税务系统信息安全风险评估手册

“税务系统信息安全风险评估指南”编制讲明税务系统信息安全风险评估指南确实是为了对全税务系统的信息安全风险评估工作提供实施的指导，从而统一整个税务系统风险评估工作的实施方法和工作流程，产生相同的工作成果，确保各地税务系统信息安全风险评估工作结果的可比性。税务系统信息安全风险评估指南对税务系统信息安全风险评估的过程、关键点以及工作成果等方面提出了具体的实施方法和产生的文档类不和内容。税务系统信息安全风险评估的内容包括:资产分析，漏洞、脆弱性及弱点评估、威胁评估、阻碍与可能性分析和系统分析等方面。风险评估过程分为三个时期：确定资产的威胁概况、确定基础设施风险和制定安全策略和打算。本风险评估指南规定了风险评估项目组织、跟进工作等。限定了风险评估的前提和分工。本风险评估指南共提供了六个附录，附录A为术语表，对本指南内的专业术语进行解释，附录B为调查问卷，对税务系统信息安全风险评估的调查问卷种类和内容进行规定，附录C为交付文档范例，确定了税务系统信息安全风险评估工作需完成的工作文档，附录D资产分类清单，对税务系统内的资产进行了分类，附录E资产脆弱性清单列举了各类资产可能存在的脆弱性，附录F为资产威胁清单，列举了资产所面临的威胁。税务系统信息安全风险评估指南（征求意见稿）〖作者，单位〗〖本页是封面，按要求制作〗版号：1.0公布日期：200制定：审核：批准：国家税务总局信息中心安全处二〇〇四年六月讲明〖关于本文档的讲明，留空。〗目录信息系统安全风险评估指南 1目录 31 前言 11.1 关于本文档 11.2 目标读者 11.3 文档结构 21.3.1 相关标准 21.3.2 相关文档 21.4 关于术语与缩略语的约定 32 风险评估概述 32.1 差不多概念 32.2 意义与作用 42.3 过程概述 42.4 工具 52.5 成功的关键因素 52.6 收益 62.7 面临的挑战 63 风险评估的内容 73.1 资产分析 73.1.1 资产定义 73.1.2 资产类不 73.1.3 资产评估 83.1.4 资产评估的目的 83.1.5 资产的重要性 83.1.6 资产级不 93.1.7 评估实例 103.2 漏洞/脆弱性/弱点评估 103.2.1 弱点评估的目的 103.2.2 弱点评估的内容 103.2.3 弱点评估手段 113.3 威胁评估 123.3.1 威胁定义 123.3.2 威胁分类 133.3.3 威胁属性 133.3.4 威胁的猎取方法 143.3.5 威胁评估手段 153.3.6 威胁评估实例 153.4 阻碍与可能性分析 153.5 系统分析 163.5.1 系统结构及边界 163.5.2 信息的敏感度评估 163.6 调查问卷的结构 173.6.1 调查系统操纵 173.6.2 系统确认 173.6.3 目的和评估者信息 173.6.4 信息的决定性 183.7 利用问卷调查结果 183.7.1 调查问卷分析 183.7.2 行动打算 183.8 综合风险分析 183.8.1 风险分析矩阵 193.8.2 风险评估层面 203.8.3 风险评估实例 203.8.4 ISO17799十个域 203.9 可交付的文档 213.9.1 信息网络 213.9.2 文档一览 224 风险评估过程 224.1 评估过程 224.1.1 时期1：提取基于资产的威胁概况 224.1.2 时期2：确定基础设施漏洞 234.1.3 时期3：制订安全策略和打算 234.2 风险评估的输入 244.3 各时期的一般过程 244.3.1 调查与分析 244.3.2 数据/信息收集与处理 244.3.3 撰写评估报告 244.4 风险操纵 244.4.1 风险操纵的方式 244.4.2 风险操纵措施举例： 254.5 风险评估项目 264.5.1 打算 264.5.2 监控与执行 265 风险评估人员组织 285.1 评估方人员组织 285.2 被评估方人员组织 296 风险评估的跟进工作 316.1 跟进的重要性 316.2 有效的，合格的建议 316.3 托付事项 316.3.1 安全审计师 316.3.2 职员 326.3.3 治理层 326.4 监督与跟进 326.4.1 建立监督与跟进机制 326.4.2 标识推举并制定跟进打算 336.4.3 执行主动监督与报告 337 风险评估的前提与分工 347.1 假设与限制 347.2 客户责任 347.3 服务资质 347.4 安全审计师的职责 34附录A术语表 i附录B调查问卷 iv附录C交付文档范例 vi附录D资产分类清单 xiv附录E资产脆弱性清单 xvi附录F资产威胁清单 xviii前言关于本文档信息安全风险评估是信息安全治理的要紧内容之一。本文档不覆盖信息安全治理的每一方面。它介绍了一个关于信息安全风险评估的一般过程。在了解那个过程后，治理层人员、IT经理、系统治理员以及其他技术与运行人员能更好地理解安全风险评估。他们应该能够明白需要预备什么、在哪些方面应该加以注意、会得到什么样的结果。本文档的目标并不是集中在如何进行风险评估，它更侧重于提供一个参考过程来关心核对由独立的安全咨询师与审计师所提供的服务的覆盖面、方法论、交付的文档。目标读者本指南为那些在其信息系统中支持或实施风险评估的人员提供关于风险评估基础，不管他们是否有经验，是不是技术人员。这些人包括：高级治理人员，业务的拥有者，那些IT安全预算的决策者。信息总监，确保为其机构IT系统部署风险治理并为这些IT系统提供安全的人员。负责最终决策是否同意IT系统的运行的人员。IT安全规划经理，部署安全规划的人员。信息系统安全治理员（ISSO），负责IT安全的人员。用以支持IT功能的系统软、硬件这些IT系统的拥有者。存储的数据，进程以及在IT系统中传输的信息的拥有者。负责IT生产的业务或功能治理人员。治理IT系统安全的技术支持人员（如，网络，系统，应用以及数据库治理员，计算机专业人员，数据安全分析人员）。开发并维护可能阻碍系统和数据完整性代码的IT系统和应用程序员。测试并确保IT系统和数据完整性的IT类的保险人员。审计IT系统的信息系统审计员。在风险治理中支持客户的IT顾问。文档结构本文档展示了关于信息安全风险评估的一个通用框架。它包括下面的内容：风险评估概述风险评估的内容风险评估过程风险评估人员组织风险评估的跟进工作资质要求与职责划分相关标准以下列出一些国际、国内关于信息安全风险评估的相关标准和规范。