税务系统信息安全风险评估评估指南

税务系统信息安全风险评估评估指南税务系统信息安全风险评估评估指南税务系统信息安全风险评估评估指南“税务系统信息安全风险评估指南”编制说明税务系统信息安全风险评估指南就是为了对全税务系统的信息安全风险评估工作提供实施的指导，从而统一整个税务系统风险评估工作的实施办法和工作流程，产生相同的工作成果，确保各地税务系统信息安全风险评估工作结果的可比性。税务系统信息安全风险评估指南对税务系统信息安全风险评估的过程、关键点以及工作成果等方面提出了具体的实施方法和产生的文档类别和内容。税务系统信息安全风险评估的内容包括:资产分析，漏洞、脆弱性及弱点评估、威胁评估、影响与可能性分析和系统分析等方面。风险评估过程分为三个阶段：确定资产的威胁概况、确定基础设施风险和制定安全策略和计划。本风险评估指南规定了风险评估项目组织、跟进工作等。限定了风险评估的前提和分工。本风险评估指南共提供了六个附录，附录A为术语表，对本指南内的专业术语进行解释，附录B为调查问卷，对税务系统信息安全风险评估的调查问卷种类和内容进行规定，附录C为交付文档范例，确定了税务系统信息安全风险评估工作需完成的工作文档，附录D资产分类清单，对税务系统内的资产进行了分类，附录E资产脆弱性清单列举了各类资产可能存在的脆弱性，附录F为资产威胁清单，列举了资产所面临的威胁。税务系统信息安全风险评估指南（征求意见稿）〖作者，单位〗〖本页是封面，按要求制作〗版号：1.0发布日期：200制定：审核：批准：国家税务总局信息中心安全处二〇〇四年六月说明〖关于本文档的说明，留空。〗目录信息系统安全风险评估指南 1目录 31 前言 11.1 关于本文档 11.2 目标读者 11.3 文档结构 21.3.1 相关标准 21.3.2 相关文档 21.4 关于术语与缩略语的约定 32 风险评估概述 32.1 基本概念 32.2 意义与作用 42.3 过程概述 42.4 工具 52.5 成功的关键因素 52.6 收益 62.7 面临的挑战 63 风险评估的内容 73.1 资产分析 73.1.1 资产定义 73.1.2 资产类别 73.1.3 资产评估 83.1.4 资产评估的目的 83.1.5 资产的重要性 83.1.6 资产级别 93.1.7 评估实例 103.2 漏洞/脆弱性/弱点评估 103.2.1 弱点评估的目的 103.2.2 弱点评估的内容 103.2.3 弱点评估手段 113.3 威胁评估 123.3.1 威胁定义 123.3.2 威胁分类 133.3.3 威胁属性 133.3.4 威胁的获取方法 143.3.5 威胁评估手段 153.3.6 威胁评估实例 153.4 影响与可能性分析 153.5 系统分析 163.5.1 系统结构及边界 163.5.2 信息的敏感度评估 163.6 调查问卷的结构 173.6.1 调查系统控制 173.6.2 系统确认 173.6.3 目的和评估者信息 173.6.4 信息的决定性 183.7 利用问卷调查结果 183.7.1 调查问卷分析 183.7.2 行动计划 183.8 综合风险分析 183.8.1 风险分析矩阵 193.8.2 风险评估层面 203.8.3 风险评估实例 203.8.4 ISO17799十个域 203.9 可交付的文档 213.9.1 信息网络 213.9.2 文档一览 224 风险评估过程 224.1 评估过程 224.1.1 阶段1：提取基于资产的威胁概况 224.1.2 阶段2：确定基础设施漏洞 234.1.3 阶段3：制订安全策略和计划 234.2 风险评估的输入 244.3 各阶段的一般过程 244.3.1 调查与分析 244.3.2 数据/信息收集与处理 244.3.3 撰写评估报告 244.4 风险控制 244.4.1 风险控制的方式 244.4.2 风险控制措施举例： 254.5 风险评估项目 264.5.1 计划 264.5.2 监控与执行 265 风险评估人员组织 285.1 评估方人员组织 285.2 被评估方人员组织 296 风险评估的跟进工作 316.1 跟进的重要性 316.2 有效的，合格的建议 316.3 委托事项 316.3.1 安全审计师 316.3.2 员工 326.3.3 管理层 326.4 监督与跟进 326.4.1 建立监督与跟进机制 326.4.2 标识推荐并制定跟进计划 336.4.3 执行主动监督与报告 337 风险评估的前提与分工 347.1 假设与限制 347.2 客户责任 347.3 服务资质 347.4 安全审计师的职责 34附录A术语表 i附录B调查问卷 iv附录C交付文档范例 vi附录D资产分类清单 xiv附录E资产脆弱性清单 xvi附录F资产威胁清单 xviiiPAGE35前言关于本文档信息安全风险评估是信息安全管理的主要内容之一。本文档不覆盖信息安全管理的每一方面。它介绍了一个关于信息安全风险评估的一般过程。在了解这个过程后，管理层人员、IT经理、系统管理员以及其他技术与运行人员能更好地理解安全风险评估。他们应该能够知道需要准备什么、在哪些方面应该加以注意、会得到什么样的结果。本文档的目标并不是集中在如何进行风险评估，它更侧重于提供一个参考过程来帮助核对由独立的安全咨询师与审计师所提供的服务的覆盖面、方法论、交付的文档。目标读者本指南为那些在其信息系统中支持或实施风险评估的人员提供关于风险评估基础，无论他们是否有经验，是不是技术人员。这些人包括：高级管理人员，业务的拥有者，那些IT安全预算的决策者。信息总监，确保为其机构IT系统部署风险管理并为这些IT系统提供安全的人员。负责最终决策是否允许IT系统的运行的人员。IT安全规划经理，部署安全规划的人员。信息系统安全管理员（ISSO），负责IT安全的人员。用以支持IT功能的系统软、硬件这些IT系统的拥有者。存储的数据，进程以及在IT系统中传输的信息的拥有者。负责IT生产的业务或功能管理人员。管理IT系统安全的技术支持人员（如，网络，系统，应用以及数据库管理员，计算机专业人员，数据安全分析人员）。开发并维护可能影响系统和数据完整性代码的IT系统和应用程序员。测试并确保IT系统和数据完整性的IT类的保险人员。审计IT系统的信息系统审计员。在风险管理中支持客户的IT顾问。文档结构本文档展示了关于信息安全风险评估的一个通用框架。它包括下面的内容：风险评估概述风险评估的内容风险评估过程风险评估人员组织风险评估的跟进工作资质要求与职责划分相关标准以下列出一些国际、国内关于信息安全风险评估的相关标准和规范。