶責(zé)任 347.3 服務(wù)資質(zhì) 347.4 安全審計(jì)師的職責(zé) 34附錄A術(shù)語表 i附錄B調(diào)查問卷 iv附錄C交付文檔范例 vi附錄D資產(chǎn)分類清單 xiv附錄E資產(chǎn)脆弱性清單 xvi附錄F資產(chǎn)威脅清單 xviiiPAGE35前言關(guān)于本文檔信息安全風(fēng)險(xiǎn)評估是信息安全管理的主要內(nèi)容之一。本文檔不覆蓋信息安全管理的每一方面。它介紹了一個(gè)關(guān)于信息安全風(fēng)險(xiǎn)評估的一般過程。在了解這個(gè)過程后，管理層人員、IT經(jīng)理、系統(tǒng)管理員以及其他技術(shù)與運(yùn)行人員能更好地理解安全風(fēng)險(xiǎn)評估。他們應(yīng)該能夠知道需要準(zhǔn)備什么、在哪些方面應(yīng)該加以注意、會(huì)得到什么樣的結(jié)果。本文檔的目標(biāo)并不是集中在如何進(jìn)行風(fēng)險(xiǎn)評估，它更側(cè)重于提供一個(gè)參考過程來幫助核對由獨(dú)立的安全咨詢師與審計(jì)師所提供的服務(wù)的覆蓋面、方法論、交付的文檔。目標(biāo)讀者本指南為那些在其信息系統(tǒng)中支持或?qū)嵤╋L(fēng)險(xiǎn)評估的人員提供關(guān)于風(fēng)險(xiǎn)評估基礎(chǔ)，無論他們是否有經(jīng)驗(yàn)，是不是技術(shù)人員。這些人包括：高級管理人員，業(yè)務(wù)的擁有者，那些IT安全預(yù)算的決策者。信息總監(jiān)，確保為其機(jī)構(gòu)IT系統(tǒng)部署風(fēng)險(xiǎn)管理并為這些IT系統(tǒng)提供安全的人員。負(fù)責(zé)最終決策是否允許IT系統(tǒng)的運(yùn)行的人員。IT安全規(guī)劃經(jīng)理，部署安全規(guī)劃的人員。信息系統(tǒng)安全管理員（ISSO），負(fù)責(zé)IT安全的人員。用以支持IT功能的系統(tǒng)軟、硬件這些IT系統(tǒng)的擁有者。存儲(chǔ)的數(shù)據(jù)，進(jìn)程以及在IT系統(tǒng)中傳輸?shù)男畔⒌膿碛姓?。?fù)責(zé)IT生產(chǎn)的業(yè)務(wù)或功能管理人員。管理IT系統(tǒng)安全的技術(shù)支持人員（如，網(wǎng)絡(luò)，系統(tǒng)，應(yīng)用以及數(shù)據(jù)庫管理員，計(jì)算機(jī)專業(yè)人員，數(shù)據(jù)安全分析人員）。開發(fā)并維護(hù)可能影響系統(tǒng)和數(shù)據(jù)完整性代碼的IT系統(tǒng)和應(yīng)用程序員。測試并確保IT系統(tǒng)和數(shù)據(jù)完整性的IT類的保險(xiǎn)人員。審計(jì)IT系統(tǒng)的信息系統(tǒng)審計(jì)員。在風(fēng)險(xiǎn)管理中支持客戶的IT顧問。文檔結(jié)構(gòu)本文檔展示了關(guān)于信息安全風(fēng)險(xiǎn)評估的一個(gè)通用框架。它包括下面的內(nèi)容：風(fēng)險(xiǎn)評估概述風(fēng)險(xiǎn)評估的內(nèi)容風(fēng)險(xiǎn)評估過程風(fēng)險(xiǎn)評估人員組織風(fēng)險(xiǎn)評估的跟進(jìn)工作資質(zhì)要求與職責(zé)劃分相關(guān)標(biāo)準(zhǔn)以下列出一些國際、國內(nèi)關(guān)于信息安全風(fēng)險(xiǎn)評估的相關(guān)標(biāo)準(zhǔn)和規(guī)范。如：國際標(biāo)準(zhǔn)ISO17799ISO15408/CC2.1ISO13335SSE-CMMRFC2196國家標(biāo)準(zhǔn)GB/T18336-2001行業(yè)通用標(biāo)準(zhǔn)BS7799-2AS/NZS4360CVE或CN-CVE參考文獻(xiàn)C.JAlberts，S.G.Behrens，R.D.Pethia，andW.R.Wilson.Operationallycriticalthreat，asset，andvulnerabilityevaluation(octave)framework，version1.0.Technicalreport，CarnegieMellonUniversity，SoftwareEngineeringInstitute，Pittsburgh，PA，June1999.Australian/NewZealandStandardAS/NZS4360:1999:RiskManagement.Strath_eld:StandardsAustralia.CORASIST-2000-25031WebSite.http://www.nr.no/coras.24February2003.CommonCriteria.CommonCriteriaforInformationTechnologySecurityEvaluation，1999./.24February2003.ISO/IEC13335:InformationTechnology-GuidelinesforthemanagementofITSecurity.http://www.iso.ch.ISO/IEC17799:2000Informationtechnology-Codeofpractiseforinformationsecuritymanagement.關(guān)于術(shù)語與縮略語的約定風(fēng)險(xiǎn)評估：在本文中，風(fēng)險(xiǎn)評估特指“信息系統(tǒng)安全風(fēng)險(xiǎn)評估”。資產(chǎn)：在本文中，資產(chǎn)特指“信息系統(tǒng)本身作為固定資產(chǎn)的價(jià)值與它所承載的無形資產(chǎn)（數(shù)據(jù)、業(yè)務(wù)連續(xù)性等）的價(jià)值”。風(fēng)險(xiǎn)評估概述在本節(jié)中，介紹了風(fēng)險(xiǎn)評估的相關(guān)概念、一般過程、相關(guān)工具、成功的關(guān)鍵因素、收益以及面臨的挑戰(zhàn)。基本概念風(fēng)險(xiǎn)風(fēng)險(xiǎn)是一種潛在可能性，是指某個(gè)威脅利用弱點(diǎn)引起某項(xiàng)資產(chǎn)或一組資產(chǎn)的損害，從而直接地或間接地引起企業(yè)或機(jī)構(gòu)的損害。因此，風(fēng)險(xiǎn)和具體的資產(chǎn)、其價(jià)值、威脅等級以及相關(guān)的弱點(diǎn)直接相關(guān)。威脅INFOSEC-99將威脅定義為“能夠通過未授權(quán)訪問、毀壞、揭露、數(shù)據(jù)修改和/或拒絕服務(wù)對系統(tǒng)造成潛在危害的任何環(huán)境或事件”。脆弱性系統(tǒng)資產(chǎn)在相關(guān)環(huán)境中體現(xiàn)出來的，可以被威脅利用從而引發(fā)資產(chǎn)或商業(yè)目標(biāo)損害的弱點(diǎn)和漏洞。風(fēng)險(xiǎn)的屬性風(fēng)險(xiǎn)有兩個(gè)屬性：后果（Consequence）和可能性（Likelihood）。評價(jià)風(fēng)險(xiǎn)對企業(yè)的影響，也就是對風(fēng)險(xiǎn)的評估賦值是對上述兩個(gè)屬性權(quán)衡作用的結(jié)果。后果是指風(fēng)險(xiǎn)帶來的損失，可以用損失占該資產(chǎn)價(jià)值的百分比來度量?？赡苄灾革L(fēng)險(xiǎn)發(fā)生的概率，以百分比來表示。風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估是對信息系統(tǒng)進(jìn)行資產(chǎn)分析，并針對重要的資產(chǎn)進(jìn)行威脅、脆弱性的可能性調(diào)查，從而估計(jì)對業(yè)務(wù)產(chǎn)生的影響，提供適當(dāng)?shù)姆椒▉砜刂骑L(fēng)險(xiǎn)。從上述的定義可以看出，風(fēng)險(xiǎn)評估的策略是首先選定某項(xiàng)資產(chǎn)、評估資產(chǎn)價(jià)值、挖掘并評估資產(chǎn)面臨的威脅、挖掘并評估資產(chǎn)存在的弱點(diǎn)、評估該資產(chǎn)的風(fēng)險(xiǎn)、進(jìn)而得出整個(gè)評估目標(biāo)的風(fēng)險(xiǎn)。意義與作用風(fēng)險(xiǎn)管理是管理者權(quán)衡保護(hù)措施的運(yùn)行和經(jīng)濟(jì)成本與獲得的收益之間關(guān)系的一個(gè)過程。這個(gè)過程并不是IT行業(yè)所獨(dú)有的，實(shí)際上它遍及我們?nèi)粘Ｉ钪行枰龀鰶Q定的任何事情。進(jìn)行風(fēng)險(xiǎn)管理的最終目的就是要將其最小化，這也是在當(dāng)今各行各業(yè)的IT系統(tǒng)應(yīng)用中需要實(shí)施信息安全措施的根本原因。所有與安全性相關(guān)的活動(dòng)都是風(fēng)險(xiǎn)管理的組成部分?？梢哉f，風(fēng)險(xiǎn)管理貫穿于系統(tǒng)開發(fā)生命周期（SystemDevelopmentLifeCycle,SDLC）的整個(gè)過程，即初始階段、開發(fā)/獲取階段、實(shí)施階段、運(yùn)行/維護(hù)階段、優(yōu)化配置階段。風(fēng)險(xiǎn)評估則是風(fēng)險(xiǎn)管理的基礎(chǔ)，也就是系統(tǒng)的使用單位或組織判定在系統(tǒng)的整個(gè)SDLC中有關(guān)風(fēng)險(xiǎn)級別的過程。這個(gè)過程的結(jié)果是殘留風(fēng)險(xiǎn)和這個(gè)風(fēng)險(xiǎn)是否達(dá)到可接受水平的一個(gè)明確界定，或者是一個(gè)是否應(yīng)當(dāng)實(shí)施額外的安全控制以進(jìn)一步降低風(fēng)險(xiǎn)的結(jié)論。過程概述風(fēng)險(xiǎn)評估的過程分為3個(gè)階段共8個(gè)過程。階段1：提取基于資產(chǎn)的威脅概況過程1：確定高級管理層的認(rèn)識過程2：確定運(yùn)作管理層的認(rèn)識過程3：確定全體職員的認(rèn)識過程4：確定威脅輪廓階段2：確定基礎(chǔ)設(shè)施漏洞過程5：找出關(guān)鍵組件過程6：評估關(guān)鍵組件階段3：制訂安全策略和計(jì)劃過程7：實(shí)施風(fēng)險(xiǎn)分析過程8：制訂保護(hù)策略工具調(diào)查問卷調(diào)查問卷（Questionnaire）由一組相關(guān)的封閉式或開放式問題組成，用于在評估過程中獲取信息系統(tǒng)在各個(gè)層面的安全狀況，包括安全策略、組織制度、執(zhí)行情況等。遠(yuǎn)程漏洞掃描工具遠(yuǎn)程漏洞掃描工具（Scanner）是一個(gè)或一組自動(dòng)化工具，用于遠(yuǎn)程檢測系統(tǒng)可能存在的漏洞。人工審計(jì)檢查列表檢查列表（Checklist）用于人工檢查系統(tǒng)存在的各種安全弱點(diǎn)/脆弱性，它針對不同的系統(tǒng)列出待檢查的條目，以保證人工審計(jì)結(jié)果數(shù)據(jù)的完備性。安全風(fēng)險(xiǎn)評估信息庫安全風(fēng)險(xiǎn)評估信息庫用于存儲(chǔ)與處理在風(fēng)險(xiǎn)評估過程中收集到的信息。成功的關(guān)鍵因素風(fēng)險(xiǎn)評估過程總體來說是一個(gè)需要評估方與被評估方共同參與，便于被評估方理好地風(fēng)險(xiǎn)管理。