如：国际标准ISO17799ISO15408/CC2.1ISO13335SSE-CMMRFC2196国家标准GB/T18336-2001行业通用标准BS7799-2AS/NZS4360CVE或CN-CVE参考文献C.JAlberts，S.G.Behrens，R.D.Pethia，andW.R.Wilson.Operationallycriticalthreat，asset，andvulnerabilityevaluation(octave)framework，version1.0.Technicalreport，CarnegieMellonUniversity，SoftwareEngineeringInstitute，Pittsburgh，PA，June1999.Australian/NewZealandStandardAS/NZS4360:1999:RiskManagement.Strath_eld:StandardsAustralia.CORASIST-2000-25031WebSite.http://www.nr.no/coras.24February2003.CommonCriteria.CommonCriteriaforInformationTechnologySecurityEvaluation，1999./.24February2003.ISO/IEC13335:InformationTechnology-GuidelinesforthemanagementofITSecurity.http://www.iso.ch.ISO/IEC17799:2000Informationtechnology-Codeofpractiseforinformationsecuritymanagement.关于术语与缩略语的约定风险评估：在本文中，风险评估特指“信息系统安全风险评估”。资产：在本文中，资产特指“信息系统本身作为固定资产的价值与它所承载的无形资产（数据、业务连续性等）的价值”。风险评估概述在本节中，介绍了风险评估的相关概念、一般过程、相关工具、成功的关键因素、收益以及面临的挑战。差不多概念风险风险是一种潜在可能性，是指某个威胁利用弱点引起某项资产或一组资产的损害，从而直接地或间接地引起企业或机构的损害。因此，风险和具体的资产、其价值、威胁等级以及相关的弱点直接相关。威胁INFOSEC-99将威胁定义为“能够通过未授权访问、毁坏、揭露、数据修改和/或拒绝服务对系统造成潜在危害的任何环境或事件”。脆弱性系统资产在相关环境中体现出来的，能够被威胁利用从而引发资产或商业目标损害的弱点和漏洞。风险的属性风险有两个属性：后果（Consequence）和可能性（Likelihood）。评价风险对企业的阻碍，也确实是对风险的评估赋值是对上述两个属性权衡作用的结果。后果是指风险带来的损失，能够用损失占该资产价值的百分比来度量。可能性指风险发生的概率，以百分比来表示。风险评估风险评估是对信息系统进行资产分析，并针对重要的资产进行威胁、脆弱性的可能性调查，从而可能对业务产生的阻碍，提供适当的方法来操纵风险。从上述的定义能够看出，风险评估的策略是首先选定某项资产、评估资产价值、挖掘并评估资产面临的威胁、挖掘并评估资产存在的弱点、评估该资产的风险、进而得出整个评估目标的风险。意义与作用风险治理是治理者权衡爱护措施的运行和经济成本与获得的收益之间关系的一个过程。那个过程并不是IT行业所独有的，实际上它遍及我们日常生活中需要做出决定的任何情况。进行风险治理的最终目的确实是要将其最小化，这也是在当今各行各业的IT系统应用中需要实施信息安全措施的全然缘故。所有与安全性相关的活动差不多上风险治理的组成部分。能够讲，风险治理贯穿于系统开发生命周期（SystemDevelopmentLifeCycle,SDLC）的整个过程，即初始时期、开发/猎取时期、实施时期、运行/维护时期、优化配置时期。风险评估则是风险治理的基础，也确实是系统的使用单位或组织判定在系统的整个SDLC中有关风险级不的过程。那个过程的结果是残留风险和那个风险是否达到可同意水平的一个明确界定，或者是一个是否应当实施额外的安全操纵以进一步降低风险的结论。过程概述风险评估的过程分为3个时期共8个过程。时期1：提取基于资产的威胁概况过程1：确定高级治理层的认识过程2：确定运作治理层的认识过程3：确定全体职员的认识过程4：确定威胁轮廓时期2：确定基础设施漏洞过程5：找出关键组件过程6：评估关键组件时期3：制订安全策略和打算过程7：实施风险分析过程8：制订爱护策略工具调查问卷调查问卷（Questionnaire）由一组相关的封闭式或开放式问题组成，用于在评估过程中猎取信息系统在各个层面的安全状况，包括安全策略、组织制度、执行情况等。远程漏洞扫描工具远程漏洞扫描工具（Scanner）是一个或一组自动化工具，用于远程检测系统可能存在的漏洞。人工审计检查列表检查列表（Checklist）用于人工检查系统存在的各种安全弱点/脆弱性，它针对不同的系统列出待检查的条目，以保证人工审计结果数据的完备性。安全风险评估信息库安全风险评估信息库用于存储与处理在风险评估过程中收集到的信息。成功的关键因素风险评估过程总体来讲是一个需要评估方与被评估方共同参与，便于被评估方理好地风险治理。因此，风险评估的成功需要双方的良好协作。从某种程度上来讲，被评估方的参与风险评估过程的态度决定是否能取得成功。在风险评估过程中，需要考虑以下方面：获得高级治理的支持和参与确定重点定义过程业务和技术专家积极参与责任到人限定单次评估的范围归档和维护合理利用工具考虑收益收益认识风险通过风险评估过程，被评估方能从资产的角度对风险有全面、清晰的认识，通过相应的分析与统计，这些结果能在某种程度加以量化，从而为风险治理的后续过程提供决策支持。减免风险在风险评估过程的跟进行动中，被评估方有机会采取合适的风险操纵方式来减免风险。保障业务连续性风险评估是风险治理的一个重要过程，风险治理的最终目的之一还在于保障被评估方的业务连续性。面临的挑战可靠地评估信息安全风险比评估其他类型的风险要困难得多，因为信息安全风险因素相关的可能性和花费的数据特不有限，也因为风险因素在不断地改变。