如：国际标准ISO17799ISO15408/CC2.1ISO13335SSE-CMMRFC2196国家标准GB/T18336-2001行业通用标准BS7799-2AS/NZS4360CVE或CN-CVE参考文献C.JAlberts，S.G.Behrens，R.D.Pethia，andW.R.Wilson.Operationallycriticalthreat，asset，andvulnerabilityevaluation(octave)framework，version1.0.Technicalreport，CarnegieMellonUniversity，SoftwareEngineeringInstitute，Pittsburgh，PA，June1999.Australian/NewZealandStandardAS/NZS4360:1999:RiskManagement.Strath_eld:StandardsAustralia.CORASIST-2000-25031WebSite.http://www.nr.no/coras.24February2003.CommonCriteria.CommonCriteriaforInformationTechnologySecurityEvaluation，1999./.24February2003.ISO/IEC13335:InformationTechnology-GuidelinesforthemanagementofITSecurity.http://www.iso.ch.ISO/IEC17799:2000Informationtechnology-Codeofpractiseforinformationsecuritymanagement.关于术语与缩略语的约定风险评估：在本文中，风险评估特指“信息系统安全风险评估”。资产：在本文中，资产特指“信息系统本身作为固定资产的价值与它所承载的无形资产（数据、业务连续性等）的价值”。风险评估概述在本节中，介绍了风险评估的相关概念、一般过程、相关工具、成功的关键因素、收益以及面临的挑战。基本概念风险风险是一种潜在可能性，是指某个威胁利用弱点引起某项资产或一组资产的损害，从而直接地或间接地引起企业或机构的损害。因此，风险和具体的资产、其价值、威胁等级以及相关的弱点直接相关。威胁INFOSEC-99将威胁定义为“能够通过未授权访问、毁坏、揭露、数据修改和/或拒绝服务对系统造成潜在危害的任何环境或事件”。脆弱性系统资产在相关环境中体现出来的，可以被威胁利用从而引发资产或商业目标损害的弱点和漏洞。风险的属性风险有两个属性：后果（Consequence）和可能性（Likelihood）。评价风险对企业的影响，也就是对风险的评估赋值是对上述两个属性权衡作用的结果。后果是指风险带来的损失，可以用损失占该资产价值的百分比来度量。可能性指风险发生的概率，以百分比来表示。风险评估风险评估是对信息系统进行资产分析，并针对重要的资产进行威胁、脆弱性的可能性调查，从而估计对业务产生的影响，提供适当的方法来控制风险。从上述的定义可以看出，风险评估的策略是首先选定某项资产、评估资产价值、挖掘并评估资产面临的威胁、挖掘并评估资产存在的弱点、评估该资产的风险、进而得出整个评估目标的风险。意义与作用风险管理是管理者权衡保护措施的运行和经济成本与获得的收益之间关系的一个过程。这个过程并不是IT行业所独有的，实际上它遍及我们日常生活中需要做出决定的任何事情。进行风险管理的最终目的就是要将其最小化，这也是在当今各行各业的IT系统应用中需要实施信息安全措施的根本原因。所有与安全性相关的活动都是风险管理的组成部分。可以说，风险管理贯穿于系统开发生命周期（SystemDevelopmentLifeCycle,SDLC）的整个过程，即初始阶段、开发/获取阶段、实施阶段、运行/维护阶段、优化配置阶段。风险评估则是风险管理的基础，也就是系统的使用单位或组织判定在系统的整个SDLC中有关风险级别的过程。这个过程的结果是残留风险和这个风险是否达到可接受水平的一个明确界定，或者是一个是否应当实施额外的安全控制以进一步降低风险的结论。过程概述风险评估的过程分为3个阶段共8个过程。阶段1：提取基于资产的威胁概况过程1：确定高级管理层的认识过程2：确定运作管理层的认识过程3：确定全体职员的认识过程4：确定威胁轮廓阶段2：确定基础设施漏洞过程5：找出关键组件过程6：评估关键组件阶段3：制订安全策略和计划过程7：实施风险分析过程8：制订保护策略工具调查问卷调查问卷（Questionnaire）由一组相关的封闭式或开放式问题组成，用于在评估过程中获取信息系统在各个层面的安全状况，包括安全策略、组织制度、执行情况等。远程漏洞扫描工具远程漏洞扫描工具（Scanner）是一个或一组自动化工具，用于远程检测系统可能存在的漏洞。人工审计检查列表检查列表（Checklist）用于人工检查系统存在的各种安全弱点/脆弱性，它针对不同的系统列出待检查的条目，以保证人工审计结果数据的完备性。安全风险评估信息库安全风险评估信息库用于存储与处理在风险评估过程中收集到的信息。成功的关键因素风险评估过程总体来说是一个需要评估方与被评估方共同参与，便于被评估方理好地风险管理。因此，风险评估的成功需要双方的良好协作。从某种程度上来说，被评估方的参与风险评估过程的态度决定是否能取得成功。在风险评估过程中，需要考虑以下方面：获得高级管理的支持和参与确定重点定义过程业务和技术专家积极参与责任到人限定单次评估的范围归档和维护合理利用工具考虑收益收益认识风险通过风险评估过程，被评估方能从资产的角度对风险有全面、清晰的认识，通过相应的分析与统计，这些结果能在某种程度加以量化，从而为风险管理的后续过程提供决策支持。减免风险在风险评估过程的跟进行动中，被评估方有机会采取合适的风险控制方式来减免风险。保障业务连续性风险评估是风险管理的一个重要过程，风险管理的最终目的之一还在于保障被评估方的业务连续性。面临的挑战可靠地评估信息安全风险比评估其他类型的风险要困难得多，因为信息安全风险因素相关的可能性和花费的数据非常有限，也因为风险因素在不断地改变。例如：1、风险因素方面的数据非常有限，如一个有经验的黑客攻击的可能性，利用安全漏洞的安全事件引起的破坏、丢失或中断所造成的损失2、有些损失，象失去客户信任或敏感信息的泄露，本质上很难量化3、尽管可以了解需要加强控制的硬件和软件的成本，但常常不可能精确地估计相关的非直接的成本，如执行新的控制时可能会导致生产力的丧失4、即使获得了精确信息，但信息很快就会过期，因为技术发展很快，入侵者可获得更先进的工具可靠性和即时数据的缺乏，使我们常常无法精确定义哪一个信息安全风险是最重要的，也无法比较哪一个工具是最有效的。由于这些限制，机构选择采用的方法是否能有效地从风险评估中受益，同时又避免花费很大的精力去开发看似精确却可靠性成问题的工具，显得非常重要。风险评估的内容风险评估的主要内容包括三个方面：基于资产的估值与分析、资产本身存在的脆弱性的识别与分析、资产受到的威胁识别以及它的影响与可能性分析。资产分析资产定义资产是构成整个系统的各种元素的组合，它直接的表现了这个系统的业务或任务的重要性，这种重要性进而转化为资产应具有的保护价值。资产类别依据资产的属性，主要分为以下几个类别：信息资产信息资产主要包括各种设备以及数据库系统中存储的各类信息、设备和系统的配置信息、用户存储的各类电子文档以及各种日志等等，信息资产也包括各种管理制度，而且各种打印的以及部分其他成文的文档也属于信息资产的范畴。软件资产软件资产包括各种专门购进的系统与应用软件（比如操作系统、网管系统、办公软件、防火墙系统软件等）、随设备赠送的各种配套软件、以及自行开发的各种业务软件等。物理资产物理资产主要包括各种主机设备（比如各类PC机、工作站、服务器等）、各种网络设备（比如交换、路由、拨号设备等）、各种安全设备（比如防火墙设备、入侵检测设备等）、数据存储设备以及各类基础物理设施（比如办公楼、机房以及辅助的温度控制、湿度控制、防火防盗报警设备等）。