【正文】 安全官員負(fù)責(zé)機(jī)構(gòu)的安全程序，包括風(fēng)險(xiǎn)管理。 系統(tǒng)和信息所有者系統(tǒng)和信息所有者負(fù)責(zé)部署適當(dāng)?shù)陌踩刂撇⒈Ｗo(hù)他們所擁有的IT系統(tǒng)和數(shù)據(jù)的完整性、保密性和可用性。216。 安全服務(wù)小組負(fù)責(zé)評估后期的技術(shù)支持，主要包括安全加固支持指導(dǎo)、安全通告等服務(wù)。項(xiàng)目總負(fù)責(zé)人須做好日常資源管理工作，并直接控制項(xiàng)目管理計(jì)劃(PMP)的各個(gè)要素，具體說來主要包括以下幾個(gè)方面：(1) 項(xiàng)目執(zhí)行——對以下幾方面工作提供指導(dǎo)：總體方案設(shè)計(jì)、工程及應(yīng)用系統(tǒng)設(shè)計(jì)；設(shè)備配置確認(rèn)；工程質(zhì)量和進(jìn)度保證；系統(tǒng)驗(yàn)收，培訓(xùn)等。 甲方評估小組組長及主要成員 乙方項(xiàng)目組組長及主要成員1準(zhǔn)備期對準(zhǔn)備期階段的工作進(jìn)行總結(jié)，確定實(shí)施的詳細(xì)計(jì)劃雙方項(xiàng)目組全體成員1實(shí)施期：現(xiàn)場評估過程中對現(xiàn)場評估的工作，進(jìn)行溝通，及時(shí)發(fā)現(xiàn)問題，確定解決方式。同時(shí)通過規(guī)范化的項(xiàng)目管理，保證項(xiàng)目進(jìn)程中的過程的質(zhì)量。 計(jì)劃風(fēng)險(xiǎn)評估項(xiàng)目的計(jì)劃至少但不限于包括如下內(nèi)容：216。 風(fēng)險(xiǎn)控制措施舉例：安全加固建議這是一種有針對性的資產(chǎn)點(diǎn)對點(diǎn)風(fēng)險(xiǎn)減免。在某些情況可能是較為穩(wěn)妥的處理辦法，但是在某些情況下可能會(huì)因此而喪失機(jī)會(huì)。 風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)控制的目的是保護(hù)資產(chǎn)，提高企業(yè)的業(yè)務(wù)連續(xù)性和價(jià)值，達(dá)到企業(yè)的安全目標(biāo)和業(yè)務(wù)目標(biāo)。 階段3：制訂安全策略和計(jì)劃實(shí)施風(fēng)險(xiǎn)分析(P7)目的：定義威脅產(chǎn)生的影響（標(biāo)識(shí)風(fēng)險(xiǎn)），制定評估標(biāo)準(zhǔn)，對每個(gè)風(fēng)險(xiǎn)進(jìn)行分級（高、中、低）。 階段1：提取基于資產(chǎn)的威脅概況確定高級管理層的認(rèn)識(shí)(P1)目的：明確企業(yè)高層管理人員對企業(yè)重要資產(chǎn)的認(rèn)識(shí)，對資產(chǎn)如何受到威脅的了解，以及資產(chǎn)的安全需求，現(xiàn)在已經(jīng)采取得保護(hù)措施以及和保護(hù)該資產(chǎn)相關(guān)的問題。《安全策略建議》：根據(jù)網(wǎng)絡(luò)安全現(xiàn)狀，提供安全策略建議，要求至少包括如下方面的建議：人員組織、安全管理（包括工程建設(shè)期間）、訪問控制、網(wǎng)絡(luò)管理、數(shù)據(jù)安全、緊急響應(yīng)。建議立即采取措施，進(jìn)行“避免/轉(zhuǎn)移/減小”等風(fēng)險(xiǎn)處置。在找出系統(tǒng)弱點(diǎn)的行動(dòng)計(jì)劃的狀況盒子員需要等方面，還需要遵循以前管理員的經(jīng)驗(yàn)。