例如：1、风险因素方面的数据特不有限，如一个有经验的黑客攻击的可能性，利用安全漏洞的安全事件引起的破坏、丢失或中断所造成的损失2、有些损失，象失去客户信任或敏感信息的泄露，本质上专门难量化3、尽管能够了解需要加强操纵的硬件和软件的成本，但常常不可能精确地可能相关的非直接的成本，如执行新的操纵时可能会导致生产力的丧失4、即使获得了精确信息，但信息专门快就会过期，因为技术进展专门快，入侵者可获得更先进的工具可靠性和即时数据的缺乏，使我们常常无法精确定义哪一个信息安全风险是最重要的，也无法比较哪一个工具是最有效的。由于这些限制，机构选择采纳的方法是否能有效地从风险评估中受益，同时又幸免花费专门大的精力去开发看似精确却可靠性成问题的工具，显得特不重要。风险评估的内容风险评估的要紧内容包括三个方面：基于资产的估值与分析、资产本身存在的脆弱性的识不与分析、资产受到的威胁识不以及它的阻碍与可能性分析。资产分析资产定义资产是构成整个系统的各种元素的组合，它直接的表现了那个系统的业务或任务的重要性，这种重要性进而转化为资产应具有的爱护价值。资产类不依据资产的属性，要紧分为以下几个类不：信息资产信息资产要紧包括各种设备以及数据库系统中存储的各类信息、设备和系统的配置信息、用户存储的各类电子文档以及各种日志等等，信息资产也包括各种治理制度，而且各种打印的以及部分其他成文的文档也属于信息资产的范畴。软件资产软件资产包括各种专门购进的系统与应用软件（比如操作系统、网管系统、办公软件、防火墙系统软件等）、随设备赠送的各种配套软件、以及自行开发的各种业务软件等。物理资产物理资产要紧包括各种主机设备（比如各类PC机、工作站、服务器等）、各种网络设备（比如交换、路由、拨号设备等）、各种安全设备（比如防火墙设备、入侵检测设备等）、数据存储设备以及各类基础物理设施（比如办公楼、机房以及辅助的温度操纵、湿度操纵、防火防盗报警设备等）。人员资产人员资产是各类资产中专门难有效衡量甚至全然无法衡量的一部分，它要紧包括企业内部各类具备不同综合素养的人员，包括各层治理人员、技术人员以及其他的保障与维护人员等。资产评估资产评估是与风险评估相关联的重要任务之一，资产评估通过分析评估对象——资产的各种属性（包括经济阻碍、时刻敏感性、客户阻碍、社会阻碍和法律争端等方面），进而对资产进行确认、价值分析和统计报告，简单的讲资产评估是一种为资产业务提供价值尺度的行为。资产评估的目的资产评估的目的确实是要对企业的归类资产做潜在价值分析，了解其资产利用、维护和治理现状。明确各类资产具备的爱护价值和需要的爱护层次，从而使企业能够更合理的利用现有资产，更有效地进行资产治理，更有针对性的进行资产爱护，最具策略性地进行新的资产投入。资产的重要性按照what-if模型，资产的重要性能够分为经济阻碍、时刻敏感性、客户阻碍、社会阻碍和法律阻碍。级不定义经济阻碍(F)时刻敏感性(T)对客户阻碍(C)社会阻碍(S)法律阻碍（L）导致直接经济损失（￥）可同意的中断时刻不中意的客户数量会引起如下机构的注意将涉及不同程度的法律问题510,000,000以上1小时以下50,000以上国家或国际的媒体、机构被迫面对复杂的法律诉讼，案情由级不相当高的法院审理，控方提出的赔付数额巨大41,000,001-10,000,0001-24小时10,001-50,000省、市级媒体、机构提交更高级不法院立案，诉讼过程漫长3100,001-1,000,0001-3天1,001-10,000公司正式提交法院立案250,001-100,0003-10天101-1,000公司部门会有人就法律问题提出交涉150，000以下10天以上100以下几人或工作组几乎没有法律问题资产级不依据资产的潜在价值以及资产对时刻的敏感性、对客户的阻碍、资产的社会阻碍和可能造成的法律争端等各个方面，资产按重要性可分为五类：超核心资产超核心资产的瘫痪或损坏造成直接经济损失一般在1000万元以上；超核心资产的时刻敏感性是特不强的，一般来讲，在其运行过程中可同意的中断时刻是在一个小时以内的，有的甚至只能是几秒钟；超核心资产瘫痪对客户和社会造成的阻碍差不多上十分巨大的，可能会导致5万以上的客户不中意，并引起国家甚至国际媒体的广泛关注，而且超核心资产瘫痪将会使得企业被迫面对复杂的法律诉讼，同时案情将有级不相当高的法院审理，控方提出的赔付数额异常巨大。核心资产核心资产的瘫痪或损坏造成直接经济损失一般在100万元至1000万元之间；核心资产的时刻敏感性同样是特不强的，一般其运行过程中可同意的中断时刻在１-24小时之内；核心资产瘫痪对客户和社会造成的阻碍专门巨大，可能会导致数万客户的不中意，并引起省市级媒体和机构的关注，而且核心资产瘫痪引起的法律争端可能提交专门高级不的法院立案，诉讼过程可能专门漫长。高级资产高级资产的瘫痪或损坏造成的直接经济损失一般在10万元至100万元之间；高级资产的时刻敏感性专门强，可同意的中断时刻大概在1-3天之间；高级资产的瘫痪可能导致数千客户的不中意，其造成的社会阻碍要紧集中在企业或公司的内部，然而高级资产的瘫痪引起的法律争端同样会正式提交法院立案审理。中级资产中级资产的瘫痪或损坏造成的直接经济损失一般在5-10万元之间，其时刻敏感性一般，可同意的中断时刻一般在3-10天左右；中级资产的瘫痪可能造成数百客户的不中意，造成的社会阻碍要紧集中在企业或公司的某个部门内部，然而中级资产的瘫痪有一定的可能会引出法律争端。一般资产一般资产的瘫痪或损坏造成的直接经济损失一般少于5万元，其时刻敏感性专门弱，可同意的中断时刻在10天以上；一般资产的瘫痪最多可能导致数十客户的不中意，而其造成的社会阻碍更是微乎其微，几乎只是在几个人或工作组内部，而且几乎可不能引起任何的法律争端。评估实例一台Cisco7513路由器，是某省省网出口核心，IP地址为7，OS版本为11.1（22）CC，购入单价1,100,810元。由因此全省电信IP网的核心路由，不同意发生中断（中断时刻限制在秒级），一旦发生故障将造成约10,000,000元的经济损失，导致全省用户无法访问（用户数>5万），并导致国家及国际上的不良阻碍，并可能遭受客户的控诉，带来巨额赔偿。资产属性等级经济阻碍F5（>10,000,000元）时刻敏感性T5（<1小时）客户阻碍C5（>5万）社会阻碍S5（引起国家及国际阻碍）法律阻碍L5（导致对客户损失的巨额赔偿）资产等级＝5漏洞/脆弱性/弱点评估弱点评估的目的弱点评估的目的是给出有可能被潜在威胁源利用的系统缺陷或弱点列表。