人员资产人员资产是各类资产中很难有效衡量甚至根本无法衡量的一部分，它主要包括企业内部各类具备不同综合素质的人员，包括各层管理人员、技术人员以及其他的保障与维护人员等。资产评估资产评估是与风险评估相关联的重要任务之一，资产评估通过分析评估对象——资产的各种属性（包括经济影响、时间敏感性、客户影响、社会影响和法律争端等方面），进而对资产进行确认、价值分析和统计报告，简单的说资产评估是一种为资产业务提供价值尺度的行为。资产评估的目的资产评估的目的就是要对企业的归类资产做潜在价值分析，了解其资产利用、维护和管理现状。明确各类资产具备的保护价值和需要的保护层次，从而使企业能够更合理的利用现有资产，更有效地进行资产管理，更有针对性的进行资产保护，最具策略性地进行新的资产投入。资产的重要性按照what-if模型，资产的重要性可以分为经济影响、时间敏感性、客户影响、社会影响和法律影响。级别定义经济影响(F)时间敏感性(T)对客户影响(C)社会影响(S)法律影响（L）导致直接经济损失（￥）可接受的中断时间不满意的客户数量会引起如下机构的注意将涉及不同程度的法律问题510,000,000以上1小时以下50,000以上国家或国际的媒体、机构被迫面对复杂的法律诉讼，案情由级别相当高的法院审理，控方提出的赔付数额巨大41,000,001-10,000,0001-24小时10,001-50,000省、市级媒体、机构提交更高级别法院立案，诉讼过程漫长3100,001-1,000,0001-3天1,001-10,000公司正式提交法院立案250,001-100,0003-10天101-1,000公司部门会有人就法律问题提出交涉150，000以下10天以上100以下几人或工作组几乎没有法律问题资产级别依据资产的潜在价值以及资产对时间的敏感性、对客户的影响、资产的社会影响和可能造成的法律争端等各个方面，资产按重要性可分为五类：超核心资产超核心资产的瘫痪或损坏造成直接经济损失一般在1000万元以上；超核心资产的时间敏感性是非常强的，一般来说，在其运行过程中可接受的中断时间是在一个小时以内的，有的甚至只能是几秒钟；超核心资产瘫痪对客户和社会造成的影响都是十分巨大的，可能会导致5万以上的客户不满意，并引起国家甚至国际媒体的广泛关注，而且超核心资产瘫痪将会使得企业被迫面对复杂的法律诉讼，并且案情将有级别相当高的法院审理，控方提出的赔付数额异常巨大。核心资产核心资产的瘫痪或损坏造成直接经济损失一般在100万元至1000万元之间；核心资产的时间敏感性同样是非常强的，一般其运行过程中可接受的中断时间在１-24小时之内；核心资产瘫痪对客户和社会造成的影响很巨大，可能会导致数万客户的不满意，并引起省市级媒体和机构的关注，而且核心资产瘫痪引起的法律争端可能提交很高级别的法院立案，诉讼过程可能很漫长。高级资产高级资产的瘫痪或损坏造成的直接经济损失一般在10万元至100万元之间；高级资产的时间敏感性很强，可接受的中断时间大概在1-3天之间；高级资产的瘫痪可能导致数千客户的不满意，其造成的社会影响主要集中在企业或公司的内部，但是高级资产的瘫痪引起的法律争端同样会正式提交法院立案审理。中级资产中级资产的瘫痪或损坏造成的直接经济损失一般在5-10万元之间，其时间敏感性一般，可接受的中断时间一般在3-10天左右；中级资产的瘫痪可能造成数百客户的不满意，造成的社会影响主要集中在企业或公司的某个部门内部，但是中级资产的瘫痪有一定的可能会引出法律争端。一般资产一般资产的瘫痪或损坏造成的直接经济损失一般少于5万元，其时间敏感性很弱，可接受的中断时间在10天以上；一般资产的瘫痪最多可能导致数十客户的不满意，而其造成的社会影响更是微乎其微，几乎只是在几个人或工作组内部，而且几乎不会引起任何的法律争端。评估实例一台Cisco7513路由器，是某省省网出口核心，IP地址为7，OS版本为11.1（22）CC，购入单价1,100,810元。由于是全省电信IP网的核心路由，不允许发生中断（中断时间限制在秒级），一旦发生故障将造成约10,000,000元的经济损失，导致全省用户无法访问（用户数>5万），并导致国家及国际上的不良影响，并可能遭受客户的控诉，带来巨额赔偿。资产属性等级经济影响F5（>10,000,000元）时间敏感性T5（<1小时）客户影响C5（>5万）社会影响S5（引起国家及国际影响）法律影响L5（导致对客户损失的巨额赔偿）资产等级＝5漏洞/脆弱性/弱点评估弱点评估的目的弱点评估的目的是给出有可能被潜在威胁源利用的系统缺陷或弱点列表。所谓威胁源是指能够通过系统缺陷和弱点对系统安全策略造成危害的主体。弱点评估的信息通常通过控制台评估、咨询系统管理员、网络脆弱性扫描等手段收集和获取。弱点评估的内容技术漏洞的评估技术漏洞主要是指操作系统和业务应用系统等存在的设计和实现缺陷。技术漏洞的标号以CVE漏洞列表的编号为标准；如果存在某些CVE没有标号的漏洞，则以国际通用的BUGTRAGID号为标号；如果以上两种编号都无法满足标号要求，则以本次统一的ISS漏洞入库编号中关于无法准确定义的漏洞编号为准。非技术漏洞的评估非技术性漏洞主要是指系统的安全策略、物理和环境安全、人事安全、访问控制、组织安全、运行安全、系统开发和维护、业务连续性管理、遵循性等方面存在的不足或者缺陷。弱点评估手段弱点评估可以采取多种手段，下面建议了常用的四种。即：网络扫描主机审计网络审计渗透测试其中，需要注意渗透测试的风险较其它几种手段要大得多，在实际评估中需要斟酌使用。网络扫描项目名称漏洞扫描评估简要描述利用扫描工具检查整个网络内部网络的主机系统与数据库系统的漏洞情况达成目标发掘网络内部网络的安全漏洞，提出漏洞修补建议主要内容采用多种漏洞扫描系统软件实现方式大规模的漏洞扫描工作条件4-6人工作环境，2台Win2000PC，电源和网络环境，客户人员和资料配合工作结果网络内部网网络漏洞列表，扫描评估结果报告，所需时间80台/工作日参加人员评估小组、网络管理人员、系统管理人员、数据库管理人员主机审计项目名称主机审计简要描述作为网络扫描的辅助手段，登陆系统控制台检查系统的安全配置情况达成目标检测系统的安全配置情况，发掘配置隐患主要内容操作系统控制台审计数据库系统控制台审计实现方式手工登录操作工作条件4-6人工作环境，2台Win2000PC，电源和网络环境，客户人员和资料配合工作结果网络内部网抽样主机审计报告所需时间10台/工作日参加人员评估小组、系统管理人员、数据库管理人员网络审计项目名称网络安全审计简要描述IDS作为一个实时入侵检测工具，是安全威胁信息收集过程中的一种重要手段，其数据是网络的整体安全的重要的参考依据之一。达成目标检测网络的安全运行情况，发掘配置隐患主要内容入侵检测系统在关键点部署入侵检测系统试运行入侵检测系统报告汇兑及分析实现方式在网络关键节点部署IDS，集中监控工作条件每个部署点2-3人工作环境，1台Win2000PC作为IDS控制台，电源和网络环境，客户人员和资料配合工作结果网络安全风险评估项目IDS分析报告所需时间5工作日参加人员评估小组、网络管理人员渗透测试项目名称渗透测试简要描述利用人工模拟黑客攻击方式发现网络、系统的漏洞达成目标检测系统的安全配置情况，发掘配置隐患主要内容后门利用测试DDos强度测试强口令攻击测试实现方式全手工实现工作条件2-3人工作环境，电源和网络环境工作结果网络安全风险评估项目白客报告所需时间3工作日参加人员评估小组威胁评估威胁定义威胁是引起不期望事件从而对资产造成损害的潜在可能性。