因此，風(fēng)險(xiǎn)評估的成功需要雙方的良好協(xié)作。從某種程度上來說，被評估方的參與風(fēng)險(xiǎn)評估過程的態(tài)度決定是否能取得成功。在風(fēng)險(xiǎn)評估過程中，需要考慮以下方面：獲得高級管理的支持和參與確定重點(diǎn)定義過程業(yè)務(wù)和技術(shù)專家積極參與責(zé)任到人限定單次評估的范圍歸檔和維護(hù)合理利用工具考慮收益收益認(rèn)識風(fēng)險(xiǎn)通過風(fēng)險(xiǎn)評估過程，被評估方能從資產(chǎn)的角度對風(fēng)險(xiǎn)有全面、清晰的認(rèn)識，通過相應(yīng)的分析與統(tǒng)計(jì)，這些結(jié)果能在某種程度加以量化，從而為風(fēng)險(xiǎn)管理的后續(xù)過程提供決策支持。減免風(fēng)險(xiǎn)在風(fēng)險(xiǎn)評估過程的跟進(jìn)行動(dòng)中，被評估方有機(jī)會(huì)采取合適的風(fēng)險(xiǎn)控制方式來減免風(fēng)險(xiǎn)。保障業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)評估是風(fēng)險(xiǎn)管理的一個(gè)重要過程，風(fēng)險(xiǎn)管理的最終目的之一還在于保障被評估方的業(yè)務(wù)連續(xù)性。面臨的挑戰(zhàn)可靠地評估信息安全風(fēng)險(xiǎn)比評估其他類型的風(fēng)險(xiǎn)要困難得多，因?yàn)樾畔踩L(fēng)險(xiǎn)因素相關(guān)的可能性和花費(fèi)的數(shù)據(jù)非常有限，也因?yàn)轱L(fēng)險(xiǎn)因素在不斷地改變。例如：1、風(fēng)險(xiǎn)因素方面的數(shù)據(jù)非常有限，如一個(gè)有經(jīng)驗(yàn)的黑客攻擊的可能性，利用安全漏洞的安全事件引起的破壞、丟失或中斷所造成的損失2、有些損失，象失去客戶信任或敏感信息的泄露，本質(zhì)上很難量化3、盡管可以了解需要加強(qiáng)控制的硬件和軟件的成本，但常常不可能精確地估計(jì)相關(guān)的非直接的成本，如執(zhí)行新的控制時(shí)可能會(huì)導(dǎo)致生產(chǎn)力的喪失4、即使獲得了精確信息，但信息很快就會(huì)過期，因?yàn)榧夹g(shù)發(fā)展很快，入侵者可獲得更先進(jìn)的工具可靠性和即時(shí)數(shù)據(jù)的缺乏，使我們常常無法精確定義哪一個(gè)信息安全風(fēng)險(xiǎn)是最重要的，也無法比較哪一個(gè)工具是最有效的。由于這些限制，機(jī)構(gòu)選擇采用的方法是否能有效地從風(fēng)險(xiǎn)評估中受益，同時(shí)又避免花費(fèi)很大的精力去開發(fā)看似精確卻可靠性成問題的工具，顯得非常重要。風(fēng)險(xiǎn)評估的內(nèi)容風(fēng)險(xiǎn)評估的主要內(nèi)容包括三個(gè)方面：基于資產(chǎn)的估值與分析、資產(chǎn)本身存在的脆弱性的識別與分析、資產(chǎn)受到的威脅識別以及它的影響與可能性分析。資產(chǎn)分析資產(chǎn)定義資產(chǎn)是構(gòu)成整個(gè)系統(tǒng)的各種元素的組合，它直接的表現(xiàn)了這個(gè)系統(tǒng)的業(yè)務(wù)或任務(wù)的重要性，這種重要性進(jìn)而轉(zhuǎn)化為資產(chǎn)應(yīng)具有的保護(hù)價(jià)值。資產(chǎn)類別依據(jù)資產(chǎn)的屬性，主要分為以下幾個(gè)類別：信息資產(chǎn)信息資產(chǎn)主要包括各種設(shè)備以及數(shù)據(jù)庫系統(tǒng)中存儲(chǔ)的各類信息、設(shè)備和系統(tǒng)的配置信息、用戶存儲(chǔ)的各類電子文檔以及各種日志等等，信息資產(chǎn)也包括各種管理制度，而且各種打印的以及部分其他成文的文檔也屬于信息資產(chǎn)的范疇。軟件資產(chǎn)軟件資產(chǎn)包括各種專門購進(jìn)的系統(tǒng)與應(yīng)用軟件（比如操作系統(tǒng)、網(wǎng)管系統(tǒng)、辦公軟件、防火墻系統(tǒng)軟件等）、隨設(shè)備贈(zèng)送的各種配套軟件、以及自行開發(fā)的各種業(yè)務(wù)軟件等。物理資產(chǎn)物理資產(chǎn)主要包括各種主機(jī)設(shè)備（比如各類PC機(jī)、工作站、服務(wù)器等）、各種網(wǎng)絡(luò)設(shè)備（比如交換、路由、撥號設(shè)備等）、各種安全設(shè)備（比如防火墻設(shè)備、入侵檢測設(shè)備等）、數(shù)據(jù)存儲(chǔ)設(shè)備以及各類基礎(chǔ)物理設(shè)施（比如辦公樓、機(jī)房以及輔助的溫度控制、濕度控制、防火防盜報(bào)警設(shè)備等）。人員資產(chǎn)人員資產(chǎn)是各類資產(chǎn)中很難有效衡量甚至根本無法衡量的一部分，它主要包括企業(yè)內(nèi)部各類具備不同綜合素質(zhì)的人員，包括各層管理人員、技術(shù)人員以及其他的保障與維護(hù)人員等。資產(chǎn)評估資產(chǎn)評估是與風(fēng)險(xiǎn)評估相關(guān)聯(lián)的重要任務(wù)之一，資產(chǎn)評估通過分析評估對象——資產(chǎn)的各種屬性（包括經(jīng)濟(jì)影響、時(shí)間敏感性、客戶影響、社會(huì)影響和法律爭端等方面），進(jìn)而對資產(chǎn)進(jìn)行確認(rèn)、價(jià)值分析和統(tǒng)計(jì)報(bào)告，簡單的說資產(chǎn)評估是一種為資產(chǎn)業(yè)務(wù)提供價(jià)值尺度的行為。資產(chǎn)評估的目的資產(chǎn)評估的目的就是要對企業(yè)的歸類資產(chǎn)做潛在價(jià)值分析，了解其資產(chǎn)利用、維護(hù)和管理現(xiàn)狀。明確各類資產(chǎn)具備的保護(hù)價(jià)值和需要的保護(hù)層次，從而使企業(yè)能夠更合理的利用現(xiàn)有資產(chǎn)，更有效地進(jìn)行資產(chǎn)管理，更有針對性的進(jìn)行資產(chǎn)保護(hù)，最具策略性地進(jìn)行新的資產(chǎn)投入。資產(chǎn)的重要性按照what-if模型，資產(chǎn)的重要性可以分為經(jīng)濟(jì)影響、時(shí)間敏感性、客戶影響、社會(huì)影響和法律影響。級別定義經(jīng)濟(jì)影響(F)時(shí)間敏感性(T)對客戶影響(C)社會(huì)影響(S)法律影響（L）導(dǎo)致直接經(jīng)濟(jì)損失（￥）可接受的中斷時(shí)間不滿意的客戶數(shù)量會(huì)引起如下機(jī)構(gòu)的注意將涉及不同程度的法律問題510,000,000以上1小時(shí)以下50,000以上國家或國際的媒體、機(jī)構(gòu)被迫面對復(fù)雜的法律訴訟，案情由級別相當(dāng)高的法院審理，控方提出的賠付數(shù)額巨大41,000,001-10,000,0001-24小時(shí)10,001-50,000省、市級媒體、機(jī)構(gòu)提交更高級別法院立案，訴訟過程漫長3100,001-1,000,0001-3天1,001-10,000公司正式提交法院立案250,001-100,0003-10天101-1,000公司部門會(huì)有人就法律問題提出交涉150，000以下10天以上100以下幾人或工作組幾乎沒有法律問題資產(chǎn)級別依據(jù)資產(chǎn)的潛在價(jià)值以及資產(chǎn)對時(shí)間的敏感性、對客戶的影響、資產(chǎn)的社會(huì)影響和可能造成的法律爭端等各個(gè)方面，資產(chǎn)按重要性可分為五類：超核心資產(chǎn)超核心資產(chǎn)的癱瘓或損壞造成直接經(jīng)濟(jì)損失一般在1000萬元以上；超核心資產(chǎn)的時(shí)間敏感性是非常強(qiáng)的，一般來說，在其運(yùn)行過程中可接受的中斷時(shí)間是在一個(gè)小時(shí)以內(nèi)的，有的甚至只能是幾秒鐘；超核心資產(chǎn)癱瘓對客戶和社會(huì)造成的影響都是十分巨大的，可能會(huì)導(dǎo)致5萬以上的客戶不滿意，并引起國家甚至國際媒體的廣泛關(guān)注，而且超核心資產(chǎn)癱瘓將會(huì)使得企業(yè)被迫面對復(fù)雜的法律訴訟，并且案情將有級別相當(dāng)高的法院審理，控方提出的賠付數(shù)額異常巨大。核心資產(chǎn)核心資產(chǎn)的癱瘓或損壞造成直接經(jīng)濟(jì)損失一般在100萬元至1000萬元之間；核心資產(chǎn)的時(shí)間敏感性同樣是非常強(qiáng)的，一般其運(yùn)行過程中可接受的中斷時(shí)間在１-24小時(shí)之內(nèi)；核心資產(chǎn)癱瘓對客戶和社會(huì)造成的影響很巨大，可能會(huì)導(dǎo)致數(shù)萬客戶的不滿意，并引起省市級媒體和機(jī)構(gòu)的關(guān)注，而且核心資產(chǎn)癱瘓引起的法律爭端可能提交很高級別的法院立案，訴訟過程可能很漫長。高級資產(chǎn)高級資產(chǎn)的癱瘓或損壞造成的直接經(jīng)濟(jì)損失一般在10萬元至100萬元之間；高級資產(chǎn)的時(shí)間敏感性很強(qiáng)，可接受的中斷時(shí)間大概在1-3天之間；高級資產(chǎn)的癱瘓可能導(dǎo)致數(shù)千客戶的不滿意，其造成的社會(huì)影響主要集中在企業(yè)或公司的內(nèi)部，但是高級資產(chǎn)的癱瘓引起的法律爭端同樣會(huì)正式提交法院立案審理。中級資產(chǎn)中級資產(chǎn)的癱瘓或損壞造成的直接經(jīng)濟(jì)損失一般在5-10萬元之間，其時(shí)間敏感性一般，可接受的中斷時(shí)間一般在3-10天左右；中級資產(chǎn)的癱瘓可能造成數(shù)百客戶的不滿意，造成的社會(huì)影響主要集中在企業(yè)或公司的某個(gè)部門內(nèi)部，但是中級資產(chǎn)的癱瘓有一定的可能會(huì)引出法律爭端。一般資產(chǎn)一般資產(chǎn)的癱瘓或損壞造成的直接經(jīng)濟(jì)損失一般少于5萬元，其時(shí)間敏感性很弱，可接受的中斷時(shí)間在10天以上；一般資產(chǎn)的癱瘓最多可能導(dǎo)致數(shù)十客戶的不滿意，而其造成的社會(huì)影響更是微乎其微，幾乎只是在幾個(gè)人或工作組內(nèi)部，而且?guī)缀醪粫?huì)引起任何的法律爭端。評估實(shí)例一臺(tái)Cisco7513路由器，是某省省網(wǎng)出口核心，IP地址為7，OS版本為11.1（22）CC，購入單價(jià)1,100,810元。由于是全省電信IP網(wǎng)的核心路由，不允許發(fā)生中斷（中斷時(shí)間限制在秒級），一旦發(fā)生故障將造成約10,000,000元的經(jīng)濟(jì)損失，導(dǎo)致全省用戶無法訪問（用戶數(shù)>5萬），并導(dǎo)致國家及國際上的不良影響，并可能遭受客戶的控訴，帶來巨額賠償。資產(chǎn)屬性等級經(jīng)濟(jì)影響F5（>10,000,000元）時(shí)間敏感性T5（<1小時(shí)）客戶影響C5（>5萬）社會(huì)影響S5（引起國家及國際影響）法律影響L5（導(dǎo)致對客戶損失的巨額賠償）資產(chǎn)等級＝5漏洞/脆弱性/弱點(diǎn)評估弱點(diǎn)評估的目的弱點(diǎn)評估的目的是給出有可能被潛在威脅源利用的系統(tǒng)缺陷或弱點(diǎn)列表。