所谓威胁源是指能够通过系统缺陷和弱点对系统安全策略造成危害的主体。弱点评估的信息通常通过操纵台评估、咨询系统治理员、网络脆弱性扫描等手段收集和猎取。弱点评估的内容技术漏洞的评估技术漏洞要紧是指操作系统和业务应用系统等存在的设计和实现缺陷。技术漏洞的标号以CVE漏洞列表的编号为标准；假如存在某些CVE没有标号的漏洞，则以国际通用的BUGTRAGID号为标号；假如以上两种编号都无法满足标号要求，则以本次统一的ISS漏洞入库编号中关于无法准确定义的漏洞编号为准。非技术漏洞的评估非技术性漏洞要紧是指系统的安全策略、物理和环境安全、人事安全、访问操纵、组织安全、运行安全、系统开发和维护、业务连续性治理、遵循性等方面存在的不足或者缺陷。弱点评估手段弱点评估能够采取多种手段，下面建议了常用的四种。即：网络扫描主机审计网络审计渗透测试其中，需要注意渗透测试的风险较其它几种手段要大得多，在实际评估中需要斟酌使用。网络扫描项目名称漏洞扫描评估简要描述利用扫描工具检查整个网络内部网络的主机系统与数据库系统的漏洞情况达成目标发掘网络内部网络的安全漏洞，提出漏洞修补建议要紧内容采纳多种漏洞扫描系统软件实现方式大规模的漏洞扫描工作条件4-6人工作环境，2台Win2000PC，电源和网络环境，客户人员和资料配合工作结果网络内部网网络漏洞列表，扫描评估结果报告，所需时刻80台/工作日参加人员评估小组、网络治理人员、系统治理人员、数据库治理人员主机审计项目名称主机审计简要描述作为网络扫描的辅助手段，登陆系统操纵台检查系统的安全配置情况达成目标检测系统的安全配置情况，发掘配置隐患要紧内容操作系统操纵台审计数据库系统操纵台审计实现方式手工登录操作工作条件4-6人工作环境，2台Win2000PC，电源和网络环境，客户人员和资料配合工作结果网络内部网抽样主机审计报告所需时刻10台/工作日参加人员评估小组、系统治理人员、数据库治理人员网络审计项目名称网络安全审计简要描述IDS作为一个实时入侵检测工具，是安全威胁信息收集过程中的一种重要手段，其数据是网络的整体安全的重要的参考依据之一。达成目标检测网络的安全运行情况，发掘配置隐患要紧内容入侵检测系统在关键点部署入侵检测系统试运行入侵检测系统报告汇兑及分析实现方式在网络关键节点部署IDS，集中监控工作条件每个部署点2-3人工作环境，1台Win2000PC作为IDS操纵台，电源和网络环境，客户人员和资料配合工作结果网络安全风险评估项目IDS分析报告所需时刻5工作日参加人员评估小组、网络治理人员渗透测试项目名称渗透测试简要描述利用人工模拟黑客攻击方式发觉网络、系统的漏洞达成目标检测系统的安全配置情况，发掘配置隐患要紧内容后门利用测试DDos强度测试强口令攻击测试实现方式全手工实现工作条件2-3人工作环境，电源和网络环境工作结果网络安全风险评估项目白客报告所需时刻3工作日参加人员评估小组威胁评估威胁定义威胁是引起不期望事件从而对资产造成损害的潜在可能性。威胁可能源于对企业信息直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。一般来讲，威胁总是要利用企业网络中的系统、应用或服务的弱点才可能成功地对资产造成损害。从宏观上讲，威胁按照产生的来源能够分为非授权蓄意行为、不可抗力、人为错误、以及设施/设备错误等。威胁分类对安全威胁进行分类的方式有多种多样，最常见的分类方法要紧有依照安全威胁的性质进行划分和对安全威胁产生的来源和缘故进行划分。参照国际通行做法和专家经验，本项目中我们将采纳上述两种方法进行安全威胁分析。依照威胁的性质和类型划分分类一将严格参照ISO-15408/GB/T-18336中的定义对安全威胁的性质和类型进行划分，能够分为以下几个方面：威胁分类威胁描述Backdoor各种后门和远程操纵软件，例如BO、Netbus等BruteForce通过各种途径对密码进行暴力破解Daemons服务器中各种监守程序产生弱点，例如amd,nntp等Firewalls各种防火墙及其代理产生的安全弱点，例如GauntletFirewallCyberPatrol内容检查弱点InformationGathering各种由于协议或配置不当造成信息泄露弱点，例如finger或rstat的输出NTRelated微软公司NT操作系统相关安全弱点ProtocolSpoofing协议中存在的安全弱点，例如TCP序列号推测弱点Management与治理相关的安全弱点依照威胁产生的来源划分参照BS-7799/ISO-17799中的定义对安全威胁的产生来源和缘故进行划分，能够分为以下几个方面：IDThreatByDescription1非授权有意行为Deliberateunauthorizedactionsbypeople2人为错误Errorsbypeople3软件、设备、线路故障Software/equipment/linefailure4不可抗力ActsofGod威胁属性威胁具有两个属性：可能性（Likelihood）、阻碍（Impact）。进一步，可能性和阻碍能够被给予一个数值，来表示该属性。参照下表。表一：可能性属性赋值参考表赋值简称讲明4VH不可幸免（>90%）3H特不有可能（70%~90%）2M可能（20%~70%）1L可能性专门小（<20%）0N不可能（~0%）表二：阻碍赋值参考表赋值简称讲明4VH资产全部损失，或资产已不可用（>75%）3H资产遭受重大损失（50%~75%）2M资产遭受明显损失（25%~50%）1L损失可忍受（<25%）0N损失可忽略（~0%）可能性属性特不难以度量，它依靠于具体的资产、弱点。而阻碍也依靠于具体资产的价值、分类属性。同时，这两个属性都和时刻有关系，也确实是讲，具体的威胁评估结果会随着时刻的变动而需要重新审核。在威胁评估中，评估者的专家经验特不重要。参照下面的矩阵进行威胁赋值：表三：威胁分析矩阵阻碍可能性可忽略0可忍受1明显损失2重大损失3全部损失4不可幸免401234特不可能301233可能201122可能性专门小100111不可能000001威胁的猎取方法威胁猎取的方法有：渗透测试（PenetrationTesting）、安全策略文档批阅、人员面谈、入侵检测系统收集的信息和人工分析等。评审员（专家）能够依照具体的评估对象、评估目的选择具体的安全威胁猎取方式。