企業(yè)安全評(píng)估

1、October 2006NSFOCUS 咨詢?cè)O(shè)計(jì)部*Professional Security Solution Provider*安全風(fēng)險(xiǎn)評(píng)估技術(shù)交流提綱*科技簡(jiǎn)介如何選擇安全服務(wù)提供商風(fēng)險(xiǎn)評(píng)估是安全體系建設(shè)的前提和基礎(chǔ)*科技主要案例介紹*科技簡(jiǎn)介公司概況*科技是國內(nèi)最早提出專業(yè)安全服務(wù)的公司，國家級(jí)應(yīng)急響應(yīng)服務(wù)提供單位目前為止，在全國共有員工340人全國各地設(shè)立23個(gè)運(yùn)營機(jī)構(gòu)，各機(jī)構(gòu)的技術(shù)力量都能滿足本地化的技術(shù)支持客戶中包括了電信、移動(dòng)、金融、政府、能源、企業(yè)以及涉密等多個(gè)行業(yè)參與了多項(xiàng)國內(nèi)安全標(biāo)準(zhǔn)的制定和國家安全研究課題的工作機(jī)構(gòu)分布總部與研發(fā)中心：北京分公司：上海 廣州 沈陽 成都辦

2、事處 深圳 ?？?福州 長(zhǎng)沙 南京 貴陽 ?？?西安 昆明 重慶 蘭州 南寧 新疆 濟(jì)南 杭州 長(zhǎng)春 哈爾濱 武漢公司資質(zhì)、榮譽(yù)服務(wù)資質(zhì)2001年首批安全服務(wù)試點(diǎn)企業(yè)2002年首批安全服務(wù)一級(jí)資質(zhì)企業(yè)2004年首批安全服務(wù)二級(jí)資質(zhì)企業(yè)2004年首批國家級(jí)安全緊急響應(yīng)服務(wù)單位2005年通過CVE兼容性最高認(rèn)證ISO 9001：2000國際國內(nèi)雙認(rèn)證用戶認(rèn)可連續(xù)四年最值得信賴的安全服務(wù)品牌連續(xù)獲得三年電子政務(wù)百強(qiáng)稱號(hào)榮獲中關(guān)村最佳客戶服務(wù)獎(jiǎng)專業(yè)資質(zhì)榮譽(yù)證書公司穩(wěn)定發(fā)展的歷程研發(fā)和專業(yè)服務(wù)技術(shù)人員占總?cè)藬?shù)的2/3以上，達(dá)到280人的技術(shù)力量*科技以安全服務(wù)為公司成長(zhǎng)的基點(diǎn)，以技術(shù)研究為公司發(fā)展源動(dòng)力

3、，使公司穩(wěn)步向前發(fā)展6年來，公司業(yè)務(wù)規(guī)模持續(xù)穩(wěn)定增長(zhǎng)，在多個(gè)行業(yè)積累了豐富的行業(yè)經(jīng)驗(yàn)，獲得了行業(yè)客戶的廣泛認(rèn)可擁有頂級(jí)安全專家組成的獨(dú)立安全研究機(jī)構(gòu)發(fā)現(xiàn)包括Microsoft、HP、CISCO、SUN、Juniper等多家廠商的31個(gè)嚴(yán)重安全漏洞六年來一直維護(hù)國內(nèi)最大最權(quán)威的中文安全漏洞庫NSBL，數(shù)目已經(jīng)達(dá)到9265條。同時(shí)漏洞庫已經(jīng)成為同行業(yè)重要的參考依據(jù)和標(biāo)準(zhǔn)入侵檢測(cè)規(guī)則庫從2002年起出口到美國市場(chǎng)，底層技術(shù)獲得國際的廣泛認(rèn)可多年來的研究成果，奠定了*科技在國際安全界的地位，同時(shí)為國家信息安全研究和發(fā)展做出了重大貢獻(xiàn)06年7月12日，又獨(dú)立發(fā)現(xiàn)了MS OFFICE 3個(gè)最為嚴(yán)重的漏洞雄

4、厚的技術(shù)實(shí)力強(qiáng)大的研發(fā)創(chuàng)新能力保持每年一款新產(chǎn)品的推出原有產(chǎn)品每六個(gè)月進(jìn)行一次升級(jí)2000年2001年2002年2003年2004年2005年2006年V5.0V4.0V4.0V1.5V5.0V1.0國內(nèi)主流安全廠商中，唯一的全部產(chǎn)品線完全自主研發(fā)。*科技安全產(chǎn)品網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)漏洞掃描系統(tǒng)抗拒絕服務(wù)系統(tǒng)內(nèi)網(wǎng)安全管理系統(tǒng)網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)網(wǎng)絡(luò)流量管理系統(tǒng)專業(yè)安全服務(wù)NSPS項(xiàng)目經(jīng)驗(yàn)專業(yè)團(tuán)隊(duì)服務(wù)方法論項(xiàng)目組織經(jīng)過5年專業(yè)安全服務(wù)的執(zhí)著實(shí)踐，形成了國內(nèi)最完善的專業(yè)安全服務(wù)體系和完善的專業(yè)安全服務(wù)方法論。豐富的行業(yè)服務(wù)實(shí)踐經(jīng)驗(yàn)。具有大規(guī)模的豐富的安全產(chǎn)品實(shí)施經(jīng)驗(yàn)。緊急響應(yīng)小組(NSIRT)多次為用戶解

5、決不同層次的安全問題具備國際一流的基礎(chǔ)研究能力*科技安全小組(NSFOCUS Security Team)服務(wù)部門擁有多位CISSP、CISP、CCIE、CIW、PMP等國際認(rèn)證專家。DIEM工程實(shí)施模型通過嚴(yán)格的二級(jí)服務(wù)資質(zhì)評(píng)審經(jīng)過ISO9001認(rèn)證的服務(wù)過程形成積累總結(jié)培養(yǎng)*科技NSPS專業(yè)安全服務(wù)體系專業(yè)安全服務(wù)體系構(gòu)成部分服務(wù)用戶中國電信中國移動(dòng)中國聯(lián)通銀河證券華泰證券山東通信國家民政部國家質(zhì)檢總局山東通信TOM.COM所獲榮譽(yù)2003值得信賴的服務(wù)品牌2003中關(guān)村最佳客戶服務(wù)獎(jiǎng)2004值得信賴的服務(wù)品牌2005值得信賴的服務(wù)品牌NSPS安全咨詢 日常安全咨詢安全架構(gòu)設(shè)計(jì)安全體系設(shè)計(jì)