所謂威脅源是指能夠通過系統(tǒng)缺陷和弱點(diǎn)對系統(tǒng)安全策略造成危害的主體。弱點(diǎn)評估的信息通常通過控制臺(tái)評估、咨詢系統(tǒng)管理員、網(wǎng)絡(luò)脆弱性掃描等手段收集和獲取。弱點(diǎn)評估的內(nèi)容技術(shù)漏洞的評估技術(shù)漏洞主要是指操作系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)等存在的設(shè)計(jì)和實(shí)現(xiàn)缺陷。技術(shù)漏洞的標(biāo)號以CVE漏洞列表的編號為標(biāo)準(zhǔn)；如果存在某些CVE沒有標(biāo)號的漏洞，則以國際通用的BUGTRAGID號為標(biāo)號；如果以上兩種編號都無法滿足標(biāo)號要求，則以本次統(tǒng)一的ISS漏洞入庫編號中關(guān)于無法準(zhǔn)確定義的漏洞編號為準(zhǔn)。非技術(shù)漏洞的評估非技術(shù)性漏洞主要是指系統(tǒng)的安全策略、物理和環(huán)境安全、人事安全、訪問控制、組織安全、運(yùn)行安全、系統(tǒng)開發(fā)和維護(hù)、業(yè)務(wù)連續(xù)性管理、遵循性等方面存在的不足或者缺陷。弱點(diǎn)評估手段弱點(diǎn)評估可以采取多種手段，下面建議了常用的四種。即：網(wǎng)絡(luò)掃描主機(jī)審計(jì)網(wǎng)絡(luò)審計(jì)滲透測試其中，需要注意滲透測試的風(fēng)險(xiǎn)較其它幾種手段要大得多，在實(shí)際評估中需要斟酌使用。網(wǎng)絡(luò)掃描項(xiàng)目名稱漏洞掃描評估簡要描述利用掃描工具檢查整個(gè)網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)的主機(jī)系統(tǒng)與數(shù)據(jù)庫系統(tǒng)的漏洞情況達(dá)成目標(biāo)發(fā)掘網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)的安全漏洞，提出漏洞修補(bǔ)建議主要內(nèi)容采用多種漏洞掃描系統(tǒng)軟件實(shí)現(xiàn)方式大規(guī)模的漏洞掃描工作條件4-6人工作環(huán)境，2臺(tái)Win2000PC，電源和網(wǎng)絡(luò)環(huán)境，客戶人員和資料配合工作結(jié)果網(wǎng)絡(luò)內(nèi)部網(wǎng)網(wǎng)絡(luò)漏洞列表，掃描評估結(jié)果報(bào)告，所需時(shí)間80臺(tái)/工作日參加人員評估小組、網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員、數(shù)據(jù)庫管理人員主機(jī)審計(jì)項(xiàng)目名稱主機(jī)審計(jì)簡要描述作為網(wǎng)絡(luò)掃描的輔助手段，登陸系統(tǒng)控制臺(tái)檢查系統(tǒng)的安全配置情況達(dá)成目標(biāo)檢測系統(tǒng)的安全配置情況，發(fā)掘配置隱患主要內(nèi)容操作系統(tǒng)控制臺(tái)審計(jì)數(shù)據(jù)庫系統(tǒng)控制臺(tái)審計(jì)實(shí)現(xiàn)方式手工登錄操作工作條件4-6人工作環(huán)境，2臺(tái)Win2000PC，電源和網(wǎng)絡(luò)環(huán)境，客戶人員和資料配合工作結(jié)果網(wǎng)絡(luò)內(nèi)部網(wǎng)抽樣主機(jī)審計(jì)報(bào)告所需時(shí)間10臺(tái)/工作日參加人員評估小組、系統(tǒng)管理人員、數(shù)據(jù)庫管理人員網(wǎng)絡(luò)審計(jì)項(xiàng)目名稱網(wǎng)絡(luò)安全審計(jì)簡要描述IDS作為一個(gè)實(shí)時(shí)入侵檢測工具，是安全威脅信息收集過程中的一種重要手段，其數(shù)據(jù)是網(wǎng)絡(luò)的整體安全的重要的參考依據(jù)之一。達(dá)成目標(biāo)檢測網(wǎng)絡(luò)的安全運(yùn)行情況，發(fā)掘配置隱患主要內(nèi)容入侵檢測系統(tǒng)在關(guān)鍵點(diǎn)部署入侵檢測系統(tǒng)試運(yùn)行入侵檢測系統(tǒng)報(bào)告匯兌及分析實(shí)現(xiàn)方式在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)部署IDS，集中監(jiān)控工作條件每個(gè)部署點(diǎn)2-3人工作環(huán)境，1臺(tái)Win2000PC作為IDS控制臺(tái)，電源和網(wǎng)絡(luò)環(huán)境，客戶人員和資料配合工作結(jié)果網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估項(xiàng)目IDS分析報(bào)告所需時(shí)間5工作日參加人員評估小組、網(wǎng)絡(luò)管理人員滲透測試項(xiàng)目名稱滲透測試簡要描述利用人工模擬黑客攻擊方式發(fā)現(xiàn)網(wǎng)絡(luò)、系統(tǒng)的漏洞達(dá)成目標(biāo)檢測系統(tǒng)的安全配置情況，發(fā)掘配置隱患主要內(nèi)容后門利用測試DDos強(qiáng)度測試強(qiáng)口令攻擊測試實(shí)現(xiàn)方式全手工實(shí)現(xiàn)工作條件2-3人工作環(huán)境，電源和網(wǎng)絡(luò)環(huán)境工作結(jié)果網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估項(xiàng)目白客報(bào)告所需時(shí)間3工作日參加人員評估小組威脅評估威脅定義威脅是引起不期望事件從而對資產(chǎn)造成損害的潛在可能性。威脅可能源于對企業(yè)信息直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在機(jī)密性、完整性或可用性等方面造成損害。威脅也可能源于偶發(fā)的、或蓄意的事件。一般來說，威脅總是要利用企業(yè)網(wǎng)絡(luò)中的系統(tǒng)、應(yīng)用或服務(wù)的弱點(diǎn)才可能成功地對資產(chǎn)造成傷害。從宏觀上講，威脅按照產(chǎn)生的來源可以分為非授權(quán)蓄意行為、不可抗力、人為錯(cuò)誤、以及設(shè)施/設(shè)備錯(cuò)誤等。威脅分類對安全威脅進(jìn)行分類的方式有多種多樣，最常見的分類方法主要有根據(jù)安全威脅的性質(zhì)進(jìn)行劃分和對安全威脅產(chǎn)生的來源和原因進(jìn)行劃分。參照國際通行做法和專家經(jīng)驗(yàn)，本項(xiàng)目中我們將采用上述兩種方法進(jìn)行安全威脅分析。根據(jù)威脅的性質(zhì)和類型劃分分類一將嚴(yán)格參照ISO-15408/GB/T-18336中的定義對安全威脅的性質(zhì)和類型進(jìn)行劃分，可以分為以下幾個(gè)方面：威脅分類威脅描述Backdoor各種后門和遠(yuǎn)程控制軟件，例如BO、Netbus等BruteForce通過各種途徑對密碼進(jìn)行暴力破解Daemons服務(wù)器中各種監(jiān)守程序產(chǎn)生弱點(diǎn)，例如amd,nntp等Firewalls各種防火墻及其代理產(chǎn)生的安全弱點(diǎn)，例如GauntletFirewallCyberPatrol內(nèi)容檢查弱點(diǎn)InformationGathering各種由于協(xié)議或配置不當(dāng)造成信息泄露弱點(diǎn)，例如finger或rstat的輸出NTRelated微軟公司NT操作系統(tǒng)相關(guān)安全弱點(diǎn)ProtocolSpoofing協(xié)議中存在的安全弱點(diǎn)，例如TCP序列號猜測弱點(diǎn)Management與管理相關(guān)的安全弱點(diǎn)根據(jù)威脅產(chǎn)生的來源劃分參照BS-7799/ISO-17799中的定義對安全威脅的產(chǎn)生來源和原因進(jìn)行劃分，可以分為以下幾個(gè)方面：IDThreatByDescription1非授權(quán)故意行為Deliberateunauthorizedactionsbypeople2人為錯(cuò)誤Errorsbypeople3軟件、設(shè)備、線路故障Software/equipment/linefailure4不可抗力ActsofGod威脅屬性威脅具有兩個(gè)屬性：可能性（Likelihood）、影響（Impact）。進(jìn)一步，可能性和影響可以被賦予一個(gè)數(shù)值，來表示該屬性。參照下表。表一：可能性屬性賦值參考表賦值簡稱說明4VH不可避免（>90%）3H非常有可能（70%~90%）2M可能（20%~70%）1L可能性很?。?lt;20%）0N不可能（~0%）表二：影響賦值參考表賦值簡稱說明4VH資產(chǎn)全部損失，或資產(chǎn)已不可用（>75%）3H資產(chǎn)遭受重大損失（50%~75%）2M資產(chǎn)遭受明顯損失（25%~50%）1L損失可忍受（<25%）0N損失可忽略（~0%）可能性屬性非常難以度量，它依賴于具體的資產(chǎn)、弱點(diǎn)。而影響也依賴于具體資產(chǎn)的價(jià)值、分類屬性。并且，這兩個(gè)屬性都和時(shí)間有關(guān)系，也就是說，具體的威脅評估結(jié)果會(huì)隨著時(shí)間的變動(dòng)而需要重新審核。在威脅評估中，評估者的專家經(jīng)驗(yàn)非常重要。參照下面的矩陣進(jìn)行威脅賦值：表三：威脅分析矩陣影響可能性可忽略0可忍受1明顯損失2重大損失3全部損失4不可避免401234非常可能301233可能201122可能性很小100111不可能000001威脅的獲取方法威脅獲取的方法有：滲透測試（PenetrationTesting）、安全策略文檔審閱、人員面談、入侵檢測系統(tǒng)收集的信息和人工分析等。評審員（專家）可以根據(jù)具體的評估對象、評估目的選擇具體的安全威脅獲取方式。威脅發(fā)現(xiàn)方法列表如下：IDFindModeDescription1訪談通過和資產(chǎn)所有人、負(fù)責(zé)管理人員進(jìn)行訪談2人工分析根據(jù)專家經(jīng)驗(yàn)，從已知的數(shù)據(jù)中進(jìn)行分析3IDS通過入侵監(jiān)測系統(tǒng)在一段時(shí)間內(nèi)監(jiān)視網(wǎng)絡(luò)上的安全事件來獲得數(shù)據(jù)4滲透測試通過滲透測試方法來測試弱點(diǎn)，證實(shí)威脅5安全策略文檔分析安全策略文檔分析6安全審計(jì)依照IS017799,通過一套審計(jì)問題列表問答的方式來分析弱點(diǎn)7事件記錄對已有歷史安全事件記錄進(jìn)行分析威脅評估手段歷史事件審計(jì)網(wǎng)絡(luò)威脅評估系統(tǒng)威脅評估業(yè)務(wù)威脅評估威脅評估實(shí)例某資產(chǎn)（服務(wù)類）面臨攻擊和訪問類威脅；同時(shí)存在遠(yuǎn)程緩沖區(qū)溢出弱點(diǎn)，該弱點(diǎn)可以導(dǎo)致遠(yuǎn)程攻擊者直接獲得服務(wù)所在宿主機(jī)的超級用戶權(quán)限；該弱點(diǎn)的利用程序（Exploit）于互聯(lián)網(wǎng)上面發(fā)表已經(jīng)多個(gè)星期，幾乎可以認(rèn)為所有攻擊者都可以得到該利用程序；該攻擊利用程序運(yùn)行簡單，可以認(rèn)為大多數(shù)攻擊者都可以成功地執(zhí)行該利用程序；該資產(chǎn)當(dāng)前的安全控制中，沒有對該弱點(diǎn)的保護(hù)；所以可以認(rèn)為該資產(chǎn)面臨的威脅的影響為VH（資產(chǎn)全部損失）、可能性為H（非常有可能）。