【文章內(nèi)容簡(jiǎn)介】 發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計(jì)算安全事件一旦發(fā)生對(duì)組織的影響，即風(fēng)險(xiǎn)值。. 工具方法. 風(fēng)險(xiǎn)評(píng)估采用方法風(fēng)險(xiǎn)評(píng)估常用方法如下：? 調(diào)查訪談物理安全訪談表、人員安全訪談表、網(wǎng)絡(luò)安全訪談表、系統(tǒng)安全訪談表等等；? 工具掃描網(wǎng)絡(luò)安全掃描、應(yīng)用安全掃描、系統(tǒng)安全掃描等等；? 人工檢查操作系統(tǒng) checklist、數(shù)據(jù)庫(kù) checklist、網(wǎng)絡(luò)設(shè)備 checklist 等等；? 滲透測(cè)試由專業(yè)滲透測(cè)試工程師模擬黑客攻擊方式對(duì)網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行非破壞性漏泀驗(yàn)證性測(cè)試；? 文檔查閱管理制度查閱、管理策略查閱、安全指導(dǎo)方針查閱等等。. 風(fēng)險(xiǎn)評(píng)估使用工具風(fēng)險(xiǎn)評(píng)估常用工具主要有以下幾大類：? 資產(chǎn)發(fā)現(xiàn)類工具? 端口服務(wù)檢測(cè)類? 漏洞掃描檢測(cè)類? 網(wǎng)絡(luò)嗅探分析類7 / 51? 安全審計(jì)分析類? 系統(tǒng)驗(yàn)證測(cè)試類? 合規(guī)遵循檢查類? 各種定制腳本類 ? 各種專項(xiàng)檢測(cè)類第 2 章 項(xiàng)目實(shí)施流程我們將整個(gè)項(xiàng)目的實(shí)施內(nèi)容分為 7 個(gè)階段。從項(xiàng)目啟動(dòng)階段到項(xiàng)目驗(yàn)收整個(gè)項(xiàng)目實(shí)施過(guò)程，我們用 WBS 圖中完整地描述了整個(gè)項(xiàng)目實(shí)施過(guò)程的重要工作任務(wù)。階 段 1 ： 服 務(wù) 啟 動(dòng) 階 段 2 ： 資 產(chǎn) 評(píng) 估 階 段 3 ： 威 脅 評(píng) 估 階 段 4 ： 脆 弱 性 評(píng) 估 階 段 5 ： 風(fēng) 險(xiǎn) 分 析 階 段 6 ： 處 置 計(jì) 劃 階 段 7 ： 服 務(wù) 驗(yàn) 收項(xiàng) 目 實(shí) 施 風(fēng) 險(xiǎn) 及 規(guī) 避 措 施服 務(wù) 管 理 （ 服 務(wù) 組 織 結(jié) 構(gòu) 、 實(shí) 施 計(jì) 劃 、 質(zhì) 量 管 理 、 保 密 控 制 ）資 產(chǎn) 識(shí) 別資 產(chǎn) 分 類資 產(chǎn) 清 單資 產(chǎn) 分 析資 產(chǎn) 賦 值威 脅 識(shí) 別威 脅 分 類范 圍 確 定系 統(tǒng) 調(diào) 研制 定 計(jì) 劃報(bào) 告 提 交成 果 匯 報(bào)服 務(wù) 驗(yàn) 收威 脅 分 析威 脅 賦 值獲 得 支 持技 術(shù) 脆 弱 識(shí) 別管 理 脆 弱 識(shí) 別控 制 措 施 識(shí) 別脆 弱 性 分 析脆 弱 性 賦 值《 資 產(chǎn) 評(píng) 估 報(bào) 告 》《 服 務(wù) 實(shí) 施 計(jì) 劃 》 《 威 脅 評(píng) 估 報(bào) 告 》 《 脆 弱 性 評(píng) 估 報(bào) 告 》 《 風(fēng) 險(xiǎn) 評(píng) 估 報(bào) 告 》 《 風(fēng) 險(xiǎn) 處 置 計(jì) 劃 》 《 服 務(wù) 驗(yàn) 收 報(bào) 告 》風(fēng) 險(xiǎn) 綜 合 識(shí) 別風(fēng) 險(xiǎn) 模 型 計(jì) 算風(fēng) 險(xiǎn) 接 收 準(zhǔn) 則風(fēng) 險(xiǎn) 綜 合 評(píng) 價(jià)安 全 目 標(biāo) 確 定安 全 措 施 選 擇實(shí) 施 內(nèi) 容 安 排制 定 處 置 計(jì) 劃圖 3 項(xiàng)目實(shí)施流程圖. 