6、安全管理安全問題通告安全加固補(bǔ)丁管理緊急響應(yīng)安全評(píng)估 全面風(fēng)險(xiǎn)評(píng)估技術(shù)脆弱性評(píng)估應(yīng)用安全評(píng)估滲透測(cè)試安全培訓(xùn)初級(jí)安全培訓(xùn)中級(jí)安全培訓(xùn)高級(jí)安全培訓(xùn)安全外包集中監(jiān)控*科技技術(shù)實(shí)力總結(jié)面向全球提供具備核心競(jìng)爭(zhēng)力的安全解決方案公司服務(wù)資質(zhì) 國家安全服務(wù)資質(zhì)（二級(jí)）國家級(jí)公共互聯(lián)網(wǎng)應(yīng)急處理試點(diǎn)單位ISO9001質(zhì)量管理體系國際國內(nèi)雙認(rèn)證公司產(chǎn)品資質(zhì) 產(chǎn)品入圍情況入侵檢測(cè)產(chǎn)品EAL3認(rèn)證中國國家信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心認(rèn)證中國國家公安部認(rèn)證中國人民解放軍安全產(chǎn)品測(cè)評(píng)中心認(rèn)證國家保密局認(rèn)證20032005年蟬聯(lián)“中國信息安全值得信賴的安全服務(wù)品牌” 20032005年度“中關(guān)村最具發(fā)展?jié)摿Φ氖阎行「咝录夹g(shù)

7、企業(yè)”20042005年賽迪評(píng)測(cè)”年度IDS千兆產(chǎn)品精品大獎(jiǎng)“和”年度IDS產(chǎn)品工程師推薦獎(jiǎng)“20042005年度中國計(jì)算機(jī)報(bào)“編輯選擇獎(jiǎng)”定位獲獎(jiǎng)情況證書資質(zhì)情況 中國人民銀行 中國農(nóng)業(yè)銀行 中國建設(shè)銀行 中國移動(dòng)測(cè)評(píng)第一名 金財(cái)工程入圍第一名如何選擇安全服務(wù)提供商如何選擇安全服務(wù)提供商國家認(rèn)可的安全服務(wù)資質(zhì)同類行業(yè)實(shí)施項(xiàng)目數(shù)量及經(jīng)驗(yàn)企業(yè)從事安全服務(wù)的專業(yè)人員數(shù)量企業(yè)發(fā)展戰(zhàn)略規(guī)劃及成長(zhǎng)方向本地化技術(shù)支持從業(yè)人員要求企業(yè)資質(zhì)要求豐富的安全服務(wù)項(xiàng)目經(jīng)驗(yàn)精湛的底層技術(shù)的研究能力精深的安全標(biāo)準(zhǔn)掌握能力準(zhǔn)確的把握國家政策導(dǎo)向?qū)I(yè)的行業(yè)知識(shí)及其領(lǐng)域規(guī)范風(fēng)險(xiǎn)評(píng)估是安全體系建設(shè)的前提和基礎(chǔ)子提綱風(fēng)險(xiǎn)評(píng)估介紹

8、概念和術(shù)語目的和作用評(píng)估的內(nèi)容如何進(jìn)行評(píng)估評(píng)估的效果操作模式風(fēng)險(xiǎn)評(píng)估的概念和術(shù)語信息資產(chǎn)脆弱性威脅風(fēng)險(xiǎn)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)管理信息資產(chǎn)是一個(gè)完整信息系統(tǒng)的組成部分，是風(fēng)險(xiǎn)評(píng)估的對(duì)象。 一個(gè)信息系統(tǒng)的資產(chǎn)包括：物理資產(chǎn)，包括服務(wù)器設(shè)備，終端設(shè)備，網(wǎng)絡(luò)設(shè)備及其它設(shè)備等；軟件資產(chǎn)，包括系統(tǒng)軟件，業(yè)務(wù)應(yīng)用軟件，辦公自動(dòng)化軟件及其它應(yīng)用軟件等；數(shù)據(jù)資產(chǎn)，包括系統(tǒng)數(shù)據(jù)，業(yè)務(wù)數(shù)據(jù)，辦公數(shù)據(jù)，技術(shù)文檔數(shù)據(jù)及其它數(shù)據(jù)等； 其他資產(chǎn)，包括公司人力、聲譽(yù)等。 風(fēng)險(xiǎn)評(píng)估的概念和術(shù)語信息資產(chǎn)脆弱性威脅風(fēng)險(xiǎn)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)管理脆弱性是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點(diǎn)。弱點(diǎn)可能位于包括物理環(huán)境、組織機(jī)構(gòu)、業(yè)務(wù)流程、人員、管理、硬件、

9、軟件及通訊設(shè)施等各個(gè)方面。資產(chǎn)的脆弱性是資產(chǎn)所特有的，只能通過某種安全措施降低其脆弱程度，但它不可能完全被消滅。風(fēng)險(xiǎn)評(píng)估的概念和術(shù)語信息資產(chǎn)脆弱性威脅風(fēng)險(xiǎn)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)管理威脅是指可能對(duì)資產(chǎn)或組織造成損害事故的潛在原因。它包括五類：邏輯的威脅通信的威脅技術(shù)故障的威脅人員錯(cuò)誤的威脅物理和環(huán)境的威脅威脅是客觀存在的，不可能被消滅或改變。更確切地說某一特定資產(chǎn)必然面對(duì)某些特定的威脅風(fēng)險(xiǎn)評(píng)估的概念和術(shù)語信息資產(chǎn)脆弱性威脅風(fēng)險(xiǎn)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)管理信息系統(tǒng)的安全風(fēng)險(xiǎn)，是指由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。風(fēng)險(xiǎn)只能預(yù)防、避免、降低、轉(zhuǎn)移和接受，但不可能完全被消滅。風(fēng)險(xiǎn)評(píng)