威胁发觉方法列表如下：IDFindModeDescription1访谈通过和资产所有人、负责治理人员进行访谈2人工分析依照专家经验，从已知的数据中进行分析3IDS通过入侵监测系统在一段时刻内监视网络上的安全事件来获得数据4渗透测试通过渗透测试方法来测试弱点，证实威胁5安全策略文档分析安全策略文档分析6安全审计依照IS017799,通过一套审计问题列表问答的方式来分析弱点7事件记录对已有历史安全事件记录进行分析威胁评估手段历史事件审计网络威胁评估系统威胁评估业务威胁评估威胁评估实例某资产（服务类）面临攻击和访问类威胁；同时存在远程缓冲区溢出弱点，该弱点能够导致远程攻击者直接获得服务所在宿主机的超级用户权限；该弱点的利用程序（Exploit）于互联网上面发表差不多多个星期，几乎能够认为所有攻击者都能够得到该利用程序；该攻击利用程序运行简单，能够认为大多数攻击者都能够成功地执行该利用程序；该资产当前的安全操纵中，没有对该弱点的爱护；因此能够认为该资产面临的威胁的阻碍为VH（资产全部损失）、可能性为H（特不有可能）。整体上，资产处于高度威胁之中。阻碍与可能性分析风险也存在两个属性：后果（Consequence）和可能性（Likelihood）。最终风险对企业的阻碍，也确实是对风险的评估赋值是对上述两个属性权衡作用的结果。不同的资产面临的要紧威胁各不相同。而随着威胁能够利用的、资产存在的弱点数量的增加会增加风险的可能性，随着弱点类不的提高会增加该资产面临风险的后果。在许多情况下，某资产风险的可能性是面临的威胁的可能性和资产存在的脆弱性的函数，而风险的后果是资产的价值和威胁的阻碍的函数。目前采纳的算式如下：风险值=资产价值×威胁阻碍×威胁可能性×资产弱点等级从资产面临的若干个子风险中，评估者从自己的经验动身得出该资产面临的整体风险。系统分析系统结构及边界网络结构分析是风险评估中对业务系统安全性进行全面了解的基础，一个业务系统的网络结构是整个业务系统的承载基础，及时发觉网络结构存在的安全性、网络负载问题，网络设备存在的安全性，抗攻击的问题是整个业务系统评估的重要环节。对评估对象的物理网络结构，逻辑网络结构及网络的关键设备进行评估(差不多信息包括网络带宽、协议、硬件、Internet接入、地理分布方式和网络治理)，发觉存在的安全性，合理性，使用效率等方面的问题。结合业务体系、系统体系等结构的检查逻辑网络，由什么物理网络组成以及网络的关键设备的位置所在关于保持网络的安全是特不重要的。另外，鉴定关键网络拓扑，关于成功地实施基于网络的风险治理方案是专门关键的。网络结构分析能够做到：改善网络性能和利用率,使之满足业务系统需要提供有关扩充网络、增加IT投资和提高网络稳定性的信息关心用户降低风险,改善网络运行效率,提高网络的稳定性确保网络系统的安全运行对网络环境、性能、故障和配置进行检查信息的敏感度评估信息是一种重要的无形资产，它与有形资产一起构成资产的全体。关于信息资产的爱护首先需要进行分级处理，即按信息的敏感度来划分。因此，信息的敏感度评估能够大致划分为如下步骤：调查是否对数据依照其敏感程度进行了必要的分级分级是否合理不同敏感程度的数据是否得到了适当的爱护是否定义了数据泄漏或破坏的事后处理措施调查问卷的结构调查问卷包括三部分：封面目录，问题和注释。调查系统能够从描述被评估的要紧应用程序和通用支持系统或一组相互关联的系统开始。调查系统操纵所有完成的调查问卷都应该依照机构政策决定的敏感性程度来评论，处理和操纵。要注意到的是，包含在完成调查问卷中的信息能专门容易描述一个系统或是一组系统容易受到攻击的地点。系统确认调查问卷的封面是由被评估系统的名称和主题开始的。如NIST特不出版物800-18中所提到的，每一个要紧应用程序或普遍支持系统都应该被安排一个唯一的名称/标志符。为每一个系统安排唯一的标志符确立和系统相适应的安全需要，还有助于分配的资源能够被充分的利用。在专门多情况下，要紧应用程序和一般支持系统包括互相关联的系统。互相关联的系统都应该被列出来。一旦评估完成，就应该做一个关于边界操纵是否起作用的判定，同时把它记录在封皮目录中。边界操纵是评估的一部分，假如边界操纵不合适，关于相互关联系统的评估也会不合适。在系统名称和题目下面的横线上需要评估员写上系统类型，（普遍支持依旧要紧应用）。假如一个政府机构有新增设的系统样式或是系统类型，也确实是讲决定性目标或者非决定性目标。表单需要重新指定来包含它们。目的和评估者信息评估的目的和对象应该是确定的。例如，评估进行了专门多细节检查要得到一个高级不的系统安全指示或是为了完善行动打算增强系统的完全性和可信度。名字，题目和从事评估的机构也要被列出来，机构应该重新制定相应的替代页。评估开始和完成时候的数据也要列出来。完成评估所需要的时刻是可变的。完成评估所需要的资源和时刻取决于系统的大小和复杂程度，系统和用户数据的亲和性，以及评估员能够利用多少信息进行评估。例如，一个系统进行了广泛的测试，认证，和证据资源的自我评估，在以后的评估中就能够专门容易把他作为主线使用和服务。假如一个系统只通过有限的测试和只有专门好的证据资源，完成调查系统则需要更长的时刻。信息的决定性由程序员和系统所有者决定的信息的敏感级不应该在调查表单中的表格形成文件。假如一个机构设计了它们自己的判定系统的决定性或是敏感性的方法，就要用机构的决定性或是敏感性的类型代替表格。文件敏感性的程度是建立在支持高风险操作系统要比支持低风险操作系统有更多严格操纵的基础上的。利用问卷调查结果调查问卷分析完成评估的人员也能够处理对完成的调查问卷的分析工作。和系统专门类似，支持文件，评估结果，和评估者下一步要做的也是一个总结了调查结果的分析。一个集中的机构，比如讲，一个政府机构信息系统安全程序办公室也能够处理对存在的支持文件的分析工作。分析结果将写在行动打算中，而且为了反映每一个操纵对象和手法的决策，也应该创建或是更新系统安全打算。行动打算一个决定性因素是如何被应用的，也确实是讲，具体步骤的记录，设备的安装调试和职员的培训都应该被纳入到行动打算的档案治理中。行动打算必须包括打算数据，资源分配，和补充的复查以保证修改后的行动能起作用。在找出系统弱点的行动打算的状况盒子员需要等方面，还需要遵循往常治理员的经验。