階段 1：項(xiàng)目啟動(dòng)階段此階段是項(xiàng)目的啟動(dòng)和計(jì)劃階段，是項(xiàng)目實(shí)施階段的開(kāi)始，對(duì)項(xiàng)目整個(gè)過(guò)程的實(shí)施工作與項(xiàng)目管理工作都非常重要。8 / 51. 階段目標(biāo)在此階段的主要工作目標(biāo)是召開(kāi)評(píng)估項(xiàng)目啟動(dòng)會(huì)議，并就項(xiàng)目組的工作方式、日常流程、工作計(jì)劃、交付件藍(lán)圖進(jìn)行溝通和確認(rèn)。. 階段步驟評(píng)估項(xiàng)目啟動(dòng)階段，是整個(gè)項(xiàng)目過(guò)程中，對(duì)項(xiàng)目的有效性的一種保證。實(shí)施風(fēng)險(xiǎn)評(píng)估是一種戰(zhàn)略性的考慮，其結(jié)果將受到組織的業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。步驟一：項(xiàng)目組織，確定雙項(xiàng)目組織結(jié)構(gòu)及人員分工。步驟二：召開(kāi)項(xiàng)目啟動(dòng)會(huì)，包括項(xiàng)目中需要落實(shí)內(nèi)容：a) 獲得支持和配合；b) 確定項(xiàng)目的目標(biāo)；c) 確定項(xiàng)目的內(nèi)容；d) 組建項(xiàng)目服務(wù)團(tuán)隊(duì)；e) 對(duì)項(xiàng)目的對(duì)象、范圍進(jìn)行調(diào)研并確認(rèn)；f) 宣貫風(fēng)險(xiǎn)評(píng)估方法和評(píng)估思想；g) 建立項(xiàng)目組的工作場(chǎng)所和環(huán)境；h) 確定項(xiàng)目組的工作流程，包括文檔交付流程、項(xiàng)目更改流程等；i) 確定項(xiàng)目組的工作方式，包括指定接口人，保密方式，資料保管和備份方式等。步驟三：確定各個(gè)細(xì)節(jié)后，項(xiàng)目啟動(dòng)完成，進(jìn)入項(xiàng)目實(shí)施階段。. 階段輸出本階段完成后輸出如下文件：? 《項(xiàng)目實(shí)施計(jì)劃》? 《項(xiàng)目啟動(dòng)會(huì)議紀(jì)要》? 《項(xiàng)目藍(lán)圖》? 《保密協(xié)議書(shū)》9 / 51? 《項(xiàng)目組織結(jié)構(gòu)和人員職責(zé)》? 《項(xiàng)目范圍確認(rèn)書(shū)》? 《培訓(xùn)計(jì)劃》 （針對(duì)風(fēng)險(xiǎn)評(píng)估知識(shí)宣貫實(shí)施方法）. 階段 2：資產(chǎn)評(píng)估階段保護(hù)資產(chǎn)免受安全威脅是本項(xiàng)目實(shí)施的根本目標(biāo)。要做好這項(xiàng)工作，首先需要詳細(xì)了解資產(chǎn)分類與管理的詳細(xì)情況。. 階段目標(biāo)資產(chǎn)識(shí)別的目的就是要系統(tǒng)的相關(guān)資產(chǎn)做潛在價(jià)值分析，了解其資產(chǎn)利用、維護(hù)和管理現(xiàn)狀。明確各類資產(chǎn)具備的保護(hù)價(jià)值和需要的保護(hù)層次，從而使企業(yè)能夠更合理的利用現(xiàn)有資產(chǎn)，更有效地進(jìn)行資產(chǎn)管理，更有針對(duì)性的進(jìn)行資產(chǎn)保護(hù)，最具策略性的進(jìn)行新的資產(chǎn)投入。. 階段步驟階段一：根據(jù)項(xiàng)目范圍進(jìn)行資產(chǎn)分類與識(shí)別，包括主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)、文檔資產(chǎn)、人員資產(chǎn)等等。