【正文】 ． 甲方評(píng)估小組組長(zhǎng)及主要成員2．乙方項(xiàng)目組組長(zhǎng)及主要成員1實(shí)施期：現(xiàn)場(chǎng)評(píng)估完成時(shí)對(duì)現(xiàn)場(chǎng)評(píng)估進(jìn)行總結(jié)，及時(shí)發(fā)現(xiàn)問題，確定解決方式。(2) 項(xiàng)目檢查——通過其下屬實(shí)施小組提供的工程進(jìn)展匯報(bào)，將項(xiàng)目進(jìn)展?fàn)顟B(tài)與項(xiàng)目計(jì)劃進(jìn)度進(jìn)行比較，發(fā)現(xiàn)過程誤差，提出調(diào)整措施。216。在本節(jié)中對(duì)需要支持和參與風(fēng)險(xiǎn)評(píng)估過程的關(guān)鍵人員角色進(jìn)行了描述。216。 信息安全實(shí)施人員信息安全實(shí)施人員（如網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、和數(shù)據(jù)庫管理員，計(jì)算機(jī)專業(yè)人員，安全分析員，安全顧問等）負(fù)責(zé)其信息系統(tǒng)中安全要求得到正確地實(shí)現(xiàn)。因此，跟進(jìn)評(píng)估是保證持續(xù)安全的必要措施。 應(yīng)該為自己推薦的方案提供足夠的證據(jù)，后面可以附上期望的改善；216。他們216。 建立監(jiān)督與跟進(jìn)機(jī)制管理層應(yīng)該建立監(jiān)督與跟進(jìn)機(jī)制以便跟進(jìn)建議方案。行動(dòng)的進(jìn)度與狀態(tài)行動(dòng)有幾種不同的進(jìn)度和狀態(tài)：216。 時(shí)間與資源有限216。包括216。 清楚每種工作的影響并估計(jì)它們對(duì)客戶業(yè)務(wù)的影響216。一般維護(hù)系統(tǒng)，這是在相同的直接管理控制下的一種相互聯(lián)絡(luò)的信息資源，它們彼此共享一般功能，它一般包括硬件，軟件，信息，數(shù)據(jù)，應(yīng)用程序，通信，設(shè)備和人。主程序可以是一個(gè)主要的軟件應(yīng)用程序或在系統(tǒng)唯一的目標(biāo)是維護(hù)一個(gè)特定任務(wù)功能時(shí)指的是軟，硬件的結(jié)合。它明確地分配了安全指責(zé)并設(shè)置了可靠地衡量處理和執(zhí)行情況所必須的基金。敏感信息，是指那些信息的丟失，誤用，未經(jīng)允許的登陸或其不利影響能引起全國關(guān)注的改動(dòng)或聯(lián)合程序的引導(dǎo)或任何人都有權(quán)保留的秘密。附錄B 調(diào)查問卷調(diào)查問卷類別216。 封閉式的問題附錄C 交付文檔范例《資產(chǎn)評(píng)估部分》目錄1. 定義、范圍和標(biāo)準(zhǔn). 資產(chǎn)的定義及分類. 資產(chǎn)的定義. 資產(chǎn)的分類. 資產(chǎn)評(píng)估的定義及目的. 資產(chǎn)評(píng)估的定義. 資產(chǎn)評(píng)估的目的. 資產(chǎn)評(píng)估的內(nèi)容. 資產(chǎn)評(píng)估的方式和數(shù)據(jù)來源. 資產(chǎn)的等級(jí)劃分. 資產(chǎn)評(píng)估參照的標(biāo)準(zhǔn)和依據(jù)2. 資產(chǎn)歸類及價(jià)值分析. 超核心資產(chǎn)列表與價(jià)值分析. 