整體上，資產(chǎn)處于高度威脅之中。影響與可能性分析風(fēng)險(xiǎn)也存在兩個(gè)屬性：后果（Consequence）和可能性（Likelihood）。最終風(fēng)險(xiǎn)對企業(yè)的影響，也就是對風(fēng)險(xiǎn)的評估賦值是對上述兩個(gè)屬性權(quán)衡作用的結(jié)果。不同的資產(chǎn)面臨的主要威脅各不相同。而隨著威脅可以利用的、資產(chǎn)存在的弱點(diǎn)數(shù)量的增加會(huì)增加風(fēng)險(xiǎn)的可能性，隨著弱點(diǎn)類別的提高會(huì)增加該資產(chǎn)面臨風(fēng)險(xiǎn)的后果。在許多情況下，某資產(chǎn)風(fēng)險(xiǎn)的可能性是面臨的威脅的可能性和資產(chǎn)存在的脆弱性的函數(shù)，而風(fēng)險(xiǎn)的后果是資產(chǎn)的價(jià)值和威脅的影響的函數(shù)。目前采用的算式如下：風(fēng)險(xiǎn)值=資產(chǎn)價(jià)值×威脅影響×威脅可能性×資產(chǎn)弱點(diǎn)等級從資產(chǎn)面臨的若干個(gè)子風(fēng)險(xiǎn)中，評估者從自己的經(jīng)驗(yàn)出發(fā)得出該資產(chǎn)面臨的整體風(fēng)險(xiǎn)。系統(tǒng)分析系統(tǒng)結(jié)構(gòu)及邊界網(wǎng)絡(luò)結(jié)構(gòu)分析是風(fēng)險(xiǎn)評估中對業(yè)務(wù)系統(tǒng)安全性進(jìn)行全面了解的基礎(chǔ)，一個(gè)業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)是整個(gè)業(yè)務(wù)系統(tǒng)的承載基礎(chǔ)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)存在的安全性、網(wǎng)絡(luò)負(fù)載問題，網(wǎng)絡(luò)設(shè)備存在的安全性，抗攻擊的問題是整個(gè)業(yè)務(wù)系統(tǒng)評估的重要環(huán)節(jié)。對評估對象的物理網(wǎng)絡(luò)結(jié)構(gòu)，邏輯網(wǎng)絡(luò)結(jié)構(gòu)及網(wǎng)絡(luò)的關(guān)鍵設(shè)備進(jìn)行評估(基本信息包括網(wǎng)絡(luò)帶寬、協(xié)議、硬件、Internet接入、地理分布方式和網(wǎng)絡(luò)管理)，發(fā)現(xiàn)存在的安全性，合理性，使用效率等方面的問題。結(jié)合業(yè)務(wù)體系、系統(tǒng)體系等結(jié)構(gòu)的檢查邏輯網(wǎng)絡(luò)，由什么物理網(wǎng)絡(luò)組成以及網(wǎng)絡(luò)的關(guān)鍵設(shè)備的位置所在對于保持網(wǎng)絡(luò)的安全是非常重要的。另外，鑒定關(guān)鍵網(wǎng)絡(luò)拓?fù)洌瑢τ诔晒Φ貙?shí)施基于網(wǎng)絡(luò)的風(fēng)險(xiǎn)管理方案是很關(guān)鍵的。網(wǎng)絡(luò)結(jié)構(gòu)分析能夠做到：改善網(wǎng)絡(luò)性能和利用率,使之滿足業(yè)務(wù)系統(tǒng)需要提供有關(guān)擴(kuò)充網(wǎng)絡(luò)、增加IT投資和提高網(wǎng)絡(luò)穩(wěn)定性的信息幫助用戶降低風(fēng)險(xiǎn),改善網(wǎng)絡(luò)運(yùn)行效率,提高網(wǎng)絡(luò)的穩(wěn)定性確保網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行對網(wǎng)絡(luò)環(huán)境、性能、故障和配置進(jìn)行檢查信息的敏感度評估信息是一種重要的無形資產(chǎn)，它與有形資產(chǎn)一起構(gòu)成資產(chǎn)的全體。對于信息資產(chǎn)的保護(hù)首先需要進(jìn)行分級處理，即按信息的敏感度來劃分。因此，信息的敏感度評估可以大致劃分為如下步驟：調(diào)查是否對數(shù)據(jù)根據(jù)其敏感程度進(jìn)行了必要的分級分級是否合理不同敏感程度的數(shù)據(jù)是否得到了適當(dāng)?shù)谋Ｗo(hù)是否定義了數(shù)據(jù)泄漏或破壞的事后處理措施調(diào)查問卷的結(jié)構(gòu)調(diào)查問卷包括三部分：封面目錄，問題和注釋。調(diào)查系統(tǒng)可以從描述被評估的主要應(yīng)用程序和通用支持系統(tǒng)或一組相互關(guān)聯(lián)的系統(tǒng)開始。調(diào)查系統(tǒng)控制所有完成的調(diào)查問卷都應(yīng)該根據(jù)機(jī)構(gòu)政策決定的敏感性程度來評論，處理和控制。要注意到的是，包含在完成調(diào)查問卷中的信息能很容易描述一個(gè)系統(tǒng)或是一組系統(tǒng)容易受到攻擊的地方。系統(tǒng)確認(rèn)調(diào)查問卷的封面是由被評估系統(tǒng)的名稱和主題開始的。如NIST特別出版物800-18中所提到的，每一個(gè)主要應(yīng)用程序或普遍支持系統(tǒng)都應(yīng)該被安排一個(gè)唯一的名稱/標(biāo)志符。為每一個(gè)系統(tǒng)安排唯一的標(biāo)志符確立和系統(tǒng)相適應(yīng)的安全需要，還有助于分配的資源能夠被充分的利用。在很多情況下，主要應(yīng)用程序和一般支持系統(tǒng)包括互相關(guān)聯(lián)的系統(tǒng)?；ハ嚓P(guān)聯(lián)的系統(tǒng)都應(yīng)該被列出來。一旦評估完成，就應(yīng)該做一個(gè)關(guān)于邊界控制是否起作用的判定，并且把它記錄在封皮目錄中。邊界控制是評估的一部分，如果邊界控制不合適，對于相互關(guān)聯(lián)系統(tǒng)的評估也會(huì)不合適。在系統(tǒng)名稱和題目下面的橫線上需要評估員寫上系統(tǒng)類型，（普遍支持還是主要應(yīng)用）。如果一個(gè)政府機(jī)構(gòu)有新增設(shè)的系統(tǒng)樣式或是系統(tǒng)類型，也就是說決定性目標(biāo)或者非決定性目標(biāo)。表單需要重新指定來包含它們。目的和評估者信息評估的目的和對象應(yīng)該是確定的。例如，評估進(jìn)行了很多細(xì)節(jié)檢查要得到一個(gè)高級別的系統(tǒng)安全指示或是為了完善行動(dòng)計(jì)劃增強(qiáng)系統(tǒng)的徹底性和可信度。名字，題目和從事評估的機(jī)構(gòu)也要被列出來，機(jī)構(gòu)應(yīng)該重新制定相應(yīng)的替代頁。評估開始和完成時(shí)候的數(shù)據(jù)也要列出來。完成評估所需要的時(shí)間是可變的。完成評估所需要的資源和時(shí)間取決于系統(tǒng)的大小和復(fù)雜程度，系統(tǒng)和用戶數(shù)據(jù)的親和性，以及評估員可以利用多少信息進(jìn)行評估。例如，一個(gè)系統(tǒng)進(jìn)行了廣泛的測試，認(rèn)證，和證據(jù)資源的自我評估，在以后的評估中就可以很容易把他作為主線使用和服務(wù)。如果一個(gè)系統(tǒng)只經(jīng)過有限的測試和只有很好的證據(jù)資源，完成調(diào)查系統(tǒng)則需要更長的時(shí)間。信息的決定性由程序員和系統(tǒng)所有者決定的信息的敏感級別應(yīng)該在調(diào)查表單中的表格形成文件。如果一個(gè)機(jī)構(gòu)設(shè)計(jì)了它們自己的判定系統(tǒng)的決定性或是敏感性的方法，就要用機(jī)構(gòu)的決定性或是敏感性的類型代替表格。文件敏感性的程度是建立在支持高風(fēng)險(xiǎn)操作系統(tǒng)要比支持低風(fēng)險(xiǎn)操作系統(tǒng)有更多嚴(yán)格控制的基礎(chǔ)上的。利用問卷調(diào)查結(jié)果調(diào)查問卷分析完成評估的人員也可以處理對完成的調(diào)查問卷的分析工作。和系統(tǒng)很類似，支持文件，評估結(jié)果，和評估者下一步要做的也是一個(gè)總結(jié)了調(diào)查結(jié)果的分析。一個(gè)集中的機(jī)構(gòu)，比如說，一個(gè)政府機(jī)構(gòu)信息系統(tǒng)安全程序辦公室也可以處理對存在的支持文件的分析工作。分析結(jié)果將寫在行動(dòng)計(jì)劃中，而且為了反映每一個(gè)控制對象和手法的決策，也應(yīng)該創(chuàng)建或是更新系統(tǒng)安全計(jì)劃。行動(dòng)計(jì)劃一個(gè)決定性因素是如何被應(yīng)用的，也就是說，具體步驟的記錄，設(shè)備的安裝調(diào)試和員工的培訓(xùn)都應(yīng)該被納入到行動(dòng)計(jì)劃的檔案管理中。行動(dòng)計(jì)劃必須包括計(jì)劃數(shù)據(jù)，資源分配，和補(bǔ)充的復(fù)查以保證修改后的行動(dòng)能起作用。在找出系統(tǒng)弱點(diǎn)的行動(dòng)計(jì)劃的狀況盒子員需要等方面，還需要遵循以前管理員的經(jīng)驗(yàn)。綜合風(fēng)險(xiǎn)分析從風(fēng)險(xiǎn)的定義可以看出，風(fēng)險(xiǎn)評估的策略是首先選定某項(xiàng)資產(chǎn)、評估資產(chǎn)價(jià)值、挖掘并評估資產(chǎn)面臨的威脅、挖掘并評估資產(chǎn)存在的弱點(diǎn)、評估該資產(chǎn)的風(fēng)險(xiǎn)、進(jìn)而得出整個(gè)評估目標(biāo)的風(fēng)險(xiǎn)。安全風(fēng)險(xiǎn)評估需要明確：需要保護(hù)的資源保護(hù)這些資源免除哪些威脅威脅方威脅的可能性威脅所造成的（直接）損失消除威脅所需消耗的資源風(fēng)險(xiǎn)模型如下：風(fēng)險(xiǎn)分析矩陣可以根據(jù)風(fēng)險(xiǎn)信息和數(shù)據(jù)，對風(fēng)險(xiǎn)分析予以不同程度的改進(jìn)。視情況而定，風(fēng)險(xiǎn)分析可以是定性分析、半定量分析或定量分析，或者是這些分析的結(jié)合。如果按遞升次序?qū)⑦@些分析的復(fù)雜性和成本加以排列的話，將會(huì)是：定性分析、半定量、定量。實(shí)際上，定性分析往往首先被采用，來得到風(fēng)險(xiǎn)程度的總的提示。根據(jù)半定量分析方法，來獲得總體風(fēng)險(xiǎn)程度。采用下面的賦值矩陣來獲得最終的風(fēng)險(xiǎn)風(fēng)險(xiǎn)程度和措施數(shù)值符號含義建議處置、措施備注128-256E極度風(fēng)險(xiǎn)要求立即采取措施：避免？轉(zhuǎn)移？減小？需要具體資產(chǎn)信息64-127H高風(fēng)險(xiǎn)需要高級管理部門的注意：避免？轉(zhuǎn)移？減小？需要具體資產(chǎn)信息4-63M中等風(fēng)險(xiǎn)必須規(guī)定管理責(zé)任：避免？接受？轉(zhuǎn)移？減?。啃枰唧w資產(chǎn)信息0-3L低風(fēng)險(xiǎn)用日常程序處理：避免？接受？轉(zhuǎn)移？減??？