1、信息安全風險評估.2什么是風險評估？什么是風險評估？從深夜一個回家的女孩開始講起.3風險評估的基本概念.4各安全組件之間的關系.5資產影響威脅弱點風險錢被偷100塊沒飯吃小偷打瞌睡服務器黑客軟件漏洞被入侵數據失密通俗的比喻.66 概概 述述.7 相關概念u 資產（資產（Asset） 任何對企業具有價值的東西任何對企業具有價值的東西，包括計算機硬件、通信設施、建筑物、數據庫、文檔信息、軟件、信息服務和人員等，所有這些資產都需要妥善保護。u 威脅（威脅（Threat） 可能對資產或企業造成損害的某種安全事件發生的潛在原因，通常需要識別出威脅源（Threat source）或威脅代理（Threat

2、agent）。u 弱點（弱點（Vulnerability） 也被稱作漏洞或脆弱性，即資產或資產組中存在的可被威脅利用的缺點，弱點一旦被利用，就可能對資產造成損害。u 風險（風險（Risk） 特定威脅利用資產弱點給資產或資產組帶來損害的潛在可能性。u 可能性（可能性（Likelihood） 對威脅發生幾率（Probability）或頻率（Frequency）的定性描述。u 影響（影響（Impact） 后果（Consequence），意外事件發生給企業帶來的直接或間接的損失或傷害。u 安全措施（安全措施（Safeguard） 控制措施（control）或對策（countermeasure），即通過

3、防范威脅、減少弱點、限制意外事件帶來影響等途徑來消減風險的機制、方法和措施。u 殘留風險（殘留風險（Residual Risk） 在實施安全措施之后仍然存在的風險。.8風險風險RISKRISKRISKRISKRISKRISKRISKRISK風險風險原有風險原有風險采取措施后的剩余風險采取措施后的剩余風險脆弱性脆弱性.9資產分類方法分分類類示例示例數據保存在信息媒介上的各種數據資料,包括源代碼、數據庫數據、系統文檔、運行管理規程、 計劃、報告、用戶手冊、各類紙質的文檔等軟件系統軟件:操作系統、數據庫管理系統、語句包、開發系統等 應用軟件:辦公軟件、數據庫軟件、各類工具軟件等 源程序:各種共享源代

4、碼、自行或合作開發的各種代碼等硬件網絡設備:路由器、網關、交換機等計算機設備:大型機、小型機、服務器、工作站、臺式計算機、便攜計算機等存儲設備:磁帶機、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等傳輸線路:光纖、雙絞線等保障設備: UPS、變電設備等、空調、保險柜、文件柜、門禁、消防設施等安全保障：防火墻、入侵檢測系統、身份鑒別等其他:打印機、復印機、掃描儀、傳真機等.10資產分類方法分分類類示例示例服務信息服務:對外依賴該系統開展的各類服務 網絡服務:各種網絡設備、設施提供的網絡連接服務 辦公服務:為提高效率而開發的管理信息系統,包括各種內部配置管理、文件流轉管理等服務人員掌握重要信息和核心業務的

5、人員,如主機維護主管、網絡維護主管及應用項目經理等其它企業形象、客戶關系等.11資產識別模型網絡層機房、通信鏈路網絡設備1操作系統、主機設備軟件OA人員、文檔、制度業務層物理層主機層應用層管理層EAI/EIP 工程管理物資管理生產管理營銷系統人力資源綜合管理操作系統、主機設備網絡設備2數據軟件軟件軟件數據數據數據數據數據數據數據數據層.12資產價值的評估.13信息安全屬性 保密性CONFIDENTIALATY確保信息只能由那些被授權使用的人獲取 完整性INTEGRITY保護信息及其處理方法的準確性和完整性 可用性AVAILABILITY確保被授權使用人在需要時可以獲取信息和使用相關的資產.14