核心資產(chǎn)列表與價(jià)值分析. 高級(jí)資產(chǎn)列表與價(jià)值分析. 中級(jí)資產(chǎn)列表與價(jià)值分析. 一般資產(chǎn)列表與價(jià)值分析3. 資產(chǎn)的管理4. 資產(chǎn)的使用和維護(hù). 資產(chǎn)的實(shí)際利用情況. 資產(chǎn)的維護(hù)5. 資產(chǎn)的保護(hù)6. 資產(chǎn)評(píng)估總結(jié). 資產(chǎn)保護(hù)的層次. 需要保護(hù)的重點(diǎn)資產(chǎn)《漏洞評(píng)估部分》目錄1. 定義、范圍和標(biāo)準(zhǔn). 定義. 漏洞的定義. 漏洞評(píng)估的定義. 漏洞級(jí)別的劃分. 漏洞評(píng)估的目的. 漏洞評(píng)估的內(nèi)容. 技術(shù)漏洞的評(píng)估. 非技術(shù)漏洞的評(píng)估. 漏洞評(píng)估的方式. 調(diào)查與問卷評(píng)估. 系統(tǒng)評(píng)估. 參考標(biāo)準(zhǔn)2. 基于資產(chǎn)的技術(shù)性漏洞列表. 超核心資產(chǎn)存在的漏洞. 核心資產(chǎn)存在的漏洞. 高級(jí)資產(chǎn)存在的漏洞. 中級(jí)資產(chǎn)存在的漏洞. 一般資產(chǎn)存在的漏洞3. 技術(shù)性漏洞抽樣統(tǒng)計(jì)4. 非技術(shù)性漏洞統(tǒng)計(jì)分析. 安全策略. 概念和范圍. 存在的不足. 物理和環(huán)境安全. 概念和范圍. 存在的不足. 人事安全. 概念. 內(nèi)部人員威脅概述. 存在的不足. 訪問控制. 概念和范圍. 存在的不足. 組織安全. 概念和范圍. 存在的不足. 運(yùn)行安全. 概念和范圍. 存在的不足. 開發(fā)與維護(hù). 概念和范圍. 存在的不足. 業(yè)務(wù)連續(xù)性管理. 概念和范圍. 存在的不足. 遵循性. 概念和范圍. 存在的不足5. 綜合分析. 已知漏洞的跟蹤能力. 未知漏洞的防御能力《威脅評(píng)估部分》目錄1. 定義、范圍和標(biāo)準(zhǔn). 威脅的定義及屬性. 威脅的定義. 威脅的屬性. 威脅評(píng)估的定義及目的. 威脅評(píng)估的定義. 威脅評(píng)估的目的. 威脅評(píng)估的內(nèi)容. 自然威脅. 人為威脅. 威脅后果的分析方法. 從可用性角度分析. 從完整性角度分析. 從保密性角度分析. 從可審計(jì)性角度分析. 從保障性角度分析. 威脅評(píng)估的方式. 參考標(biāo)準(zhǔn)2. 基于資產(chǎn)的威脅分析3. 威脅綜合統(tǒng)計(jì). 威脅列表. 威脅分布. 威脅分析：. 遭受遠(yuǎn)程拒絕服務(wù)攻擊威脅. 遭受遠(yuǎn)程滲透入侵攻擊的威脅. 遭受蠕蟲攻擊的威脅. 遭受自然不可抗力的威脅. 數(shù)據(jù)安全威脅《風(fēng)險(xiǎn)評(píng)估部分》目錄1. 定義、范圍和標(biāo)準(zhǔn). 定義. 風(fēng)險(xiǎn)的定義. 風(fēng)險(xiǎn)評(píng)估的定義. 風(fēng)險(xiǎn)評(píng)估的目的. 風(fēng)險(xiǎn)評(píng)估的內(nèi)容. 風(fēng)險(xiǎn)的分級(jí)說明. 風(fēng)險(xiǎn)計(jì)算方法. 風(fēng)險(xiǎn)計(jì)算模型. 輸入要素描述. 輸出要素描述. 參考標(biāo)準(zhǔn)2. 