信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)手冊(cè)

啟明星辰風(fēng)險(xiǎn)評(píng)估效勞技術(shù)宣傳手冊(cè)-PAGE12-北京啟明星辰信息平安技術(shù)有限公司 PAGE2-PAGE12-____________________________信息平安啟明星辰風(fēng)險(xiǎn)評(píng)估效勞宣傳手冊(cè)____________________________北京啟明星辰信息平安技術(shù)有限公司文檔記錄信息文檔名稱(chēng)啟明星辰風(fēng)險(xiǎn)評(píng)估效勞技術(shù)白皮書(shū)制作部門(mén)前線(xiàn)技術(shù)中心-效勞產(chǎn)品化管理部版本修正歷史日期作者聯(lián)系方式文檔核準(zhǔn)信息版本核準(zhǔn)日期核準(zhǔn)人所屬部門(mén)備注版權(quán)聲明北京啟明星辰信息平安技術(shù)有限公司版權(quán)所有，并保存對(duì)本文檔及本聲明的最終解釋權(quán)和修改權(quán)。本文檔中出現(xiàn)的任何文字表達(dá)、文檔格式、插圖、照片、方法、過(guò)程等內(nèi)容，除另有特別注明外，其著作權(quán)或其他相關(guān)權(quán)利均屬于北京啟明星辰信息平安技術(shù)有限公司。未經(jīng)北京啟明星辰信息平安技術(shù)有限公司書(shū)面同意，任何人不得以任何方式或形式對(duì)本手冊(cè)內(nèi)的任何局部進(jìn)行復(fù)制、摘錄、備份、修改、傳播、翻譯成其它語(yǔ)言、將其全部或局部用于商業(yè)用途。免責(zé)條款本文檔依據(jù)現(xiàn)有信息制作，其內(nèi)容如有更改，恕不另行通知。北京啟明星辰信息平安技術(shù)有限公司在編寫(xiě)該文檔的時(shí)候已盡最大努力保證其內(nèi)容準(zhǔn)確可靠，但北京啟明星辰信息平安技術(shù)有限公司不對(duì)本文檔中的遺漏、不準(zhǔn)確、或錯(cuò)誤導(dǎo)致的損失和損害承當(dāng)責(zé)任。信息反應(yīng)如果任何珍貴意見(jiàn)，請(qǐng)反應(yīng)：信箱：北京市海淀區(qū)東北旺西路8號(hào)中關(guān)村軟件園21號(hào)摟啟明大廈郵編：100193電話(huà)可以訪(fǎng)問(wèn)啟明星辰網(wǎng)站：http：//，獲得最新的技術(shù)和效勞信息。目錄TOC\o"1-4"\h\z\u第1章 風(fēng)險(xiǎn)評(píng)估的重要性 51.1. 風(fēng)險(xiǎn)評(píng)估背景 51.2. 風(fēng)險(xiǎn)評(píng)估目的 61.3. 風(fēng)險(xiǎn)評(píng)估方式 7第2章 啟明星辰信息平安效勞產(chǎn)品介紹 72.1. 效勞產(chǎn)品概述 72.2. 效勞產(chǎn)品功能 92.2.1. 資產(chǎn)評(píng)估 92.2.2. 威脅評(píng)估 102.2.3. 脆弱性評(píng)估 102.2.4. 風(fēng)險(xiǎn)綜合分析 102.2.5. 風(fēng)險(xiǎn)處置方案 112.3. 效勞產(chǎn)品交付 122.3.1. 風(fēng)險(xiǎn)評(píng)估綜合報(bào)告 122.3.2. 資產(chǎn)賦值列表 122.3.3. 威脅賦值列表 122.3.4. 脆弱性賦值列表 122.3.5. 風(fēng)險(xiǎn)處置方案 132.4. 效勞產(chǎn)品收益 132.4.1. 資產(chǎn)識(shí)別 132.4.2. 平衡平安風(fēng)險(xiǎn)與本錢(qián) 132.4.3. 風(fēng)險(xiǎn)識(shí)別 132.4.4. 建設(shè)指導(dǎo) 142.4.5. 業(yè)務(wù)保障 15第3章 啟明星辰信息平安效勞產(chǎn)品規(guī)格 153.1. 效勞評(píng)估模型 153.1.1. 評(píng)估模型 153.1.2. 評(píng)估標(biāo)準(zhǔn) 163.2. 效勞評(píng)估方法 173.2.1. 訪(fǎng)談?wù){(diào)研 173.2.2. 人工審計(jì) 173.2.3. 工具掃描 183.2.4. 滲透測(cè)試 183.3. 效勞評(píng)估范圍 193.3.1. 技術(shù)評(píng)估 193.3.2. 管理評(píng)估 20第4章 啟明星辰信息平安效勞產(chǎn)品流程 214.1. 效勞流程藍(lán)圖 224.2. 