6、.15.16.17資產等級計算公式 AV=F(AC,AI,AA) 例1：AV=MAX(AC,AI,AA) 例2：AV=AC+AI+AA 例3：AV=ACAIAA.18.19威脅來源列表來源來源描述描述環境因素斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震、意外 事故等環境危害或自然災害,以及軟件、硬件、數據、通訊線路等方面的故障人為因素惡意人員不滿的或有預謀的內部人員對信息系統進行惡意破壞;采用自主或內外勾結的方式 盜竊機密信息或進行篡改,獲取利益外部人員利用信息系統的脆弱性,對網絡或系統的機密性、完整性和可用性進行破 壞,以獲取利益或炫耀能力非惡意人員內部人員由于缺乏責任

7、心,或者由于不關心和不專注,或者沒有遵循規章制度和操 作流程而導致故障或信息損壞;內部人員由于缺乏培訓、專業技能不足、不具備崗 位技能要求而導致信息系統故障或被攻擊。.20威脅分類表.21.22脆弱性識別內容表.23.24威脅與脆弱性之間的關系.25風險分析原理.26定性風險分析.27風險值=R(A,T,V)= R(L(T,V),F(Ia,Va )其中,R 表示安全風險計算函數;A 表示資產;T 表示威脅;V 表示脆弱性; Ia 表示安全事件所作用的資產價值;Va 表示脆弱性嚴重程度;L 表示威脅利用資產的脆弱性導致安全事件發生的可能性;F 表示安全事件發生后產生的損失。一般風險計算方法：矩陣

8、法和相乘法.28矩陣法.29.3001000200030004000500060007000邊界人員，攻擊混合病毒好奇員工，攻擊內部外部人員誤操作普通員工，濫用網絡病毒內部外部人員惡意基礎服務失效交換機硬件失效災難服務器硬件失效雷擊漏水服務器軟件失效電源失效交換機軟件失效溫度、濕度、灰塵、靜電等郵件病毒鏈路失效介質病毒完整性風險機密性風險可用性風險.3131u 降低風險（降低風險（Reduce Risk） 采取適當的控制措施來降低風險，包括技術手段和管理手段，如安裝防火墻，殺毒軟件，或是改善不規范的工作流程、制定業務連續性計劃，等等。u 避免風險（避免風險（Avoid Risk） 通過消除可能

9、導致風險發生的條件來避免風險的發生，如將公司內外網隔離以避免來自互聯網的攻擊，或是將機房安置在不可能造成水患的位置，等等。u 轉移風險（轉移風險（Transfer Risk） 將風險全部或者部分地轉移到其他責任方，例如購買商業保險。u 接受風險（接受風險（Accept Risk） 在實施了其他風險應對措施之后，對于殘留的風險，組織可以有意識地選擇接受。.3232u 絕對安全（即零風險）是不可能的。u 實施安全控制后會有殘留風險或殘存風險（Residual Risk）。 u 為了確保信息安全，應該確保殘留風險在可接受的范圍內： 殘留風險Rr 原有的風險R0 控制R 殘留風險Rr 可接受的風險Rt

10、u 對殘留風險進行確認和評價的過程其實就是風險接受的過程。決策者可以根據風險評估的結果來確定一個閥值，以該閥值作為是否接受殘留風險的標準。 .33等保測評與風險評估的區別 目的不同 等級測評：以是否符合等級保護基本要求為目的照方抓藥 風險評估：以PDCA循環持續推進風險管理為目的對癥下藥.34等保測評與風險評估的區別 參照標準不同 等級測評： GB 17859-1999計算機信息系統安全保護等級劃分準則GA/T 387-2002計算機信息系統安全等級保護網絡技術要求GA 388-2002 計算機信息系統安全等級保護操作系統技術要求GA/T 389-2002計算機信息系統安全等級保護數據庫管理系

11、統技術要求GA/T 390-2002計算機信息系統安全等級保護通用技術要求GA 391-2002 計算機信息系統安全等級保護管理要求 風險評估：BS7799 ISO17799 ISO27001 ISO 27002 GBT 20984-2007 信息安全技術 信息安全風險評估規范 .35等保測評與風險評估的區別可以簡單的理解為等保是標準或體系，風險評估是一種針對性的手段。.36為什么需要進行風險評估？為什么需要進行風險評估？該買辣椒水呢還是請保鏢？.37什么樣的信息系統才是安全的什么樣的信息系統才是安全的?如何確保信息系統的安全如何確保信息系統的安全?兩個基本問題.38什么樣的信息系統才是安全的