威胁可能源于对企业信息直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。一般来说，威胁总是要利用企业网络中的系统、应用或服务的弱点才可能成功地对资产造成伤害。从宏观上讲，威胁按照产生的来源可以分为非授权蓄意行为、不可抗力、人为错误、以及设施/设备错误等。威胁分类对安全威胁进行分类的方式有多种多样，最常见的分类方法主要有根据安全威胁的性质进行划分和对安全威胁产生的来源和原因进行划分。参照国际通行做法和专家经验，本项目中我们将采用上述两种方法进行安全威胁分析。根据威胁的性质和类型划分分类一将严格参照ISO-15408/GB/T-18336中的定义对安全威胁的性质和类型进行划分，可以分为以下几个方面：威胁分类威胁描述Backdoor各种后门和远程控制软件，例如BO、Netbus等BruteForce通过各种途径对密码进行暴力破解Daemons服务器中各种监守程序产生弱点，例如amd,nntp等Firewalls各种防火墙及其代理产生的安全弱点，例如GauntletFirewallCyberPatrol内容检查弱点InformationGathering各种由于协议或配置不当造成信息泄露弱点，例如finger或rstat的输出NTRelated微软公司NT操作系统相关安全弱点ProtocolSpoofing协议中存在的安全弱点，例如TCP序列号猜测弱点Management与管理相关的安全弱点根据威胁产生的来源划分参照BS-7799/ISO-17799中的定义对安全威胁的产生来源和原因进行划分，可以分为以下几个方面：IDThreatByDescription1非授权故意行为Deliberateunauthorizedactionsbypeople2人为错误Errorsbypeople3软件、设备、线路故障Software/equipment/linefailure4不可抗力ActsofGod威胁属性威胁具有两个属性：可能性（Likelihood）、影响（Impact）。进一步，可能性和影响可以被赋予一个数值，来表示该属性。参照下表。表一：可能性属性赋值参考表赋值简称说明4VH不可避免（>90%）3H非常有可能（70%~90%）2M可能（20%~70%）1L可能性很小（<20%）0N不可能（~0%）表二：影响赋值参考表赋值简称说明4VH资产全部损失，或资产已不可用（>75%）3H资产遭受重大损失（50%~75%）2M资产遭受明显损失（25%~50%）1L损失可忍受（<25%）0N损失可忽略（~0%）可能性属性非常难以度量，它依赖于具体的资产、弱点。而影响也依赖于具体资产的价值、分类属性。并且，这两个属性都和时间有关系，也就是说，具体的威胁评估结果会随着时间的变动而需要重新审核。在威胁评估中，评估者的专家经验非常重要。参照下面的矩阵进行威胁赋值：表三：威胁分析矩阵影响可能性可忽略0可忍受1明显损失2重大损失3全部损失4不可避免401234非常可能301233可能201122可能性很小100111不可能000001威胁的获取方法威胁获取的方法有：渗透测试（PenetrationTesting）、安全策略文档审阅、人员面谈、入侵检测系统收集的信息和人工分析等。评审员（专家）可以根据具体的评估对象、评估目的选择具体的安全威胁获取方式。威胁发现方法列表如下：IDFindModeDescription1访谈通过和资产所有人、负责管理人员进行访谈2人工分析根据专家经验，从已知的数据中进行分析3IDS通过入侵监测系统在一段时间内监视网络上的安全事件来获得数据4渗透测试通过渗透测试方法来测试弱点，证实威胁5安全策略文档分析安全策略文档分析6安全审计依照IS017799,通过一套审计问题列表问答的方式来分析弱点7事件记录对已有历史安全事件记录进行分析威胁评估手段历史事件审计网络威胁评估系统威胁评估业务威胁评估威胁评估实例某资产（服务类）面临攻击和访问类威胁；同时存在远程缓冲区溢出弱点，该弱点可以导致远程攻击者直接获得服务所在宿主机的超级用户权限；该弱点的利用程序（Exploit）于互联网上面发表已经多个星期，几乎可以认为所有攻击者都可以得到该利用程序；该攻击利用程序运行简单，可以认为大多数攻击者都可以成功地执行该利用程序；该资产当前的安全控制中，没有对该弱点的保护；所以可以认为该资产面临的威胁的影响为VH（资产全部损失）、可能性为H（非常有可能）。整体上，资产处于高度威胁之中。影响与可能性分析风险也存在两个属性：后果（Consequence）和可能性（Likelihood）。最终风险对企业的影响，也就是对风险的评估赋值是对上述两个属性权衡作用的结果。不同的资产面临的主要威胁各不相同。而随着威胁可以利用的、资产存在的弱点数量的增加会增加风险的可能性，随着弱点类别的提高会增加该资产面临风险的后果。在许多情况下，某资产风险的可能性是面临的威胁的可能性和资产存在的脆弱性的函数，而风险的后果是资产的价值和威胁的影响的函数。目前采用的算式如下：风险值=资产价值×威胁影响×威胁可能性×资产弱点等级从资产面临的若干个子风险中，评估者从自己的经验出发得出该资产面临的整体风险。系统分析系统结构及边界网络结构分析是风险评估中对业务系统安全性进行全面了解的基础，一个业务系统的网络结构是整个业务系统的承载基础，及时发现网络结构存在的安全性、网络负载问题，网络设备存在的安全性，抗攻击的问题是整个业务系统评估的重要环节。对评估对象的物理网络结构，逻辑网络结构及网络的关键设备进行评估(基本信息包括网络带宽、协议、硬件、Internet接入、地理分布方式和网络管理)，发现存在的安全性，合理性，使用效率等方面的问题。结合业务体系、系统体系等结构的检查逻辑网络，由什么物理网络组成以及网络的关键设备的位置所在对于保持网络的安全是非常重要的。另外，鉴定关键网络拓扑，对于成功地实施基于网络的风险管理方案是很关键的。网络结构分析能够做到：改善网络性能和利用率,使之满足业务系统需要提供有关扩充网络、增加IT投资和提高网络稳定性的信息帮助用户降低风险,改善网络运行效率,提高网络的稳定性确保网络系统的安全运行对网络环境、性能、故障和配置进行检查信息的敏感度评估信息是一种重要的无形资产，它与有形资产一起构成资产的全体。对于信息资产的保护首先需要进行分级处理，即按信息的敏感度来划分。因此，信息的敏感度评估可以大致划分为如下步骤：调查是否对数据根据其敏感程度进行了必要的分级分级是否合理不同敏感程度的数据是否得到了适当的保护是否定义了数据泄漏或破坏的事后处理措施调查问卷的结构调查问卷包括三部分：封面目录，问题和注释。调查系统可以从描述被评估的主要应用程序和通用支持系统或一组相互关联的系统开始。调查系统控制所有完成的调查问卷都应该根据机构政策决定的敏感性程度来评论，处理和控制。要注意到的是，包含在完成调查问卷中的信息能很容易描述一个系统或是一组系统容易受到攻击的地方。系统确认调查问卷的封面是由被评估系统的名称和主题开始的。如NIST特别出版物800-18中所提到的，每一个主要应用程序或普遍支持系统都应该被安排一个唯一的名称/标志符。为每一个系统安排唯一的标志符确立和系统相适应的安全需要，还有助于分配的资源能够被充分的利用。