需要具體資產(chǎn)信息風(fēng)險(xiǎn)評估層面技術(shù)風(fēng)險(xiǎn)評估資產(chǎn)風(fēng)險(xiǎn)評估系統(tǒng)風(fēng)險(xiǎn)評估業(yè)務(wù)風(fēng)險(xiǎn)評估管理風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估實(shí)例IOS12.0-r1-s-shsh-1（服務(wù)類）經(jīng)過資產(chǎn)評估被賦值（3.7：很高價(jià)值）；面臨的威脅之為：未授權(quán)的惡意的路由更新,路由更新欺詐；存在較高等級弱點(diǎn)（3）：BGP和IS-IS沒有進(jìn)行neighbourauthentication；綜合各種因素，威脅可能性被賦值為（2）；威脅的影響被賦值為（3）；按照前述算法可以得出：風(fēng)險(xiǎn)值＝3.7x3.0x2.0x3=66.6風(fēng)險(xiǎn)后果=3.7x3.0=11.1風(fēng)險(xiǎn)可能性=2.0x3=6整體風(fēng)險(xiǎn)最終被賦值：66.6，從前面的風(fēng)險(xiǎn)矩陣可以查得該資產(chǎn)處于高風(fēng)險(xiǎn)之中。建議立即采取措施，進(jìn)行“避免/轉(zhuǎn)移/減小”等風(fēng)險(xiǎn)處置。ISO17799十個(gè)域安全策略安全組織資產(chǎn)分類和控制人員安全物理與環(huán)境的安全通訊與操作的安全訪問控制系統(tǒng)開發(fā)與維護(hù)業(yè)務(wù)連續(xù)性管理遵循性可交付的文檔信息網(wǎng)絡(luò)《遠(yuǎn)程風(fēng)險(xiǎn)評估報(bào)告》，包括以下內(nèi)容。1)網(wǎng)絡(luò)及系統(tǒng)漏洞統(tǒng)計(jì)歸納分析，按設(shè)備種類（網(wǎng)絡(luò)設(shè)備、服務(wù)器、其他主機(jī)）進(jìn)行總結(jié)歸納，并給出圖形化的分析結(jié)果，并按IP地址給出具體的漏洞列表。2)給出詳細(xì)的漏洞信息描述，包含所有已知漏洞的名稱、描述、風(fēng)險(xiǎn)級別、演變過程、受影響系統(tǒng)、危害、詳細(xì)的解決辦法和操作步驟等?！侗镜仫L(fēng)險(xiǎn)評估報(bào)告》，包括以下內(nèi)容：1)資產(chǎn)評估，至少包含以下資產(chǎn)的評估：信息資產(chǎn)、物質(zhì)資產(chǎn)、軟件資產(chǎn)、服務(wù)、設(shè)備、人員。2)漏洞評估，至少包括以下方面的漏洞分析：物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)服務(wù)、網(wǎng)管系統(tǒng)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用系統(tǒng)、安全系統(tǒng)、安全相關(guān)人員、處理流程、安全管理制度、安全策略。3)威脅評估，至少包括以下方面的威脅分析：物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)服務(wù)、網(wǎng)管實(shí)現(xiàn)方式、計(jì)費(fèi)實(shí)現(xiàn)方式、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用系統(tǒng)、安全系統(tǒng)、安全相關(guān)人員、處理流程、安全管理制度、安全策略。4)風(fēng)險(xiǎn)評估，說明風(fēng)險(xiǎn)計(jì)算方法，至少包括以下方面的風(fēng)險(xiǎn)分析：物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)服務(wù)、網(wǎng)管實(shí)現(xiàn)方式、計(jì)費(fèi)實(shí)現(xiàn)方式、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用系統(tǒng)、安全系統(tǒng)、安全相關(guān)人員、處理流程、安全管理制度、安全策略?！栋踩呗越ㄗh》：根據(jù)網(wǎng)絡(luò)安全現(xiàn)狀，提供安全策略建議，要求至少包括如下方面的建議：人員組織、安全管理（包括工程建設(shè)期間）、訪問控制、網(wǎng)絡(luò)管理、數(shù)據(jù)安全、緊急響應(yīng)。請應(yīng)答方說明策略制訂、修改的依據(jù)，供需求方參考?！栋踩鉀Q方案建議》：對現(xiàn)有網(wǎng)絡(luò)系統(tǒng)提出全面的安全解決方案建議，至少包括如下方面：物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)服務(wù)、網(wǎng)管系統(tǒng)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用系統(tǒng)、安全系統(tǒng)、安全相關(guān)人員、處理流程、安全管理（包括工程建設(shè)期間）制度、安全策略。要求對所建議的方案進(jìn)行投資估算，并說明所提供方案對現(xiàn)有網(wǎng)絡(luò)的改動(dòng)情況，對服務(wù)和性能的影響程度。如需使用安全產(chǎn)品，請描述所需產(chǎn)品的功能和性能要求，但不能限定產(chǎn)品的廠家和型號。文檔一覽《資產(chǎn)評估部分》《漏洞評估部分》《威脅評估部分》《風(fēng)險(xiǎn)評估部分》《安全策略建議部分》《安全解決方案部分》風(fēng)險(xiǎn)評估過程風(fēng)險(xiǎn)評估的過程也是圍繞這三個(gè)方面來展開，經(jīng)歷調(diào)查與分析、數(shù)據(jù)/信息收集與處理、撰寫評估報(bào)告三個(gè)階段。此外，風(fēng)險(xiǎn)評估通常還包括一個(gè)非常重要的跟進(jìn)過程，在這個(gè)過程中根據(jù)風(fēng)險(xiǎn)評估的結(jié)果給出安全建設(shè)方面的建議并監(jiān)督執(zhí)行。評估過程評估過程分為3個(gè)階段共8個(gè)過程。階段1：提取基于資產(chǎn)的威脅概況確定高級管理層的認(rèn)識(P1)目的：明確企業(yè)高層管理人員對企業(yè)重要資產(chǎn)的認(rèn)識，對資產(chǎn)如何受到威脅的了解，以及資產(chǎn)的安全需求，現(xiàn)在已經(jīng)采取得保護(hù)措施以及和保護(hù)該資產(chǎn)相關(guān)的問題。人員：風(fēng)險(xiǎn)評估小組以及企業(yè)高層管理人員確定運(yùn)作管理層的認(rèn)識(P2)目的：明確企業(yè)運(yùn)作管理人員對企業(yè)重要資產(chǎn)的認(rèn)識，對資產(chǎn)如何受到威脅的了解，以及資產(chǎn)的安全需求，現(xiàn)在已經(jīng)采取得保護(hù)措施以及和保護(hù)該資產(chǎn)相關(guān)的問題。人員：風(fēng)險(xiǎn)評估小組以及企業(yè)運(yùn)作管理人員確定全體職員的認(rèn)識(P3)目的：明確企業(yè)職員對企業(yè)重要資產(chǎn)的認(rèn)識，對資產(chǎn)如何受到威脅的了解，以及資產(chǎn)的安全需求，現(xiàn)在已經(jīng)采取得保護(hù)措施以及和保護(hù)該資產(chǎn)相關(guān)的問題。人員：風(fēng)險(xiǎn)評估小組以抽選的企業(yè)職員代表建立威脅輪廓(P4)目的：根據(jù)階段1－3明確企業(yè)的關(guān)鍵資產(chǎn)，描述關(guān)鍵資產(chǎn)的安全需求，標(biāo)識關(guān)鍵資產(chǎn)面臨的威脅。人員：風(fēng)險(xiǎn)評估小組階段2：確定基礎(chǔ)設(shè)施漏洞找出關(guān)鍵組件(P5)目的：識別和劃分需要評估的基礎(chǔ)資產(chǎn)的類別，并從每個(gè)類別中抽樣選擇一個(gè)或多個(gè)基礎(chǔ)資產(chǎn)，然后選用適當(dāng)?shù)姆椒ê陀行У墓ぞ邔ζ溥M(jìn)行脆弱性評估。人員：風(fēng)險(xiǎn)評估小組以及企業(yè)核心IT技術(shù)人員。評估關(guān)鍵組件(P6)目的：識別技術(shù)上的脆弱性，并對結(jié)果進(jìn)行總結(jié)和概括。人員：風(fēng)險(xiǎn)評估小組以及企業(yè)核心IT技術(shù)人員。階段3：制訂安全策略和計(jì)劃實(shí)施風(fēng)險(xiǎn)分析(P7)目的：定義威脅產(chǎn)生的影響（標(biāo)識風(fēng)險(xiǎn)），制定評估標(biāo)準(zhǔn)，對每個(gè)風(fēng)險(xiǎn)進(jìn)行分級（高、中、低）。人員：風(fēng)險(xiǎn)評估小組制訂保護(hù)策略(P8)目的：為企業(yè)制定保護(hù)策略，降低關(guān)鍵資產(chǎn)風(fēng)險(xiǎn)的方案，以及短期內(nèi)的措施清單。人員：風(fēng)險(xiǎn)評估小組風(fēng)險(xiǎn)評估的輸入各階段的一般過程調(diào)查與分析調(diào)查與分析是參與風(fēng)險(xiǎn)評估的雙方就資產(chǎn)、弱點(diǎn)、威脅達(dá)成一致認(rèn)識的重要手段。調(diào)查與分析需要花費(fèi)大量的時(shí)間用于確認(rèn)相關(guān)信息，因此，合理利用調(diào)查問卷可以事半功倍。數(shù)據(jù)/信息收集與處理在評估過程中，有大量的數(shù)據(jù)需要以合理的結(jié)構(gòu)存儲(chǔ)并利用自動(dòng)化的工具來處理。安全信息庫是進(jìn)行數(shù)據(jù)/信息收集與處理的一種非常有效的工具。撰寫評估報(bào)告在正確地處理各種評估數(shù)據(jù)的基礎(chǔ)上，根據(jù)統(tǒng)計(jì)與分析的初步結(jié)果，利用風(fēng)險(xiǎn)計(jì)算矩陣計(jì)算各資產(chǎn)的風(fēng)險(xiǎn)值以及整個(gè)系統(tǒng)的綜合風(fēng)險(xiǎn)值。撰寫評估報(bào)告需要在這種定量分析的基礎(chǔ)上找出風(fēng)險(xiǎn)的屬性之間的關(guān)系，陳述綜合分析結(jié)果。風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)控制的目的是保護(hù)資產(chǎn)，提高企業(yè)的業(yè)務(wù)連續(xù)性和價(jià)值，達(dá)到企業(yè)的安全目標(biāo)和業(yè)務(wù)目標(biāo)。風(fēng)險(xiǎn)控制可能需要付出一定代價(jià)或者增加成本。風(fēng)險(xiǎn)控制的方式風(fēng)險(xiǎn)控制的方式有如下幾種：消除風(fēng)險(xiǎn)：在某些情況下，可以決定通過管理或技術(shù)控制措施完全消除風(fēng)險(xiǎn)的可能性或風(fēng)險(xiǎn)的后果，從而能夠完全避免風(fēng)險(xiǎn)。這主要適用于一些技術(shù)性弱點(diǎn)而引起的風(fēng)險(xiǎn)。降低風(fēng)險(xiǎn)可能性：在某些情況下，可以決定通過合同、要求、規(guī)范、法律、監(jiān)察、管理、測試、技術(shù)開發(fā)、技術(shù)控制等措施來減小風(fēng)險(xiǎn)的可能性，來達(dá)到減小風(fēng)險(xiǎn)的目的。減小風(fēng)險(xiǎn)的后果或影響：在某些情況下，可以決定通過制定實(shí)施應(yīng)變計(jì)劃、合同、災(zāi)難恢復(fù)計(jì)劃、資產(chǎn)重新布置等手段來減小資產(chǎn)價(jià)值本身或風(fēng)險(xiǎn)的后果/影響。