综合风险分析从风险的定义能够看出，风险评估的策略是首先选定某项资产、评估资产价值、挖掘并评估资产面临的威胁、挖掘并评估资产存在的弱点、评估该资产的风险、进而得出整个评估目标的风险。安全风险评估需要明确：需要爱护的资源爱护这些资源免除哪些威胁威胁方威胁的可能性威胁所造成的（直接）损失消除威胁所需消耗的资源风险模型如下：风险分析矩阵能够依照风险信息和数据，对风险分析予以不同程度的改进。视情况而定，风险分析能够是定性分析、半定量分析或定量分析，或者是这些分析的结合。假如按递升次序将这些分析的复杂性和成本加以排列的话，将会是：定性分析、半定量、定量。实际上，定性分析往往首先被采纳，来得到风险程度的总的提示。依照半定量分析方法，来获得总体风险程度。采纳下面的赋值矩阵来获得最终的风险风险程度和措施数值符号含义建议处置、措施备注128-256E极度风险要求立即采取措施：幸免？转移？减小？需要具体资产信息64-127H高风险需要高级治理部门的注意：幸免？转移？减小？需要具体资产信息4-63M中等风险必须规定治理责任：幸免？同意？转移？减小？需要具体资产信息0-3L低风险用日常程序处理：幸免？同意？转移？减小？需要具体资产信息风险评估层面技术风险评估资产风险评估系统风险评估业务风险评估治理风险评估风险评估实例IOS12.0-r1-s-shsh-1（服务类）通过资产评估被赋值（3.7：专门高价值）；面临的威胁之为：未授权的恶意的路由更新,路由更新欺诈；存在较高等级弱点（3）：BGP和IS-IS没有进行neighbourauthentication；综合各种因素，威胁可能性被赋值为（2）；威胁的阻碍被赋值为（3）；按照前述算法能够得出：风险值＝3.7x3.0x2.0x3=66.6风险后果=3.7x3.0=11.1风险可能性=2.0x3=6整体风险最终被赋值：66.6，从前面的风险矩阵能够查得该资产处于高风险之中。建议立即采取措施，进行“幸免/转移/减小”等风险处置。ISO17799十个域安全策略安全组织资产分类和操纵人员安全物理与环境的安全通讯与操作的安全访问操纵系统开发与维护业务连续性治理遵循性可交付的文档信息网络《远程风险评估报告》，包括以下内容。1)网络及系统漏洞统计归纳分析，按设备种类（网络设备、服务器、其他主机）进行总结归纳，并给出图形化的分析结果，并按IP地址给出具体的漏洞列表。2)给出详细的漏洞信息描述，包含所有已知漏洞的名称、描述、风险级不、演变过程、受阻碍系统、危害、详细的解决方法和操作步骤等。《本地风险评估报告》，包括以下内容：1)资产评估，至少包含以下资产的评估：信息资产、物质资产、软件资产、服务、设备、人员。2)漏洞评估，至少包括以下方面的漏洞分析：物理环境、网络结构、网络服务、网管系统、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全治理制度、安全策略。3)威胁评估，至少包括以下方面的威胁分析：物理环境、网络结构、网络服务、网管实现方式、计费实现方式、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全治理制度、安全策略。4)风险评估，讲明风险计算方法，至少包括以下方面的风险分析：物理环境、网络结构、网络服务、网管实现方式、计费实现方式、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全治理制度、安全策略。《安全策略建议》：依照网络安全现状，提供安全策略建议，要求至少包括如下方面的建议：人员组织、安全治理（包括工程建设期间）、访问操纵、网络治理、数据安全、紧急响应。请应答方讲明策略制订、修改的依据，供需求方参考。《安全解决方案建议》：对现有网络系统提出全面的安全解决方案建议，至少包括如下方面：物理环境、网络结构、网络服务、网管系统、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全治理（包括工程建设期间）制度、安全策略。要求对所建议的方案进行投资估算，并讲明所提供方案对现有网络的改动情况，对服务和性能的阻碍程度。如需使用安全产品，请描述所需产品的功能和性能要求，但不能限定产品的厂家和型号。文档一览《资产评估部分》《漏洞评估部分》《威胁评估部分》《风险评估部分》《安全策略建议部分》《安全解决方案部分》风险评估过程风险评估的过程也是围绕这三个方面来展开，经历调查与分析、数据/信息收集与处理、撰写评估报告三个时期。此外，风险评估通常还包括一个特不重要的跟进过程，在那个过程中依照风险评估的结果给出安全建设方面的建议并监督执行。评估过程评估过程分为3个时期共8个过程。时期1：提取基于资产的威胁概况确定高级治理层的认识(P1)目的：明确企业高层治理人员对企业重要资产的认识，对资产如何受到威胁的了解，以及资产的安全需求，现在差不多采取得爱护措施以及和爱护该资产相关的问题。人员：风险评估小组以及企业高层治理人员确定运作治理层的认识(P2)目的：明确企业运作治理人员对企业重要资产的认识，对资产如何受到威胁的了解，以及资产的安全需求，现在差不多采取得爱护措施以及和爱护该资产相关的问题。人员：风险评估小组以及企业运作治理人员确定全体职员的认识(P3)目的：明确企业职员对企业重要资产的认识，对资产如何受到威胁的了解，以及资产的安全需求，现在差不多采取得爱护措施以及和爱护该资产相关的问题。人员：风险评估小组以抽选的企业职员代表建立威胁轮廓(P4)目的：依照时期1－3明确企业的关键资产，描述关键资产的安全需求，标识关键资产面临的威胁。人员：风险评估小组时期2：确定基础设施漏洞找出关键组件(P5)目的：识不和划分需要评估的基础资产的类不，并从每个类不中抽样选择一个或多个基础资产，然后选用适当的方法和有效的工具对其进行脆弱性评估。人员：风险评估小组以及企业核心IT技术人员。评估关键组件(P6)目的：识不技术上的脆弱性，并对结果进行总结和概括。人员：风险评估小组以及企业核心IT技术人员。时期3：制订安全策略和打算实施风险分析(P7)目的：定义威胁产生的阻碍（标识风险），制定评估标准，对每个风险进行分级（高、中、低）。人员：风险评估小组制订爱护策略(P8)目的：为企业制定爱护策略，降低关键资产风险的方案，以及短期内的措施清单。人员：风险评估小组风险评估的输入各时期的一般过程调查与分析调查与分析是参与风险评估的双方就资产、弱点、威胁达成一致认识的重要手段。