【正文】 估的專(zhuān)業(yè)技能，其結(jié)果不夠深入準(zhǔn)確；同時(shí)，受到組織內(nèi)部各種因素的影響，其評(píng)估結(jié)果的客觀性易受影響。 ? 建議方法 ? 委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施的評(píng)估，過(guò)程比較規(guī)范、評(píng)估結(jié)果的客觀性比較好，可信程度較高；但由于受到行業(yè)知識(shí)技能及業(yè)務(wù)了解的限制，對(duì)被評(píng)估系統(tǒng)的了解，尤其是在業(yè)務(wù)方面的特殊要求存在一定的局限。但由于引入第三方本身就是一個(gè)風(fēng)險(xiǎn)因素，因此，對(duì)其背景與資質(zhì)、評(píng)估過(guò)程與結(jié)果的保密要求等方面應(yīng)進(jìn)行控制。 100 風(fēng)險(xiǎn)評(píng)估的工作形式 — 檢查評(píng)估 ?檢查評(píng)估 ? 是指信息系統(tǒng)上級(jí)管理部門(mén)組織的或國(guó)家有關(guān)職能部門(mén)依法開(kāi)展的風(fēng)險(xiǎn)評(píng)估。 ?優(yōu)點(diǎn)： ? 最具權(quán)威性。 ? 通過(guò)行政手段加強(qiáng)信息安全的重要措施。 ?缺點(diǎn)： ? 間隔時(shí)間較長(zhǎng)，一般是抽樣進(jìn)行，難于貫穿信息系統(tǒng)的生命周期。 101 （四）風(fēng)險(xiǎn)評(píng)估工具 ?風(fēng)險(xiǎn)評(píng)估與管理工具 ? 一套集成了風(fēng)險(xiǎn)評(píng)估各類(lèi)知識(shí)和判據(jù)的管理信息系統(tǒng)，以規(guī)范風(fēng)險(xiǎn)評(píng)估的過(guò)程和操作方法；或者是用于收集評(píng)估所需要的數(shù)據(jù)和資料，基于專(zhuān)家經(jīng)驗(yàn)，對(duì)輸入輸出進(jìn)行模型分析。 ?系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具 ? 主要用于對(duì)信息系統(tǒng)的主要部件（如操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備等）的脆弱性進(jìn)行分析，或?qū)嵤┗诖嗳跣缘墓簟? ?風(fēng)險(xiǎn)評(píng)估輔助工具 ? 實(shí)現(xiàn)對(duì)數(shù)據(jù)的采集、現(xiàn)狀分析和趨勢(shì)分析等單項(xiàng)功能，為風(fēng)險(xiǎn)評(píng)估各要素的賦值、定級(jí)提供依據(jù)。 102 知識(shí)域：信息安全風(fēng)險(xiǎn)評(píng)估實(shí)踐 ?知識(shí)子域：風(fēng)險(xiǎn)分析實(shí)例 ? 了解典型信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)踐過(guò)程 103 評(píng)估依據(jù) 國(guó)家標(biāo)準(zhǔn)規(guī)范 XX行業(yè)安全要求 GB/T 202742023 信息系統(tǒng)安全保障評(píng)估框架 GB/T 209842023 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 GB/T 183362023 信息技術(shù)安全性評(píng)估準(zhǔn)則 xx系統(tǒng)網(wǎng)絡(luò)與信息安全管理崗位及其職責(zé)（試行稿） xx系統(tǒng)網(wǎng)絡(luò)與信息安全總體策略 xx系統(tǒng)網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估工作管理規(guī)定（試行稿） xx系統(tǒng)電子數(shù)據(jù)處理管理辦法（試行） 首期網(wǎng)絡(luò)與信息安全防護(hù)體系運(yùn)行管理辦法 104 評(píng)估范圍 被評(píng)估單位選擇 ? 本次風(fēng)險(xiǎn)評(píng)估工作的對(duì)象為省級(jí)國(guó)家 xx局及其兩個(gè)下屬的地市級(jí)國(guó)家 xx局的信息系統(tǒng) 105 直轄市： 市國(guó)家 xx局 +區(qū)國(guó)家 xx局 北京市 x局 海淀區(qū) x局 省級(jí)： 省國(guó)家 xx局 +2地市 x局 浙江省 x局 杭州市 x局 XX市 x局 單列市： 市國(guó)家 xx局 寧波市 x局 105 評(píng)估范圍 評(píng)估對(duì)象選擇 106 基礎(chǔ)網(wǎng)絡(luò)與物理環(huán)境 內(nèi)網(wǎng)應(yīng)用 橫向連接區(qū)域 內(nèi)部業(yè)務(wù) 互聯(lián)網(wǎng)服務(wù) 106 評(píng)估范圍 評(píng)估內(nèi)容 信息資產(chǎn) 數(shù)據(jù)系統(tǒng) 主機(jī) 系統(tǒng) 安全系統(tǒng) 應(yīng)用支撐系統(tǒng) 應(yīng)用系統(tǒng) 基礎(chǔ)網(wǎng)絡(luò)與物理環(huán)境 業(yè)務(wù)系統(tǒng) 安全管理 107 實(shí)施內(nèi)容 — 評(píng)估準(zhǔn)備 ? 