如果一個(gè)機(jī)構(gòu)設(shè)計(jì)了它們自己的判定系統(tǒng)的決定性或是敏感性的方法，就要用機(jī)構(gòu)的決定性或是敏感性的類型代替表格。例如，評估進(jìn)行了很多細(xì)節(jié)檢查要得到一個(gè)高級別的系統(tǒng)安全指示或是為了完善行動(dòng)計(jì)劃增強(qiáng)系統(tǒng)的徹底性和可信度。在很多情況下，主要應(yīng)用程序和一般支持系統(tǒng)包括互相關(guān)聯(lián)的系統(tǒng)。對于信息資產(chǎn)的保護(hù)首先需要進(jìn)行分級處理，即按信息的敏感度來劃分。結(jié)合業(yè)務(wù)體系、系統(tǒng)體系等結(jié)構(gòu)的檢查邏輯網(wǎng)絡(luò)，由什么物理網(wǎng)絡(luò)組成以及網(wǎng)絡(luò)的關(guān)鍵設(shè)備的位置所在對于保持網(wǎng)絡(luò)的安全是非常重要的。 影響與可能性分析風(fēng)險(xiǎn)也存在兩個(gè)屬性：后果（Consequence）和可能性（Likelihood）。表一：可能性屬性賦值參考表賦值簡稱說明4VH不可避免（90%）3H非常有可能（70% ~ 90%）2M可能（20% ~ 70%）1L可能性很?。?0%）0N不可能（~0%）表二：影響賦值參考表賦值簡稱說明4VH資產(chǎn)全部損失，或資產(chǎn)已不可用（75%）3H資產(chǎn)遭受重大損失（50% ~ 75%）2M資產(chǎn)遭受明顯損失（25% ~ 50%）1L損失可忍受（25%）0N損失可忽略（~0%）可能性屬性非常難以度量，它依賴于具體的資產(chǎn)、弱點(diǎn)。威脅也可能源于偶發(fā)的、或蓄意的事件。達(dá)成目標(biāo)檢測網(wǎng)絡(luò)的安全運(yùn)行情況，發(fā)掘配置隱患主要內(nèi)容178。 網(wǎng)絡(luò)審計(jì)216。弱點(diǎn)評估的信息通常通過控制臺(tái)評估、咨詢系統(tǒng)管理員、網(wǎng)絡(luò)脆弱性掃描等手段收集和獲取。核心資產(chǎn)核心資產(chǎn)的癱瘓或損壞造成直接經(jīng)濟(jì)損失一般在100萬元至1000萬元之間；核心資產(chǎn)的時(shí)間敏感性同樣是非常強(qiáng)的，一般其運(yùn)行過程中可接受的中斷時(shí)間在１24小時(shí)之內(nèi)；核心資產(chǎn)癱瘓對客戶和社會(huì)造成的影響很巨大，可能會(huì)導(dǎo)致數(shù)萬客戶的不滿意，并引起省市級媒體和機(jī)構(gòu)的關(guān)注，而且核心資產(chǎn)癱瘓引起的法律爭端可能提交很高級別的法院立案，訴訟過程可能很漫長。軟件資產(chǎn)軟件資產(chǎn)包括各種專門購進(jìn)的系統(tǒng)與應(yīng)用軟件（比如操作系統(tǒng)、網(wǎng)管系統(tǒng)、辦公軟件、防火墻系統(tǒng)軟件等）、隨設(shè)備贈(zèng)送的各種配套軟件、以及自行開發(fā)的各種業(yè)務(wù)軟件等。216。 責(zé)任到人216。 成功的關(guān)鍵因素風(fēng)險(xiǎn)評估過程總體來說是一個(gè)需要評估方與被評估方共同參與，便于被評估方理好地風(fēng)險(xiǎn)管理。 過程概述風(fēng)險(xiǎn)評估的過程分為3個(gè)階段共8個(gè)過程。從上述的定義可以看出，風(fēng)險(xiǎn)評估的策略是首先選定某項(xiàng)資產(chǎn)、評估資產(chǎn)價(jià)值、挖掘并評估資產(chǎn)面臨的威脅、挖掘并評估資產(chǎn)存在的弱點(diǎn)、評估該資產(chǎn)的風(fēng)險(xiǎn)、進(jìn)而得出整個(gè)評估目標(biāo)的風(fēng)險(xiǎn)。