在很多情况下，主要应用程序和一般支持系统包括互相关联的系统。互相关联的系统都应该被列出来。一旦评估完成，就应该做一个关于边界控制是否起作用的判定，并且把它记录在封皮目录中。边界控制是评估的一部分，如果边界控制不合适，对于相互关联系统的评估也会不合适。在系统名称和题目下面的横线上需要评估员写上系统类型，（普遍支持还是主要应用）。如果一个政府机构有新增设的系统样式或是系统类型，也就是说决定性目标或者非决定性目标。表单需要重新指定来包含它们。目的和评估者信息评估的目的和对象应该是确定的。例如，评估进行了很多细节检查要得到一个高级别的系统安全指示或是为了完善行动计划增强系统的彻底性和可信度。名字，题目和从事评估的机构也要被列出来，机构应该重新制定相应的替代页。评估开始和完成时候的数据也要列出来。完成评估所需要的时间是可变的。完成评估所需要的资源和时间取决于系统的大小和复杂程度，系统和用户数据的亲和性，以及评估员可以利用多少信息进行评估。例如，一个系统进行了广泛的测试，认证，和证据资源的自我评估，在以后的评估中就可以很容易把他作为主线使用和服务。如果一个系统只经过有限的测试和只有很好的证据资源，完成调查系统则需要更长的时间。信息的决定性由程序员和系统所有者决定的信息的敏感级别应该在调查表单中的表格形成文件。如果一个机构设计了它们自己的判定系统的决定性或是敏感性的方法，就要用机构的决定性或是敏感性的类型代替表格。文件敏感性的程度是建立在支持高风险操作系统要比支持低风险操作系统有更多严格控制的基础上的。利用问卷调查结果调查问卷分析完成评估的人员也可以处理对完成的调查问卷的分析工作。和系统很类似，支持文件，评估结果，和评估者下一步要做的也是一个总结了调查结果的分析。一个集中的机构，比如说，一个政府机构信息系统安全程序办公室也可以处理对存在的支持文件的分析工作。分析结果将写在行动计划中，而且为了反映每一个控制对象和手法的决策，也应该创建或是更新系统安全计划。行动计划一个决定性因素是如何被应用的，也就是说，具体步骤的记录，设备的安装调试和员工的培训都应该被纳入到行动计划的档案管理中。行动计划必须包括计划数据，资源分配，和补充的复查以保证修改后的行动能起作用。在找出系统弱点的行动计划的状况盒子员需要等方面，还需要遵循以前管理员的经验。综合风险分析从风险的定义可以看出，风险评估的策略是首先选定某项资产、评估资产价值、挖掘并评估资产面临的威胁、挖掘并评估资产存在的弱点、评估该资产的风险、进而得出整个评估目标的风险。安全风险评估需要明确：需要保护的资源保护这些资源免除哪些威胁威胁方威胁的可能性威胁所造成的（直接）损失消除威胁所需消耗的资源风险模型如下：风险分析矩阵可以根据风险信息和数据，对风险分析予以不同程度的改进。视情况而定，风险分析可以是定性分析、半定量分析或定量分析，或者是这些分析的结合。如果按递升次序将这些分析的复杂性和成本加以排列的话，将会是：定性分析、半定量、定量。实际上，定性分析往往首先被采用，来得到风险程度的总的提示。根据半定量分析方法，来获得总体风险程度。采用下面的赋值矩阵来获得最终的风险风险程度和措施数值符号含义建议处置、措施备注128-256E极度风险要求立即采取措施：避免？转移？减小？需要具体资产信息64-127H高风险需要高级管理部门的注意：避免？转移？减小？需要具体资产信息4-63M中等风险必须规定管理责任：避免？接受？转移？减小？需要具体资产信息0-3L低风险用日常程序处理：避免？接受？转移？减小？需要具体资产信息风险评估层面技术风险评估资产风险评估系统风险评估业务风险评估管理风险评估风险评估实例IOS12.0-r1-s-shsh-1（服务类）经过资产评估被赋值（3.7：很高价值）；面临的威胁之为：未授权的恶意的路由更新,路由更新欺诈；存在较高等级弱点（3）：BGP和IS-IS没有进行neighbourauthentication；综合各种因素，威胁可能性被赋值为（2）；威胁的影响被赋值为（3）；按照前述算法可以得出：风险值＝3.7x3.0x2.0x3=66.6风险后果=3.7x3.0=11.1风险可能性=2.0x3=6整体风险最终被赋值：66.6，从前面的风险矩阵可以查得该资产处于高风险之中。建议立即采取措施，进行“避免/转移/减小”等风险处置。ISO17799十个域安全策略安全组织资产分类和控制人员安全物理与环境的安全通讯与操作的安全访问控制系统开发与维护业务连续性管理遵循性可交付的文档信息网络《远程风险评估报告》，包括以下内容。1)网络及系统漏洞统计归纳分析，按设备种类（网络设备、服务器、其他主机）进行总结归纳，并给出图形化的分析结果，并按IP地址给出具体的漏洞列表。2)给出详细的漏洞信息描述，包含所有已知漏洞的名称、描述、风险级别、演变过程、受影响系统、危害、详细的解决办法和操作步骤等。《本地风险评估报告》，包括以下内容：1)资产评估，至少包含以下资产的评估：信息资产、物质资产、软件资产、服务、设备、人员。2)漏洞评估，至少包括以下方面的漏洞分析：物理环境、网络结构、网络服务、网管系统、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、安全策略。3)威胁评估，至少包括以下方面的威胁分析：物理环境、网络结构、网络服务、网管实现方式、计费实现方式、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、安全策略。4)风险评估，说明风险计算方法，至少包括以下方面的风险分析：物理环境、网络结构、网络服务、网管实现方式、计费实现方式、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、安全策略。《安全策略建议》：根据网络安全现状，提供安全策略建议，要求至少包括如下方面的建议：人员组织、安全管理（包括工程建设期间）、访问控制、网络管理、数据安全、紧急响应。请应答方说明策略制订、修改的依据，供需求方参考。《安全解决方案建议》：对现有网络系统提出全面的安全解决方案建议，至少包括如下方面：物理环境、网络结构、网络服务、网管系统、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理（包括工程建设期间）制度、安全策略。要求对所建议的方案进行投资估算，并说明所提供方案对现有网络的改动情况，对服务和性能的影响程度。如需使用安全产品，请描述所需产品的功能和性能要求，但不能限定产品的厂家和型号。文档一览《资产评估部分》《漏洞评估部分》《威胁评估部分》《风险评估部分》《安全策略建议部分》《安全解决方案部分》风险评估过程风险评估的过程也是围绕这三个方面来展开，经历调查与分析、数据/信息收集与处理、撰写评估报告三个阶段。此外，风险评估通常还包括一个非常重要的跟进过程，在这个过程中根据风险评估的结果给出安全建设方面的建议并监督执行。评估过程评估过程分为3个阶段共8个过程。阶段1：提取基于资产的威胁概况确定高级管理层的认识(P1)目的：明确企业高层管理人员对企业重要资产的认识，对资产如何受到威胁的了解，以及资产的安全需求，现在已经采取得保护措施以及和保护该资产相关的问题。人员：风险评估小组以及企业高层管理人员确定运作管理层的认识(P2)目的：明确企业运作管理人员对企业重要资产的认识，对资产如何受到威胁的了解，以及资产的安全需求，现在已经采取得保护措施以及和保护该资产相关的问题。