效勞流程階段 224.2.1. 效勞啟動(dòng) 224.2.2. 資產(chǎn)評(píng)估 234.2.3. 威脅評(píng)估 244.2.4. 脆弱評(píng)估 264.2.5. 風(fēng)險(xiǎn)分析 274.2.6. 風(fēng)險(xiǎn)處置 294.2.7. 效勞驗(yàn)收 304.3. 效勞流程管理 304.3.1. 管理概述 304.3.2. 管理組成 31第5章 啟明星辰信息平安效勞產(chǎn)品優(yōu)勢(shì) 335.1. 公司整體優(yōu)勢(shì) 335.2. 效勞開(kāi)展優(yōu)勢(shì) 345.3. 效勞資質(zhì)優(yōu)勢(shì) 355.4. 團(tuán)隊(duì)保障優(yōu)勢(shì) 36第6章 啟明星辰信息平安效勞成功案例 376.1. 重點(diǎn)案例列表 386.2. 重點(diǎn)案例簡(jiǎn)介 396.2.1. 金融案例 396.2.2. 電信案例 396.2.3. 能源案例 406.2.4. 政府案例 40第7章 附錄術(shù)語(yǔ)定義 41風(fēng)險(xiǎn)評(píng)估的重要性風(fēng)險(xiǎn)評(píng)估背景隨著政府部門(mén)、企事業(yè)單位以及各行各業(yè)對(duì)信息系統(tǒng)依賴(lài)程度的日益增強(qiáng)，信息平安問(wèn)題受到普遍關(guān)注。運(yùn)用風(fēng)險(xiǎn)評(píng)估方法去識(shí)別平安風(fēng)險(xiǎn)，解決信息平安問(wèn)題得到了廣泛的認(rèn)識(shí)和應(yīng)用。信息平安風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估平安事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施；為防范和化解信息平安風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地保障信息平安提供科學(xué)依據(jù)。信息平安風(fēng)險(xiǎn)評(píng)估作為信息平安保障工作的根底性工作和重要環(huán)節(jié)，貫穿于信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)行維護(hù)以及廢棄各個(gè)階段，是信息平安等級(jí)保護(hù)制度建設(shè)的重要科學(xué)方法之一。國(guó)內(nèi)風(fēng)險(xiǎn)評(píng)估推進(jìn)工作情況如下：時(shí)間具體推進(jìn)事件歷程2024年?關(guān)于加強(qiáng)信息平安保障工作的意見(jiàn)?〔中辦發(fā)[2024]27號(hào)〕中明確提出“要重視信息平安風(fēng)險(xiǎn)評(píng)估工作〞。2024年為貫徹落實(shí)27號(hào)文件精神，原國(guó)信辦組織有關(guān)單位和專(zhuān)家編寫(xiě)了?信息平安風(fēng)險(xiǎn)評(píng)估指南?。2024年原國(guó)信辦在北京、上海、云南、黑龍江2市2省區(qū)和銀行、電力、稅務(wù)3個(gè)行業(yè)組織了信息平安風(fēng)險(xiǎn)評(píng)估試點(diǎn)。2024年原國(guó)信辦召開(kāi)了信息平安風(fēng)險(xiǎn)評(píng)估推進(jìn)工作會(huì)議。國(guó)家部委、各省信息辦依據(jù)中辦發(fā)20245號(hào)、9號(hào)文件，開(kāi)展重要行業(yè)平安風(fēng)險(xiǎn)評(píng)估工作。2024年為保障十七大，在國(guó)家根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)范圍內(nèi)，全面展開(kāi)了自評(píng)估工作。〔中國(guó)移動(dòng)、電力、稅務(wù)、證券〕至今經(jīng)過(guò)多年實(shí)踐，風(fēng)險(xiǎn)評(píng)估是“一種度量信息平安狀況的科學(xué)方法〞，通過(guò)對(duì)網(wǎng)絡(luò)和信息系統(tǒng)潛在風(fēng)險(xiǎn)要素的識(shí)別、分析、評(píng)價(jià)，發(fā)現(xiàn)網(wǎng)絡(luò)和信息系統(tǒng)的平安風(fēng)險(xiǎn)，通過(guò)平安加固，使高風(fēng)險(xiǎn)降低到可接受的水平，從而提高信息平安風(fēng)險(xiǎn)管理的水平。