階段二：進(jìn)行資產(chǎn)識(shí)別，分類并賦值。. 階段方法表格 3 資產(chǎn)評(píng)估方法項(xiàng)目名稱 資產(chǎn)分類調(diào)查簡(jiǎn)要描述 采集資產(chǎn)信息，進(jìn)行資產(chǎn)分類，劃分資產(chǎn)重要級(jí)別及賦值；達(dá)成目標(biāo)采集資產(chǎn)信息，進(jìn)行資產(chǎn)分類，劃分資產(chǎn)重要級(jí)別及賦值；進(jìn)一步明確評(píng)估的范圍和重點(diǎn)。主要內(nèi)容? 采集資產(chǎn)信息，獲取資產(chǎn)清單；? 進(jìn)行資產(chǎn)分類劃分；10 / 51? 確定資產(chǎn)的重要級(jí)別，對(duì)資產(chǎn)進(jìn)行賦值。實(shí)現(xiàn)方式? 調(diào)查。? 填表式調(diào)查。? 《資產(chǎn)調(diào)查表》 ，包含計(jì)算機(jī)設(shè)備、通訊設(shè)備、存儲(chǔ)及保障設(shè)備、信息、軟件等。? 交流。? 審閱已有的針對(duì)資產(chǎn)的安全管理規(guī)章、制度。? 與高級(jí)主管、業(yè)務(wù)人員、網(wǎng)絡(luò)管理員（系統(tǒng)管理員）等進(jìn)行交流。工作條件 23 人工作環(huán)境，2 臺(tái)筆記本，電源和網(wǎng)絡(luò)環(huán)境，客戶人員和資料配合。工作結(jié)果 資產(chǎn)類別、資產(chǎn)重要級(jí)別。參加人員依據(jù)現(xiàn)場(chǎng)狀況，啟明星辰全體評(píng)估人員在客戶業(yè)務(wù)系統(tǒng)相關(guān)技術(shù)和管理人員的配合下進(jìn)行資產(chǎn)分類調(diào)查。. 階段輸出本階段完成后輸出文檔如下：? 《資產(chǎn)詳細(xì)清單》? 《資產(chǎn)賦值列表》. 階段 3：威脅評(píng)估威脅是指可能對(duì)資產(chǎn)或組織造成損害事故的潛在原因。作為風(fēng)險(xiǎn)評(píng)估的重要因素，威脅是一個(gè)客觀存在的事物，無(wú)論對(duì)于多么安全的信息系統(tǒng)，它都存在。為全面、準(zhǔn)確地了解系統(tǒng)所面臨的各種威脅，需采用威脅分析方法。 . 階段目標(biāo)通過(guò)威脅分析，找出系統(tǒng)目前存在的潛在風(fēng)險(xiǎn)因素，并進(jìn)行統(tǒng)計(jì)，賦值，以便于列出風(fēng)險(xiǎn)。11 / 51. 階段步驟威脅識(shí)別采用人工審計(jì)、安全策略文檔審閱、人員面談、入侵檢測(cè)系統(tǒng)收集的信息和人工分析。步驟一：把已經(jīng)發(fā)現(xiàn)的威脅進(jìn)行分類；步驟二：把發(fā)現(xiàn)的威脅事件進(jìn)行分析。. 階段方法表格 4 威脅調(diào)查評(píng)估項(xiàng)目名稱 威脅調(diào)查評(píng)估簡(jiǎn)要描述 使用技術(shù)手段分析信息系統(tǒng)可能面臨的所有安全威脅和風(fēng)險(xiǎn)。達(dá)成目標(biāo)全面了解掌握信息系統(tǒng)可能面臨的所有安全威脅和風(fēng)險(xiǎn)。對(duì)威脅進(jìn)行賦值并確定威脅等級(jí)。主要內(nèi)容? 被動(dòng)攻擊威脅與風(fēng)險(xiǎn)：網(wǎng)絡(luò)通信數(shù)據(jù)被監(jiān)聽(tīng)、口令等敏感信息被截獲等。? 主動(dòng)攻擊威脅與風(fēng)險(xiǎn)：掃描目標(biāo)主機(jī)、拒絕服務(wù)攻擊、利用協(xié)議、軟件、系統(tǒng)故障、漏洞插入或執(zhí)行惡意代碼（如：特洛依木馬、病毒、后門(mén)等） 、越權(quán)訪問(wèn)、篡改數(shù)據(jù)、偽裝、重放所截獲的數(shù)據(jù)等。? 鄰近攻擊威脅與風(fēng)險(xiǎn)：毀壞設(shè)備和線路、竊取存儲(chǔ)介質(zhì)、偷窺口令等。? 