税务系统信息安全风险评估指南(doc 61页)

目  录
信息系统安全风险评估指南1
目  录3
1前言1
1.1关于本文档1
1.2目标读者1
1.3文档结构2
1.3.1相关标准2
1.3.2相关文档2
1.4关于术语与缩略语的约定3
2风险评估概述3
2.1基本概念3
2.2意义与作用4
2.3过程概述4
2.4工具5
2.5成功的关键因素5
2.6收益6
2.7面临的挑战6
3风险评估的内容7
3.1资产分析7
3.1.1资产定义7
3.1.2资产类别7
3.1.3资产评估8
3.1.4资产评估的目的8
3.1.5资产的重要性8
3.1.6资产级别9
3.1.7评估实例10
3.2漏洞/脆弱性/弱点评估10
3.2.1弱点评估的目的10
3.2.2弱点评估的内容10
3.2.3弱点评估手段11
3.3威胁评估12
3.3.1威胁定义12
3.3.2威胁分类13
3.3.3威胁属性13
3.3.4威胁的获取方法14
3.3.5威胁评估手段15
3.3.6威胁评估实例15
3.4影响与可能性分析15
3.5系统分析16
3.5.1系统结构及边界16
3.5.2信息的敏感度评估16
3.6调查问卷的结构17
3.6.1调查系统控制17
3.6.2系统确认17
3.6.3目的和评估者信息17
3.6.4信息的决定性18
3.7利用问卷调查结果18
3.7.1调查问卷分析18
3.7.2行动计划18
3.8综合风险分析18
3.8.1风险分析矩阵19
3.8.2风险评估层面20
3.8.3风险评估实例20
3.8.4ISO 17799十个域20
3.9可交付的文档21
3.9.1信息网络21
3.9.2文档一览22
4风险评估过程22
4.1评估过程22
4.1.1阶段1：提取基于资产的威胁概况22
4.1.2阶段2：确定基础设施漏洞23
4.1.3阶段3：制订安全策略和计划23
4.2风险评估的输入24
4.3各阶段的一般过程24
4.3.1调查与分析24
4.3.2数据/信息收集与处理24
4.3.3撰写评估报告24
4.4风险控制24
4.4.1风险控制的方式24
4.4.2风险控制措施举例：25
4.5风险评估项目26
4.5.1计划26
4.5.2监控与执行26
5风险评估人员组织28
5.1评估方人员组织28
5.2被评估方人员组织29
6风险评估的跟进工作31
6.1跟进的重要性31
6.2有效的，合格的建议31
6.3委托事项31
6.3.1安全审计师31
6.3.2员工32
6.3.3管理层32
6.4监督与跟进32
6.4.1建立监督与跟进机制32
6.4.2标识推荐并制定跟进计划33
6.4.3执行主动监督与报告33
7风险评估的前提与分工34
7.1假设与限制34
7.2客户责任34
7.3服务资质34
7.4安全审计师的职责34
附录A  术语表i
附录B  调查问卷iv
附录C  交付文档范例vi
附录D 资产分类清单xiv
附录E 资产脆弱性清单xvi
附录F 资产威胁清单xviii

 

..............................