〞表-1風(fēng)險(xiǎn)評(píng)估目的風(fēng)險(xiǎn)評(píng)估是對(duì)網(wǎng)絡(luò)與信息系統(tǒng)相關(guān)方面風(fēng)險(xiǎn)進(jìn)行辨識(shí)和分析的過(guò)程，是依據(jù)國(guó)際/國(guó)家/地方有關(guān)信息平安技術(shù)標(biāo)準(zhǔn)，評(píng)估信息系統(tǒng)的脆弱性、面臨的威脅以及脆弱性被威脅源利用的可能性和利用后對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性所產(chǎn)生的實(shí)際負(fù)面影響，并以此識(shí)別信息系統(tǒng)的平安風(fēng)險(xiǎn)的過(guò)程。風(fēng)險(xiǎn)評(píng)估目的是分析信息系統(tǒng)及其所依托的網(wǎng)絡(luò)信息系統(tǒng)的平安狀況，全面了解和掌握該系統(tǒng)面臨的信息平安威脅和風(fēng)險(xiǎn)，明確采取何種有效措施，降低威脅事件發(fā)生的可能性或者其所造成的影響，減少信息系統(tǒng)的脆弱性，從而將風(fēng)險(xiǎn)降低到可接受的水平；同時(shí)，可以定期了解信息系統(tǒng)的平安防護(hù)水平并為后期平安規(guī)劃建設(shè)的提出提供原始依據(jù)，并作為今后其他工作的參考。風(fēng)險(xiǎn)評(píng)估方式自評(píng)估是由被評(píng)估信息系統(tǒng)的擁有者發(fā)起，依靠自身的力量參照國(guó)家法規(guī)與標(biāo)準(zhǔn)，對(duì)其自身的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng)。檢查評(píng)估檢查評(píng)估那么通常是被評(píng)估信息系統(tǒng)的擁有者的上級(jí)主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的，旨在依據(jù)已經(jīng)公布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的，具有強(qiáng)制意味的檢查活動(dòng)，是通過(guò)行政手段加強(qiáng)信息平安的重要措施。委托評(píng)估是由被評(píng)估信息系統(tǒng)的擁有者發(fā)起，委托專(zhuān)業(yè)的效勞機(jī)構(gòu)，參照國(guó)家法規(guī)與標(biāo)準(zhǔn)，對(duì)其維護(hù)的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng)。啟明星辰信息平安效勞產(chǎn)品介紹效勞產(chǎn)品概述啟明星辰信息平安風(fēng)險(xiǎn)評(píng)估效勞信息平安風(fēng)險(xiǎn)永遠(yuǎn)存在，平安產(chǎn)品不能解決所有的問(wèn)題。信息平安工作本身是一個(gè)過(guò)程，它的本質(zhì)是風(fēng)險(xiǎn)管理。風(fēng)險(xiǎn)管理工作不僅僅是一個(gè)簡(jiǎn)單的理論、方法，更需要在實(shí)踐中檢驗(yàn)開(kāi)展。啟明星辰信息平安強(qiáng)調(diào)平安必須為業(yè)務(wù)效勞，以最正確實(shí)踐作為信息平安工作的落腳點(diǎn)，通過(guò)有效的平安效勞，讓平安技術(shù)有效地發(fā)揮作用。啟明星辰信息平安為客戶(hù)提供全面的信息平安咨詢(xún)與風(fēng)險(xiǎn)評(píng)估效勞。啟明星辰信息平安認(rèn)為，風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的基石，平安管理監(jiān)控是風(fēng)險(xiǎn)管理的過(guò)程化實(shí)施。單純的技術(shù)評(píng)估不能全面揭示信息平安風(fēng)險(xiǎn)所在，脫離細(xì)致技術(shù)檢查手段的管理評(píng)估也似無(wú)本之木，技術(shù)和管理是密不可分的兩個(gè)方面。同時(shí)，應(yīng)用系統(tǒng)自身的平安性也是風(fēng)險(xiǎn)管理的重要組成局部。啟明星辰信息平安風(fēng)險(xiǎn)評(píng)估效勞基于技術(shù)方面的平安評(píng)估、基于管理方面管理評(píng)估和綜合兩者的全面評(píng)估，客戶(hù)可以全面了解組織內(nèi)部的信息平安狀況，盡早發(fā)現(xiàn)存在的問(wèn)題。