调查与分析需要花费大量的时刻用于确认相关信息，因此，合理利用调查问卷能够事半功倍。数据/信息收集与处理在评估过程中，有大量的数据需要以合理的结构存储并利用自动化的工具来处理。安全信息库是进行数据/信息收集与处理的一种特不有效的工具。撰写评估报告在正确地处理各种评估数据的基础上，依照统计与分析的初步结果，利用风险计算矩阵计算各资产的风险值以及整个系统的综合风险值。撰写评估报告需要在这种定量分析的基础上找出风险的属性之间的关系，陈述综合分析结果。风险操纵风险操纵的目的是爱护资产，提高企业的业务连续性和价值，达到企业的安全目标和业务目标。风险操纵可能需要付出一定代价或者增加成本。风险操纵的方式风险操纵的方式有如下几种：消除风险：在某些情况下，能够决定通过治理或技术操纵措施完全消除风险的可能性或风险的后果，从而能够完全幸免风险。这要紧适用于一些技术性弱点而引起的风险。降低风险可能性：在某些情况下，能够决定通过合同、要求、规范、法律、监察、治理、测试、技术开发、技术操纵等措施来减小风险的可能性，来达到减小风险的目的。减小风险的后果或阻碍：在某些情况下，能够决定通过制定实施应变打算、合同、灾难恢复打算、资产重新布置等手段来减小资产价值本身或风险的后果/阻碍。这和“降低风险可能性”一样，能够达到减小风险的目的。回避风险：在某些情况下，能够决定不接着进行可能产生风险的活动来回避风险。在某些情况可能是较为稳妥的处理方法，然而在某些情况下可能会因此而丧失机会。转移风险：这涉及承担或分担部分风险的另一方。手段包括合同、保险安排、合伙、资产转移等。同意风险：不管采取什么措施，通常资产面临的风险总是在一定程度上存在。决策者能够在进一步操纵所需要的成本和风险之间进行权衡。在适当的情况下，决策者能够选择同意/承受风险。选择风险操纵方式的原则是权衡利弊：权衡每种选择的成本与其得到的利益。例如，假如以相对较低的花费能够大大减小风险的程度，则应选择实施如此的操纵方式。风险操纵措施举例：安全加固建议这是一种有针对性的资产点对点风险减免。要紧是通过各种技术手段来补救单个资产的弱点。安全体系结构建议这是从系统的角度来重要设计更安全的系统。要紧通过更合理的网络结构与系统逻辑关系设计来补救整个系统的弱点。安全治理建议这是从治理的角度来爱护资产不受威胁。要紧通过把具有弱点而且难以补救的资产爱护起来，不受威胁的阻碍，也就起到了减免风险的作用。风险评估项目通常一个项目包括打算与执行两个时期。在执行过程中，为了确保风险评估的有效性，还需要监控打算的执行情况。打算风险评估项目的打算至少但不限于包括如下内容：项目描述质量保障措施进度安排资源需求（不含人员与时刻）人员与时刻要求风险操纵预案验收（日期与方式）监控与执行项目治理方法在项目的实施过程中，依照项目的具体要求，整个项目的治理参考美国项目治理协会PMI提出的项目治理方法学，以及一些安全专业领域的专家、顾问对项目的实施进行规范治理实施。同时通过规范化的项目治理，保证项目进程中的过程的质量。变更操纵治理不受操纵的项目变更，包括目标变更，范围变更，人员变更，环境变化，文档修改等等是对整个项目质量的重大威胁。在项目实施过程中，将以实施方案的维护为核心，对实施方案及其衍生文档进行正规的变更操纵治理。项目沟通治理采纳正规的项目沟通程序，保证参与项目的各方能够保持对项目的了解和支持。这些治理和沟通措施将对项目过程的质量和结果的质量具有重要的作用。项目协调会项目总负责人定期组织项目协调会，就上次例会所确立的事项进行监督检查，并对存在的项目实施问题予以协调，确定解决方案和进度安排；遇有紧急情况，项目总协调人可随时召集项目协调会议。每次会议应出具会议纪要，交各相关单位备案。次数所处时期要紧内容参加人员1预备期项目组成立确定双方项目组成员确定整体实施打算确定下一时期的详细实施打算甲方评估小组全体人员乙方项目组全体成员双方的有关领导1预备期对预备期所做的工作进行沟通，及时发觉问题，确定解决方式。甲方评估小组组长及要紧成员乙方项目组组长及要紧成员1预备期对预备期时期的工作进行总结，确定实施的详细打算双方项目组全体成员1实施期：现场评估过程中对现场评估的工作，进行沟通，及时发觉问题，确定解决方式。甲方评估小组组长及要紧成员2．乙方项目组组长及要紧成员1实施期：现场评估完成时对现场评估进行总结，及时发觉问题，确定解决方式。确定下一时期的工作重点双方项目组全体成员1实施期：评估报告差不多完成时对评估报告进行总结，确定需要细化和修改的内容。双方项目组全体成员不定在整个项目的实施过程中，依照情况安排对阻碍项目进程的问题进行沟通，确定解决方式双方项目组组长及相关人员评估过程操纵为了保证在评估项目实施过程中评估方能有效地开展工作，并保证整个项目的可控，需要双方共同组成项目协调小组并在项目正式实施前召开会议，讨论相关事项并形成正式的书面材料，确定双方在项目中的责任和义务。风险评估人员组织评估方人员组织项目领导小组由评估方和被评估方的相关负责人组成，要紧是对项目实施的整个过程中的重大问题进行决策。风险评估项目经理风险评估项目实施队伍自组建之日起，承担双方以合同或其它形式明确的各项任务。项目总负责人须做好日常资源治理工作，并直接操纵项目治理打算(PMP)的各个要素，具体讲来要紧包括以下几个方面：项目执行——对以下几方面工作提供指导：总体方案设计、工程及应用系统设计；设备配置确认；工程质量和进度保证；系统验收，培训等。项目检查——通过其下属实施小组提供的工程进展汇报，将项目进展状态与项目打算进度进行比较，发觉过程误差，提出调整措施。项目操纵——审核项目进展状态，必要时调集各种备用资源，确保项目按打算进度实施。项目协调——与各级单位进行协调，解决工程组织接口及技术接口问题；定期主持整个系统专题协调会，及时解决各系统间出现的相关问题。项目技术顾问组由评估方的安全专家组成，要紧职责是会同项目组完成以下各项工程任务：系统总体设计对系统深化设计进行审核并提出优化建议对系统进行技术协调对系统的设备配置予以确认工程文档的审核协助项目总负责人制订本项目的质量工作打算，并贯彻实施贯彻公司的质量方针、目标和质量体系文件的有关规定和要求负责对工程任务全过程的质量活动进行监督检查，参与设计评审风险评估小组负责对试点分行进行风险评估安全体系小组负责协助被评估方建立安全治理体系安全服务小组负责评估后期的技术支持，要紧包括安全加固支持指导、安全通告等服务。