12、什么樣的信息系統才是安全的?如何確保信息系統的安全如何確保信息系統的安全?風險分析風險分析風險管理風險管理基本問題的答案.39潛在損失潛在損失在可以承受在可以承受范圍范圍之內的系統之內的系統風險分析風險分析安全決策安全決策風險管理風險管理兩個答案的相關性.40信息安全的演化.41概念的演化和技術的演化同步.42可信是保障概念的延續.43信息安全的事實廣泛廣泛n安全是一個廣泛的主題，它涉及到許多不同的區域（物理、網絡、系統、應用、管理等），每個區域都有其相關的風險、威脅及解決方法。動態動態相對相對n絕對的信息安全是不存在的。信息安全問題的解決只能通過一系列的規劃和措施，把風險降低到可被接受的程度

13、，同時采取適當的機制使風險保持在此程度之內。當信息系統發生變化時應當重新規劃和實施來適應新的安全需求。人人n信息系統的安全往往取決于系統中最薄弱的環節-人。人是信息安全中最關鍵的因素，同時也應該清醒的認識到人也是信息安全中最薄弱的環節。n僅僅依賴于安全產品的堆積來應對迅速發展變化的各種攻擊手段是不能持續有效的。信息安全建設是一項復雜的系統工程，要從觀念上進行轉變，規劃、管理、技術等多種因素相結合使之成為一個可持續的動態發展的過程。.44 安全保障體系建設安全保障體系建設安安全全成本成本 效率效率 安全安全 - 效率曲線效率曲線 安全安全 - 成本曲線成本曲線要研究建設信息要研究建設信息安全的綜

14、合成本安全的綜合成本與信息安全風險與信息安全風險之間的平衡，而之間的平衡，而不是要片面追求不是要片面追求不切實際的安全不切實際的安全不同的信息系統，不同的信息系統，對于安全的要求對于安全的要求不同，不是不同，不是“ 越安全越好越安全越好”.45信息系統矛盾三角.46三類操作系統舉例.47信息安全保障能力成長階段盲目自信盲目自信階段階段認知階段認知階段改進階段改進階段卓越運營卓越運營階段階段福布斯2000強企業在不同階段的百分比分布來源：Gartner Inc. 2006年1月.48能力成長階段的劃分 盲目自信階段 普遍缺乏安全意識，對企業安全狀況不了解，未意識到信息安全風險的嚴重性 認知階段

15、通過信息安全風險評估等，企業意識到自身存在的信息安全風險，開始采取一些措施提升信息安全水平 改進階段 意識到局部的、單一的信息安全控制措施難以明顯改善企業信息安全狀況，開始進行全面的信息安全架構設計，有計劃的建設信息安全保障體系 卓越運營階段 信息安全改進項目完成后，在擁有較為全面的信息安全控制能力基礎上，建立持續改進的機制，以應對安全風險的變化，不斷提升安全控制能力.49各個階段的主要工作任務盲目自信盲目自信階段階段認知階段認知階段改進階段改進階段卓越運營卓越運營階段階段福布斯2000強企業在不同階段的百分比分布來源：Gartner Inc. 2006年1月基本安全產品部署主要人員的培訓教育

16、建立安全團隊制定安全方針政策評估并了解現狀.50各個階段的主要工作任務盲目自信盲目自信階段階段認知階段認知階段改進階段改進階段卓越運營卓越運營階段階段福布斯2000強企業在不同階段的百分比分布來源：Gartner Inc. 2006年1月啟動信息安全戰略項目設計信息安全架構建立信息安全流程完成信息安全改進項目.51各個階段的主要工作任務盲目自信盲目自信階段階段認知階段認知階段改進階段改進階段卓越運營卓越運營階段階段福布斯2000強企業在不同階段的百分比分布來源：Gartner Inc. 2006年1月信息安全流程的持續改進追蹤技術和業務的變化.52怎么做風險評估？怎么做風險評估？評估到底買辣椒

