對(duì)信息安全風(fēng)險(xiǎn)評(píng)估思考

1、.對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的思考對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的思考上海上訊信息系統(tǒng)工程有限公司安全咨詢(xún)事業(yè)部黃永飛 安全咨詢(xún)顧問(wèn).風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估 What ? What ? Why ? Why ? How ? How ?問(wèn)題思考.問(wèn)題思考信息安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估 What What .信息安全風(fēng)險(xiǎn)評(píng)估是什么？ 信息安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的分析方法和手段，系統(tǒng)地分析信息化業(yè)務(wù)和信息系統(tǒng)所面臨的人為和自然的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施，以防范和化解風(fēng)險(xiǎn)，或者將殘余風(fēng)險(xiǎn)控制

2、在可接受的水平，從而最大限度地保障網(wǎng)絡(luò)與信息安全。信息系統(tǒng)的安全風(fēng)險(xiǎn)信息系統(tǒng)的安全風(fēng)險(xiǎn)是指由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。.安全風(fēng)險(xiǎn)評(píng)估是什么？人們經(jīng)常會(huì)提出這樣一些問(wèn)題：人們經(jīng)常會(huì)提出這樣一些問(wèn)題： 什么地方、什么時(shí)間可能出問(wèn)題？ 出問(wèn)題的可能性有多大？ 這些問(wèn)題的后果是什么？ 應(yīng)該采取什么樣的措施加以避免和彌補(bǔ)？總是試圖找出最合理的答案，這一過(guò)程實(shí)際上就是風(fēng)險(xiǎn)評(píng)估。早在上個(gè)世紀(jì)初期，科學(xué)家就已開(kāi)始研究風(fēng)險(xiǎn)管理理論。.問(wèn)題思考信息安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估 Why Why .“三分技術(shù)，七分管理”，我們的員工安全意識(shí)如何？依靠現(xiàn)有的安全產(chǎn)品是否

3、能夠解決現(xiàn)在的安全問(wèn)題？現(xiàn)有的安全產(chǎn)品是否真正的起到了作用？如果發(fā)生安全事故，我們能否在最短時(shí)間內(nèi)恢復(fù)業(yè)務(wù)系統(tǒng)？對(duì)未來(lái)的網(wǎng)絡(luò)擴(kuò)展和安全配置升級(jí)有沒(méi)有前瞻性的規(guī)劃？能否更多的節(jié)約投入成本？ 。問(wèn)題思考.信息安全風(fēng)險(xiǎn)評(píng)估的意義風(fēng)險(xiǎn)評(píng)估是分析確定風(fēng)險(xiǎn)的過(guò)程風(fēng)險(xiǎn)評(píng)估是分析確定風(fēng)險(xiǎn)的過(guò)程信息安全風(fēng)險(xiǎn)評(píng)估是信息安全建設(shè)的起點(diǎn)和基礎(chǔ)信息安全風(fēng)險(xiǎn)評(píng)估是信息安全建設(shè)的起點(diǎn)和基礎(chǔ)信息安全風(fēng)險(xiǎn)評(píng)估是需求主導(dǎo)和突出重點(diǎn)原則的具體體現(xiàn)信息安全風(fēng)險(xiǎn)評(píng)估是需求主導(dǎo)和突出重點(diǎn)原則的具體體現(xiàn)重視風(fēng)險(xiǎn)評(píng)估是信息化比較發(fā)達(dá)國(guó)家的基本經(jīng)驗(yàn)重視風(fēng)險(xiǎn)評(píng)估是信息化比較發(fā)達(dá)國(guó)家的基本經(jīng)驗(yàn). 風(fēng)險(xiǎn)評(píng)估是分析確定風(fēng)險(xiǎn)的過(guò)程風(fēng)險(xiǎn)評(píng)估是分析確定風(fēng)險(xiǎn)