因此，風(fēng)險(xiǎn)和具體的資產(chǎn)、其價(jià)值、威脅等級以及相關(guān)的弱點(diǎn)直接相關(guān)。 ISO 17799216。它包括下面的內(nèi)容：216。 開發(fā)并維護(hù)可能影響系統(tǒng)和數(shù)據(jù)完整性代碼的IT系統(tǒng)和應(yīng)用程序員。 用以支持IT功能的系統(tǒng)軟、硬件這些IT系統(tǒng)的擁有者。 信息總監(jiān)，確保為其機(jī)構(gòu)IT系統(tǒng)部署風(fēng)險(xiǎn)管理并為這些IT系統(tǒng)提供安全的人員。它介紹了一個(gè)關(guān)于信息安全風(fēng)險(xiǎn)評估的一般過程。稅務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評估的內(nèi)容包括:資產(chǎn)分析，漏洞、脆弱性及弱點(diǎn)評估、威脅評估、影響與可能性分析和系統(tǒng)分析等方面。限定了風(fēng)險(xiǎn)評估的前提和分工。本文檔的目標(biāo)并不是集中在如何進(jìn)行風(fēng)險(xiǎn)評估，它更側(cè)重于提供一個(gè)參考過程來幫助核對由獨(dú)立的安全咨詢師與審計(jì)師所提供的服務(wù)的覆蓋面、方法論、交付的文檔。216。216。216。 風(fēng)險(xiǎn)評估過程216。 SSECMM216。風(fēng)險(xiǎn)的屬性風(fēng)險(xiǎn)有兩個(gè)屬性：后果（Consequence）和可能性（Likelihood）。進(jìn)行風(fēng)險(xiǎn)管理的最終目的就是要將其最小化，這也是在當(dāng)今各行各業(yè)的IT系統(tǒng)應(yīng)用中需要實(shí)施信息安全措施的根本原因。 階段2：確定基礎(chǔ)設(shè)施漏洞l 過程5：找出關(guān)鍵組件l 過程6：評估關(guān)鍵組件216。在風(fēng)險(xiǎn)評估過程中，需要考慮以下方面：216。 合理利用工具216。例如：風(fēng)險(xiǎn)因素方面的數(shù)據(jù)非常有限，如一個(gè)有經(jīng)驗(yàn)的黑客攻擊的可能性，利用安全漏洞的安全事件引起的破壞、丟失或中斷所造成的損失有些損失，象失去客戶信任或敏感信息的泄露，本質(zhì)上很難量化盡管可以了解需要加強(qiáng)控制的硬件和軟件的成本，但常常不可能精確地估計(jì)相關(guān)的非直接的成本，如執(zhí)行新的控制時(shí)可能會(huì)導(dǎo)致生產(chǎn)力的喪失即使獲得了精確信息，但信息很快就會(huì)過期，因?yàn)榧夹g(shù)發(fā)展很快，入侵者可獲得更先進(jìn)的工具可靠性和即時(shí)數(shù)據(jù)的缺乏，使我們常常無法精確定義哪一個(gè)信息安全風(fēng)險(xiǎn)是最重要的，也無法比較哪一個(gè)工具是最有效的。 資產(chǎn)評估資產(chǎn)評估是與風(fēng)險(xiǎn)評估相關(guān)聯(lián)的重要任務(wù)之一，資產(chǎn)評估通過分析評估對象——資產(chǎn)的各種屬性（包括經(jīng)濟(jì)影響、時(shí)間敏感性、客戶影響、社會(huì)影響和法律爭端等方面），進(jìn)而對資產(chǎn)進(jìn)行確認(rèn)、價(jià)值分析和統(tǒng)計(jì)報(bào)告，簡單的說資產(chǎn)評估是一種為資產(chǎn)業(yè)務(wù)提供價(jià)值尺度的行為。