這和“降低風(fēng)險(xiǎn)可能性”一樣，可以達(dá)到減小風(fēng)險(xiǎn)的目的?；乇茱L(fēng)險(xiǎn)：在某些情況下，可以決定不繼續(xù)進(jìn)行可能產(chǎn)生風(fēng)險(xiǎn)的活動(dòng)來回避風(fēng)險(xiǎn)。在某些情況可能是較為穩(wěn)妥的處理辦法，但是在某些情況下可能會(huì)因此而喪失機(jī)會(huì)。轉(zhuǎn)移風(fēng)險(xiǎn)：這涉及承擔(dān)或分擔(dān)部分風(fēng)險(xiǎn)的另一方。手段包括合同、保險(xiǎn)安排、合伙、資產(chǎn)轉(zhuǎn)移等。接受風(fēng)險(xiǎn)：無論采取什么措施，通常資產(chǎn)面臨的風(fēng)險(xiǎn)總是在一定程度上存在。決策者可以在進(jìn)一步控制所需要的成本和風(fēng)險(xiǎn)之間進(jìn)行權(quán)衡。在適當(dāng)?shù)那闆r下，決策者可以選擇接受/承受風(fēng)險(xiǎn)。選擇風(fēng)險(xiǎn)控制方式的原則是權(quán)衡利弊：權(quán)衡每種選擇的成本與其得到的利益。例如，如果以相對較低的花費(fèi)可以大大減小風(fēng)險(xiǎn)的程度，則應(yīng)選擇實(shí)施這樣的控制方式。風(fēng)險(xiǎn)控制措施舉例：安全加固建議這是一種有針對性的資產(chǎn)點(diǎn)對點(diǎn)風(fēng)險(xiǎn)減免。主要是通過各種技術(shù)手段來補(bǔ)救單個(gè)資產(chǎn)的弱點(diǎn)。安全體系結(jié)構(gòu)建議這是從系統(tǒng)的角度來重要設(shè)計(jì)更安全的系統(tǒng)。主要通過更合理的網(wǎng)絡(luò)結(jié)構(gòu)與系統(tǒng)邏輯關(guān)系設(shè)計(jì)來補(bǔ)救整個(gè)系統(tǒng)的弱點(diǎn)。安全管理建議這是從管理的角度來保護(hù)資產(chǎn)不受威脅。主要通過把具有弱點(diǎn)而且難以補(bǔ)救的資產(chǎn)保護(hù)起來，不受威脅的影響，也就起到了減免風(fēng)險(xiǎn)的作用。風(fēng)險(xiǎn)評估項(xiàng)目通常一個(gè)項(xiàng)目包括計(jì)劃與執(zhí)行兩個(gè)階段。在執(zhí)行過程中，為了確保風(fēng)險(xiǎn)評估的有效性，還需要監(jiān)控計(jì)劃的執(zhí)行情況。計(jì)劃風(fēng)險(xiǎn)評估項(xiàng)目的計(jì)劃至少但不限于包括如下內(nèi)容：項(xiàng)目描述質(zhì)量保障措施進(jìn)度安排資源需求（不含人員與時(shí)間）人員與時(shí)間要求風(fēng)險(xiǎn)控制預(yù)案驗(yàn)收（日期與方式）監(jiān)控與執(zhí)行項(xiàng)目管理方法在項(xiàng)目的實(shí)施過程中，根據(jù)項(xiàng)目的具體要求，整個(gè)項(xiàng)目的管理參考美國項(xiàng)目管理協(xié)會(huì)PMI提出的項(xiàng)目管理方法學(xué)，以及一些安全專業(yè)領(lǐng)域的專家、顧問對項(xiàng)目的實(shí)施進(jìn)行規(guī)范管理實(shí)施。同時(shí)通過規(guī)范化的項(xiàng)目管理，保證項(xiàng)目進(jìn)程中的過程的質(zhì)量。變更控制管理不受控制的項(xiàng)目變更，包括目標(biāo)變更，范圍變更，人員變更，環(huán)境變化，文檔修改等等是對整個(gè)項(xiàng)目質(zhì)量的重大威脅。在項(xiàng)目實(shí)施過程中，將以實(shí)施方案的維護(hù)為核心，對實(shí)施方案及其衍生文檔進(jìn)行正規(guī)的變更控制管理。項(xiàng)目溝通管理采用正規(guī)的項(xiàng)目溝通程序，保證參與項(xiàng)目的各方能夠保持對項(xiàng)目的了解和支持。這些管理和溝通措施將對項(xiàng)目過程的質(zhì)量和結(jié)果的質(zhì)量具有重要的作用。項(xiàng)目協(xié)調(diào)會(huì)項(xiàng)目總負(fù)責(zé)人定期組織項(xiàng)目協(xié)調(diào)會(huì)，就上次例會(huì)所確立的事項(xiàng)進(jìn)行監(jiān)督檢查，并對存在的項(xiàng)目實(shí)施問題予以協(xié)調(diào)，確定解決方案和進(jìn)度安排；遇有緊急情況，項(xiàng)目總協(xié)調(diào)人可隨時(shí)召集項(xiàng)目協(xié)調(diào)會(huì)議。每次會(huì)議應(yīng)出具會(huì)議紀(jì)要，交各相關(guān)單位備案。次數(shù)所處階段主要內(nèi)容參加人員1準(zhǔn)備期項(xiàng)目組成立確定雙方項(xiàng)目組成員確定整體實(shí)施計(jì)劃確定下一階段的詳細(xì)實(shí)施計(jì)劃甲方評估小組全體人員乙方項(xiàng)目組全體成員雙方的有關(guān)領(lǐng)導(dǎo)1準(zhǔn)備期對準(zhǔn)備期所做的工作進(jìn)行溝通，及時(shí)發(fā)現(xiàn)問題，確定解決方式。甲方評估小組組長及主要成員乙方項(xiàng)目組組長及主要成員1準(zhǔn)備期對準(zhǔn)備期階段的工作進(jìn)行總結(jié)，確定實(shí)施的詳細(xì)計(jì)劃雙方項(xiàng)目組全體成員1實(shí)施期：現(xiàn)場評估過程中對現(xiàn)場評估的工作，進(jìn)行溝通，及時(shí)發(fā)現(xiàn)問題，確定解決方式。甲方評估小組組長及主要成員2．乙方項(xiàng)目組組長及主要成員1實(shí)施期：現(xiàn)場評估完成時(shí)對現(xiàn)場評估進(jìn)行總結(jié)，及時(shí)發(fā)現(xiàn)問題，確定解決方式。確定下一階段的工作重點(diǎn)雙方項(xiàng)目組全體成員1實(shí)施期：評估報(bào)告基本完成時(shí)對評估報(bào)告進(jìn)行總結(jié)，確定需要細(xì)化和修改的內(nèi)容。雙方項(xiàng)目組全體成員不定在整個(gè)項(xiàng)目的實(shí)施過程中，根據(jù)情況安排對影響項(xiàng)目進(jìn)程的問題進(jìn)行溝通，確定解決方式雙方項(xiàng)目組組長及相關(guān)人員評估過程控制為了保證在評估項(xiàng)目實(shí)施過程中評估方能有效地開展工作，并保證整個(gè)項(xiàng)目的可控，需要雙方共同組成項(xiàng)目協(xié)調(diào)小組并在項(xiàng)目正式實(shí)施前召開會(huì)議，討論相關(guān)事項(xiàng)并形成正式的書面材料，確定雙方在項(xiàng)目中的責(zé)任和義務(wù)。風(fēng)險(xiǎn)評估人員組織評估方人員組織項(xiàng)目領(lǐng)導(dǎo)小組由評估方和被評估方的相關(guān)負(fù)責(zé)人組成，主要是對項(xiàng)目實(shí)施的整個(gè)過程中的重大問題進(jìn)行決策。風(fēng)險(xiǎn)評估項(xiàng)目經(jīng)理風(fēng)險(xiǎn)評估項(xiàng)目實(shí)施隊(duì)伍自組建之日起，承擔(dān)雙方以合同或其它形式明確的各項(xiàng)任務(wù)。項(xiàng)目總負(fù)責(zé)人須做好日常資源管理工作，并直接控制項(xiàng)目管理計(jì)劃(PMP)的各個(gè)要素，具體說來主要包括以下幾個(gè)方面：項(xiàng)目執(zhí)行——對以下幾方面工作提供指導(dǎo)：總體方案設(shè)計(jì)、工程及應(yīng)用系統(tǒng)設(shè)計(jì)；設(shè)備配置確認(rèn)；工程質(zhì)量和進(jìn)度保證；系統(tǒng)驗(yàn)收，培訓(xùn)等。項(xiàng)目檢查——通過其下屬實(shí)施小組提供的工程進(jìn)展匯報(bào)，將項(xiàng)目進(jìn)展?fàn)顟B(tài)與項(xiàng)目計(jì)劃進(jìn)度進(jìn)行比較，發(fā)現(xiàn)過程誤差，提出調(diào)整措施。項(xiàng)目控制——審核項(xiàng)目進(jìn)展?fàn)顟B(tài)，必要時(shí)調(diào)集各種備用資源，確保項(xiàng)目按計(jì)劃進(jìn)度實(shí)施。項(xiàng)目協(xié)調(diào)——與各級單位進(jìn)行協(xié)調(diào)，解決工程組織接口及技術(shù)接口問題；定期主持整個(gè)系統(tǒng)專題協(xié)調(diào)會(huì)，及時(shí)解決各系統(tǒng)間出現(xiàn)的相關(guān)問題。項(xiàng)目技術(shù)顧問組由評估方的安全專家組成，主要職責(zé)是會(huì)同項(xiàng)目組完成以下各項(xiàng)工程任務(wù)：系統(tǒng)總體設(shè)計(jì)對系統(tǒng)深化設(shè)計(jì)進(jìn)行審核并提出優(yōu)化建議對系統(tǒng)進(jìn)行技術(shù)協(xié)調(diào)對系統(tǒng)的設(shè)備配置予以確認(rèn)工程文檔的審核協(xié)助項(xiàng)目總負(fù)責(zé)人制訂本項(xiàng)目的質(zhì)量工作計(jì)劃，并貫徹實(shí)施貫徹公司的質(zhì)量方針、目標(biāo)和質(zhì)量體系文件的有關(guān)規(guī)定和要求負(fù)責(zé)對工程任務(wù)全過程的質(zhì)量活動(dòng)進(jìn)行監(jiān)督檢查，參與設(shè)計(jì)評審風(fēng)險(xiǎn)評估小組負(fù)責(zé)對試點(diǎn)分行進(jìn)行風(fēng)險(xiǎn)評估安全體系小組負(fù)責(zé)協(xié)助被評估方建立安全管理體系安全服務(wù)小組負(fù)責(zé)評估后期的技術(shù)支持，主要包括安全加固支持指導(dǎo)、安全通告等服務(wù)。應(yīng)急響應(yīng)小組負(fù)責(zé)風(fēng)險(xiǎn)評估實(shí)施過程中緊急安全事件的應(yīng)急響應(yīng)和災(zāi)難恢復(fù)。其中，緊急安全事件的范圍應(yīng)以書面形式進(jìn)行明確。安全培訓(xùn)小組負(fù)責(zé)對被評估方進(jìn)行實(shí)施前后的相關(guān)知識與配合要求培訓(xùn)。被評估方人員組織作為風(fēng)險(xiǎn)管理的一個(gè)重要部分，風(fēng)險(xiǎn)評估是一項(xiàng)管理責(zé)任。在本節(jié)中對需要支持和參與風(fēng)險(xiǎn)評估過程的關(guān)鍵人員角色進(jìn)行了描述。高級管理人員在應(yīng)該關(guān)心并對完成使命負(fù)最終責(zé)任的標(biāo)準(zhǔn)下，高級管理人員必須保證那些必要的資源被有效地運(yùn)用在完成使命所需能力的開發(fā)方面。他們必須對風(fēng)險(xiǎn)評估活動(dòng)的結(jié)果進(jìn)行評估并將其融入到?jīng)Q策過程中。一個(gè)有效的風(fēng)險(xiǎn)管理程序（用來對IT相關(guān)的使命風(fēng)險(xiǎn)進(jìn)行評估并減緩這類風(fēng)險(xiǎn)）離不開高級管理人員的參與和支持。首席技術(shù)官（CIO）CIO負(fù)責(zé)機(jī)構(gòu)的IT計(jì)劃、預(yù)算以及性能，其中也包括信息安全部分。