10、估的概念和術(shù)語信息資產(chǎn)脆弱性威脅風(fēng)險(xiǎn)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)管理是指依據(jù)國際、國家有關(guān)信息技術(shù)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)識(shí)別和評(píng)價(jià)的過程。風(fēng)險(xiǎn)評(píng)估要評(píng)估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響，并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估的概念和術(shù)語信息資產(chǎn)脆弱性威脅風(fēng)險(xiǎn)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理是基于風(fēng)險(xiǎn)評(píng)估的安全管理方法。它是以可以接受的代價(jià)識(shí)別、控制、最小化或者避免影響信息系統(tǒng)安全的風(fēng)險(xiǎn)的過程 。風(fēng)險(xiǎn)評(píng)估分析風(fēng)險(xiǎn)控制一個(gè)完整的風(fēng)險(xiǎn)評(píng)估過程實(shí)際上就是一個(gè)風(fēng)險(xiǎn)管理過程。子提綱

11、風(fēng)險(xiǎn)評(píng)估介紹概念和術(shù)語目的和作用評(píng)估的內(nèi)容如何進(jìn)行評(píng)估評(píng)估的效果操作模式風(fēng)險(xiǎn)評(píng)估目的與作用發(fā)現(xiàn)問題找出方法提出建議提供方案人員安全意識(shí)人員安全知識(shí)安全管理制度安全管理策略資產(chǎn)安全屬性環(huán)境安全現(xiàn)狀業(yè)務(wù)運(yùn)行現(xiàn)狀風(fēng)險(xiǎn)評(píng)估目的與作用發(fā)現(xiàn)問題找出方法提出建議提供方案風(fēng)險(xiǎn)評(píng)估安全目標(biāo)安全策略方案與培訓(xùn)安全監(jiān)控災(zāi)難恢復(fù)信息資產(chǎn)安全風(fēng)險(xiǎn)評(píng)估安全目標(biāo)安全策略方案與培訓(xùn)安全監(jiān)控災(zāi)難恢復(fù)信息資產(chǎn)安全 信息安全生命周期模型風(fēng)險(xiǎn)評(píng)估目的與作用發(fā)現(xiàn)問題找出方法提出建議提供方案如何提高安全意識(shí)如何提高安全知識(shí)如何執(zhí)行安全制度如何完善安全策略如何保障資產(chǎn)安全如何保障環(huán)境安全如何保障業(yè)務(wù)運(yùn)行風(fēng)險(xiǎn)評(píng)估目的與作用發(fā)現(xiàn)問題找出方法提

12、出建議提供方案提出培訓(xùn)方案安全規(guī)劃方案安全建設(shè)方案應(yīng)急響應(yīng)預(yù)案子提綱風(fēng)險(xiǎn)評(píng)估介紹概念和術(shù)語目的和作用評(píng)估的內(nèi)容如何進(jìn)行評(píng)估評(píng)估的效果操作模式風(fēng)險(xiǎn)評(píng)估內(nèi)容找出弱點(diǎn)發(fā)現(xiàn)威脅評(píng)估風(fēng)險(xiǎn)主要內(nèi)容安全意識(shí)安全知識(shí)信息資產(chǎn)運(yùn)行環(huán)境物理環(huán)境找出弱點(diǎn)發(fā)現(xiàn)威脅評(píng)估風(fēng)險(xiǎn)主要內(nèi)容內(nèi)部安全威脅外部安全威脅第三方廠商安全威脅風(fēng)險(xiǎn)評(píng)估內(nèi)容找出弱點(diǎn)發(fā)現(xiàn)威脅評(píng)估風(fēng)險(xiǎn)主要內(nèi)容安全風(fēng)險(xiǎn)發(fā)現(xiàn)增加具有增加增加降低滿足利用措施威脅抗擊安全需求資產(chǎn)價(jià)值影響資產(chǎn)系統(tǒng)漏洞暴露產(chǎn)生風(fēng)險(xiǎn)評(píng)估內(nèi)容找出弱點(diǎn)發(fā)現(xiàn)威脅評(píng)估風(fēng)險(xiǎn)主要內(nèi)容按層次分：物理層：機(jī)房、設(shè)備、辦公、線路、環(huán)境網(wǎng)絡(luò)層：架構(gòu)安全、設(shè)備漏洞、設(shè)備配置缺陷系統(tǒng)層：系統(tǒng)漏洞、配置缺陷應(yīng)用層：軟

13、件漏洞、安全功能缺陷管理層：組織、策略、技術(shù)管理風(fēng)險(xiǎn)評(píng)估內(nèi)容找出弱點(diǎn)發(fā)現(xiàn)威脅評(píng)估風(fēng)險(xiǎn)主要內(nèi)容按模塊分：業(yè)務(wù)狀況網(wǎng)絡(luò)結(jié)構(gòu)物理環(huán)境管理狀況人員狀況系統(tǒng)安全安全產(chǎn)品和技術(shù)應(yīng)用狀況業(yè)務(wù)系統(tǒng)安全應(yīng)急響應(yīng)能力風(fēng)險(xiǎn)評(píng)估內(nèi)容找出弱點(diǎn)發(fā)現(xiàn)威脅評(píng)估風(fēng)險(xiǎn)主要內(nèi)容業(yè)務(wù)狀況網(wǎng)絡(luò)結(jié)構(gòu)物理環(huán)境管理狀況人員狀況系統(tǒng)安全安全產(chǎn)品與技術(shù)應(yīng)用狀況業(yè)務(wù)安全應(yīng)急響應(yīng)能力業(yè)務(wù)類型數(shù)據(jù)處理流程數(shù)據(jù)完整性（輸入、處理、傳輸）數(shù)據(jù)保密性（認(rèn)證、授權(quán)、加密）業(yè)務(wù)可用性（時(shí)間、可靠性）業(yè)務(wù)事故案例業(yè)務(wù)拓展?fàn)顩r風(fēng)險(xiǎn)評(píng)估內(nèi)容網(wǎng)絡(luò)拓?fù)湓O(shè)備冗余鏈路冗余網(wǎng)絡(luò)流量與擁塞控制VLAN劃分網(wǎng)絡(luò)接口網(wǎng)絡(luò)可用性找出弱點(diǎn)發(fā)現(xiàn)威脅評(píng)估風(fēng)險(xiǎn)主要內(nèi)容業(yè)務(wù)狀況網(wǎng)絡(luò)結(jié)構(gòu)物理環(huán)境