4、的過(guò)程任何系統(tǒng)的安全性都可以通過(guò)風(fēng)險(xiǎn)的大小來(lái)衡量。科學(xué)分析系統(tǒng)的安全風(fēng)險(xiǎn)，綜合平衡風(fēng)險(xiǎn)和代價(jià)的過(guò)程就是風(fēng)險(xiǎn)評(píng)估。信息安全風(fēng)險(xiǎn)評(píng)估的意義.信息安全風(fēng)險(xiǎn)評(píng)估的意義信息安全風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)評(píng)估理論和方法在信息系統(tǒng)中的運(yùn)用，是科學(xué)分析理解信息和信息系統(tǒng)在機(jī)密性、完整性、可用性等方面所面臨的風(fēng)險(xiǎn)，并在風(fēng)險(xiǎn)的預(yù)防、風(fēng)險(xiǎn)的控制、風(fēng)險(xiǎn)的轉(zhuǎn)移、風(fēng)險(xiǎn)的補(bǔ)償、風(fēng)險(xiǎn)的分散等之間作出決策的過(guò)程。信息安全風(fēng)險(xiǎn)評(píng)估是信息安全建設(shè)的起信息安全風(fēng)險(xiǎn)評(píng)估是信息安全建設(shè)的起點(diǎn)和基礎(chǔ)點(diǎn)和基礎(chǔ).信息安全風(fēng)險(xiǎn)評(píng)估的意義所有信息安全建設(shè)都應(yīng)該是基于信息安全風(fēng)險(xiǎn)評(píng)估，只有在正確地、全面地理解風(fēng)險(xiǎn)后，才能在控制風(fēng)險(xiǎn)、減少風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)之間作出正

5、確的判斷，決定調(diào)動(dòng)多少資源、以什么的代價(jià)、采取什么樣的應(yīng)對(duì)措施去化解、控制風(fēng)險(xiǎn)。.信息安全風(fēng)險(xiǎn)評(píng)估的意義如果說(shuō)信息安全建設(shè)必須從實(shí)際出發(fā)，堅(jiān)持需求主導(dǎo)、突出重點(diǎn)，則風(fēng)險(xiǎn)評(píng)估（需求分析）就是這一原則在實(shí)際工作中的重要體現(xiàn)。從理論上講風(fēng)險(xiǎn)總是客觀存在的。安全是安全風(fēng)險(xiǎn)與安全建設(shè)管理代價(jià)的綜合平衡。信息安全風(fēng)險(xiǎn)評(píng)估是需求主導(dǎo)和突出重信息安全風(fēng)險(xiǎn)評(píng)估是需求主導(dǎo)和突出重點(diǎn)原則的具體體現(xiàn)點(diǎn)原則的具體體現(xiàn).信息安全風(fēng)險(xiǎn)評(píng)估的意義不考慮風(fēng)險(xiǎn)的信息化是要付出代價(jià)有時(shí)代價(jià)可能很高，甚至難以承受 .信息安全風(fēng)險(xiǎn)評(píng)估的意義不計(jì)成本、片面地追求絕對(duì)安全、試圖消滅風(fēng)險(xiǎn)或完全避免風(fēng)險(xiǎn)是不現(xiàn)實(shí)的，也不是需求主導(dǎo)原則所要求的。

6、堅(jiān)持從實(shí)際出發(fā)，堅(jiān)持需求主導(dǎo)、突出重點(diǎn)，就必須科學(xué)地評(píng)估風(fēng)險(xiǎn)，有效控制風(fēng)險(xiǎn)。.信息安全風(fēng)險(xiǎn)評(píng)估的意義上個(gè)世紀(jì)70年代，美國(guó)政府就發(fā)布了自動(dòng)化數(shù)據(jù)外理風(fēng)險(xiǎn)評(píng)估指南。其后頒布的關(guān)于信息安全基本政策文件聯(lián)邦信息資源安全明確提出了信息安全風(fēng)險(xiǎn)評(píng)估的要求，要求聯(lián)邦政府部門(mén)依據(jù)信息和信息系統(tǒng)所面臨的風(fēng)險(xiǎn)，根據(jù)信息丟失、濫用、泄露、未授權(quán)訪問(wèn)等造成損失的大小，制訂、實(shí)施信息安全計(jì)劃，以保證信息和信息系統(tǒng)應(yīng)有的安全。 重視風(fēng)險(xiǎn)評(píng)估是信息化比較發(fā)達(dá)國(guó)家的重視風(fēng)險(xiǎn)評(píng)估是信息化比較發(fā)達(dá)國(guó)家的基本經(jīng)驗(yàn)基本經(jīng)驗(yàn).信息安全風(fēng)險(xiǎn)評(píng)估的意義 英國(guó)標(biāo)準(zhǔn)化協(xié)會(huì)（BSI）1995年頒布了信息安全 管理指南（BS 7799），BS