抽樣風(fēng)險(xiǎn)評(píng)估3. 節(jié)點(diǎn)風(fēng)險(xiǎn)評(píng)估. 遭受遠(yuǎn)程拒絕服務(wù)攻擊的風(fēng)險(xiǎn). 遭受遠(yuǎn)程滲透入侵攻擊的風(fēng)險(xiǎn). 遭受蠕蟲攻擊的風(fēng)險(xiǎn). 遭受自然不可抗力的風(fēng)險(xiǎn). 數(shù)據(jù)風(fēng)險(xiǎn)4. 業(yè)務(wù)風(fēng)險(xiǎn)分析. 專線接入服務(wù). 虛擬主機(jī). 撥號(hào)接入服務(wù). 認(rèn)證服務(wù). 其他應(yīng)用5. 總結(jié)《安全策略建議部分》目錄1. 定義、范圍和標(biāo)準(zhǔn). 定義. 目的. 內(nèi)容. 標(biāo)準(zhǔn). 依據(jù)2. 整體策略. 與人相關(guān)的安全策略. 與“技術(shù)”相關(guān)的安全策略. 與“行動(dòng)”相關(guān)的策略3. 防護(hù)策略. 管理對(duì)策. 技術(shù)對(duì)策. 物理安全策略. 訪問控制策略. 路由交換設(shè)備安全策略. 業(yè)務(wù)系統(tǒng)安全策略. 網(wǎng)管系統(tǒng)安全策略. 應(yīng)用系統(tǒng)安全策略. 操作系統(tǒng)安全策略. 數(shù)據(jù)庫系統(tǒng)安全策略. 數(shù)據(jù)存儲(chǔ)與傳輸安全策略. 安全設(shè)備策略4. 監(jiān)控策略. 目的. 現(xiàn)狀. 建議5. 響應(yīng)策略. 目的. 現(xiàn)狀. 建議《安全解決方案部分》目錄1 前言 背景 目的 內(nèi)容 標(biāo)準(zhǔn) 依據(jù)2 安全管理 培訓(xùn) 意識(shí)培養(yǎng) 組織 制度流程3 邊界保護(hù) 路由交換設(shè)備安全配置 目的 現(xiàn)狀和原因 配置建議 防火墻系統(tǒng)安全配置 目的 現(xiàn)狀和原因 配置建議4 平臺(tái)保護(hù) 操作系統(tǒng) 目的和內(nèi)容 Windows 2000系統(tǒng)安全配置 Windows NT SOLARIS系統(tǒng)安全配置 Linux系統(tǒng)安全配置 IRIX系統(tǒng)安全配置 數(shù)據(jù)庫系統(tǒng)安全加固 MS SQL Server數(shù)據(jù)庫系統(tǒng)的安全加固 Oracle數(shù)據(jù)庫系統(tǒng)的安全加固5 基礎(chǔ)設(shè)施 檢測(cè)與監(jiān)控 措施 效果 響應(yīng)與恢復(fù) 措施 效果6 附錄附錄D 資產(chǎn)分類清單1 物理資產(chǎn) 臺(tái)式電腦 筆記本電腦 服務(wù)器 路由器 交換機(jī) 集線器 線纜 存儲(chǔ)設(shè)備 移動(dòng)存儲(chǔ)介質(zhì) 防火墻 入侵檢測(cè)設(shè)備 打印機(jī)等外設(shè) 加密設(shè)備 調(diào)制解調(diào)器 網(wǎng)橋 無線通訊設(shè)備2 電子信息資產(chǎn) XXXX數(shù)據(jù)文件 XXXX數(shù)據(jù)文件 XXXX系統(tǒng)源代碼 XXXX系統(tǒng)源代碼 XXXX系統(tǒng)開發(fā)文檔 XXXX系統(tǒng)開發(fā)文檔 電子郵件 重要辦公文檔（DOC/PPT/XLS等） 網(wǎng)頁3 軟件資產(chǎn) CTAIS系統(tǒng)軟件 XXX系統(tǒng)軟件 