分發(fā)攻擊威脅與風(fēng)險(xiǎn)：在設(shè)備制造、安裝、維護(hù)過(guò)程中，在設(shè)備上設(shè)置隱藏的后門(mén)或攻擊途徑、? 內(nèi)部攻擊威脅與風(fēng)險(xiǎn)：惡意修改數(shù)據(jù)和安全機(jī)制配置參數(shù)、惡意建立未授權(quán)連接、惡意的物理?yè)p壞和破壞、無(wú)意的數(shù)據(jù)損壞和破壞。實(shí)現(xiàn)方式? 調(diào)查交流? 工具檢測(cè)? 人工檢測(cè)工作條件 23 人工作環(huán)境，2 臺(tái)筆記本，電源和網(wǎng)絡(luò)環(huán)境，客戶人員和資料配合工作結(jié)果 根據(jù)分析結(jié)果列出系統(tǒng)所面臨的威脅，對(duì)威脅賦值并確定威脅級(jí)別12 / 51參加人員 啟明星辰評(píng)估小組，網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員. 階段輸出本階段完成主要輸出文檔如下：? 《威脅調(diào)查表》? 《威脅賦值列表》. 階段 4：脆弱性評(píng)估脆弱性是對(duì)一個(gè)或多個(gè)資產(chǎn)弱點(diǎn)的總稱，脆弱性評(píng)估是對(duì)技術(shù)脆弱性和管理脆性進(jìn)行識(shí)別和賦值的過(guò)程。. 階段目標(biāo)技術(shù)脆弱性主要是采用工具掃描、人工檢查（checklist） 、滲透測(cè)試、訪談等方式對(duì)物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)軟件、應(yīng)用軟件、業(yè)務(wù)流程等進(jìn)行脆弱性識(shí)別并賦值。管理脆弱性主要是通過(guò)管理訪談、文檔查閱等方式對(duì)安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、安全建設(shè)管理、安全運(yùn)維管理等進(jìn)行脆弱性識(shí)別并賦值。. 實(shí)施步驟脆弱性識(shí)別步驟主要是通過(guò)技術(shù)脆弱性和管理脆弱性來(lái)進(jìn)行識(shí)別。. 技術(shù)脆弱性物理環(huán)境物理安全是一切系統(tǒng)安全的基礎(chǔ)。對(duì)物理安全的評(píng)估將從機(jī)房選址、建設(shè)；員工、外來(lái)訪問(wèn)者進(jìn)入機(jī)房的權(quán)限控制；機(jī)房的報(bào)警、電子監(jiān)控以及防火、防13 / 51水、防靜電、防雷擊、防鼠害、防輻射、防盜竊、火災(zāi)報(bào)警及消防措施、內(nèi)部裝修、供配電系統(tǒng)等方面進(jìn)行。表格 5 物理安全評(píng)估項(xiàng)目名稱 物理安全評(píng)估簡(jiǎn)要描述 分析物理安全是否滿足相關(guān)的安全標(biāo)準(zhǔn)。達(dá)成目標(biāo) 準(zhǔn)確把握物理安全中的安全隱患，提出安全建議。主要內(nèi)容? 評(píng)估環(huán)境安全：機(jī)房選址、建設(shè)、防火、防水、防靜電、防雷擊、防鼠害、防輻射、防盜竊、火災(zāi)報(bào)警及消防措施、內(nèi)部裝修、供配電系統(tǒng)是否滿足相關(guān)國(guó)家標(biāo)準(zhǔn)；內(nèi)部及外來(lái)人員對(duì)機(jī)房的訪問(wèn)權(quán)限控制；安全審查及管理制度。? 評(píng)估設(shè)備安全：門(mén)控系統(tǒng)、網(wǎng)絡(luò)專用設(shè)備（路由器，交換機(jī)等）和主機(jī)設(shè)備（終端計(jì)算機(jī)，打印機(jī)、服務(wù)器等） 。設(shè)備安全主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)、維修、報(bào)廢等；設(shè)備冗余備份。? 