7、7799分為兩個(gè)部分： BS 7799-1信息安全管理實(shí)施規(guī)則和BS 7799-2 信息安全管理體系規(guī)范。2002年又頒布了信息安全管理系統(tǒng)規(guī)范說(shuō)明（BS 7799-2:2002）。它將信息安全管理的有關(guān)問(wèn)題劃分成了10個(gè)控制要項(xiàng)、36 個(gè)控制目標(biāo)和127 個(gè)控制措施。目前，在BS77992中，提出了如何了建立信息安全管理體系的步驟。 在信息安全管理體系的核心部位是風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理。目前，全球通過(guò)BS7799認(rèn)證的數(shù)量達(dá)450家左右，其中絕大部分分布在歐洲和亞洲，整個(gè)中國(guó)地區(qū)（包括香港和臺(tái)灣在內(nèi)）通過(guò)BS7799認(rèn)證的數(shù)量近20家。.為用戶(hù)提供具有針對(duì)性的安全產(chǎn)品和安全技術(shù)給用戶(hù)提供量化的信

8、息資產(chǎn)價(jià)值列表和資產(chǎn)風(fēng)險(xiǎn)列表可全面和有條理地向管理層反映現(xiàn)有的信息科技安全風(fēng) 險(xiǎn)和所需的安全保障措施為決策和政策考慮提供不同的解決方案，使信息科技安全管理能夠從策略性的層面推行 為日后比較信息科技安全措施的變化提供依據(jù) 信息安全風(fēng)險(xiǎn)評(píng)估的意義-總結(jié).問(wèn)題思考信息安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估 How How .問(wèn)題思考信息安全風(fēng)險(xiǎn)評(píng)估怎么實(shí)施？信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施前需要準(zhǔn)備什么？信息資產(chǎn)的屬性怎么進(jìn)行量化？發(fā)現(xiàn)信息資產(chǎn)的弱點(diǎn)后怎么進(jìn)行補(bǔ)救?.信息安全風(fēng)險(xiǎn)評(píng)估方法信息安全風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備資產(chǎn)識(shí)別威脅識(shí)別脆弱性識(shí)別設(shè)計(jì)解決方案項(xiàng)目規(guī)劃風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備.風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備風(fēng)險(xiǎn)評(píng)估的準(zhǔn)

9、備 確定范圍確定范圍 范圍可能是組織全部的信息和信息系統(tǒng)，可能是單獨(dú)的信息系統(tǒng)，可能是組織的關(guān)鍵業(yè)務(wù)流程，也可能是客戶(hù)的知識(shí)產(chǎn)權(quán)。 確定目標(biāo)確定目標(biāo) 目標(biāo)基本上來(lái)源于組織業(yè)務(wù)持續(xù)發(fā)展的需要、滿(mǎn)足相關(guān)方的要求、滿(mǎn)足法律法規(guī)的要求等方面。 確定組織結(jié)構(gòu)確定組織結(jié)構(gòu) 組織結(jié)構(gòu)的建立應(yīng)考慮其結(jié)構(gòu)和復(fù)雜程度，以保證能夠滿(mǎn)足風(fēng)險(xiǎn)評(píng)估的范圍、目標(biāo)。. 確定方法確定方法 應(yīng)考慮評(píng)估的范圍、目的、時(shí)間、效果、組織文化、人員素質(zhì)以及具體開(kāi)展的程度等因素來(lái)確定，使之能夠與組織的環(huán)境和安全要求相適應(yīng)。 獲得最高管理者批準(zhǔn)獲得最高管理者批準(zhǔn) 上述所有內(nèi)容應(yīng)得到組織的最高管理者的批準(zhǔn)，并對(duì)管理層和員工進(jìn)行傳達(dá)。風(fēng)險(xiǎn)評(píng)估的