操作系統(tǒng) 中間件及支撐系統(tǒng) 數(shù)據(jù)庫 軟件開發(fā)工具 辦公軟件 防病毒軟件 入侵檢測(cè)軟件 隱患掃描軟件 其他應(yīng)用軟件4 人員 用戶 系統(tǒng)管理員 程序員 技術(shù)支持 安全管理人員5 服務(wù) 供電 網(wǎng)絡(luò)服務(wù) 消防 空調(diào) 防塵 防盜附錄E 資產(chǎn)脆弱性清單1 物理資產(chǎn) 易發(fā)生故障 易受環(huán)境影響 易被誤操作 缺乏維修、維護(hù) 缺少備件或備機(jī) 易被未授權(quán)訪問 電磁信息泄漏 無責(zé)任人 無操作指南或操作程序 易攜帶 易損壞2 電子信息資產(chǎn) 易瀏覽 易復(fù)制 易刪除 易變更 易存儲(chǔ) 易交換 易感染病毒3 軟件資產(chǎn) 軟件漏洞 易感染病毒 易被未授權(quán)訪問 易刪除 易修改 易盜用4 人員 缺乏信息安全專業(yè)人員 缺乏崗位安全意識(shí) 缺乏信息安全相關(guān)培訓(xùn) 易疏忽大意 易受情緒影響5 服務(wù) 供電系統(tǒng)易發(fā)生故障 防火系統(tǒng)易發(fā)生故障 通信服務(wù)系統(tǒng)易發(fā)生故障 防盜設(shè)施缺乏 空調(diào)系統(tǒng)易發(fā)生故障附錄F 資產(chǎn)威脅清單1 自然災(zāi)害及戰(zhàn)爭(zhēng)等 火災(zāi) 水災(zāi) 地震 臺(tái)風(fēng) 雷擊 戰(zhàn)爭(zhēng) 恐怖襲擊2 供電、空調(diào)、消防、通信、防盜等服務(wù)中斷或失效 電力故障導(dǎo)致意外停電 電壓不穩(wěn)燒毀設(shè)備 機(jī)房空調(diào)故障導(dǎo)致溫度過高 機(jī)房空調(diào)故障導(dǎo)致濕度過高 防塵處理不足 消防設(shè)備不足或故障導(dǎo)致火災(zāi)隱患 通信服務(wù)中斷（電信運(yùn)營商責(zé)任） 偷竊 丟失 靜電3 設(shè)施和設(shè)備的硬件故障、老化和軟件故障 硬件故障 缺乏維修、維護(hù) 缺少備件或備機(jī) 意外宕機(jī)、死機(jī) 軟件故障 過載 線纜老化4 惡意的入侵和攻擊 黑客 內(nèi)部人員破壞 線路監(jiān)聽 線纜被破壞5 信息安全專業(yè)人員不足及人員誤操作 信息安全專業(yè)人員缺乏 崗位安全意識(shí)缺乏 沒有文件化的操作程序 人員誤操作 防火墻規(guī)則配置失當(dāng) 路由器配置失當(dāng) 交換機(jī)配置失當(dāng) 服務(wù)器配置失當(dāng) 軟件配置失當(dāng) 缺乏系統(tǒng)審計(jì) 信息處理設(shè)備的不安全報(bào)廢 信息存儲(chǔ)介質(zhì)的不安全報(bào)廢 缺乏信息安全相關(guān)培訓(xùn)6 未授權(quán)訪問 未授權(quán)瀏覽破壞保密性 未授權(quán)修改破壞完整性或可用性 未授權(quán)刪除 未授權(quán)復(fù)制 電磁信息監(jiān)聽 假冒合法用戶 越權(quán)訪問 離開時(shí)桌面和屏幕沒有清空7 病毒和惡意程序 計(jì)算機(jī)病毒 特洛伊木馬 網(wǎng)絡(luò)監(jiān)聽程序8 違反國家安全法律法規(guī)方面的威脅 使用非法加密設(shè)備 使用非法密碼算法 內(nèi)網(wǎng)設(shè)備撥號(hào)或用其他方式聯(lián)入公網(wǎng) 沒有采取物理隔離 違反涉密信息系統(tǒng)集成資質(zhì)規(guī)定 違反信息安全產(chǎn)品銷售許可證制度 盜版軟件使用9 其他威脅。