評(píng)估介質(zhì)安全：軟盤(pán)、硬盤(pán)、光盤(pán)、磁帶等媒體的管理，信息媒體的維修將保證所存儲(chǔ)的信息不被泄漏，不再需要的媒體，將按規(guī)定及時(shí)安全地予以銷毀。實(shí)現(xiàn)方式? 問(wèn)詢? 現(xiàn)場(chǎng)檢查? 資料收集工作條件 客戶人員和資料配合工作結(jié)果 依據(jù)相關(guān)的物理安全標(biāo)準(zhǔn)，結(jié)合客戶的實(shí)際需求，協(xié)助客戶改進(jìn)安全措施參加人員 客戶機(jī)房、設(shè)備管理員、維護(hù)人員，啟明星辰評(píng)估小組網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問(wèn)控制策略、內(nèi)部訪問(wèn)控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識(shí)別。網(wǎng)絡(luò)結(jié)構(gòu)分析是風(fēng)險(xiǎn)評(píng)估中對(duì)業(yè)務(wù)系統(tǒng)安全性進(jìn)行全面了解的基礎(chǔ)，一個(gè)14 / 51業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)是整個(gè)業(yè)務(wù)系統(tǒng)的承載基礎(chǔ)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)存在的安全性、網(wǎng)絡(luò)負(fù)載問(wèn)題，網(wǎng)絡(luò)設(shè)備存在的安全性，抗攻擊的問(wèn)題是整個(gè)業(yè)務(wù)系統(tǒng)評(píng)估的重要環(huán)節(jié)。對(duì)評(píng)估對(duì)象的物理網(wǎng)絡(luò)結(jié)構(gòu)，邏輯網(wǎng)絡(luò)結(jié)構(gòu)及網(wǎng)絡(luò)的關(guān)鍵設(shè)備進(jìn)行評(píng)估(基本信息包括網(wǎng)絡(luò)帶寬、協(xié)議、硬件、Inter 接入、地理分布方式和網(wǎng)絡(luò)管理。)，發(fā)現(xiàn)存在的安全性，合理性，使用效率等方面的問(wèn)題。結(jié)合業(yè)務(wù)體系、系統(tǒng)體系等結(jié)構(gòu)的檢查邏輯網(wǎng)絡(luò)，由什么物理網(wǎng)絡(luò)組成以及網(wǎng)絡(luò)的關(guān)鍵設(shè)備的位置所在對(duì)于保持網(wǎng)絡(luò)的安全是非常重要的。另外，鑒定關(guān)鍵網(wǎng)絡(luò)拓?fù)?，?duì)于成功地一個(gè)實(shí)施基于網(wǎng)絡(luò)的風(fēng)險(xiǎn)管理方案是很關(guān)鍵的。網(wǎng)絡(luò)結(jié)構(gòu)分析能夠做到：? 改善網(wǎng)絡(luò)性能和利用率,使之滿足業(yè)務(wù)系統(tǒng)需要? 提供有關(guān)擴(kuò)充網(wǎng)絡(luò)、增加 IT 投資和提高網(wǎng)絡(luò)穩(wěn)定性的信息? 幫助用戶降低風(fēng)險(xiǎn),改善網(wǎng)絡(luò)運(yùn)行效率,提高網(wǎng)絡(luò)的穩(wěn)定性? 確保網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行? 對(duì)網(wǎng)絡(luò)環(huán)境、性能、故障和配置進(jìn)行檢查在本項(xiàng)目安全工程中，網(wǎng)絡(luò)體系既起著支撐正常業(yè)務(wù)的作用，本身也作為提供給用戶使用的信息基礎(chǔ)設(shè)施的一部分。在評(píng)估過(guò)程中，主要針對(duì)網(wǎng)絡(luò)拓?fù)?、訪問(wèn)控制策略與措施、網(wǎng)絡(luò)設(shè)備配置、安全設(shè)備配置、網(wǎng)絡(luò)性能與業(yè)務(wù)負(fù)載幾個(gè)方面進(jìn)行調(diào)查與分析。