10、準(zhǔn)備風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備( (續(xù)）續(xù)）.信息安全風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備資產(chǎn)識(shí)別威脅識(shí)別脆弱性識(shí)別設(shè)計(jì)解決方案項(xiàng)目規(guī)劃資產(chǎn)識(shí)別資產(chǎn)識(shí)別.資產(chǎn)分類(lèi)類(lèi)別資產(chǎn)分類(lèi)類(lèi)別.資產(chǎn)賦值原則資產(chǎn)賦值原則信息資產(chǎn)的價(jià)值取決于：信息資產(chǎn)的價(jià)值取決于：l 保密性l 完整性l 可用性信息資產(chǎn)的價(jià)值隨時(shí)間改變信息資產(chǎn)的價(jià)值隨時(shí)間改變信息資產(chǎn)的價(jià)值隨資產(chǎn)相關(guān)性變化信息資產(chǎn)的價(jià)值隨資產(chǎn)相關(guān)性變化.信息資產(chǎn)賦值過(guò)程 機(jī)密性、完整性和可用性的價(jià)值分別賦值影響影響威脅威脅C1. 競(jìng)爭(zhēng)劣勢(shì) 當(dāng)本業(yè)務(wù)系統(tǒng)內(nèi)的信息數(shù)據(jù)被競(jìng)爭(zhēng)者得知時(shí)，將會(huì)造成何種程度的損失？01234C2. 直接業(yè)務(wù)損失當(dāng)本業(yè)務(wù)系統(tǒng)內(nèi)涵蓋的信息資產(chǎn)被被不適當(dāng)揭露時(shí)，可能著

11、成企業(yè)業(yè)務(wù)的損失程度？01234C3. 公眾信心本業(yè)務(wù)系統(tǒng)內(nèi)的信息數(shù)據(jù)被不適當(dāng)泄露時(shí)，公司在客戶(hù)的信任度、公眾形象、股東或供應(yīng)商的忠誠(chéng)度上所招受到的損失？01234C4. 額外成本本業(yè)務(wù)系統(tǒng)內(nèi)的信息數(shù)據(jù)被不適當(dāng)泄露時(shí)可能造成的額外成本負(fù)擔(dān)？01234C5. 法律責(zé)任本業(yè)務(wù)系統(tǒng)內(nèi)的信息數(shù)據(jù)被不適當(dāng)泄露時(shí)，可能造成法律、規(guī)定或合約上的影響？01234C6. 員工士氣本業(yè)務(wù)系統(tǒng)內(nèi)的信息數(shù)據(jù)被不適當(dāng)泄露時(shí)，可能對(duì)員工士氣造成的影響？01234C7. 欺詐行為本業(yè)務(wù)系統(tǒng)內(nèi)的信息數(shù)據(jù)被不適當(dāng)泄露時(shí)，企業(yè)商品或資金可能被不當(dāng)?shù)霓D(zhuǎn)移？01234結(jié)果請(qǐng)選擇上列因素中會(huì)造成最嚴(yán)重?fù)p失的評(píng)估結(jié)果01234.信息安全

12、風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備資產(chǎn)識(shí)別威脅識(shí)別脆弱性識(shí)別設(shè)計(jì)解決方案項(xiàng)目規(guī)劃威脅識(shí)別威脅識(shí)別.安全威脅 威脅種類(lèi)威脅種類(lèi) 是對(duì)系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞能力的是對(duì)系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞能力的可能性因素或者事件可能性因素或者事件 IDSIDS事件采集事件采集 歷史事件數(shù)據(jù)歷史事件數(shù)據(jù) 顧問(wèn)訪談?lì)檰?wèn)訪談 安全策略分析安全策略分析見(jiàn)下頁(yè)見(jiàn)下頁(yè) 安全審計(jì)安全審計(jì) 權(quán)威組織的統(tǒng)計(jì)數(shù)據(jù)權(quán)威組織的統(tǒng)計(jì)數(shù)據(jù) 獲取方法獲取方法威脅定義威脅定義.攻擊類(lèi)型攻擊類(lèi)型說(shuō)明說(shuō)明被動(dòng)攻擊被動(dòng)攻擊被動(dòng)攻擊包括分析通信流，監(jiān)視未被保護(hù)的通訊，解密弱加密通訊，獲取鑒別信息（比如口令）。被動(dòng)攻擊可能造成在沒(méi)有得到用戶(hù)同意或