17、水還是請保鏢更合適.53可能的攻擊可能的攻擊信息的價值信息的價值可能的損失可能的損失風險評估簡要版.54資產資產弱點弱點影響影響弱點弱點威脅威脅可能性可能性+=當前的風險級別當前的風險級別風險分析方法示意圖.55損失的量化必須圍繞損失的量化必須圍繞用戶的用戶的核心價值核心價值，用，用戶的戶的核心業務流程核心業務流程！如何量化損失.56企 業 風 險 管 理企 業 風 險 管 理 （ E R M ）信 用 風 險信 用 風 險市 場 風 險市 場 風 險運 營 風 險運 營 風 險IT 風 險風 險項 目 風 險項 目 風 險設 施 風 險設 施 風 險法 律 風 險法 律 風 險安 全安 全業

18、 務 連 續 性業 務 連 續 性項 目項 目等 等等 等運 營 風 險 關 注運 營 風 險 關 注 ：怎 么 做怎 么 做 ？核 心 風 險 關 注核 心 風 險 關 注 ：做 什 么做 什 么 ？內 部 欺 詐內 部 欺 詐外 部 欺 詐外 部 欺 詐產 品產 品交 付交 付客 戶客 戶物 理 資 產 的 損 失物 理 資 產 的 損 失工 作 場 所 安 全工 作 場 所 安 全業 務 行 為業 務 行 為員 工 行 為員 工 行 為風險管理趨勢IT安全風險成為企業運營風險中最為重要的一個組成部分，業務連續性逐漸與安全并行考慮來源：來源：Gartner.57否是否是風險評估的準備已有安

19、全措施的確認風險計算風險是否接受保持已有的控制措施施施施選擇適當的控制措施并評估殘余風險實施風險管理脆弱性識別威脅識別資產識別是否接受殘余風險 風險識別評估過程文檔評估過程文檔風險評估結果記錄評估結果文檔 風險評估流程.58等級保護下風險評估實施框架保護對象劃分和定級保護對象劃分和定級網絡系統劃分和定級網絡系統劃分和定級資產脆弱性威脅風險分析基本安全要求等級保護管理辦法、指南信息安全政策、標準、法律法規安全需求風險列表安全規劃風險評估.59結合等保測評的風險評估流程.606060.616161評估組長評估組長評估員評估員XX公司安全專責公司安全專責p負責管理問卷訪談和運維負責管理問卷訪談和運維

20、問卷訪談；問卷訪談；p組織評估活動，控制協調組織評估活動，控制協調進度，保證按計劃完成評估進度，保證按計劃完成評估任務；任務；p組織召開評估會議；組織召開評估會議；p代表評估小組與受評估方代表評估小組與受評估方管理層接觸；管理層接觸；p組織撰寫風險評估報告、組織撰寫風險評估報告、現狀報告和安全改進建議現狀報告和安全改進建議p提交評估報告。提交評估報告。p 負責風險評估技術部分的內負責風險評估技術部分的內容包括：網絡、主機系統、應容包括：網絡、主機系統、應用和數據庫評估用和數據庫評估p 熟悉必要的文件和程序；熟悉必要的文件和程序；p準備風險評估技術評估工具；準備風險評估技術評估工具；p 撰寫每單

21、位的評估報告；撰寫每單位的評估報告；p 配合支持評估組長的工作，配合支持評估組長的工作，有效完成評估任務；有效完成評估任務；p收存和保護與評估有關的文件。收存和保護與評估有關的文件。 p 負責配合顧問提供風負責配合顧問提供風險評估相關的工作環境、險評估相關的工作環境、評估實現條件；評估實現條件；p備份系統數據備份系統數據;p配合評估顧問完成資產配合評估顧問完成資產分類、賦值、弱點威脅發分類、賦值、弱點威脅發現和賦值、風險處理意見現和賦值、風險處理意見等工作；等工作；p掌握風險評估方法；掌握風險評估方法；p收存和保護與評估有關收存和保護與評估有關的文件。的文件。 p完成掃描后完成掃描后,檢查風險