威脅，是一種事件或行為，它會(huì)有意或無意的給信息系統(tǒng)或運(yùn)行帶來潛在的損害。該規(guī)則清楚地描繪了經(jīng)系統(tǒng)允許登錄的所有個(gè)人的責(zé)任和被允許的行為。網(wǎng)絡(luò)實(shí)例包括局域網(wǎng)和廣域網(wǎng)，也包括公共互聯(lián)網(wǎng)，例如，國際互聯(lián)網(wǎng)。主程序，主程序是一個(gè)要求特別維護(hù)的應(yīng)用程序，這是由于存在丟失，誤用或未經(jīng)允許的登陸或應(yīng)用程序的改動(dòng)引起的冒險(xiǎn)和損失。資源，資源是一種主程序，一般維護(hù)系統(tǒng)，高沖擊程序，物理設(shè)備，應(yīng)急任務(wù)系統(tǒng)或一組邏輯上相聯(lián)系的系統(tǒng)。 安全評(píng)估人員的職責(zé)在實(shí)施安全評(píng)估或?qū)徲?jì)時(shí)，安全評(píng)估人員應(yīng)該：216。 積極合作，思想開放216。[6]. 評(píng)價(jià)正確的行動(dòng)的效果[7]. 向管理層報(bào)告完成情況、狀態(tài)與進(jìn)度[8]. 一有機(jī)會(huì)就加強(qiáng)管理，尤其是關(guān)鍵建議的實(shí)施不夠或延期時(shí)。 所有的建議方案應(yīng)該根據(jù)計(jì)劃來跟進(jìn)。 應(yīng)該提高人員的安全意識(shí)并加強(qiáng)培訓(xùn)。 應(yīng)該給他們足夠的時(shí)間和資源來執(zhí)行增強(qiáng)措施216。安全評(píng)估人員，工作人員與管理層對(duì)建議有不同的期望、側(cè)重點(diǎn)與優(yōu)先級(jí)。 跟進(jìn)的重要性安全是一個(gè)循環(huán)迭代的過程。因此，他們會(huì)主導(dǎo)引入一個(gè)適當(dāng)?shù)摹⒔Y(jié)構(gòu)化的方法來幫助對(duì)稅務(wù)系統(tǒng)所面臨的風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)價(jià)、并將它們最小化。 信息中心主管領(lǐng)導(dǎo)信息中心主管領(lǐng)導(dǎo)負(fù)責(zé)稅務(wù)系統(tǒng)的IT計(jì)劃、預(yù)算以及性能，其中也包括信息安全部分。 安全培訓(xùn)小組負(fù)責(zé)對(duì)被評(píng)估方進(jìn)行實(shí)施前后的相關(guān)知識(shí)與配合要求培訓(xùn)。216。 風(fēng)險(xiǎn)評(píng)估項(xiàng)目經(jīng)理風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施隊(duì)伍自組建之日起，承擔(dān)雙方以合同或其它形式明確的各項(xiàng)任務(wù)。次數(shù)所處階段主要內(nèi)容參加人員1準(zhǔn)備期1． 項(xiàng)目組成立2． 確定雙方項(xiàng)目組成員3． 確定整體實(shí)施計(jì)劃4． 確定下一階段的詳細(xì)實(shí)施計(jì)劃1． 甲方評(píng)估小組全體人員2． 乙方項(xiàng)目組全體成員3． 雙方的有關(guān)領(lǐng)導(dǎo)1準(zhǔn)備期對(duì)準(zhǔn)備期所做的工作進(jìn)行溝通，及時(shí)發(fā)現(xiàn)問題，確定解決方式。 