人员：风险评估小组以及企业运作管理人员确定全体职员的认识(P3)目的：明确企业职员对企业重要资产的认识，对资产如何受到威胁的了解，以及资产的安全需求，现在已经采取得保护措施以及和保护该资产相关的问题。人员：风险评估小组以抽选的企业职员代表建立威胁轮廓(P4)目的：根据阶段1－3明确企业的关键资产，描述关键资产的安全需求，标识关键资产面临的威胁。人员：风险评估小组阶段2：确定基础设施漏洞找出关键组件(P5)目的：识别和划分需要评估的基础资产的类别，并从每个类别中抽样选择一个或多个基础资产，然后选用适当的方法和有效的工具对其进行脆弱性评估。人员：风险评估小组以及企业核心IT技术人员。评估关键组件(P6)目的：识别技术上的脆弱性，并对结果进行总结和概括。人员：风险评估小组以及企业核心IT技术人员。阶段3：制订安全策略和计划实施风险分析(P7)目的：定义威胁产生的影响（标识风险），制定评估标准，对每个风险进行分级（高、中、低）。人员：风险评估小组制订保护策略(P8)目的：为企业制定保护策略，降低关键资产风险的方案，以及短期内的措施清单。人员：风险评估小组风险评估的输入各阶段的一般过程调查与分析调查与分析是参与风险评估的双方就资产、弱点、威胁达成一致认识的重要手段。调查与分析需要花费大量的时间用于确认相关信息，因此，合理利用调查问卷可以事半功倍。数据/信息收集与处理在评估过程中，有大量的数据需要以合理的结构存储并利用自动化的工具来处理。安全信息库是进行数据/信息收集与处理的一种非常有效的工具。撰写评估报告在正确地处理各种评估数据的基础上，根据统计与分析的初步结果，利用风险计算矩阵计算各资产的风险值以及整个系统的综合风险值。撰写评估报告需要在这种定量分析的基础上找出风险的属性之间的关系，陈述综合分析结果。风险控制风险控制的目的是保护资产，提高企业的业务连续性和价值，达到企业的安全目标和业务目标。风险控制可能需要付出一定代价或者增加成本。风险控制的方式风险控制的方式有如下几种：消除风险：在某些情况下，可以决定通过管理或技术控制措施完全消除风险的可能性或风险的后果，从而能够完全避免风险。这主要适用于一些技术性弱点而引起的风险。降低风险可能性：在某些情况下，可以决定通过合同、要求、规范、法律、监察、管理、测试、技术开发、技术控制等措施来减小风险的可能性，来达到减小风险的目的。减小风险的后果或影响：在某些情况下，可以决定通过制定实施应变计划、合同、灾难恢复计划、资产重新布置等手段来减小资产价值本身或风险的后果/影响。这和“降低风险可能性”一样，可以达到减小风险的目的。回避风险：在某些情况下，可以决定不继续进行可能产生风险的活动来回避风险。在某些情况可能是较为稳妥的处理办法，但是在某些情况下可能会因此而丧失机会。转移风险：这涉及承担或分担部分风险的另一方。手段包括合同、保险安排、合伙、资产转移等。接受风险：无论采取什么措施，通常资产面临的风险总是在一定程度上存在。决策者可以在进一步控制所需要的成本和风险之间进行权衡。在适当的情况下，决策者可以选择接受/承受风险。选择风险控制方式的原则是权衡利弊：权衡每种选择的成本与其得到的利益。例如，如果以相对较低的花费可以大大减小风险的程度，则应选择实施这样的控制方式。风险控制措施举例：安全加固建议这是一种有针对性的资产点对点风险减免。主要是通过各种技术手段来补救单个资产的弱点。安全体系结构建议这是从系统的角度来重要设计更安全的系统。主要通过更合理的网络结构与系统逻辑关系设计来补救整个系统的弱点。安全管理建议这是从管理的角度来保护资产不受威胁。主要通过把具有弱点而且难以补救的资产保护起来，不受威胁的影响，也就起到了减免风险的作用。风险评估项目通常一个项目包括计划与执行两个阶段。在执行过程中，为了确保风险评估的有效性，还需要监控计划的执行情况。计划风险评估项目的计划至少但不限于包括如下内容：项目描述质量保障措施进度安排资源需求（不含人员与时间）人员与时间要求风险控制预案验收（日期与方式）监控与执行项目管理方法在项目的实施过程中，根据项目的具体要求，整个项目的管理参考美国项目管理协会PMI提出的项目管理方法学，以及一些安全专业领域的专家、顾问对项目的实施进行规范管理实施。同时通过规范化的项目管理，保证项目进程中的过程的质量。变更控制管理不受控制的项目变更，包括目标变更，范围变更，人员变更，环境变化，文档修改等等是对整个项目质量的重大威胁。在项目实施过程中，将以实施方案的维护为核心，对实施方案及其衍生文档进行正规的变更控制管理。项目沟通管理采用正规的项目沟通程序，保证参与项目的各方能够保持对项目的了解和支持。这些管理和沟通措施将对项目过程的质量和结果的质量具有重要的作用。项目协调会项目总负责人定期组织项目协调会，就上次例会所确立的事项进行监督检查，并对存在的项目实施问题予以协调，确定解决方案和进度安排；遇有紧急情况，项目总协调人可随时召集项目协调会议。每次会议应出具会议纪要，交各相关单位备案。次数所处阶段主要内容参加人员1准备期项目组成立确定双方项目组成员确定整体实施计划确定下一阶段的详细实施计划甲方评估小组全体人员乙方项目组全体成员双方的有关领导1准备期对准备期所做的工作进行沟通，及时发现问题，确定解决方式。甲方评估小组组长及主要成员乙方项目组组长及主要成员1准备期对准备期阶段的工作进行总结，确定实施的详细计划双方项目组全体成员1实施期：现场评估过程中对现场评估的工作，进行沟通，及时发现问题，确定解决方式。甲方评估小组组长及主要成员2．乙方项目组组长及主要成员1实施期：现场评估完成时对现场评估进行总结，及时发现问题，确定解决方式。确定下一阶段的工作重点双方项目组全体成员1实施期：评估报告基本完成时对评估报告进行总结，确定需要细化和修改的内容。双方项目组全体成员不定在整个项目的实施过程中，根据情况安排对影响项目进程的问题进行沟通，确定解决方式双方项目组组长及相关人员评估过程控制为了保证在评估项目实施过程中评估方能有效地开展工作，并保证整个项目的可控，需要双方共同组成项目协调小组并在项目正式实施前召开会议，讨论相关事项并形成正式的书面材料，确定双方在项目中的责任和义务。风险评估人员组织评估方人员组织项目领导小组由评估方和被评估方的相关负责人组成，主要是对项目实施的整个过程中的重大问题进行决策。风险评估项目经理风险评估项目实施队伍自组建之日起，承担双方以合同或其它形式明确的各项任务。项目总负责人须做好日常资源管理工作，并直接控制项目管理计划(PMP)的各个要素，具体说来主要包括以下几个方面：项目执行——对以下几方面工作提供指导：总体方案设计、工程及应用系统设计；设备配置确认；工程质量和进度保证；系统验收，培训等。项目检查——通过其下属实施小组提供的工程进展汇报，将项目进展状态与项目计划进度进行比较，发现过程误差，提出调整措施。项目控制——审核项目进展状态，必要时调集各种备用资源，确保项目按计划进度实施。项目协调——与各级单位进行协调，解决工程组织接口及技术接口问题；定期主持整个系统专题协调会，及时解决各系统间出现的相关问题。