22、評檢查風險評估后系統的安全性和穩定估后系統的安全性和穩定性性.626262.636363u 評估計劃分年度計劃和具體的實施計劃，前者通常是評估策劃階段就需評估計劃分年度計劃和具體的實施計劃，前者通常是評估策劃階段就需要完成的，是整個評估活動的總綱，而具體的評估實施計劃則是遵照年度要完成的，是整個評估活動的總綱，而具體的評估實施計劃則是遵照年度評估計劃而對每次的評估活動所作的實施安排。評估計劃而對每次的評估活動所作的實施安排。u 評估計劃通常應該包含以下內容：評估計劃通常應該包含以下內容： 目的：申明組織實施內部評估的目標。：申明組織實施內部評估的目標。 時間安排：評估時間避免與重要業務活動發生

23、沖突。：評估時間避免與重要業務活動發生沖突。 評估類型：集中方式（本次項目采用集中評估方式）：集中方式（本次項目采用集中評估方式） 其他考慮因素：范圍、評估組織、評估要求、特殊情況等。：范圍、評估組織、評估要求、特殊情況等。u 評估實施計劃是對特定評估活動的具體安排，內容通常包括：評估實施計劃是對特定評估活動的具體安排，內容通常包括： 目的、范圍、準則、評估組成員及分工、評估時間和地點、首末次會議及報告時間目的、范圍、準則、評估組成員及分工、評估時間和地點、首末次會議及報告時間u 評估計劃應以文件形式頒發，評估實施計劃應該有評估組長簽名并得到評估計劃應以文件形式頒發，評估實施計劃應該有評估組長

24、簽名并得到主管領導的批準。主管領導的批準。 .646464評估目的評估目的評價信息安全管理體系運行的符合性和有效性評價信息安全管理體系運行的符合性和有效性評估范圍評估范圍評估準則評估準則XXXX公司信息安全管理辦法公司信息安全管理辦法ISO27001ISO27001信息安全管理體系信息安全管理體系。評估小組評估小組評估組長評估組長評估組員評估組員 評估活動評估活動時間時間負責人負責人備注備注填寫信息資產采集表填寫信息資產采集表X X月上旬月上旬實施風險評估過程實施風險評估過程X X月中旬月中旬不符合項及高危風險糾不符合項及高危風險糾正正X X月末月末各相關部門負責人各相關部門負責人跟蹤驗證跟蹤

25、驗證X X月上旬月上旬評估小組評估小組召開風險評估整改會議召開風險評估整改會議X X月下旬月下旬信息部領導信息部領導編制編制編寫者編寫者時間時間年年月月日日評估評估評估者評估者（信息按照專責簽字）（信息按照專責簽字）時間時間年年月月日日批準批準批準者批準者（信息部門領導簽字）（信息部門領導簽字）時間時間年年月月日日.656565評估目的評估目的對對ISMSISMS進行內部評估，為體系糾正提供依據，為管理評審提供輸入進行內部評估，為體系糾正提供依據，為管理評審提供輸入評估范圍評估范圍評估準則評估準則XXXX公司信息安全管理辦法公司信息安全管理辦法ISO27001ISO27001信息安全管理體系信

26、息安全管理體系。評估方式評估方式集中式評估集中式評估評估時間評估時間X X年年X X月月X XX X月月X X日日評估組織評估組織評估組長評估組長評估組員評估組員第一小組第一小組 第二小組第二小組 評估安排評估安排日期日期時間時間評估區域評估區域評估內容評估內容第一小組第一小組第二小組第二小組第一小組第一小組第二小組第二小組X9:00-9:309:00-9:30會議室會議室首次會議首次會議9:30-12:009:30-12:0014:00-17:0014:00-17:0017:00-18:0017:00-18:00X9:00-11:009:00-11:0011:00-12:0011:00-12

27、:00會議室會議室評估小組會議評估小組會議14:00-15:0014:00-15:00會議室會議室末次會議末次會議編制編制編寫者編寫者 時間時間 年年月月日日 評估評估評估者評估者（信息安全專責簽字）（信息安全專責簽字） 時間時間 年年月月日日 批準批準批準者批準者（信息部管理者簽字）（信息部管理者簽字） 時間時間 年年月月日日 .666666.676767.686868u 檢查列表：評估員根據自己的需要，事先編制針對某方面問題的檢查列表，然：評估員根據自己的需要，事先編制針對某方面問題的檢查列表，然后逐項檢查符合性，在確認檢查列表應答時，評估員可以采取調查問卷、文件審查、后逐項檢查符合性，在