14、管理狀況人員狀況系統(tǒng)安全安全產(chǎn)品與技術(shù)應(yīng)用狀況業(yè)務(wù)安全應(yīng)急響應(yīng)能力風(fēng)險(xiǎn)評(píng)估內(nèi)容防火、防盜、防靜電防自然災(zāi)害訪問控制（人為控制、電子控制）布線合理性電力保障找出弱點(diǎn)發(fā)現(xiàn)威脅評(píng)估風(fēng)險(xiǎn)主要內(nèi)容業(yè)務(wù)狀況網(wǎng)絡(luò)結(jié)構(gòu)物理環(huán)境管理狀況人員狀況系統(tǒng)安全安全產(chǎn)品與技術(shù)應(yīng)用狀況業(yè)務(wù)安全應(yīng)急響應(yīng)能力風(fēng)險(xiǎn)評(píng)估內(nèi)容安全策略安全計(jì)劃安全目標(biāo)安全組織安全制度安全約束管理風(fēng)險(xiǎn)找出弱點(diǎn)發(fā)現(xiàn)威脅評(píng)估風(fēng)險(xiǎn)主要內(nèi)容業(yè)務(wù)狀況網(wǎng)絡(luò)結(jié)構(gòu)物理環(huán)境管理狀況人員狀況系統(tǒng)安全安全產(chǎn)品與技術(shù)應(yīng)用狀況業(yè)務(wù)安全應(yīng)急響應(yīng)能力風(fēng)險(xiǎn)評(píng)估內(nèi)容安全意識(shí)安全技能安全培訓(xùn)安全約束安全狀況的了解程度和滿意程度企業(yè)滿意度和忠誠度找出弱點(diǎn)發(fā)現(xiàn)威脅評(píng)估風(fēng)險(xiǎn)主要內(nèi)容業(yè)務(wù)狀況網(wǎng)絡(luò)

15、結(jié)構(gòu)物理環(huán)境管理狀況人員狀況系統(tǒng)安全安全產(chǎn)品與技術(shù)應(yīng)用狀況業(yè)務(wù)安全應(yīng)急響應(yīng)能力風(fēng)險(xiǎn)評(píng)估內(nèi)容操作系統(tǒng)數(shù)據(jù)庫系統(tǒng)應(yīng)用軟件和應(yīng)用系統(tǒng)路由器、交換機(jī)OS系統(tǒng)找出弱點(diǎn)發(fā)現(xiàn)威脅評(píng)估風(fēng)險(xiǎn)主要內(nèi)容業(yè)務(wù)狀況網(wǎng)絡(luò)結(jié)構(gòu)物理環(huán)境管理狀況人員狀況系統(tǒng)安全安全產(chǎn)品與技術(shù)應(yīng)用狀況業(yè)務(wù)安全應(yīng)急響應(yīng)能力風(fēng)險(xiǎn)評(píng)估內(nèi)容安全技術(shù)和產(chǎn)品應(yīng)用前后的效果安全功能的欠缺安全技術(shù)和產(chǎn)品需求找出弱點(diǎn)發(fā)現(xiàn)威脅評(píng)估風(fēng)險(xiǎn)主要內(nèi)容業(yè)務(wù)狀況網(wǎng)絡(luò)結(jié)構(gòu)物理環(huán)境管理狀況人員狀況系統(tǒng)安全安全產(chǎn)品與技術(shù)應(yīng)用狀況業(yè)務(wù)安全應(yīng)急響應(yīng)能力風(fēng)險(xiǎn)評(píng)估內(nèi)容業(yè)務(wù)系統(tǒng)安全流程審核應(yīng)急響應(yīng)能力是否有相關(guān)處理流程人員是否清楚流程是否具備執(zhí)行流程的能力流程是否經(jīng)過演練風(fēng)險(xiǎn)評(píng)估可選擇內(nèi)容I

16、DS動(dòng)態(tài)數(shù)據(jù)嗅探分析人工滲透測(cè)試分析找出弱點(diǎn)發(fā)現(xiàn)威脅評(píng)估風(fēng)險(xiǎn)主要內(nèi)容業(yè)務(wù)狀況網(wǎng)絡(luò)結(jié)構(gòu)物理環(huán)境管理狀況人員狀況系統(tǒng)安全安全產(chǎn)品與技術(shù)應(yīng)用狀況業(yè)務(wù)安全應(yīng)急響應(yīng)能力風(fēng)險(xiǎn)評(píng)估內(nèi)容子提綱風(fēng)險(xiǎn)評(píng)估介紹概念和術(shù)語目的和作用評(píng)估的內(nèi)容如何進(jìn)行評(píng)估評(píng)估的效果操作模式如何進(jìn)行風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估原則風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估工具風(fēng)險(xiǎn)評(píng)估過程項(xiàng)目過程控制項(xiàng)目質(zhì)量控制信息安全管理標(biāo)準(zhǔn)BS 7799信息安全管理指南ISO 13335信息安全通用準(zhǔn)則ISO 15408（GB/T18336） 系統(tǒng)安全工程能力成熟模型SSE-CMM 其他相關(guān)標(biāo)準(zhǔn)（AS/NZS 4360，GAO/AIMD-00-33， GAO/