一般資產(chǎn)一般資產(chǎn)的癱瘓或損壞造成的直接經(jīng)濟(jì)損失一般少于5萬元，其時(shí)間敏感性很弱，可接受的中斷時(shí)間在10天以上；一般資產(chǎn)的癱瘓最多可能導(dǎo)致數(shù)十客戶的不滿意，而其造成的社會(huì)影響更是微乎其微，幾乎只是在幾個(gè)人或工作組內(nèi)部，而且?guī)缀醪粫?huì)引起任何的法律爭端。非技術(shù)漏洞的評估非技術(shù)性漏洞主要是指系統(tǒng)的安全策略、物理和環(huán)境安全、人事安全、訪問控制、組織安全、運(yùn)行安全、系統(tǒng)開發(fā)和維護(hù)、業(yè)務(wù)連續(xù)性管理、遵循性等方面存在的不足或者缺陷。 采用多種漏洞掃描系統(tǒng)軟件實(shí)現(xiàn)方式178。 入侵檢測系統(tǒng)報(bào)告匯兌及分析實(shí)現(xiàn)方式在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)部署IDS，集中監(jiān)控工作條件每個(gè)部署點(diǎn)23人工作環(huán)境，1臺(tái)Win2000PC作為IDS控制臺(tái)，電源和網(wǎng)絡(luò)環(huán)境，客戶人員和資料配合工作結(jié)果網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估項(xiàng)目IDS分析報(bào)告所需時(shí)間5工作日參加人員評估小組、網(wǎng)絡(luò)管理人員表4. 滲透測試項(xiàng)目名稱滲透測試簡要描述利用人工模擬黑客攻擊方式發(fā)現(xiàn)網(wǎng)絡(luò)、系統(tǒng)的漏洞達(dá)成目標(biāo)檢測系統(tǒng)的安全配置情況，發(fā)掘配置隱患主要內(nèi)容178。 威脅分類對安全威脅進(jìn)行分類的方式有多種多樣，最常見的分類方法主要有根據(jù)安全威脅的性質(zhì)進(jìn)行劃分和對安全威脅產(chǎn)生的來源和原因進(jìn)行劃分。在威脅評估中，評估者的專家經(jīng)驗(yàn)非常重要。而隨著威脅可以利用的、資產(chǎn)存在的弱點(diǎn)數(shù)量的增加會(huì)增加風(fēng)險(xiǎn)的可能性，隨著弱點(diǎn)類別的提高會(huì)增加該資產(chǎn)面臨風(fēng)險(xiǎn)的后果。 改善網(wǎng)絡(luò)性能和利用率,使之滿足業(yè)務(wù)系統(tǒng)需要216。 調(diào)查系統(tǒng)控制所有完成的調(diào)查問卷都應(yīng)該根據(jù)機(jī)構(gòu)政策決定的敏感性程度來評論，處理和控制。邊界控制是評估的一部分，如果邊界控制不合適，對于相互關(guān)聯(lián)系統(tǒng)的評估也會(huì)不合適。完成評估所需要的時(shí)間是可變的。和系統(tǒng)很類似，支持文件，評估結(jié)果，和評估者下一步要做的也是一個(gè)總結(jié)了調(diào)查結(jié)果的分析。視情況而定，風(fēng)險(xiǎn)分析可以是定性分析、半定量分析或定量分析，或者是這些分析的結(jié)合。2)給出詳細(xì)的漏洞信息描述，包含所有已知漏洞的名稱、描述、風(fēng)險(xiǎn)級別、演變過程、受影響系統(tǒng)、危害、詳細(xì)的解決辦法和操作步驟等。要求對所建議的方案進(jìn)行投資估算，并說明所提供方案對現(xiàn)有網(wǎng)絡(luò)的改動(dòng)情況，對服務(wù)和性能的影響程度。人員：風(fēng)險(xiǎn)評估小組以抽選的企業(yè)職員代表建立威脅輪廓(P4)目的：根據(jù)階段1－3明確企業(yè)的關(guān)鍵資產(chǎn)，描述關(guān)鍵資產(chǎn)的安全需求，標(biāo)識(shí)關(guān)鍵資產(chǎn)面臨的威脅。