项目技术顾问组由评估方的安全专家组成，主要职责是会同项目组完成以下各项工程任务：系统总体设计对系统深化设计进行审核并提出优化建议对系统进行技术协调对系统的设备配置予以确认工程文档的审核协助项目总负责人制订本项目的质量工作计划，并贯彻实施贯彻公司的质量方针、目标和质量体系文件的有关规定和要求负责对工程任务全过程的质量活动进行监督检查，参与设计评审风险评估小组负责对试点分行进行风险评估安全体系小组负责协助被评估方建立安全管理体系安全服务小组负责评估后期的技术支持，主要包括安全加固支持指导、安全通告等服务。应急响应小组负责风险评估实施过程中紧急安全事件的应急响应和灾难恢复。其中，紧急安全事件的范围应以书面形式进行明确。安全培训小组负责对被评估方进行实施前后的相关知识与配合要求培训。被评估方人员组织作为风险管理的一个重要部分，风险评估是一项管理责任。在本节中对需要支持和参与风险评估过程的关键人员角色进行了描述。高级管理人员在应该关心并对完成使命负最终责任的标准下，高级管理人员必须保证那些必要的资源被有效地运用在完成使命所需能力的开发方面。他们必须对风险评估活动的结果进行评估并将其融入到决策过程中。一个有效的风险管理程序（用来对IT相关的使命风险进行评估并减缓这类风险）离不开高级管理人员的参与和支持。首席技术官（CIO）CIO负责机构的IT计划、预算以及性能，其中也包括信息安全部分。在这些领域的决策应该基于有效的风险管理程序。系统和信息所有者系统和信息所有者负责部署适当的安全控制并保护他们所拥有的IT系统和数据的完整性、保密性和可用性。一般来说系统和信息所有者要负责对其IT系统的变更，因此他们通常得要批准或中止对其IT系统的变更（如系统的增强，对系统软件或硬件的重大变更等）。系统和信息所有者因此必须清楚他们在风险管理过程中的角色并完全支持这一过程。业务和职能主管负责业务运行和IT采购过程的主管必须在风险管理过程中担当一个主动角色。这些主管有权作出对完成使命来讲是必不可少折衷决定，并对其负责。他们对风险管理过程的参有助于实现IT的适度，如果管理得当的话，可以用最小的资源代价完成使命。信息系统安全官（ISSO）IT安全程序经理和计算机安全官员负责机构的安全程序，包括风险管理。因此，他们会主导引入一个适当的、结构化的方法来帮助对支持机构使命的IT系统所面临的风险进行识别、评价、并将它们最小化。在支持高级管理人员方面，ISSO担当的是一个主要的顾问角色，从而保证这项活动持续不断的进行下去。IT安全实施人员IT安全从业人员（如网络、系统、应用、和数据库管理员，计算机专业人员，安全分析员，安全顾问等）负责其IT系统中安全要求得到正确地实现。当现有的IT系统环境发生变化时（如网络连接的扩展，现有基础设施和机构政策的变化，新技术的引入等），IT安全从业人员必须支持或运用风险管理过程，以对新的潜在风险进行识别和评价，并实现新的安全控制来保护其IT系统。安全意识培训人员（安全/主题专家）机构人员是IT系统的用户。按照机构策略、指导、和行为规则来使用IT系统和数据对于减缓风险和保护机构IT资源而言是非常关键的。为了将IT系统的风险最小化，必须为系统和应用用户提供安全意识培训。因此，IT安全培训人员或安全/主题专家必须了解风险管理过程，这样他们可以制作出适当的培训材料，并将风险评估融入到培训程序中，对最终用户进行培训。被评估方负责人正式实施风险评估前，被评估方需指定风险评估项目的负责人，主要负责与评估方的项目经理协作，协调组织内的资源，解决项目中需要配合的问题，保障项目顺利进行。风险评估的跟进工作风险评估之后的跟进工作是对评估以及相应的安全建议方案的跟进。根据第一次评估结果和第二次评估结果的对比进行综合分析，以挖掘在管理、运行、维护中的主要风险分布。跟进的重要性安全是一个循环迭代的过程。安全的状态会随时间的推移而变化，系统的每一部分的变化都可能导致新的安全问题。因此，跟进评估是保证持续安全的必要措施。有效的，合格的建议要求安全审计师给出有效的，合格的建议，应该具备如下性质：具体、清楚、可理解、可标识证据充足，说服力强意义重大可行，可实施委托事项个人与部门承担的责任对建议的实现非常重要。安全审计师，员工与管理层对建议有不同的期望、侧重点与优先级。安全审计师安全审计师最先引入改进建议，他们：应该为自己推荐的方案提供足够的证据，后面可以附上期望的改善；应该理解客户部门的环境与约束，如时间、资源与文化；应该以一种合适的、有效的渠道来进行沟通并给出建议方案员工这里，员工指直接或者间接受建议方案影响的人员。他们可能需要为建议方案的实现提供支持，或者就是可能不得不改变日常操作过程的用户。应该鼓励他们与安全审计师合作应该给他们足够的时间和资源来执行增强措施应该保证他们能从建议方案中有所收获管理层管理层在强制加强安全性的过程中起着非常重要的作用。他们应该积极主动而不是消极被动地关注安全事务；应该在整个风险评估与审计过程中给予足够的支持；应该给安全性增强分配足够的资源；应该理解跟进是非常有价值的意义重大的责任；应该鼓励为安全性增强工作制定计划，进行控制并充分地沟通；应该提高员工的安全意识并加强培训。监督与跟进监督与跟进主要有3个步骤：建立监督与跟进机制标识推荐并制定跟进计划执行主动监督与报告建立监督与跟进机制管理层应该建立监督与跟进机制以便跟进建议方案。除了对安全审计负责外，管理层可以指定其余员工来检查监督机制的整体效果。标识推荐并制定跟进计划要执行有效的、即时的安全性增强方案，必须完成下列工作：找出关键的、意义重大而且至关紧要的建议方案，在方案中应该尽力而且需要额外的监督；为所有建议方案制定跟进计划；这可能包括实施计划、预计实施时间、事项清单、验收方法与过程强调这些关键的建议应该在跟进过程中报告并多加注意所有的建议方案应该根据计划来跟进执行主动监督与报告积极主动地监督并报告行动的进度与状态，并对所有要求的建议采取跟进行动直到完成实施。行动的进度与状态行动有几种不同的进度和状态：尚未开始已完成行动已开展，有预定完成日期行动未开展，有原因如果与建议方案不同时，可以代替的行动。跟进行动下面给出几种建议的跟进行动，以供参考：审阅实施计划、文档与计划行动的时间段找出未开展的行动背后的原因建立额外的步骤或任务来处理技术、运行与管理上的困难找出由于意外的环境或需求变更引起的替代建议方案判断建议方案的“结束”，当证明它们已经成功地实施并测试通过，因而不再有效，或者即使采取进一步的行动也不会有效。评价正确的行动的效果向管理层报告完成情况、状态与进度一有机会就加强管理，尤其是关键建议的实施不够或延期时。风险评估的前提与分工假设与限制在考虑安全风险评估或审计时，做如下假定：时间与资源有限尽可能地减小和管理安全风险执行安全控制的用户理解越深刻，效果就越好客户责任由独立的第三方执行安全风险评估与审计时，客户应该负责下列行动：检查评估方的背景与人员资质，看他们是否具备必要的经验与专业知识准备技术承诺协议书与保密协议指定评估方的第一联系人与第二联系人积极合作，思想开放如果需要更好的安全性就制定改善计划服务资质提供风险评估服务的一方需具备提供信息安全服务的综合能力。包括技术能力组织结构与管理资源配置安全工程过程能力业绩和质量保证等多个方面。安全审计师的职责在实施安全评估或审计时，安全审计师应该：具备必要的技能与专业知识清楚每种工作的影响并估计它们对客户业务的影响获得合适的授权。记录每次测试，不管成功与否确保报告反映客户的策略与需求PAGExx附录A术语表可接受的风险，由于费用和执行控制的数量，所以可接受的风险是一种对责任管理来说是可接受的利害关系。