在這些領(lǐng)域的決策應(yīng)該基于有效的風(fēng)險(xiǎn)管理程序。系統(tǒng)和信息所有者系統(tǒng)和信息所有者負(fù)責(zé)部署適當(dāng)?shù)陌踩刂撇⒈Ｗo(hù)他們所擁有的IT系統(tǒng)和數(shù)據(jù)的完整性、保密性和可用性。一般來說系統(tǒng)和信息所有者要負(fù)責(zé)對其IT系統(tǒng)的變更，因此他們通常得要批準(zhǔn)或中止對其IT系統(tǒng)的變更（如系統(tǒng)的增強(qiáng)，對系統(tǒng)軟件或硬件的重大變更等）。系統(tǒng)和信息所有者因此必須清楚他們在風(fēng)險(xiǎn)管理過程中的角色并完全支持這一過程。業(yè)務(wù)和職能主管負(fù)責(zé)業(yè)務(wù)運(yùn)行和IT采購過程的主管必須在風(fēng)險(xiǎn)管理過程中擔(dān)當(dāng)一個(gè)主動(dòng)角色。這些主管有權(quán)作出對完成使命來講是必不可少折衷決定，并對其負(fù)責(zé)。他們對風(fēng)險(xiǎn)管理過程的參有助于實(shí)現(xiàn)IT的適度，如果管理得當(dāng)?shù)脑?，可以用最小的資源代價(jià)完成使命。信息系統(tǒng)安全官（ISSO）IT安全程序經(jīng)理和計(jì)算機(jī)安全官員負(fù)責(zé)機(jī)構(gòu)的安全程序，包括風(fēng)險(xiǎn)管理。因此，他們會(huì)主導(dǎo)引入一個(gè)適當(dāng)?shù)?、結(jié)構(gòu)化的方法來幫助對支持機(jī)構(gòu)使命的IT系統(tǒng)所面臨的風(fēng)險(xiǎn)進(jìn)行識別、評價(jià)、并將它們最小化。在支持高級管理人員方面，ISSO擔(dān)當(dāng)?shù)氖且粋€(gè)主要的顧問角色，從而保證這項(xiàng)活動(dòng)持續(xù)不斷的進(jìn)行下去。IT安全實(shí)施人員IT安全從業(yè)人員（如網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、和數(shù)據(jù)庫管理員，計(jì)算機(jī)專業(yè)人員，安全分析員，安全顧問等）負(fù)責(zé)其IT系統(tǒng)中安全要求得到正確地實(shí)現(xiàn)。當(dāng)現(xiàn)有的IT系統(tǒng)環(huán)境發(fā)生變化時(shí)（如網(wǎng)絡(luò)連接的擴(kuò)展，現(xiàn)有基礎(chǔ)設(shè)施和機(jī)構(gòu)政策的變化，新技術(shù)的引入等），IT安全從業(yè)人員必須支持或運(yùn)用風(fēng)險(xiǎn)管理過程，以對新的潛在風(fēng)險(xiǎn)進(jìn)行識別和評價(jià)，并實(shí)現(xiàn)新的安全控制來保護(hù)其IT系統(tǒng)。安全意識培訓(xùn)人員（安全/主題專家）機(jī)構(gòu)人員是IT系統(tǒng)的用戶。按照機(jī)構(gòu)策略、指導(dǎo)、和行為規(guī)則來使用IT系統(tǒng)和數(shù)據(jù)對于減緩風(fēng)險(xiǎn)和保護(hù)機(jī)構(gòu)IT資源而言是非常關(guān)鍵的。為了將IT系統(tǒng)的風(fēng)險(xiǎn)最小化，必須為系統(tǒng)和應(yīng)用用戶提供安全意識培訓(xùn)。因此，IT安全培訓(xùn)人員或安全/主題專家必須了解風(fēng)險(xiǎn)管理過程，這樣他們可以制作出適當(dāng)?shù)呐嘤?xùn)材料，并將風(fēng)險(xiǎn)評估融入到培訓(xùn)程序中，對最終用戶進(jìn)行培訓(xùn)。被評估方負(fù)責(zé)人正式實(shí)施風(fēng)險(xiǎn)評估前，被評估方需指定風(fēng)險(xiǎn)評估項(xiàng)目的負(fù)責(zé)人，主要負(fù)責(zé)與評估方的項(xiàng)目經(jīng)理協(xié)作，協(xié)調(diào)組織內(nèi)的資源，解決項(xiàng)目中需要配合的問題，保障項(xiàng)目順利進(jìn)行。風(fēng)險(xiǎn)評估的跟進(jìn)工作風(fēng)險(xiǎn)評估之后的跟進(jìn)工作是對評估以及相應(yīng)的安全建議方案的跟進(jìn)。根據(jù)第一次評估結(jié)果和第二次評估結(jié)果的對比進(jìn)行綜合分析，以挖掘在管理、運(yùn)行、維護(hù)中的主要風(fēng)險(xiǎn)分布。跟進(jìn)的重要性安全是一個(gè)循環(huán)迭代的過程。安全的狀態(tài)會(huì)隨時(shí)間的推移而變化，系統(tǒng)的每一部分的變化都可能導(dǎo)致新的安全問題。因此，跟進(jìn)評估是保證持續(xù)安全的必要措施。有效的，合格的建議要求安全審計(jì)師給出有效的，合格的建議，應(yīng)該具備如下性質(zhì)：具體、清楚、可理解、可標(biāo)識證據(jù)充足，說服力強(qiáng)意義重大可行，可實(shí)施委托事項(xiàng)個(gè)人與部門承擔(dān)的責(zé)任對建議的實(shí)現(xiàn)非常重要。安全審計(jì)師，員工與管理層對建議有不同的期望、側(cè)重點(diǎn)與優(yōu)先級。安全審計(jì)師安全審計(jì)師最先引入改進(jìn)建議，他們：應(yīng)該為自己推薦的方案提供足夠的證據(jù)，后面可以附上期望的改善；應(yīng)該理解客戶部門的環(huán)境與約束，如時(shí)間、資源與文化；應(yīng)該以一種合適的、有效的渠道來進(jìn)行溝通并給出建議方案員工這里，員工指直接或者間接受建議方案影響的人員。他們可能需要為建議方案的實(shí)現(xiàn)提供支持，或者就是可能不得不改變?nèi)粘２僮鬟^程的用戶。應(yīng)該鼓勵(lì)他們與安全審計(jì)師合作應(yīng)該給他們足夠的時(shí)間和資源來執(zhí)行增強(qiáng)措施應(yīng)該保證他們能從建議方案中有所收獲管理層管理層在強(qiáng)制加強(qiáng)安全性的過程中起著非常重要的作用。他們應(yīng)該積極主動(dòng)而不是消極被動(dòng)地關(guān)注安全事務(wù)；應(yīng)該在整個(gè)風(fēng)險(xiǎn)評估與審計(jì)過程中給予足夠的支持；應(yīng)該給安全性增強(qiáng)分配足夠的資源；應(yīng)該理解跟進(jìn)是非常有價(jià)值的意義重大的責(zé)任；應(yīng)該鼓勵(lì)為安全性增強(qiáng)工作制定計(jì)劃，進(jìn)行控制并充分地溝通；應(yīng)該提高員工的安全意識并加強(qiáng)培訓(xùn)。監(jiān)督與跟進(jìn)監(jiān)督與跟進(jìn)主要有3個(gè)步驟：建立監(jiān)督與跟進(jìn)機(jī)制標(biāo)識推薦并制定跟進(jìn)計(jì)劃執(zhí)行主動(dòng)監(jiān)督與報(bào)告建立監(jiān)督與跟進(jìn)機(jī)制管理層應(yīng)該建立監(jiān)督與跟進(jìn)機(jī)制以便跟進(jìn)建議方案。除了對安全審計(jì)負(fù)責(zé)外，管理層可以指定其余員工來檢查監(jiān)督機(jī)制的整體效果。標(biāo)識推薦并制定跟進(jìn)計(jì)劃要執(zhí)行有效的、即時(shí)的安全性增強(qiáng)方案，必須完成下列工作：找出關(guān)鍵的、意義重大而且至關(guān)緊要的建議方案，在方案中應(yīng)該盡力而且需要額外的監(jiān)督；為所有建議方案制定跟進(jìn)計(jì)劃；這可能包括實(shí)施計(jì)劃、預(yù)計(jì)實(shí)施時(shí)間、事項(xiàng)清單、驗(yàn)收方法與過程強(qiáng)調(diào)這些關(guān)鍵的建議應(yīng)該在跟進(jìn)過程中報(bào)告并多加注意所有的建議方案應(yīng)該根據(jù)計(jì)劃來跟進(jìn)執(zhí)行主動(dòng)監(jiān)督與報(bào)告積極主動(dòng)地監(jiān)督并報(bào)告行動(dòng)的進(jìn)度與狀態(tài)，并對所有要求的建議采取跟進(jìn)行動(dòng)直到完成實(shí)施。行動(dòng)的進(jìn)度與狀態(tài)行動(dòng)有幾種不同的進(jìn)度和狀態(tài)：尚未開始已完成行動(dòng)已開展，有預(yù)定完成日期行動(dòng)未開展，有原因如果與建議方案不同時(shí)，可以代替的行動(dòng)。跟進(jìn)行動(dòng)下面給出幾種建議的跟進(jìn)行動(dòng)，以供參考：審閱實(shí)施計(jì)劃、文檔與計(jì)劃行動(dòng)的時(shí)間段找出未開展的行動(dòng)背后的原因建立額外的步驟或任務(wù)來處理技術(shù)、運(yùn)行與管理上的困難找出由于意外的環(huán)境或需求變更引起的替代建議方案判斷建議方案的“結(jié)束”，當(dāng)證明它們已經(jīng)成功地實(shí)施并測試通過，因而不再有效，或者即使采取進(jìn)一步的行動(dòng)也不會(huì)有效。評價(jià)正確的行動(dòng)的效果向管理層報(bào)告完成情況、狀態(tài)與進(jìn)度一有機(jī)會(huì)就加強(qiáng)管理，尤其是關(guān)鍵建議的實(shí)施不夠或延期時(shí)。風(fēng)險(xiǎn)評估的前提與分工假設(shè)與限制在考慮安全風(fēng)險(xiǎn)評估或?qū)徲?jì)時(shí)，做如下假定：時(shí)間與資源有限盡可能地減小和管理安全風(fēng)險(xiǎn)執(zhí)行安全控制的用戶理解越深刻，效果就越好客戶責(zé)任由獨(dú)立的第三方執(zhí)行安全風(fēng)險(xiǎn)評估與審計(jì)時(shí)，客戶應(yīng)該負(fù)責(zé)下列行動(dòng)：檢查評估方的背景與人員資質(zhì)，看他們是否具備必要的經(jīng)驗(yàn)與專業(yè)知識準(zhǔn)備技術(shù)承諾協(xié)議書與保密協(xié)議指定評估方的第一聯(lián)系人與第二聯(lián)系人積極合作，思想開放如果需要更好的安全性就制定改善計(jì)劃服務(wù)資質(zhì)提供風(fēng)險(xiǎn)評估服務(wù)的一方需具備提供信息安全服務(wù)的綜合能力。包括技術(shù)能力組織結(jié)構(gòu)與管理資源配置安全工程過程能力業(yè)績和質(zhì)量保證等多個(gè)方面。安全審計(jì)師的職責(zé)在實(shí)施安全評估或?qū)徲?jì)時(shí)，安全審計(jì)師應(yīng)該：具備必要的技能與專業(yè)知識清楚每種工作的影響并估計(jì)它們對客戶業(yè)務(wù)的影響獲得合適的授權(quán)。記錄每次測試，不管成功與否確保報(bào)告反映客戶的策略與需求PAGExx附錄A術(shù)語表可接受的風(fēng)險(xiǎn)，由于費(fèi)用和執(zhí)行控制的數(shù)量，所以可接受的風(fēng)險(xiǎn)是一種對責(zé)任管理來說是可接受的利害關(guān)系。確認(rèn)，確認(rèn)與授權(quán)處理術(shù)語是同義詞，確認(rèn)是授予一個(gè)主程序或一般維護(hù)系統(tǒng)在一個(gè)操作環(huán)境中作處理的應(yīng)允和同意，它是建立在由指派的技術(shù)人員作出保證的基礎(chǔ)之上的，該技術(shù)人員要符合系統(tǒng)達(dá)到充分安全的明確的技術(shù)要求。