成立風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì) ? 形成風(fēng)險(xiǎn)評(píng)估方案： 《 xx信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估技術(shù)方案 》 ? 形成統(tǒng)一的評(píng)估方法：檢測(cè)工具集和測(cè)試用例庫(kù)集成，評(píng)估標(biāo)準(zhǔn)、規(guī)范的學(xué)習(xí)工作。 ? 確定評(píng)估范圍：以 《 xx信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估技術(shù)方案 》 為指導(dǎo)，與被評(píng)估單位協(xié)商確定此次風(fēng)險(xiǎn)評(píng)估的范圍。 ? 熟悉評(píng)估的內(nèi)容和環(huán)境 ? 確認(rèn)評(píng)估保障條件 108 108 實(shí)施評(píng)估 現(xiàn)場(chǎng)信息獲取 ? 現(xiàn)場(chǎng)評(píng)估啟動(dòng)會(huì)議 ? 資產(chǎn)識(shí)別 ? 威脅識(shí)別 ? 物理環(huán)境脆弱性評(píng)估 ? 網(wǎng)絡(luò)脆弱性識(shí)別 ? 系統(tǒng)脆弱性識(shí)別 ? 管理脆弱性評(píng)估 ? 滲透測(cè)試 ? 確認(rèn)現(xiàn)場(chǎng)評(píng)估結(jié)果 109 109 實(shí)施評(píng)估 風(fēng)險(xiǎn)計(jì)算 ?業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)關(guān)聯(lián)值 Fn=業(yè)務(wù)系統(tǒng)脆弱性值 V*業(yè)務(wù)系統(tǒng)威脅值 T ?單一資產(chǎn)的風(fēng)險(xiǎn)值 Rn=業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)關(guān)聯(lián)值 Fn*單一資產(chǎn)值 An ?業(yè)務(wù)的風(fēng)險(xiǎn)值 R=單一資產(chǎn)風(fēng)險(xiǎn)值累加平均值 Rn 等級(jí) 標(biāo)識(shí) 風(fēng)險(xiǎn)定義 區(qū)間劃分 5 很高 風(fēng)險(xiǎn)很高 ， 導(dǎo)致系統(tǒng)受到非常嚴(yán)重影響 60007000 4 高 風(fēng)險(xiǎn)高 ， 導(dǎo)致系統(tǒng)受到嚴(yán)重影響 50006000 3 中 風(fēng)險(xiǎn)中 ， 導(dǎo)致系統(tǒng)受到較重影響的 40005000 2 低 風(fēng)險(xiǎn)低 ， 導(dǎo)致系統(tǒng)受到一般影響 20234000 1 很低 風(fēng)險(xiǎn)很低 ， 導(dǎo)致系統(tǒng)受到較小影響 02023 110 風(fēng)險(xiǎn)列表 111 0 500 1000 1500 2023 2500 3000 3500 4000 4500 外門(mén)戶(hù)網(wǎng)站系統(tǒng)網(wǎng)上申報(bào)系統(tǒng)網(wǎng)上認(rèn)證系統(tǒng)XX 系統(tǒng)XX 系統(tǒng)XX 系統(tǒng)XX 系統(tǒng)XX 系統(tǒng)3916 4292 3852 4261 1923 3921 3986 1654 業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)統(tǒng)計(jì)圖 實(shí)施評(píng)估 風(fēng)險(xiǎn)處置建議 112 實(shí)施內(nèi)容 — 評(píng)估的具體方法 ? 調(diào)查問(wèn)卷 ? 人員訪談 ? 脆弱性分析 ? 系統(tǒng)配置核查 ? 滲透性測(cè)試 ? 評(píng)估工具 113 規(guī)避風(fēng)險(xiǎn)評(píng)估工作帶來(lái)的新風(fēng)險(xiǎn) 可 能 事 件 影響屬性 威脅程度 應(yīng)對(duì)措施 內(nèi)部信息外泄 保密性 高 評(píng)估機(jī)構(gòu)資質(zhì)、法律保證、評(píng)估過(guò)程控制（如：核心部分不離開(kāi)用戶(hù)單位） 評(píng)估結(jié)果的有效性 可用性 中 評(píng)估機(jī)構(gòu)資質(zhì)、評(píng)估人員資質(zhì)、案例經(jīng)驗(yàn) 評(píng)估結(jié)果的準(zhǔn)確性 完整性 可用性 中 評(píng)估標(biāo)準(zhǔn)、人員能力、案例經(jīng)驗(yàn) 占用大量用戶(hù)時(shí)間 可用性 低 成熟、量化的調(diào)查模式 安全檢測(cè)意外中斷業(yè)務(wù) 完整性 可用性 高 人員資質(zhì)、測(cè)試環(huán)境、應(yīng)急計(jì)劃、恢復(fù)演練 安全測(cè)試影響這正常業(yè)務(wù) （如：網(wǎng)絡(luò)、主機(jī)的可用性） 可用性 高 錯(cuò)開(kāi)業(yè)務(wù)高峰、提高檢測(cè)命中率 滲透測(cè)試影響正常業(yè)務(wù) 可用性 高 人員能力、黑白兼顧、應(yīng)急預(yù)案和演 練 其他可能意外原因 應(yīng)急小組 7 24支持 114 謝謝，請(qǐng)?zhí)釂?wèn)題！ 