17、AIMD-98-68， BSI PD3000 ，GB/T17859，IATF）相關(guān)法規(guī)和政策行業(yè)管理規(guī)定如何進(jìn)行風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估原則風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估工具風(fēng)險(xiǎn)評(píng)估過程項(xiàng)目過程控制項(xiàng)目質(zhì)量控制符合性原則綜合考慮IP網(wǎng)絡(luò)的重要性、涉密程度和面臨的信息安全風(fēng)險(xiǎn)等因素，進(jìn)行相應(yīng)等級(jí)的安全建設(shè)和管理規(guī)劃。 標(biāo)準(zhǔn)性原則安全管理標(biāo)準(zhǔn)：ISO17799、ISO13335、ISO7498技術(shù)工程標(biāo)準(zhǔn)：SSE-CMM、ISO15408事實(shí)標(biāo)準(zhǔn)：CVE安全漏洞庫、PMI項(xiàng)目管理規(guī)范性原則NISF安全體系架構(gòu)模型 DIEM安全工程過程 NSPS安全服務(wù)規(guī)范 可控性原則人員可控工具可控項(xiàng)目過程

18、可控如何進(jìn)行風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估原則風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估工具風(fēng)險(xiǎn)評(píng)估過程項(xiàng)目過程控制項(xiàng)目質(zhì)量控制保密性原則參與人員簽署保密協(xié)議使用加密工具保護(hù)評(píng)估數(shù)據(jù)評(píng)估資料設(shè)置生命周期整體性原則評(píng)估范圍、深度的選擇，避免遺漏安全隱患，保證結(jié)果具有整體性和全面性最小影響原則評(píng)估前做好備份及應(yīng)急響應(yīng)準(zhǔn)備評(píng)估方法、時(shí)間段的選擇把對(duì)系統(tǒng)和網(wǎng)絡(luò)的影響降到最低如何進(jìn)行風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估原則風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估工具風(fēng)險(xiǎn)評(píng)估過程項(xiàng)目過程控制項(xiàng)目質(zhì)量控制先外后內(nèi)策略數(shù)據(jù)流與業(yè)務(wù)流并行策略數(shù)據(jù)流與業(yè)務(wù)流關(guān)聯(lián)策略如何進(jìn)行風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估原則風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估工具

19、風(fēng)險(xiǎn)評(píng)估過程項(xiàng)目過程控制項(xiàng)目質(zhì)量控制調(diào)查問卷人工訪談?wù){(diào)研勘查安全掃描在線分析 人工審計(jì)滲透測(cè)試 管理審計(jì)策略評(píng)估如何進(jìn)行風(fēng)險(xiǎn)評(píng)估系統(tǒng)層安全：該層的安全問題來自網(wǎng)絡(luò)運(yùn)行的操作系統(tǒng)：UNIX系列、Linux系列、Windows NT系列以及專用操作系統(tǒng)等。安全性問題表現(xiàn)在兩方面：一是操作系統(tǒng)本身的不安全因素，主要包括身份認(rèn)證、訪問控制、系統(tǒng)漏洞等；二是操作系統(tǒng)的安全配置存在問題。網(wǎng)絡(luò)層安全：該層的安全問題主要指網(wǎng)絡(luò)信息的安全性，包括網(wǎng)絡(luò)層身份認(rèn)證，網(wǎng)絡(luò)資源的訪問控制，數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠(yuǎn)程接入、域名系統(tǒng)、路由系統(tǒng)的安全，入侵檢測(cè)的手段等。應(yīng)用層安全：該層的安全考慮網(wǎng)絡(luò)對(duì)用戶提供服務(wù)所采用的應(yīng)

20、用軟件和數(shù)據(jù)的安全性，包括：數(shù)據(jù)庫軟件、Web服務(wù)、電子郵件系統(tǒng)、域名系統(tǒng)、交換與路由系統(tǒng)、防火墻及應(yīng)用網(wǎng)管系統(tǒng)、業(yè)務(wù)應(yīng)用軟件以及其它網(wǎng)絡(luò)服務(wù)系統(tǒng)等。風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估原則風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)評(píng)估方法安全掃描人工審計(jì)滲透測(cè)試調(diào)查問卷訪談?wù){(diào)研風(fēng)險(xiǎn)評(píng)估工具風(fēng)險(xiǎn)評(píng)估過程項(xiàng)目過程控制項(xiàng)目質(zhì)量控制如何進(jìn)行風(fēng)險(xiǎn)評(píng)估網(wǎng)絡(luò)接口之間、重要的網(wǎng)段之間是否實(shí)現(xiàn)了必要的訪問控制措施；網(wǎng)絡(luò)內(nèi)部是否最優(yōu)的劃分了VLAN和不同的網(wǎng)段，保證了每個(gè)用戶的最小權(quán)限原則；路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的配置是否最優(yōu)，是否配置了安全參數(shù)；主機(jī)系統(tǒng)的安全配置策略是否最優(yōu)，是否進(jìn)行了安全增強(qiáng)；安全設(shè)備的接入方式是否正確，是否最大化的利用了其安全

21、功能而又占系統(tǒng)資源最小，是否影響業(yè)務(wù)和系統(tǒng)的正常運(yùn)行。風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估原則風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)評(píng)估方法安全掃描人工審計(jì)滲透測(cè)試調(diào)查問卷訪談?wù){(diào)研風(fēng)險(xiǎn)評(píng)估工具風(fēng)險(xiǎn)評(píng)估過程項(xiàng)目過程控制項(xiàng)目質(zhì)量控制如何進(jìn)行風(fēng)險(xiǎn)評(píng)估在實(shí)際開始評(píng)估掃描同時(shí)，在被評(píng)估方的授權(quán)下，根據(jù)客戶要求的重點(diǎn)IP，進(jìn)行滲透測(cè)試，完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對(duì)目標(biāo)系統(tǒng)的安全作深入的探測(cè)，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。對(duì)這些重點(diǎn)IP做到盡可能的準(zhǔn)確全面的測(cè)試，一旦發(fā)現(xiàn)危害性嚴(yán)重的漏洞，及時(shí)修補(bǔ)，以免后患。根據(jù)用戶需求決定是否采用。風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估原則風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)評(píng)估方法安全掃描人工審計(jì)滲透測(cè)試調(diào)查問卷訪談?wù){(diào)研風(fēng)險(xiǎn)評(píng)估工具