应急响应小组负责风险评估实施过程中紧急安全事件的应急响应和灾难恢复。其中，紧急安全事件的范围应以书面形式进行明确。安全培训小组负责对被评估方进行实施前后的相关知识与配合要求培训。被评估方人员组织作为风险治理的一个重要部分，风险评估是一项治理责任。在本节中对需要支持和参与风险评估过程的关键人员角色进行了描述。高级治理人员在应该关怀并对完成使命负最终责任的标准下，高级治理人员必须保证那些必要的资源被有效地运用在完成使命所需能力的开发方面。他们必须对风险评估活动的结果进行评估并将其融入到决策过程中。一个有效的风险治理程序（用来对IT相关的使命风险进行评估并减缓这类风险）离不开高级治理人员的参与和支持。首席技术官（CIO）CIO负责机构的IT打算、预算以及性能，其中也包括信息安全部分。在这些领域的决策应该基于有效的风险治理程序。系统和信息所有者系统和信息所有者负责部署适当的安全操纵并爱护他们所拥有的IT系统和数据的完整性、保密性和可用性。一般来讲系统和信息所有者要负责对其IT系统的变更，因此他们通常得要批准或中止对其IT系统的变更（如系统的增强，对系统软件或硬件的重大变更等）。系统和信息所有者因此必须清晰他们在风险治理过程中的角色并完全支持这一过程。业务和职能主管负责业务运行和IT采购过程的主管必须在风险治理过程中担当一个主动角色。这些主管有权作出对完成使命来讲是必不可少折衷决定，并对其负责。他们对风险治理过程的参有助于实现IT的适度，假如治理得当的话，能够用最小的资源代价完成使命。信息系统安全官（ISSO）IT安全程序经理和计算机安全官员负责机构的安全程序，包括风险治理。因此，他们会主导引入一个适当的、结构化的方法来关心对支持机构使命的IT系统所面临的风险进行识不、评价、并将它们最小化。在支持高级治理人员方面，ISSO担当的是一个要紧的顾问角色，从而保证这项活动持续不断的进行下去。IT安全实施人员IT安全从业人员（如网络、系统、应用、和数据库治理员，计算机专业人员，安全分析员，安全顾问等）负责其IT系统中安全要求得到正确地实现。当现有的IT系统环境发生变化时（如网络连接的扩展，现有基础设施和机构政策的变化，新技术的引入等），IT安全从业人员必须支持或运用风险治理过程，以对新的潜在风险进行识不和评价，并实现新的安全操纵来爱护其IT系统。安全意识培训人员（安全/主题专家）机构人员是IT系统的用户。按照机构策略、指导、和行为规则来使用IT系统和数据关于减缓风险和爱护机构IT资源而言是特不关键的。为了将IT系统的风险最小化，必须为系统和应用用户提供安全意识培训。因此，IT安全培训人员或安全/主题专家必须了解风险治理过程，如此他们能够制作出适当的培训材料，并将风险评估融入到培训程序中，对最终用户进行培训。被评估方负责人正式实施风险评估前，被评估方需指定风险评估项目的负责人，要紧负责与评估方的项目经理协作，协调组织内的资源，解决项目中需要配合的问题，保障项目顺利进行。风险评估的跟进工作风险评估之后的跟进工作是对评估以及相应的安全建议方案的跟进。依照第一次评估结果和第二次评估结果的对比进行综合分析，以挖掘在治理、运行、维护中的要紧风险分布。跟进的重要性安全是一个循环迭代的过程。安全的状态会随时刻的推移而变化，系统的每一部分的变化都可能导致新的安全问题。因此，跟进评估是保证持续安全的必要措施。有效的，合格的建议要求安全审计师给出有效的，合格的建议，应该具备如下性质：具体、清晰、可理解、可标识证据充足，讲服力强意义重大可行，可实施托付事项个人与部门承担的责任对建议的实现特不重要。安全审计师，职员与治理层对建议有不同的期望、侧重点与优先级。安全审计师安全审计师最先引入改进建议，他们：应该为自己推举的方案提供足够的证据，后面能够附上期望的改善；应该理解客户部门的环境与约束，如时刻、资源与文化；应该以一种合适的、有效的渠道来进行沟通并给出建议方案职员那个地点，职员指直接或者间同意建议方案阻碍的人员。他们可能需要为建议方案的实现提供支持，或者确实是可能不得不改变日常操作过程的用户。应该鼓舞他们与安全审计师合作应该给他们足够的时刻和资源来执行增强措施应该保证他们能从建议方案中有所收获治理层治理层在强制加强安全性的过程中起着特不重要的作用。他们应该积极主动而不是消极被动地关注安全事务；应该在整个风险评估与审计过程中给予足够的支持；应该给安全性增强分配足够的资源；应该理解跟进是特不有价值的意义重大的责任；应该鼓舞为安全性增强工作制定打算，进行操纵并充分地沟通；应该提高职员的安全意识并加强培训。监督与跟进监督与跟进要紧有3个步骤：建立监督与跟进机制标识推举并制定跟进打算执行主动监督与报告建立监督与跟进机制治理层应该建立监督与跟进机制以便跟进建议方案。除了对安全审计负责外，治理层能够指定其余职员来检查监督机制的整体效果。标识推举并制定跟进打算要执行有效的、即时的安全性增强方案，必须完成下列工作：找出关键的、意义重大而且至关紧要的建议方案，在方案中应该尽力而且需要额外的监督；为所有建议方案制定跟进打算；这可能包括实施打算、可能实施时刻、事项清单、验收方法与过程强调这些关键的建议应该在跟进过程中报告并多加注意所有的建议方案应该依照打算来跟进执行主动监督与报告积极主动地监督并报告行动的进度与状态，并对所有要求的建议采取跟进行动直到完成实施。行动的进度与状态行动有几种不同的进度和状态：尚未开始已完成行动已开展，有预定完成日期行动未开展，有缘故假如与建议方案不同时，能够代替的行动。跟进行动下面给出几种建议的跟进行动，以供参考：批阅实施打算、文档与打算行动的时刻段找出未开展的行动背后的缘故建立额外的步骤或任务来处理技术、运行与治理上的困难找出由于意外的环境或需求变更引起的替代建议方案推断建议方案的“结束”，当证明它们差不多成功地实施并测试通过，因而不再有效，或者即使采取进一步的行动也可不能有效。评价正确的行动的效果向治理层报告完成情况、状态与进度一有机会就加强治理，尤其是关键建议的实施不够或延期时。风险评估的前提与分工假设与限制在考虑安全风险评估或审计时，做如下假定：时刻与资源有限尽可能地减小和治理安全风险执行安全操纵的用户理解越深刻，效果就越好客户责任由独立的第三方执行安全风险评估与审计时，客户应该负责下列行动：检查评估方的背景与人员资质，看他们是否具备必要的经验与专业知识预备技