13、告知用戶(hù)的情況下，將信息或文件泄露給攻擊者。這樣的例子如泄露個(gè)人的信用卡號(hào)碼和醫(yī)療檔案等。主動(dòng)攻擊主動(dòng)攻擊主動(dòng)攻擊包括試圖阻斷或攻破保護(hù)機(jī)制、引入惡意代碼、偷竊或篡改信息。主動(dòng)進(jìn)攻可能造成數(shù)據(jù)資料的泄露和散播，或?qū)е戮芙^服務(wù)以及數(shù)據(jù)的篡改改。物理臨近物理臨近攻擊攻擊是指一未被授權(quán)的個(gè)人，在物理意義上接近網(wǎng)絡(luò)、系統(tǒng)或設(shè)備，試圖改變、收集信息或拒絕他人對(duì)信息的訪問(wèn)。內(nèi)部人員內(nèi)部人員攻擊攻擊內(nèi)部人員攻擊可以分為惡意或無(wú)惡意攻擊。前者指內(nèi)部人員對(duì)信息的惡意破壞或不當(dāng)使用，或使他人的訪問(wèn)遭到拒絕；后者指由于粗心、無(wú)知以及其它非惡意的原因而造成的破壞。軟硬件裝軟硬件裝配分發(fā)攻配分發(fā)攻擊擊指在工廠生產(chǎn)或分銷(xiāo)

14、過(guò)程中對(duì)硬件和軟件進(jìn)行的惡意修改。這種攻擊可能是在產(chǎn)品里引入惡意代碼，比如后門(mén)。主要有哪些攻擊？主要有哪些攻擊？.信息安全風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備資產(chǎn)識(shí)別威脅識(shí)別脆弱性識(shí)別設(shè)計(jì)解決方案項(xiàng)目規(guī)劃脆弱性識(shí)別脆弱性識(shí)別.安全弱點(diǎn)安全弱點(diǎn) 安全弱點(diǎn)是系統(tǒng)可以被利用從而導(dǎo)致資產(chǎn)發(fā)生安全弱點(diǎn)是系統(tǒng)可以被利用從而導(dǎo)致資產(chǎn)發(fā)生損失的特性損失的特性 網(wǎng)絡(luò)掃描網(wǎng)絡(luò)掃描 上機(jī)檢查上機(jī)檢查 安全策略評(píng)估安全策略評(píng)估 網(wǎng)絡(luò)架構(gòu)評(píng)估網(wǎng)絡(luò)架構(gòu)評(píng)估技術(shù)類(lèi)，比如技術(shù)類(lèi)，比如OSOS漏洞，防火墻錯(cuò)誤配置等漏洞，防火墻錯(cuò)誤配置等管理類(lèi)，比如沒(méi)有安全策略、具體負(fù)責(zé)人、審核管理類(lèi)，比如沒(méi)有安全策略、具體負(fù)責(zé)人、審核流程等流程等業(yè)務(wù)模

15、式類(lèi)，比如充值卡業(yè)務(wù)，非實(shí)名制業(yè)務(wù)等業(yè)務(wù)模式類(lèi)，比如充值卡業(yè)務(wù)，非實(shí)名制業(yè)務(wù)等 應(yīng)用軟件評(píng)估應(yīng)用軟件評(píng)估 數(shù)據(jù)庫(kù)評(píng)估數(shù)據(jù)庫(kù)評(píng)估 弱點(diǎn)種類(lèi)弱點(diǎn)種類(lèi)獲取方法獲取方法弱點(diǎn)定義弱點(diǎn)定義.信息安全風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備資產(chǎn)識(shí)別威脅識(shí)別脆弱性識(shí)別設(shè)計(jì)解決方案項(xiàng)目規(guī)劃設(shè)計(jì)解決方案設(shè)計(jì)解決方案.風(fēng)險(xiǎn)風(fēng)險(xiǎn)RISKRISKRISKRISKRISKRISKRISKRISK風(fēng)險(xiǎn)風(fēng)險(xiǎn)基本的風(fēng)險(xiǎn)基本的風(fēng)險(xiǎn)采取措施后剩余的風(fēng)險(xiǎn)采取措施后剩余的風(fēng)險(xiǎn)漏洞漏洞實(shí)施安全解決方案實(shí)施安全解決方案.信息安全風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備資產(chǎn)識(shí)別威脅識(shí)別脆弱性識(shí)別設(shè)計(jì)解決方案項(xiàng)目規(guī)劃項(xiàng)目規(guī)劃項(xiàng)目規(guī)劃.項(xiàng)目規(guī)劃方法項(xiàng)目規(guī)劃方法實(shí)施難實(shí)施難