同時(shí)，根據(jù)平安專(zhuān)家的建議，客戶(hù)可以在降低風(fēng)險(xiǎn)、承受風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)等方面做出正確的選擇。啟明星辰信息平安風(fēng)險(xiǎn)評(píng)估效勞綜合國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn)與業(yè)界最正確實(shí)踐，為客戶(hù)清晰的展現(xiàn)信息系統(tǒng)當(dāng)前的平安現(xiàn)狀、平安風(fēng)險(xiǎn)，提供公正、客觀數(shù)據(jù)作為決策參考，為客戶(hù)下一步控制和降低平安風(fēng)險(xiǎn)、改善平安狀況、實(shí)施信息系統(tǒng)的風(fēng)險(xiǎn)管理提供依據(jù)，從而引起相關(guān)領(lǐng)導(dǎo)關(guān)注和重視，為客戶(hù)后續(xù)信息平安工作爭(zhēng)取支持，為客戶(hù)后續(xù)信息平安順利開(kāi)展?fàn)幦≠Y源和地位，風(fēng)險(xiǎn)評(píng)估能夠幫助客戶(hù)從技術(shù)、管理方面或全面摸清家底、做到知己知彼，順利進(jìn)行信息系統(tǒng)平安規(guī)劃、設(shè)計(jì)、建設(shè)。加強(qiáng)組織各層面對(duì)于信息平安工作的認(rèn)識(shí)和理解程度，提高組織各層面的信息平安保障意識(shí)，對(duì)于標(biāo)準(zhǔn)和系統(tǒng)化提高信息平安保障水平提供了有效的方法。效勞產(chǎn)品功能圖-1資產(chǎn)評(píng)估資產(chǎn)是構(gòu)成整個(gè)系統(tǒng)的各種元素的組合，它直接的表現(xiàn)了這個(gè)系統(tǒng)的業(yè)務(wù)或任務(wù)的重要性，這種重要性進(jìn)而轉(zhuǎn)化為資產(chǎn)應(yīng)具有的保護(hù)價(jià)值。資產(chǎn)評(píng)估是與風(fēng)險(xiǎn)評(píng)估相關(guān)聯(lián)的重要任務(wù)之一，資產(chǎn)評(píng)估主要是對(duì)資產(chǎn)進(jìn)行相對(duì)估價(jià)，而其估價(jià)準(zhǔn)那么就是依賴(lài)于對(duì)其影響的分析，主要從保密性、完整性、可用性三方面的平安屬性進(jìn)行影響分析，從資產(chǎn)的相對(duì)價(jià)值中表達(dá)了威脅的嚴(yán)重程度；這樣，威脅評(píng)估就成了對(duì)資產(chǎn)所受威脅發(fā)生可能性的評(píng)估，主要從發(fā)生的可能性、發(fā)生成功的可能性以及發(fā)生成功后的嚴(yán)重性三方面平安屬性進(jìn)行分析；目的是要對(duì)組織的歸類(lèi)資產(chǎn)做潛在價(jià)值分析，了解其資產(chǎn)利用、維護(hù)和管理現(xiàn)狀。明確各類(lèi)資產(chǎn)具備的保護(hù)價(jià)值和需要的保護(hù)層次，從而使組織更合理的利用現(xiàn)有資產(chǎn)，更有效地進(jìn)行資產(chǎn)管理，更有針對(duì)性的進(jìn)行資產(chǎn)保護(hù)，更有合理性的進(jìn)行新的資產(chǎn)投入。威脅評(píng)估威脅是指可能對(duì)資產(chǎn)或組織造成損害事故的潛在原因。作為風(fēng)險(xiǎn)評(píng)估的重要因素，威脅是一個(gè)客觀存在的事物，無(wú)論對(duì)于多么平安的信息系統(tǒng)，它都存在。威脅評(píng)估采用的方法是問(wèn)卷調(diào)查、問(wèn)詢(xún)、數(shù)據(jù)取樣、日志分析。在這一過(guò)程中，首先要對(duì)組織需要保護(hù)的每一項(xiàng)關(guān)鍵資產(chǎn)進(jìn)行威脅識(shí)別。在威脅評(píng)估過(guò)程中，應(yīng)根據(jù)資產(chǎn)所處的環(huán)境條件和資產(chǎn)以前遭受威脅損害的情況來(lái)判斷，一項(xiàng)資產(chǎn)可能面臨著多個(gè)威脅，同樣一個(gè)威脅可能對(duì)不同的資產(chǎn)造成影響。識(shí)別出威脅由誰(shuí)或什么事物引發(fā)以及威脅影響的資產(chǎn)是什么，即確認(rèn)威脅的主體和客體。脆弱性評(píng)估脆弱性是指資產(chǎn)或資產(chǎn)組中能被威脅所利用的弱點(diǎn)，它包括物理環(huán)境、組織機(jī)構(gòu)、業(yè)務(wù)流程、人員、管理、硬件、軟件及通訊設(shè)施等各個(gè)方面，這些都可能被各種平安威脅利用來(lái)侵害一個(gè)組織機(jī)構(gòu)內(nèi)的有關(guān)資產(chǎn)及這些資產(chǎn)所支持的業(yè)務(wù)系統(tǒng)。