驗(yàn)收（日期與方式） 監(jiān)控與執(zhí)行項(xiàng)目管理方法在項(xiàng)目的實(shí)施過程中，根據(jù)項(xiàng)目的具體要求，整個(gè)項(xiàng)目的管理參考美國項(xiàng)目管理協(xié)會(huì)PMI提出的項(xiàng)目管理方法學(xué)，以及一些安全專業(yè)領(lǐng)域的專家、顧問對(duì)項(xiàng)目的實(shí)施進(jìn)行規(guī)范管理實(shí)施。在執(zhí)行過程中，為了確保風(fēng)險(xiǎn)評(píng)估的有效性，還需要監(jiān)控計(jì)劃的執(zhí)行情況。例如，如果以相對(duì)較低的花費(fèi)可以大大減小風(fēng)險(xiǎn)的程度，則應(yīng)選擇實(shí)施這樣的控制方式。[4]. 回避風(fēng)險(xiǎn)：在某些情況下，可以決定不繼續(xù)進(jìn)行可能產(chǎn)生風(fēng)險(xiǎn)的活動(dòng)來回避風(fēng)險(xiǎn)。撰寫評(píng)估報(bào)告需要在這種定量分析的基礎(chǔ)上找出風(fēng)險(xiǎn)的屬性之間的關(guān)系，陳述綜合分析結(jié)果。人員：風(fēng)險(xiǎn)評(píng)估小組以及稅務(wù)系統(tǒng)信息中心和業(yè)務(wù)部門技術(shù)人員。 評(píng)估過程評(píng)估過程分為3個(gè)階段共8個(gè)過程。 文檔一覽216。2）漏洞評(píng)估，至少包括以下方面的漏洞分析：物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)服務(wù)、網(wǎng)管系統(tǒng)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用系統(tǒng)、安全系統(tǒng)、安全相關(guān)人員、處理流程、安全管理制度、安全策略。 物理與環(huán)境的安全216。 業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估216。風(fēng)險(xiǎn)模型如下： 風(fēng)險(xiǎn)分析矩陣可以根據(jù)風(fēng)險(xiǎn)信息和數(shù)據(jù)，對(duì)風(fēng)險(xiǎn)分析予以不同程度的改進(jìn)。 綜合風(fēng)險(xiǎn)分析從風(fēng)險(xiǎn)的定義可以看出，風(fēng)險(xiǎn)評(píng)估的策略是首先選定某項(xiàng)資產(chǎn)、評(píng)估資產(chǎn)價(jià)值、挖掘并評(píng)估資產(chǎn)面臨的威脅、挖掘并評(píng)估資產(chǎn)存在的弱點(diǎn)、評(píng)估該資產(chǎn)的風(fēng)險(xiǎn)、進(jìn)而得出整個(gè)評(píng)估目標(biāo)的風(fēng)險(xiǎn)。文件敏感性程度的建立前提是支持高風(fēng)險(xiǎn)操作系統(tǒng)要比支持低風(fēng)險(xiǎn)操作系統(tǒng)有更多的嚴(yán)格控制。名字，題目和從事評(píng)估的機(jī)構(gòu)也要被列出來，機(jī)構(gòu)應(yīng)該重新制定相應(yīng)的替代頁。為每一個(gè)系統(tǒng)安排唯一的標(biāo)志符確立與系統(tǒng)相適應(yīng)的安全需要，還有助于分配的資源能夠被充分的利用。 不同敏感程度的數(shù)據(jù)是否