28、確認檢查列表應答時，評估員可以采取調查問卷、文件審查、現場觀察和人員訪談等方式。現場觀察和人員訪談等方式。u 文件評估：評估員在現場評估之前，應該對受評估方與信息安全管理活動相關：評估員在現場評估之前，應該對受評估方與信息安全管理活動相關的所有文件進行審查，包括安全方針和目標、程序文件、作業指導書和記錄文件。的所有文件進行審查，包括安全方針和目標、程序文件、作業指導書和記錄文件。u 現場觀察：評估員到現場參觀，可以觀察并獲取關于現場物理環境、信息系統：評估員到現場參觀，可以觀察并獲取關于現場物理環境、信息系統的安全操作和各類安全管理活動的第一手資料。的安全操作和各類安全管理活動的第一手資料。u

29、 人員訪談：與受評估方人員進行面談，評估員可以了解其職責范圍、工作陳述、：與受評估方人員進行面談，評估員可以了解其職責范圍、工作陳述、基本安全意識、對安全管理獲知的程度等信息。評估員進行人員訪談時要做好記錄基本安全意識、對安全管理獲知的程度等信息。評估員進行人員訪談時要做好記錄和總結，必要時要和訪談對象進行確認。和總結，必要時要和訪談對象進行確認。u 技術評估：評估員可以采用各種技術手段，對技術性控制的效力及符合性進行：評估員可以采用各種技術手段，對技術性控制的效力及符合性進行評估。這些技術性措施包括：自動化的掃描工具、網絡拓撲結構分析、本地主機審評估。這些技術性措施包括：自動化的掃描工具、網

30、絡拓撲結構分析、本地主機審查、滲透測試等。查、滲透測試等。 .696969u 檢查列表（檢查列表（Checklist）是評估員進行評估時必備的自用工具，是評估前）是評估員進行評估時必備的自用工具，是評估前需準備的一個重要工作文件。需準備的一個重要工作文件。u 在實施評估之前，評估員將根據分工情況來準備各自在現場評估所需的在實施評估之前，評估員將根據分工情況來準備各自在現場評估所需的檢查列表，檢查列表的內容，取決于評估主題和被評估部門的職能、范圍、檢查列表，檢查列表的內容，取決于評估主題和被評估部門的職能、范圍、評估方法及要求。評估方法及要求。u 檢查列表在信息安全管理體系內部評估中起著以下重要

31、作用：檢查列表在信息安全管理體系內部評估中起著以下重要作用： 明確與評估目標有關的抽樣問題；明確與評估目標有關的抽樣問題； 使評估程序規范化，減少評估工作的隨意性和盲目性；使評估程序規范化，減少評估工作的隨意性和盲目性； 保證評估目標始終明確，突出重點，避免在評估過程中因迷失方向而浪費時間；保證評估目標始終明確，突出重點，避免在評估過程中因迷失方向而浪費時間； 更好地控制評估進度；更好地控制評估進度； 檢查列表、評估計劃和評估報告一起，都作為評估記錄而存檔。檢查列表、評估計劃和評估報告一起，都作為評估記錄而存檔。.707070u 檢查列表編寫的依據，是評估準則，也就是信息安全管理標準、組織信檢

32、查列表編寫的依據，是評估準則，也就是信息安全管理標準、組織信息安全方針手冊等文件的要求息安全方針手冊等文件的要求u 針對受評估部門的特點，重點選擇某些應該格外關注的信息安全問題針對受評估部門的特點，重點選擇某些應該格外關注的信息安全問題u 信息的收集和驗證的方法應該多種多樣，包括面談、觀察、文件和記錄信息的收集和驗證的方法應該多種多樣，包括面談、觀察、文件和記錄的收集和匯總分析、從其他信息源（客戶反饋、外部報告等）收集信息等的收集和匯總分析、從其他信息源（客戶反饋、外部報告等）收集信息等u 檢查列表應該具有可操作性檢查列表應該具有可操作性u 檢查列表內容應該能夠覆蓋體系所涉及的全部范圍和安全要