系統(tǒng)軟件系統(tǒng)軟件指對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)等采用訪談、checklist、漏洞掃描工具等方式對(duì)用戶帳號(hào)、口令策略、資源共享、訪問(wèn)控制、新系統(tǒng)配置（初始化） 、網(wǎng)絡(luò)安全等脆弱性方面進(jìn)行識(shí)別，并賦值。應(yīng)用軟件應(yīng)用軟件是指應(yīng)用系統(tǒng)本身或者中間平臺(tái)，進(jìn)行脆弱性分析主要包括身份簽別、訪問(wèn)控制策略、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行。15 / 51業(yè)務(wù)流程依據(jù)業(yè)務(wù)過(guò)程的數(shù)據(jù)流程評(píng)估客戶的業(yè)務(wù)流程，從信息產(chǎn)生到信息消亡整個(gè)過(guò)程所涉及的業(yè)務(wù)系統(tǒng)。目的是了解客戶業(yè)務(wù)流程的安全隱患，協(xié)助客戶進(jìn)行業(yè)務(wù)流程的安全防護(hù)。表格 6 業(yè)務(wù)流程評(píng)估項(xiàng)目名稱 業(yè)務(wù)流程評(píng)估（數(shù)據(jù)流程）簡(jiǎn)要描述 依據(jù)業(yè)務(wù)過(guò)程的數(shù)據(jù)流程評(píng)估客戶的業(yè)務(wù)流程達(dá)成目標(biāo)了解客戶業(yè)務(wù)流程的安全隱患，協(xié)助河北移動(dòng)管理信息系統(tǒng)進(jìn)行業(yè)務(wù)流程的優(yōu)化主要內(nèi)容? 業(yè)務(wù)數(shù)據(jù)流向，輸入、傳輸、存儲(chǔ)、輸出? 策略：業(yè)務(wù)要求、使用范圍、安全等級(jí)? 業(yè)務(wù)實(shí)現(xiàn)方式? 業(yè)務(wù)安全要求? 各時(shí)段業(yè)務(wù)負(fù)載量? 業(yè)務(wù)流程優(yōu)化建議? 授權(quán)和認(rèn)證、審計(jì)、加密、完整性、不可否認(rèn)性等實(shí)現(xiàn)方式? 調(diào)查? 檢查工作結(jié)果 數(shù)據(jù)流圖、業(yè)務(wù)關(guān)系圖、報(bào)告參加人員 啟明星辰評(píng)估人員，客戶相關(guān)主管和業(yè)務(wù)人員. 管理脆弱性安全管理制度項(xiàng)目中的安全管理制度要從安全管理制度的安全要求、安全管理制度的制定和發(fā)布、安全管理制度的評(píng)審和修訂三部分根據(jù)等級(jí)保護(hù)的具體內(nèi)容來(lái)進(jìn)行管理部分的脆弱性識(shí)別。16 / 51安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)的脆弱性識(shí)別要從崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查五個(gè)方面，根據(jù)等級(jí)保護(hù)的安全要求的具體內(nèi)容來(lái)進(jìn)行安全管理機(jī)構(gòu)的脆弱性發(fā)現(xiàn)。人員安全管理人員安全管理的脆弱性識(shí)別是按照人員錄用、人員離崗、人員考核、人員的安全意識(shí)教育和培訓(xùn)、外部人員的管理這五個(gè)部分內(nèi)容，根據(jù)等級(jí)保護(hù)級(jí)別和各個(gè)類別的安全要求來(lái)進(jìn)行脆弱性發(fā)現(xiàn)。安全建設(shè)管理安全建設(shè)管理主要是從安全邊界和定級(jí)、安全方案設(shè)計(jì)、安全產(chǎn)品采購(gòu)和使用、自主研發(fā)環(huán)境安全、外包軟件研發(fā)環(huán)境安全、工程實(shí)施安全、測(cè)試驗(yàn)收、交付、安全服務(wù)商的選擇、安全網(wǎng)絡(luò)定級(jí)備案安全 10 個(gè)方面來(lái)進(jìn)行安全建設(shè)的