調(diào)查與分析需要花費(fèi)大量的時(shí)間用于確認(rèn)相關(guān)信息，因此，合理利用調(diào)查問卷可以事半功倍。這主要適用于一些技術(shù)性弱點(diǎn)而引起的風(fēng)險(xiǎn)。[6]. 接受風(fēng)險(xiǎn)：無論采取什么措施，通常資產(chǎn)面臨的風(fēng)險(xiǎn)總是在一定程度上存在。主要通過更合理的網(wǎng)絡(luò)結(jié)構(gòu)與系統(tǒng)邏輯關(guān)系設(shè)計(jì)來補(bǔ)救整個(gè)系統(tǒng)的弱點(diǎn)。 進(jìn)度安排216。項(xiàng)目溝通管理采用正規(guī)的項(xiàng)目溝通程序，保證參與項(xiàng)目的各方能夠保持對項(xiàng)目的了解和支持。雙方項(xiàng)目組全體成員不定在整個(gè)項(xiàng)目的實(shí)施過程中，根據(jù)情況安排對影響項(xiàng)目進(jìn)程的問題進(jìn)行溝通，確定解決方式雙方項(xiàng)目組組長及相關(guān)人員評估過程控制為了保證在評估項(xiàng)目實(shí)施過程中評估方能有效地開展工作，并保證整個(gè)項(xiàng)目的可控，需要雙方共同組成項(xiàng)目協(xié)調(diào)小組并在項(xiàng)目正式實(shí)施前召開會(huì)議，討論相關(guān)事項(xiàng)并形成正式的書面材料，確定雙方在項(xiàng)目中的責(zé)任和義務(wù)。(4) 項(xiàng)目協(xié)調(diào)——與各級單位進(jìn)行協(xié)調(diào)，解決工程組織接口及技術(shù)接口問題；定期主持整個(gè)系統(tǒng)專題協(xié)調(diào)會(huì)，及時(shí)解決各系統(tǒng)間出現(xiàn)的相關(guān)問題。其中，緊急安全事件的范圍應(yīng)以書面形式進(jìn)行明確。一個(gè)有效的風(fēng)險(xiǎn)管理程序（用來對IT相關(guān)的使命風(fēng)險(xiǎn)進(jìn)行評估并減緩這類風(fēng)險(xiǎn)）離不開高級管理人員的參與和支持。216。216。216。 具體、清楚、可理解、可標(biāo)識(shí)216。 應(yīng)該以一種合適的、有效的渠道來進(jìn)行溝通并給出建議方案 員工這里，員工指直接或者間接受建議方案影響的人員。 應(yīng)該在整個(gè)風(fēng)險(xiǎn)評估與審計(jì)過程中給予足夠的支持；216。 找出關(guān)鍵的、意義重大而且至關(guān)緊要的建議方案，在方案中應(yīng)該盡力而且需要額外的監(jiān)督；216。 行動(dòng)未開展，有原因216。 檢查評估方的背景與人員資質(zhì)，看他們是否具備必要的經(jīng)驗(yàn)與專業(yè)知識(shí)216。 資源配置216。 記錄每次測試，不管成功與否216。3 ）教育比訓(xùn)練更深入，主要針對于專業(yè)人員和那些工作上需要信息技術(shù)安全方面專門技術(shù)的人。主程序，主程序是一個(gè)要求特別維護(hù)的應(yīng)用程序，這是由于存在丟失，誤用或未經(jīng)允許的登陸或應(yīng)用程序的改動(dòng)引起的冒險(xiǎn)和損失。網(wǎng)絡(luò)實(shí)例包括局域網(wǎng)和廣域網(wǎng)，也包括公共互聯(lián)網(wǎng)，例如，國際互聯(lián)網(wǎng)。行為規(guī)則，行為規(guī)則是已建立的并被執(zhí)行的關(guān)于系統(tǒng)的使用，系統(tǒng)安全和可接受的風(fēng)險(xiǎn)的規(guī)則。