16、易程度易程度預(yù)期效預(yù)期效果果緊迫性緊迫性可實(shí)施可實(shí)施性性項(xiàng)目規(guī)劃項(xiàng)目規(guī)劃綜合分析綜合分析難易程度預(yù)期效果可實(shí)施性?xún)?yōu)先級(jí)緊迫性 .項(xiàng)目緊迫性分析項(xiàng)目緊迫性分析 威脅強(qiáng)度多大能夠造成危害，難易度 分布范圍大小 層次影響范圍大小 直接危害的嚴(yán)重程度 間接危害的嚴(yán)重程度 破壞后的恢復(fù)時(shí)間 破壞后恢復(fù)的消耗 最近6個(gè)月問(wèn)題發(fā)現(xiàn)的頻度 最近一次發(fā)現(xiàn)問(wèn)題的間隔.項(xiàng)目可實(shí)施性分析項(xiàng)目可實(shí)施性分析 外部策略允許程度 內(nèi)部管理?xiàng)l件是否具備 技術(shù)成熟度 內(nèi)部技術(shù)條件是否具備 外部支持條件是否具備 .其他分析其他分析 如前文.緊迫性緊迫性 如前文.可實(shí)施性可實(shí)施性 技術(shù)難度 資金投入大小 時(shí)間投入長(zhǎng)短 人力投入大小和

17、人員素質(zhì)要求 外部支持資源的復(fù)雜度 對(duì)企業(yè)策略的觸動(dòng)大小 對(duì)組織管理的觸動(dòng)大小 對(duì)運(yùn)作規(guī)定和習(xí)慣的觸動(dòng)大小實(shí)施難易程度實(shí)施難易程度 見(jiàn)效速度 對(duì)于安全性的直接效果評(píng)價(jià) 對(duì)于業(yè)務(wù)的直接促進(jìn) 對(duì)于其他安全建設(shè)項(xiàng)目的支持 對(duì)安全策略完善的促進(jìn) 對(duì)安全組織完善的促進(jìn) 對(duì)人員安全素質(zhì)的促進(jìn) 對(duì)安全管理運(yùn)作規(guī)范化的促進(jìn) 預(yù)期效果預(yù)期效果.124561-1-項(xiàng)目準(zhǔn)備與范圍確定項(xiàng)目準(zhǔn)備與范圍確定項(xiàng)目交流需求調(diào)研，背景討論范圍確定項(xiàng)目計(jì)劃2-2-項(xiàng)目定義和藍(lán)圖項(xiàng)目定義和藍(lán)圖Kickoff meeting資產(chǎn)信息收集完成詳細(xì)方案設(shè)計(jì)確定風(fēng)險(xiǎn)評(píng)估模型完成藍(lán)圖并與用戶(hù)簽署6-6-支持和維護(hù)支持和維護(hù)項(xiàng)目初驗(yàn)修復(fù)和加固協(xié)助二次驗(yàn)證評(píng)估電話(huà)熱線支持其他服務(wù)35-5-風(fēng)險(xiǎn)綜合和解決方案風(fēng)險(xiǎn)綜合和解決方案安全風(fēng)險(xiǎn)綜合分析輸出安全評(píng)估報(bào)告設(shè)計(jì)安全解決方案建議3-3-現(xiàn)狀調(diào)研與分析現(xiàn)狀調(diào)研與分析基本信息調(diào)查業(yè)務(wù)流程分析數(shù)據(jù)流分析資產(chǎn)賦值4-4-安全風(fēng)險(xiǎn)評(píng)估安全風(fēng)險(xiǎn)評(píng)估安全威脅評(píng)估網(wǎng)絡(luò)架構(gòu)安全評(píng)估設(shè)備安全評(píng)估應(yīng)用軟件安全評(píng)估安全策略（環(huán)境）評(píng)估.12356項(xiàng)目計(jì)項(xiàng)目計(jì)劃劃項(xiàng)目藍(lán)圖項(xiàng)目藍(lán)圖安全風(fēng)險(xiǎn)評(píng)安全風(fēng)險(xiǎn)評(píng)