33、求檢查列表內容應該能夠覆蓋體系所涉及的全部范圍和安全要求u 如果采用了技術性評估，可在檢查列表中列出具體方法和工具如果采用了技術性評估，可在檢查列表中列出具體方法和工具u 檢查列表的形式和詳略程度可采取靈活方式檢查列表的形式和詳略程度可采取靈活方式u 檢查列表要經過信息安全主管人員審查無誤后才能使用檢查列表要經過信息安全主管人員審查無誤后才能使用.7171u 技術漏洞掃描工具技術漏洞掃描工具Nessus 掃描器掃描器Nmap端口掃描工具端口掃描工具綠盟極光漏洞掃描器綠盟極光漏洞掃描器安信通數據庫掃描器安信通數據庫掃描器WireShark /EtherealIBM Appscan .727272

34、.737373u 在完成全部評估準備工作之后，評估小組就可以按照預先在完成全部評估準備工作之后，評估小組就可以按照預先的計劃實施現場評估了，現場評估開始于首次會議，評估小組的計劃實施現場評估了，現場評估開始于首次會議，評估小組全體成員和受評估方領導及相關人員共同參加。全體成員和受評估方領導及相關人員共同參加。u 首次會議由評估組長主持，評估小組要向組織的相關人員首次會議由評估組長主持，評估小組要向組織的相關人員介紹評估計劃、具體內容、評估方法，并協調、澄清有關問題。介紹評估計劃、具體內容、評估方法，并協調、澄清有關問題。 u 召開首次會議時，與會者應該做好正式記錄。召開首次會議時，與會者應該做

35、好正式記錄。 .747474.7575風險評估原則風險評估原則u 在風險評估前，需要對技術評估的風險進行重審。在風險評估前，需要對技術評估的風險進行重審。u 被評估方應在接受技術評估前對業務系統備份。被評估方應在接受技術評估前對業務系統備份。u 在技術掃描過程中，需要系統管理員全程陪同。在技術掃描過程中，需要系統管理員全程陪同。u 參考最近一年的風險評估記錄參考最近一年的風險評估記錄.u 在遇到異常情況時，及時通知管理員，并且停止評估。在遇到異常情況時，及時通知管理員，并且停止評估。u 技術評估安排在對系統影響較小的時間進行技術評估安排在對系統影響較小的時間進行.767676u 首次會議之后，

36、即可進入現場評估。現場評估按計劃進行，首次會議之后，即可進入現場評估。現場評估按計劃進行，評估內容參照事先準備好的檢查列表。評估內容參照事先準備好的檢查列表。u 評估期間，評估員應該做好筆記和記錄，這些記錄是評估評估期間，評估員應該做好筆記和記錄，這些記錄是評估員提出報告的真憑實據。記錄的格式可以是員提出報告的真憑實據。記錄的格式可以是“筆記式筆記式”，也可，也可以是以是“記錄表式記錄表式”，一般來說，內審活動都應該有統一的，一般來說，內審活動都應該有統一的“現現場評估記錄表場評估記錄表”，便于規范化管理。，便于規范化管理。u 評估進行到適當階段，評估組長應該主持召開評估小組會評估進行到適當階

37、段，評估組長應該主持召開評估小組會議，借此了解各個評估員的工作進展，提出下一步工作要求，議，借此了解各個評估員的工作進展，提出下一步工作要求，協調有關活動，并對已獲得的評估證據和評估發現展開分析和協調有關活動，并對已獲得的評估證據和評估發現展開分析和討論。討論。 .777777u 無論是嚴重不符合項還是輕微不符合項，評估員都應該將其記錄到不符無論是嚴重不符合項還是輕微不符合項，評估員都應該將其記錄到不符合項報告中。不符合項報告是對現場評估得到的評估發現進行評審并合項報告中。不符合項報告是對現場評估得到的評估發現進行評審并經過受評估方確認的對不符合項的陳述，是最終的評估報告的一部分，是評估的對不符合項的陳述，是最終的評估報告的一部分，是評估小組提交給委托方或受評估方的正式文件。小組提交給委托方或受評估方的正式文件。u 不符合項描述應該明確以下內容：不符合項描述應該明確以下內容： 在哪