資源，資源是一種主程序，一般維護(hù)系統(tǒng)，高沖擊程序，物理設(shè)備，應(yīng)急任務(wù)系統(tǒng)或一組邏輯上相聯(lián)系的系統(tǒng)。授權(quán)過程，授權(quán)過程發(fā)生在管理允許在評估操作和技術(shù)控制基礎(chǔ)上寫系統(tǒng)的時(shí)候，通過一個(gè)系統(tǒng)里的授權(quán)過程，管理官員可接受與之相關(guān)的冒險(xiǎn)。有效保護(hù)，有效保護(hù)要求對系統(tǒng)信息，偶爾附帶的設(shè)備，故障恢復(fù)設(shè)備和冗余作備份，需要有效保護(hù)的系統(tǒng)和信息樣本有時(shí)分系統(tǒng)，應(yīng)急任務(wù)系統(tǒng)，時(shí)間與維護(hù)，金融系統(tǒng)，收獲或人壽鑒定系統(tǒng)。認(rèn)識，訓(xùn)練與教育，包括1）認(rèn)識程序?qū)νㄟ^改變組織對安全及其失敗的不利結(jié)果的重要性的實(shí)現(xiàn)態(tài)度來進(jìn)行的訓(xùn)練劃分了階段。2）訓(xùn)練的目的是教人們能更有效的工作的技能。3）教育比訓(xùn)練更深入，主要針對于專業(yè)人員和那些工作上需要信息技術(shù)安全方面專門技術(shù)的人。證明，證明與確認(rèn)過程是同義的，證明是在授權(quán)前的一個(gè)主要考慮，但不僅僅是考慮，證明是一種技術(shù)評估，它建立了計(jì)算機(jī)系統(tǒng)，應(yīng)用程序或網(wǎng)絡(luò)設(shè)計(jì)和執(zhí)行符合這之前制定的安全要求的程序。一般維護(hù)系統(tǒng)，這是在相同的直接管理控制下的一種相互聯(lián)絡(luò)的信息資源，它們彼此共享一般功能，它一般包括硬件，軟件，信息，數(shù)據(jù)，應(yīng)用程序，通信，設(shè)備和人。并給各種各樣的用戶或申請者提供維護(hù)。單個(gè)應(yīng)用程序維護(hù)與相關(guān)聯(lián)的任務(wù)功能不同，用戶可能來自于相同或不同的組織。個(gè)人責(zé)任，個(gè)人責(zé)任要求單個(gè)用戶在已被告知使用系統(tǒng)的行為規(guī)則及違反那些規(guī)則的處罰后要對他們的行為負(fù)責(zé)。信息所有者有責(zé)任建立正確使用數(shù)據(jù)或信息和保護(hù)數(shù)據(jù)或信息的規(guī)則。甚至再和其他組織共享數(shù)據(jù)或信息時(shí)信息所有者仍保留這個(gè)職責(zé)。主程序，主程序是一個(gè)要求特別維護(hù)的應(yīng)用程序，這是由于存在丟失，誤用或未經(jīng)允許的登陸或應(yīng)用程序的改動(dòng)引起的冒險(xiǎn)和損失。對主程序的一個(gè)破壞可以包含很多單個(gè)應(yīng)用程序和硬件，軟件以及電子通信的各個(gè)部分。主程序可以是一個(gè)主要的軟件應(yīng)用程序或在系統(tǒng)唯一的目標(biāo)是維護(hù)一個(gè)特定任務(wù)功能時(shí)指的是軟，硬件的結(jié)合。物質(zhì)的不足或重大的不足，這是用來鑒定控制的不足，控制不足會(huì)產(chǎn)生一個(gè)重大的冒險(xiǎn)或?qū)σ粋€(gè)審計(jì)實(shí)體的操作或資源產(chǎn)生重大的威脅。物質(zhì)不足是一個(gè)非常具體的術(shù)語，一方面用來定義金融審計(jì)，另一方面用來定義在1982年的聯(lián)邦管理人員金融綜合行為準(zhǔn)則中指出的不足。這種不足可由審計(jì)員或管理員來確定。網(wǎng)絡(luò)，網(wǎng)絡(luò)包括允許一個(gè)用戶或系統(tǒng)與另一用戶或系統(tǒng)連接的通信能力。它可以是一個(gè)系統(tǒng)或一個(gè)分立系統(tǒng)的一部分。網(wǎng)絡(luò)實(shí)例包括局域網(wǎng)和廣域網(wǎng)，也包括公共互聯(lián)網(wǎng)，例如，國際互聯(lián)網(wǎng)。操作控制，操作控制提出了致力于主要由人（相對于系統(tǒng)）來執(zhí)行的機(jī)制的安全方法。方針，方針是描繪安全管理框架的一種文件。它明確地分配了安全指責(zé)并設(shè)置了可靠地衡量處理和執(zhí)行情況所必須的基金。步驟，步驟包含于一個(gè)致力于安全控制范圍和管理位置的文件中。風(fēng)險(xiǎn)，風(fēng)險(xiǎn)是指在一個(gè)自動(dòng)信息系統(tǒng)里或活動(dòng)里，任何一個(gè)軟件，信息，硬件，管理上的，物理上的，通信或人員資源等的損失。風(fēng)險(xiǎn)管理，風(fēng)險(xiǎn)管理是對自動(dòng)信息資源和信息的一個(gè)評估過程。它是作為用來確定一個(gè)系統(tǒng)的充分安全性的方法的一部分，這種確定方法是通過分析威脅和不足，選擇達(dá)到一個(gè)可接受的風(fēng)險(xiǎn)水平并保持這一水平的合適的且劃算的控制而進(jìn)行的。行為規(guī)則，行為規(guī)則是已建立的并被執(zhí)行的關(guān)于系統(tǒng)的使用，系統(tǒng)安全和可接受的風(fēng)險(xiǎn)的規(guī)則。該規(guī)則清楚地描繪了經(jīng)系統(tǒng)允許登錄的所有個(gè)人的責(zé)任和被允許的行為。這些規(guī)則應(yīng)包括諸如在家辦公，撥號上網(wǎng)，連接互聯(lián)網(wǎng)，版權(quán)著作的使用，聯(lián)邦設(shè)備的非官方使用，系統(tǒng)特權(quán)的分配和限制，個(gè)人責(zé)任等方面。敏感信息，是指那些信息的丟失，誤用，未經(jīng)允許的登陸或其不利影響能引起全國關(guān)注的改動(dòng)或聯(lián)合程序的引導(dǎo)或任何人都有權(quán)保留的秘密。敏感性，一個(gè)信息技術(shù)環(huán)境由系統(tǒng)，數(shù)據(jù)，和必須逐一的或整個(gè)的被檢查的應(yīng)用程序組成。所有系統(tǒng)和應(yīng)用程序都因?yàn)槠跈C(jī)密性，綜合性和有效性，要求有一定水平的保護(hù)，其有效性是由對被處理的程序的敏感性，系統(tǒng)與組織任務(wù)的關(guān)系以及系統(tǒng)各部分的經(jīng)濟(jì)價(jià)值的一個(gè)評估來決定的。系統(tǒng)，系統(tǒng)是用來概括一個(gè)主程序或一個(gè)一般維護(hù)系統(tǒng)的通用術(shù)語。系統(tǒng)操作狀態(tài)，是指1）操作系統(tǒng)正在進(jìn)行操作，2）正在開發(fā)的系統(tǒng)正處在設(shè)計(jì)，開發(fā)或執(zhí)行中，3）一個(gè)主修改程序正在經(jīng)歷一個(gè)主要的變換或過渡。技術(shù)控制，技術(shù)控制由用于對系統(tǒng)或應(yīng)用程序提供自動(dòng)保護(hù)的硬件和軟件控制組成。技術(shù)控制是在技術(shù)系統(tǒng)和應(yīng)用程序中進(jìn)行操作。威脅，是一種事件或行為，它會(huì)有意或無意的給信息系統(tǒng)或運(yùn)行帶來潛在的損害。弱點(diǎn)，弱點(diǎn)是一種可能會(huì)給信息系統(tǒng)或運(yùn)行帶來損害的缺陷或不足。附錄B調(diào)查問卷調(diào)查問卷類別填表式調(diào)查問卷《資產(chǎn)調(diào)查表》包含計(jì)算機(jī)設(shè)備、通訊設(shè)備、存儲(chǔ)及保障設(shè)備、信息、軟件等。問詢式調(diào)查問卷《人員和安全管理調(diào)查表》《物理環(huán)境調(diào)查表》《安全技術(shù)保障措施調(diào)查表》《業(yè)務(wù)狀況調(diào)查表》面對面交流審閱已有的安全管理規(guī)章、制度與高級主管、業(yè)務(wù)人員、網(wǎng)絡(luò)管理員（系統(tǒng)管理員）等進(jìn)行交流調(diào)查問卷內(nèi)容對涉及安全的各個(gè)因素的詳細(xì)調(diào)查與分析.安全事件

事件的要素有：時(shí)間，地點(diǎn)，起因，描述，主體，客體，處理，備注安全素質(zhì)

內(nèi)部人員、外部網(wǎng)絡(luò)用戶；基本知識考核、專業(yè)技術(shù)、安全技術(shù)、應(yīng)急處理能力、管理、安全意識、培訓(xùn)狀況、人員管理情況（不滿、開除、離職）安全措施

分類為網(wǎng)絡(luò)的、應(yīng)用的、管理的；安全投資、目前實(shí)施安全措施后的效果安全需求

系統(tǒng)管理員們的想法物理環(huán)境網(wǎng)絡(luò)結(jié)構(gòu)

物理、邏輯拓?fù)鋱D、協(xié)議與外單位及用戶互聯(lián)的網(wǎng)絡(luò)服務(wù)（撥號接入、專線接入）

接入服務(wù)器、路由器、交換機(jī)等的安全配置網(wǎng)管系統(tǒng)

軟件版本、配置、口令、管理范圍主機(jī)系統(tǒng)應(yīng)用系統(tǒng)數(shù)據(jù)安全系統(tǒng)：防火墻、防病毒（見資產(chǎn)調(diào)查）安全相關(guān)人員處理流程制度策略問題的方式調(diào)查問卷的問題設(shè)計(jì)可以結(jié)合以下兩種方式：開放式的問題封閉式的問題附錄C交付文檔范例《資產(chǎn)評估部分》目錄1. 定義、范圍和標(biāo)準(zhǔn)1.1. 資產(chǎn)的定義及分類1.1.1. 資產(chǎn)的定義1.1.2. 資產(chǎn)的分類1.2. 資產(chǎn)評估的定義及目的1.2.1. 資產(chǎn)評估的定義1.2.2. 資產(chǎn)評估的目的1.3. 資產(chǎn)評估的內(nèi)容1.4. 資產(chǎn)評估的方式和數(shù)據(jù)來源1.5. 資產(chǎn)的等級劃分1.6. 資產(chǎn)評估參照的標(biāo)準(zhǔn)和依據(jù)2. 資產(chǎn)歸類及價(jià)值分析2.1. 超核心資產(chǎn)列表與價(jià)值分析2.2. 核心資產(chǎn)列表與價(jià)值分析2.3. 高級資產(chǎn)列表與價(jià)值分析2.4. 中級資產(chǎn)列表與價(jià)值分析2.5. 一般資產(chǎn)列表與價(jià)值分析3. 資產(chǎn)的管理4. 資產(chǎn)的使用和維護(hù)4.1.1. 資產(chǎn)的實(shí)際利用情況4.1.2. 資產(chǎn)的維護(hù)5. 資產(chǎn)的保護(hù)6. 資產(chǎn)評估總結(jié)6.1. 資產(chǎn)保護(hù)的層次6.2. 需要保護(hù)的重點(diǎn)資產(chǎn)《漏洞評估部分》目錄1. 定義、范圍和標(biāo)準(zhǔn)1.1. 定義1.1.1. 漏洞的定義1.1.2. 漏洞評估的定義1.1.3. 漏洞級別的劃分1.2. 漏洞評估的目的1.3. 漏洞評估的內(nèi)容1.3.1. 技術(shù)漏洞的評估1.3.2. 非技術(shù)漏洞的評估1.4. 漏洞評估的方式1.4.1. 調(diào)查與問卷評估1.4.2. 系統(tǒng)評估1.5. 參考標(biāo)準(zhǔn)2. 基于資產(chǎn)的技術(shù)性漏洞列表2.1. 超核心資產(chǎn)存在的漏洞2.2. 核心資產(chǎn)存在的漏洞2.3. 高級資產(chǎn)存在的漏洞2.4. 中級資產(chǎn)存在的漏洞2.5. 一般資產(chǎn)存在的漏洞3. 技術(shù)性漏洞抽樣統(tǒng)計(jì)4. 非技術(shù)性漏洞統(tǒng)計(jì)分析4.1. 安全策略4.1.1