22、風(fēng)險(xiǎn)評(píng)估過程項(xiàng)目過程控制項(xiàng)目質(zhì)量控制如何進(jìn)行風(fēng)險(xiǎn)評(píng)估調(diào)查對(duì)象網(wǎng)絡(luò)系統(tǒng)管理員、安全管理員、技術(shù)負(fù)責(zé)人等調(diào)查內(nèi)容業(yè)務(wù)、資產(chǎn)、威脅、脆弱性（管理方面）設(shè)計(jì)原則完整性、具體性、簡(jiǎn)潔性、一致性風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估原則風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)評(píng)估方法安全掃描人工審計(jì)滲透測(cè)試調(diào)查問卷訪談?wù){(diào)研風(fēng)險(xiǎn)評(píng)估工具風(fēng)險(xiǎn)評(píng)估過程項(xiàng)目過程控制項(xiàng)目質(zhì)量控制如何進(jìn)行風(fēng)險(xiǎn)評(píng)估訪談對(duì)象安全管理員、技術(shù)負(fù)責(zé)人、網(wǎng)絡(luò)系統(tǒng)管理員等訪談內(nèi)容確認(rèn)問卷調(diào)查結(jié)果詳細(xì)獲取管理執(zhí)行現(xiàn)狀聽取用戶想法和意見風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估原則風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)評(píng)估方法安全掃描人工審計(jì)滲透測(cè)試調(diào)查問卷人工訪談?wù){(diào)研勘查風(fēng)險(xiǎn)評(píng)估工具風(fēng)險(xiǎn)評(píng)估過程項(xiàng)目過程控制項(xiàng)目質(zhì)量控制如何進(jìn)行風(fēng)險(xiǎn)

23、評(píng)估調(diào)研勘查目的校驗(yàn)調(diào)查問卷以及人工訪談時(shí)，因?yàn)楸徽{(diào)查對(duì)象逆反心理而造成的事實(shí)偏差調(diào)研勘查內(nèi)容校核問卷調(diào)查結(jié)果校核管理執(zhí)行現(xiàn)狀校核用戶想法和意見風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估原則風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)評(píng)估方法安全掃描人工審計(jì)滲透測(cè)試調(diào)查問卷人工訪談?wù){(diào)研勘查風(fēng)險(xiǎn)評(píng)估工具風(fēng)險(xiǎn)評(píng)估過程項(xiàng)目過程控制項(xiàng)目質(zhì)量控制如何進(jìn)行風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估原則風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估工具風(fēng)險(xiǎn)評(píng)估過程項(xiàng)目過程控制項(xiàng)目質(zhì)量控制“極光”遠(yuǎn)程風(fēng)險(xiǎn)評(píng)估系統(tǒng)（AURORA)“冰之眼”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（ICEYE）*科技安全本地評(píng)估套件（LSAS）微軟基準(zhǔn)安全分析器（MBSA）如何進(jìn)行風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估原則風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)

24、評(píng)估方法風(fēng)險(xiǎn)評(píng)估工具風(fēng)險(xiǎn)評(píng)估過程資產(chǎn)調(diào)查評(píng)估要素等級(jí)劃分評(píng)估流程項(xiàng)目過程控制項(xiàng)目質(zhì)量控制管理標(biāo)準(zhǔn)屬性：編號(hào)、業(yè)務(wù)組、使用人、管理人、域名、IP地址、Mac地址、應(yīng)用說明等物理資產(chǎn)的屬性：型號(hào)、模塊型號(hào)、價(jià)格等軟件資產(chǎn)的屬性：系統(tǒng)類型、版本、補(bǔ)丁情況等數(shù)據(jù)資產(chǎn)的屬性：價(jià)值、應(yīng)用等如何進(jìn)行風(fēng)險(xiǎn)評(píng)估脆弱性威脅風(fēng)險(xiǎn)業(yè)務(wù)流與數(shù)據(jù)流兩條評(píng)估主線業(yè)務(wù)管理員（C，I，A），權(quán)重*科技項(xiàng)目人員（C，I，A），權(quán)重風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估原則風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估工具風(fēng)險(xiǎn)評(píng)估過程資產(chǎn)調(diào)查評(píng)估要素等級(jí)劃分評(píng)估流程項(xiàng)目過程控制項(xiàng)目質(zhì)量控制如何進(jìn)行風(fēng)險(xiǎn)評(píng)估評(píng)估范圍確定與業(yè)務(wù)調(diào)查資產(chǎn)識(shí)別與等級(jí)劃分安全威脅識(shí)別與等級(jí)

25、劃分?jǐn)?shù)據(jù)校核、分析與風(fēng)險(xiǎn)計(jì)算制定風(fēng)險(xiǎn)控制策略建立風(fēng)險(xiǎn)評(píng)估報(bào)告安全現(xiàn)狀分析報(bào)告資產(chǎn)評(píng)估報(bào)告威脅評(píng)估報(bào)告安全風(fēng)險(xiǎn)評(píng)估報(bào)告風(fēng)險(xiǎn)控制策略報(bào)告風(fēng)險(xiǎn)分析報(bào)告策略脆弱性評(píng)估報(bào)告管理脆弱性評(píng)估報(bào)告技術(shù)脆弱性評(píng)估報(bào)告一、確定評(píng)估范圍階段二、資產(chǎn)識(shí)別與等級(jí)劃分階段四、安全威脅評(píng)估階段三、脆弱性評(píng)估階段五、風(fēng)險(xiǎn)分析階段六、風(fēng)險(xiǎn)管理階段安全工具掃描人工審計(jì)滲透測(cè)試BS7799 安全制度審計(jì)安全策略評(píng)估風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估原則風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估工具風(fēng)險(xiǎn)評(píng)估過程資產(chǎn)調(diào)查評(píng)估要素等級(jí)劃分評(píng)估流程項(xiàng)目過程控制項(xiàng)目質(zhì)量控制如何進(jìn)行風(fēng)險(xiǎn)評(píng)估條理清晰，避免偏離項(xiàng)目范圍和目標(biāo)任務(wù)分解徹底，防止過程任務(wù)疏漏便于協(xié)調(diào)雙方資