靜夜四無(wú)鄰，荒居舊業(yè)貧。 , January 23, 2023 雨中黃葉樹(shù)，燈下白頭人。 20:29:3320:29:3320:291/23/2023 8:29:33 PM 1以我獨(dú)沈久，愧君相見(jiàn)頻。 :29:3320:29Jan2323Jan23 1故人江海別，幾度隔山川。 20:29:3320:29:3320:29Monday, January 23, 2023 1乍見(jiàn)翻疑夢(mèng)，相悲各問(wèn)年。 :29:3320:29:33January 23, 2023 1他鄉(xiāng)生白發(fā)，舊國(guó)見(jiàn)青山。 2023年 1月 23日星期一 下午 8時(shí) 29分 33秒 20:29: 1比不了得就不比，得不到的就不要。 2023年 1月 下午 8時(shí) 29分 :29January 23, 2023 1行動(dòng)出成果，工作出財(cái)富。 2023年 1月 23日星期一 8時(shí) 29分 33秒 20:29:3323 January 2023 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。 下午 8時(shí) 29分 33秒 下午 8時(shí) 29分 20:29: 沒(méi)有失敗，只有暫時(shí)停止成功！。 , January 23, 2023 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒(méi)有。 20:29:3320:29:3320:291/23/2023 8:29:33 PM 1成功就是日復(fù)一日那一點(diǎn)點(diǎn)小小努力的積累。 :29:3320:29Jan2323Jan23 1世間成事，不求其絕對(duì)圓滿(mǎn)，留一份不足，可得無(wú)限完美。 20:29:3320:29:3320:29Monday, January 23, 2023 1不知香積寺，數(shù)里入云峰。 :29:3320:29:33January 23, 2023 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 1月 23日星期一 下午 8時(shí) 29分 33秒 20:29: 1楚塞三湘接，荊門(mén)九派通。 2023年 1月 下午 8時(shí) 29分 :29January 23, 2023 1少年十五二十時(shí)，步行奪得胡馬騎。 2023年 1月 23日星期一 8時(shí) 29分 33秒 20:29:3323 January 2023 1空山新雨后，天氣晚來(lái)秋。 下午 8時(shí) 29分 33秒 下午 8時(shí) 29分 20:29: 楊柳散和風(fēng)，青山澹吾慮。 , January 23, 2023 閱讀一切好書(shū)如同和過(guò)去最杰出的人談話。 20:29:3320:29:3320:291/23/2023 8:29:33 PM 1越是沒(méi)有本領(lǐng)的就越加自命不凡。 :29:3320:29Jan2323Jan23 1越是無(wú)能的人，越喜歡挑剔別人的錯(cuò)兒。 20:29:3320:29:3320:29Monday, January 23, 2023 1知人者智，自知者明。勝人者有力，自勝者強(qiáng)。 :29:3320:29:33January 23, 2023 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 1月 23日星期一 下午 8時(shí) 29分 33秒 20:29: 1最具挑戰(zhàn)性的挑戰(zhàn)莫過(guò)于提升自我。 2023年 1月 下午 8時(shí) 29分 :29January 23, 2023 1業(yè)余生活要有意義，不要越軌。 2023年 1月 23日星期一 8時(shí) 29分 33秒 20:29:3323 January 2023 1一個(gè)人即使已登上頂峰，也仍要自強(qiáng)不息。 下午 8時(shí) 29分 33秒 下午 8時(shí) 29分 20:29: MOMODA POWERPOINT Lorem ipsum dolor sit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis amet, consectetur adipiscing elit. Fusce id urna blanditut cursus. 感謝您的下載觀看 專(zhuān)家告訴