稅務係統信息安全風險評估指南(doc 61頁)

目 錄
信息係統安全風險評估指南1
目 錄3
1前言1
1.1關於本文檔1
1.2目標讀者1
1.3文檔結構2
1.3.1相關標準2
1.3.2相關文檔2
1.4關於術語與縮略語的約定3
2風險評估概述3
2.1基本概念3
2.2意義與作用4
2.3過程概述4
2.4工具5
2.5成功的關鍵因素5
2.6收益6
2.7麵臨的挑戰6
3風險評估的內容7
3.1資產分析7
3.1.1資產定義7
3.1.2資產類別7
3.1.3資產評估8
3.1.4資產評估的目的8
3.1.5資產的重要性8
3.1.6資產級別9
3.1.7評估實例10
3.2漏洞/脆弱性/弱點評估10
3.2.1弱點評估的目的10
3.2.2弱點評估的內容10
3.2.3弱點評估手段11
3.3威脅評估12
3.3.1威脅定義12
3.3.2威脅分類13
3.3.3威脅屬性13
3.3.4威脅的獲取方法14
3.3.5威脅評估手段15
3.3.6威脅評估實例15
3.4影響與可能性分析15
3.5係統分析16
3.5.1係統結構及邊界16
3.5.2信息的敏感度評估16
3.6調查問卷的結構17
3.6.1調查係統控製17
3.6.2係統確認17
3.6.3目的和評估者信息17
3.6.4信息的決定性18
3.7利用問卷調查結果18
3.7.1調查問卷分析18
3.7.2行動計劃18
3.8綜合風險分析18
3.8.1風險分析矩陣19
3.8.2風險評估層麵20
3.8.3風險評估實例20
3.8.4ISO 17799十個域20
3.9可交付的文檔21
3.9.1信息網絡21
3.9.2文檔一覽22
4風險評估過程22
4.1評估過程22
4.1.1階段1：提取基於資產的威脅概況22
4.1.2階段2：確定基礎設施漏洞23
4.1.3階段3：製訂安全策略和計劃23
4.2風險評估的輸入24
4.3各階段的一般過程24
4.3.1調查與分析24
4.3.2數據/信息收集與處理24
4.3.3撰寫評估報告24
4.4風險控製24
4.4.1風險控製的方式24
4.4.2風險控製措施舉例：25
4.5風險評估項目26
4.5.1計劃26
4.5.2監控與執行26
5風險評估人員組織28
5.1評估方人員組織28
5.2被評估方人員組織29
6風險評估的跟進工作31
6.1跟進的重要性31
6.2有效的，合格的建議31
6.3委托事項31
6.3.1安全審計師31
6.3.2員工32
6.3.3管理層32
6.4監督與跟進32
6.4.1建立監督與跟進機製32
6.4.2標識推薦並製定跟進計劃33
6.4.3執行主動監督與報告33
7風險評估的前提與分工34
7.1假設與限製34
7.2客戶責任34
7.3服務資質34
7.4安全審計師的職責34
附錄A 術語表i
附錄B 調查問卷iv
附錄C 交付文檔範例vi
附錄D 資產分類清單xiv
附錄E 資產脆弱性清單xvi
附錄F 資產威脅清單xviii

..............................