确认，确认与授权处理术语是同义词，确认是授予一个主程序或一般维护系统在一个操作环境中作处理的应允和同意，它是建立在由指派的技术人员作出保证的基础之上的，该技术人员要符合系统达到充分安全的明确的技术要求。资源，资源是一种主程序，一般维护系统，高冲击程序，物理设备，应急任务系统或一组逻辑上相联系的系统。授权过程，授权过程发生在管理允许在评估操作和技术控制基础上写系统的时候，通过一个系统里的授权过程，管理官员可接受与之相关的冒险。有效保护，有效保护要求对系统信息，偶尔附带的设备，故障恢复设备和冗余作备份，需要有效保护的系统和信息样本有时分系统，应急任务系统，时间与维护，金融系统，收获或人寿鉴定系统。认识，训练与教育，包括1）认识程序对通过改变组织对安全及其失败的不利结果的重要性的实现态度来进行的训练划分了阶段。2）训练的目的是教人们能更有效的工作的技能。3）教育比训练更深入，主要针对于专业人员和那些工作上需要信息技术安全方面专门技术的人。证明，证明与确认过程是同义的，证明是在授权前的一个主要考虑，但不仅仅是考虑，证明是一种技术评估，它建立了计算机系统，应用程序或网络设计和执行符合这之前制定的安全要求的程序。一般维护系统，这是在相同的直接管理控制下的一种相互联络的信息资源，它们彼此共享一般功能，它一般包括硬件，软件，信息，数据，应用程序，通信，设备和人。并给各种各样的用户或申请者提供维护。单个应用程序维护与相关联的任务功能不同，用户可能来自于相同或不同的组织。个人责任，个人责任要求单个用户在已被告知使用系统的行为规则及违反那些规则的处罚后要对他们的行为负责。信息所有者有责任建立正确使用数据或信息和保护数据或信息的规则。甚至再和其他组织共享数据或信息时信息所有者仍保留这个职责。主程序，主程序是一个要求特别维护的应用程序，这是由于存在丢失，误用或未经允许的登陆或应用程序的改动引起的冒险和损失。对主程序的一个破坏可以包含很多单个应用程序和硬件，软件以及电子通信的各个部分。主程序可以是一个主要的软件应用程序或在系统唯一的目标是维护一个特定任务功能时指的是软，硬件的结合。物质的不足或重大的不足，这是用来鉴定控制的不足，控制不足会产生一个重大的冒险或对一个审计实体的操作或资源产生重大的威胁。物质不足是一个非常具体的术语，一方面用来定义金融审计，另一方面用来定义在1982年的联邦管理人员金融综合行为准则中指出的不足。这种不足可由审计员或管理员来确定。网络，网络包括允许一个用户或系统与另一用户或系统连接的通信能力。它可以是一个系统或一个分立系统的一部分。网络实例包括局域网和广域网，也包括公共互联网，例如，国际互联网。操作控制，操作控制提出了致力于主要由人（相对于系统）来执行的机制的安全方法。方针，方针是描绘安全管理框架的一种文件。它明确地分配了安全指责并设置了可靠地衡量处理和执行情况所必须的基金。步骤，步骤包含于一个致力于安全控制范围和管理位置的文件中。风险，风险是指在一个自动信息系统里或活动里，任何一个软件，信息，硬件，管理上的，物理上的，通信或人员资源等的损失。风险管理，风险管理是对自动信息资源和信息的一个评估过程。它是作为用来确定一个系统的充分安全性的方法的一部分，这种确定方法是通过分析威胁和不足，选择达到一个可接受的风险水平并保持这一水平的合适的且划算的控制而进行的。行为规则，行为规则是已建立的并被执行的关于系统的使用，系统安全和可接受的风险的规则。该规则清楚地描绘了经系统允许登录的所有个人的责任和被允许的行为。这些规则应包括诸如在家办公，拨号上网，连接互联网，版权著作的使用，联邦设备的非官方使用，系统特权的分配和限制，个人责任等方面。敏感信息，是指那些信息的丢失，误用，未经允许的登陆或其不利影响能引起全国关注的改动或联合程序的引导或任何人都有权保留的秘密。敏感性，一个信息技术环境由系统，数据，和必须逐一的或整个的被检查的应用程序组成。所有系统和应用程序都因为期机密性，综合性和有效性，要求有一定水平的保护，其有效性是由对被处理的程序的敏感性，系统与组织任务的关系以及系统各部分的经济价值的一个评估来决定的。系统，系统是用来概括一个主程序或一个一般维护系统的通用术语。系统操作状态，是指1）操作系统正在进行操作，2）正在开发的系统正处在设计，开发或执行中，3）一个主修改程序正在经历一个主要的变换或过渡。技术控制，技术控制由用于对系统或应用程序提供自动保护的硬件和软件控制组成。技术控制是在技术系统和应用程序中进行操作。威胁，是一种事件或行为，它会有意或无意的给信息系统或运行带来潜在的损害。弱点，弱点是一种可能会给信息系统或运行带来损害的缺陷或不足。附录B调查问卷调查问卷类别填表式调查问卷《资产调查表》包含计算机设备、通讯设备、存储及保障设备、信息、软件等。问询式调查问卷《人员和安全管理调查表》《物理环境调查表》《安全技术保障措施调查表》《业务状况调查表》面对面交流审阅已有的安全管理规章、制度与高级主管、业务人员、网络管理员（系统管理员）等进行交流调查问卷内容对涉及安全的各个因素的详细调查与分析.安全事件

事件的要素有：时间，地点，起因，描述，主体，客体，处理，备注安全素质

内部人员、外部网络用户；基本知识考核、专业技术、安全技术、应急处理能力、管理、安全意识、培训状况、人员管理情况（不满、开除、离职）安全措施

分类为网络的、应用的、管理的；安全投资、目前实施安全措施后的效果安全需求

系统管理员们的想法物理环境网络结构

物理、逻辑拓扑图、协议与外单位及用户互联的网络服务（拨号接入、专线接入）

接入服务器、路由器、交换机等的安全配置网管系统

软件版本、配置、口令、管理范围主机系统应用系统数据安全系统：防火墙、防病毒（见资产调查）安全相关人员处理流程制度策略问题的方式调查问卷的问题设计可以结合以下两种方式：开放式的问题封闭式的问题附录C交付文档范例《资产评估部分》目录1. 定义、范围和标准1.1. 资产的定义及分类1.1.1. 资产的定义1.1.2. 资产的分类1.2. 资产评估的定义及目的1.2.1. 资产评估的定义1.2.2. 资产评估的目的1.3. 资产评估的内容1.4. 资产评估的方式和数据来源1.5. 资产的等级划分1.6. 资产评估参照的标准和依据2. 资产归类及价值分析2.1. 超核心资产列表与价值分析2.2. 核心资产列表与价值分析2.3. 高级资产列表与价值分析2.4. 中级资产列表与价值分析2.5. 一般资产列表与价值分析3. 资产的管理4. 资产的使用和维护4.1.1. 资产的实际利用情况4.1.2. 资产的维护5. 资产的保护6. 资产评估总结6.1. 资产保护的层次6.2. 需要保护的重点资产《漏洞评估部分》目录1. 定义、范围和标准1.1. 定义1.1.1. 漏洞的定义1.1.2. 漏洞评估的定义1.1.3. 漏洞级别的划分1.2. 漏洞评估的目的1.3. 漏洞评估的内容1.3.1. 技术漏洞的评估1.3.2. 非技术漏洞的评估1.4. 漏洞评估的方式1.4.1. 调查与问卷评估1.4.2. 系统评估1.5. 参考标准2. 基于资产的技术性漏洞列表2.1. 超核心资产存在的漏洞2.2. 核心资产存在的漏洞2.3. 高级资产存在的漏洞2.4. 中级资产存在的漏洞2.5. 一般资产存在的漏洞3. 技术性漏洞抽样统计4. 非技术性漏洞统计分析4.1. 安全策略4.1.1