技術(shù)控制，技術(shù)控制由用于對系統(tǒng)或應(yīng)用程序提供自動(dòng)保護(hù)的硬件和軟件控制組成。 面對面交流審閱已有的安全管理規(guī)章、制度與高級主管、業(yè)務(wù)人員、網(wǎng)絡(luò)管理員（系統(tǒng)管理員）等進(jìn)行交流調(diào)查問卷內(nèi)容對涉及安全的各個(gè)因素的詳細(xì)調(diào)查與分析. [1]. 安全事件事件的要素有：時(shí)間，地點(diǎn)，起因，描述，主體，客體，處理，備注[2]. 安全素質(zhì)內(nèi)部人員、外部網(wǎng)絡(luò)用戶；基本知識(shí)考核、專業(yè)技術(shù)、安全技術(shù)、應(yīng)急處理能力、管理、安全意識(shí)、培訓(xùn)狀況、人員管理情況（不滿、開除、離職）[3]. 安全措施分類為網(wǎng)絡(luò)的、應(yīng)用的、管理的；安全投資、目前實(shí)施安全措施后的效果[4]. 安全需求系統(tǒng)管理員們的想法[5]. 物理環(huán)境[6]. 網(wǎng)絡(luò)結(jié)構(gòu)物理、邏輯拓?fù)鋱D、協(xié)議[7]. 與外單位及用戶互聯(lián)的網(wǎng)絡(luò)服務(wù)（撥號(hào)接入、專線接入）接入服務(wù)器、路由器、交換機(jī)等的安全配置[8]. 網(wǎng)管系統(tǒng)軟件版本、配置、口令、管理范圍[9]. 主機(jī)系統(tǒng)[10]. 應(yīng)用系統(tǒng)[11]. 數(shù)據(jù)[12]. 安全系統(tǒng)：防火墻、防病毒（見資產(chǎn)調(diào)查）[13]. 安全相關(guān)人員[14]. 處理流程[15]. 制度[16]. 策略問題的方式調(diào)查問卷的問題設(shè)計(jì)可以結(jié)合以下兩種方式：216。附錄B 調(diào)查問卷調(diào)查問卷類別216。敏感性，一個(gè)信息技術(shù)環(huán)境由系統(tǒng)，數(shù)據(jù)，和必須逐一的或整個(gè)的被檢查的應(yīng)用程序組成。步驟，步驟包含于一個(gè)致力于安全控制范圍和管理位置的文件中。物質(zhì)不足是一個(gè)非常具體的術(shù)語，一方面用來定義金融審計(jì)，另一方面用來定義在1982年的聯(lián)邦管理人員金融綜合行為準(zhǔn)則中指出的不足。單個(gè)應(yīng)用程序維護(hù)與相關(guān)聯(lián)的任務(wù)功能不同，用戶可能來自于相同或不同的組織。授權(quán)過程，授權(quán)過程發(fā)生在管理允許在評估操作和技術(shù)控制基礎(chǔ)上寫系統(tǒng)的時(shí)候，通過一個(gè)系統(tǒng)里的授權(quán)過程，管理官員可接受與之相關(guān)的冒險(xiǎn)。 具備必要的技能與專業(yè)知識(shí)216。 如果需要更好的安全性就制定改善計(jì)劃 服務(wù)資質(zhì)提供風(fēng)險(xiǎn)評估服務(wù)的一方需具備提供信息安全服務(wù)的綜合能力。7 風(fēng)險(xiǎn)評估的前提與分工 假設(shè)與限制在考慮安全風(fēng)險(xiǎn)評估或?qū)徲?jì)時(shí)，做如下假定：216。行動(dòng)的進(jìn)度與狀態(tài)行動(dòng)有幾種不同的進(jìn)度和狀態(tài)：216。 應(yīng)該提高員工的安全意識(shí)并加強(qiáng)培訓(xùn)。 應(yīng)該給他們足夠的時(shí)間和資源來執(zhí)行增強(qiáng)措施216。安全審計(jì)師，員工與管理層對建議有不同的期望、側(cè)重點(diǎn)與優(yōu)先級。 跟進(jìn)的重要性