26、源，并能合理分配利用資源保證過程各環(huán)節(jié)的封閉性和可追溯性風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估原則風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估工具風(fēng)險(xiǎn)評(píng)估過程項(xiàng)目過程控制過程控制目的過程控制方法過程里程碑項(xiàng)目質(zhì)量控制如何進(jìn)行風(fēng)險(xiǎn)評(píng)估開工申請(qǐng)實(shí)施計(jì)劃工作申請(qǐng)計(jì)劃變更文件接收工作確認(rèn)工作匯報(bào)數(shù)據(jù)校核過程關(guān)閉風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估原則風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估工具風(fēng)險(xiǎn)評(píng)估過程項(xiàng)目過程控制過程控制目的過程控制方法過程里程碑項(xiàng)目質(zhì)量控制如何進(jìn)行風(fēng)險(xiǎn)評(píng)估項(xiàng)目啟動(dòng)會(huì)項(xiàng)目協(xié)調(diào)會(huì)項(xiàng)目階段總結(jié)會(huì)項(xiàng)目階段評(píng)審會(huì)項(xiàng)目總結(jié)評(píng)審會(huì)項(xiàng)目初驗(yàn)項(xiàng)目終驗(yàn)項(xiàng)目關(guān)閉風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估原則風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估工具風(fēng)險(xiǎn)評(píng)估過程項(xiàng)目過程控制過程控制目

27、的過程控制方法過程里程碑項(xiàng)目質(zhì)量控制如何進(jìn)行風(fēng)險(xiǎn)評(píng)估保證過程各環(huán)節(jié)的有效性、可驗(yàn)證性提供過程的可追溯性與數(shù)據(jù)準(zhǔn)確性保證成果的可靠性和可信性風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估原則風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估工具風(fēng)險(xiǎn)評(píng)估過程項(xiàng)目過程控制項(xiàng)目質(zhì)量控制質(zhì)量控制目的質(zhì)量控制方法如何進(jìn)行風(fēng)險(xiǎn)評(píng)估成立質(zhì)控小組或有質(zhì)控部門負(fù)責(zé)質(zhì)控人員參加項(xiàng)目實(shí)施過程質(zhì)控人員職責(zé)明確具備專業(yè)素養(yǎng)和技能質(zhì)控流程清晰合理、過程嚴(yán)格風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估原則風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估工具風(fēng)險(xiǎn)評(píng)估過程項(xiàng)目過程控制項(xiàng)目質(zhì)量控制質(zhì)量控制目的質(zhì)量控制方法子提綱風(fēng)險(xiǎn)評(píng)估介紹概念和術(shù)語目的和作用評(píng)估的內(nèi)容如何進(jìn)行評(píng)估評(píng)估的效果操作模式風(fēng)險(xiǎn)評(píng)估的效果發(fā)

28、現(xiàn)安全問題提出解決方案指導(dǎo)安全規(guī)劃完善安全體系保障安全運(yùn)行信息資產(chǎn)、網(wǎng)絡(luò)環(huán)境、物理環(huán)境、管理制度、安全策略、人員脆弱性威脅風(fēng)險(xiǎn)風(fēng)險(xiǎn)評(píng)估的效果發(fā)現(xiàn)安全問題提出解決方案指導(dǎo)安全規(guī)劃完善安全體系保障安全運(yùn)行脆弱性分析威脅分析風(fēng)險(xiǎn)分析系統(tǒng)增強(qiáng)加固網(wǎng)絡(luò)環(huán)境優(yōu)化第三方產(chǎn)品補(bǔ)充安全策略修訂完善安全制度加強(qiáng)人員安全培訓(xùn)風(fēng)險(xiǎn)評(píng)估的效果發(fā)現(xiàn)安全問題提出解決方案指導(dǎo)安全規(guī)劃完善安全體系保障安全運(yùn)行平衡建設(shè)與投資全局統(tǒng)籌，宏觀掌控分期分批解決問題第一期安全建設(shè)第二期安全建設(shè)第三期安全建設(shè)風(fēng)險(xiǎn)評(píng)估的效果發(fā)現(xiàn)安全問題提出解決方案指導(dǎo)安全規(guī)劃完善安全體系保障安全運(yùn)行建立全方位、多層面安全防護(hù)體系建立動(dòng)態(tài)與靜態(tài)防護(hù)相結(jié)合安全

29、體系確定不同級(jí)別防御安全域?yàn)榈燃?jí)化保護(hù)打下堅(jiān)實(shí)基礎(chǔ)風(fēng)險(xiǎn)評(píng)估的效果發(fā)現(xiàn)安全問題提出解決方案指導(dǎo)安全規(guī)劃完善安全體系保障安全運(yùn)行運(yùn)行與生產(chǎn)是安全防護(hù)的重點(diǎn)風(fēng)險(xiǎn)評(píng)估不會(huì)影響安全運(yùn)行與生產(chǎn)安全體系建設(shè)保障安全運(yùn)行與生產(chǎn)子提綱風(fēng)險(xiǎn)評(píng)估介紹概念和術(shù)語目的和作用評(píng)估的內(nèi)容如何進(jìn)行評(píng)估評(píng)估的效果操作模式安全風(fēng)險(xiǎn)評(píng)估模式評(píng)估模式分類方法自評(píng)估自評(píng)估特點(diǎn)檢查評(píng)估檢查評(píng)估特點(diǎn)委托評(píng)估委托評(píng)估特點(diǎn)復(fù)合模式評(píng)估復(fù)合模式評(píng)估特點(diǎn)評(píng)估模式國內(nèi)外現(xiàn)用的風(fēng)險(xiǎn)評(píng)估模式，大體分自評(píng)估、檢查評(píng)估與委托評(píng)估三種類型。分類依據(jù)主要根據(jù)評(píng)估方與被評(píng)估方的關(guān)系，以及評(píng)估方與被評(píng)估方和其信息資產(chǎn)的關(guān)系。評(píng)估模式特點(diǎn)在現(xiàn)階段，不同模式各有優(yōu)點(diǎn)和

30、缺陷。安全風(fēng)險(xiǎn)評(píng)估模式定義自評(píng)估是信息系統(tǒng)擁有單位，依靠自身力量，對(duì)自有的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng)。信息系統(tǒng)的風(fēng)險(xiǎn)，不僅僅來自信息系統(tǒng)技術(shù)平臺(tái)的共性，還來自于特定的應(yīng)用服務(wù)。由于具體單位的信息系統(tǒng)應(yīng)用服務(wù)各具特性，這些個(gè)性化的過程和要求往往是敏感的，是沒有長(zhǎng)期接觸該單位所屬行業(yè)和部門的人難于在短期內(nèi)熟悉和掌握的。而且只有擁有者對(duì)威脅及其后果的體會(huì)最深切。評(píng)估模式分類方法自評(píng)估自評(píng)估特點(diǎn)檢查評(píng)估檢查評(píng)估特點(diǎn)委托評(píng)估委托評(píng)估特點(diǎn)復(fù)合模式評(píng)估復(fù)合模式評(píng)估特點(diǎn)安全風(fēng)險(xiǎn)評(píng)估模式優(yōu)點(diǎn):有利于保密；有利于發(fā)揮行業(yè)和部門內(nèi)的人員的業(yè)務(wù)特長(zhǎng)；有利于降低風(fēng)險(xiǎn)評(píng)估的費(fèi)用；有利于提高本單位的風(fēng)險(xiǎn)評(píng)估能力與信息安全知

31、識(shí)缺點(diǎn):如果沒有統(tǒng)一的規(guī)范和要求，在缺乏信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估專業(yè)人才的情況下，自評(píng)估的結(jié)果可能不深入，不規(guī)范，不到位自評(píng)估中，也可能會(huì)存在某些不利的干預(yù)，從而影響風(fēng)險(xiǎn)評(píng)估結(jié)果的客觀性降低評(píng)估結(jié)果的置信度某些時(shí)候，即使自評(píng)估的結(jié)果比較客觀，但也可能不會(huì)被管理層所接受改進(jìn)辦法:可以用發(fā)揮專家的指導(dǎo)作用或委托專業(yè)評(píng)估組織參與部分工作的方式加以解決評(píng)估模式分類方法自評(píng)估自評(píng)估特點(diǎn)檢查評(píng)估檢查評(píng)估特點(diǎn)委托評(píng)估委托評(píng)估特點(diǎn)復(fù)合模式評(píng)估復(fù)合模式評(píng)估特點(diǎn)安全風(fēng)險(xiǎn)評(píng)估模式定義檢查評(píng)估是由信息安全主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起，旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)，檢查被評(píng)估單位是否滿足了這些法規(guī)或標(biāo)準(zhǔn)這種評(píng)估具有強(qiáng)制性，是

32、一種純粹意義上的他評(píng)估，單位需要配合評(píng)估工作的開展。此外，檢查評(píng)估必須以明確的法規(guī)或標(biāo)準(zhǔn)為基礎(chǔ)。這是通過行政手段加強(qiáng)信息安全的重要措施評(píng)估模式分類方法自評(píng)估自評(píng)估特點(diǎn)檢查評(píng)估檢查評(píng)估特點(diǎn)委托評(píng)估委托評(píng)估特點(diǎn)復(fù)合模式評(píng)估復(fù)合模式評(píng)估特點(diǎn)安全風(fēng)險(xiǎn)評(píng)估模式優(yōu)點(diǎn):這種模式最具權(quán)威缺點(diǎn):通常間隔時(shí)間較長(zhǎng)一般是抽樣進(jìn)行不能貫穿于一個(gè)部門的信息系統(tǒng)的生命周期的全過程評(píng)估模式分類方法自評(píng)估自評(píng)估特點(diǎn)檢查評(píng)估檢查評(píng)估特點(diǎn)委托評(píng)估委托評(píng)估特點(diǎn)復(fù)合模式評(píng)估復(fù)合模式評(píng)估特點(diǎn)安全風(fēng)險(xiǎn)評(píng)估模式定義委托評(píng)估指信息系統(tǒng)使用單位委托具有風(fēng)險(xiǎn)評(píng)估能力的專業(yè)評(píng)估機(jī)構(gòu)（安全服務(wù)企業(yè)）實(shí)施的評(píng)估活動(dòng)它既有自評(píng)估的特點(diǎn)（由單位自身發(fā)起，且本單位對(duì)風(fēng)險(xiǎn)評(píng)估過程的影響可以很大），也有他評(píng)估的特點(diǎn)（由獨(dú)立與本單位的另外一方實(shí)施評(píng)估）評(píng)估模式分類方法自評(píng)估自評(píng)估特點(diǎn)檢查評(píng)估檢查評(píng)估特點(diǎn)委托評(píng)估委托評(píng)估特點(diǎn)復(fù)合模式評(píng)估復(fù)合模式評(píng)估特點(diǎn)安全風(fēng)險(xiǎn)評(píng)估模式優(yōu)點(diǎn):在委托評(píng)估中，接受委托的評(píng)估機(jī)構(gòu)一般擁有風(fēng)險(xiǎn)評(píng)估的專業(yè)人才風(fēng)險(xiǎn)評(píng)估的經(jīng)驗(yàn)比較豐富對(duì)IT技術(shù)風(fēng)險(xiǎn)的共性了解得比較深入評(píng)估過程較為規(guī)范，評(píng)估結(jié)果的客觀性比較好，置信度比較高缺點(diǎn):評(píng)估費(fèi)用可能會(huì)較高可能會(huì)難以深入了解行業(yè)應(yīng)用服務(wù)中的安全風(fēng)險(xiǎn)由于風(fēng)險(xiǎn)評(píng)估中必然會(huì)接觸到被評(píng)估單位