脆弱性評(píng)估將針對(duì)每一項(xiàng)需要保護(hù)的信息資產(chǎn)，找出每一種威脅所能利用的脆弱性，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估，就是對(duì)脆弱性被威脅利用的可能性進(jìn)行評(píng)估，最終為其賦相對(duì)等級(jí)值。在進(jìn)行脆弱性評(píng)估時(shí)，提供的數(shù)據(jù)應(yīng)該來(lái)自于這些資產(chǎn)的擁有者或使用者，來(lái)自于相關(guān)業(yè)務(wù)領(lǐng)域的專(zhuān)家以及軟硬件信息系統(tǒng)方面的專(zhuān)業(yè)人員。在評(píng)估中，從技術(shù)脆弱性和平安管理脆弱性?xún)蓚€(gè)方面進(jìn)行脆弱性檢查。風(fēng)險(xiǎn)綜合分析風(fēng)險(xiǎn)是指特定的威脅利用資產(chǎn)的一種或一組脆弱性，導(dǎo)致資產(chǎn)的喪失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。風(fēng)險(xiǎn)只能預(yù)防、防止、降低、轉(zhuǎn)移和接受，但不可能完全被消滅。在完成資產(chǎn)、威脅和脆弱性的評(píng)估后，進(jìn)入平安風(fēng)險(xiǎn)的評(píng)估階段。在這個(gè)過(guò)程中，采用最新的方法表述威脅源采用何種威脅方法，利用了系統(tǒng)的何種脆弱性，對(duì)哪一類(lèi)資產(chǎn)，產(chǎn)生了什么樣的影響，并描述采取何種對(duì)策來(lái)防范威脅，減少脆弱性。風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、威脅、脆弱性三個(gè)根本要素。每個(gè)要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性可以是威脅主體、影響對(duì)象、出現(xiàn)頻率、動(dòng)機(jī)等；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。風(fēng)險(xiǎn)分析原來(lái)如下列圖所示：圖-2風(fēng)險(xiǎn)處置方案風(fēng)險(xiǎn)處置目的是為風(fēng)險(xiǎn)管理過(guò)程中對(duì)不同風(fēng)險(xiǎn)的直觀比擬，以確定組織平安策略。對(duì)不可接受的風(fēng)險(xiǎn)應(yīng)根據(jù)導(dǎo)致該風(fēng)險(xiǎn)的脆弱性制定風(fēng)險(xiǎn)處理方案。風(fēng)險(xiǎn)處理方案中應(yīng)明確采取的彌補(bǔ)脆弱性的平安措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、責(zé)任部門(mén)等。平安措施的選擇應(yīng)從管理與技術(shù)兩個(gè)方面考慮風(fēng)險(xiǎn)處置是一種系統(tǒng)化方法，可通過(guò)多種方式實(shí)現(xiàn)：風(fēng)險(xiǎn)接受：接受潛在的風(fēng)險(xiǎn)并繼續(xù)運(yùn)行信息系統(tǒng)，不對(duì)風(fēng)險(xiǎn)進(jìn)行處理。風(fēng)險(xiǎn)降低：通過(guò)實(shí)現(xiàn)平安措施來(lái)降低風(fēng)險(xiǎn)，從而將脆弱性被威脅源利用后可能帶來(lái)的不利影響最小化風(fēng)險(xiǎn)躲避：不介入風(fēng)險(xiǎn)，通過(guò)消除風(fēng)險(xiǎn)的原因和/或后果來(lái)躲避風(fēng)險(xiǎn)。風(fēng)險(xiǎn)轉(zhuǎn)移：通過(guò)使用其它措施來(lái)補(bǔ)償損失，從而轉(zhuǎn)移風(fēng)險(xiǎn)，如購(gòu)置保險(xiǎn)。效勞產(chǎn)品交付圖-3風(fēng)險(xiǎn)評(píng)估綜合報(bào)告主體報(bào)告，描述被評(píng)估信息系統(tǒng)得信息平安現(xiàn)狀，對(duì)評(píng)估范圍內(nèi)的業(yè)務(wù)資產(chǎn)進(jìn)行風(fēng)險(xiǎn)分析，明確出威脅源采用何種威脅方法，利用了哪些脆弱性，對(duì)范圍內(nèi)的哪些資產(chǎn)產(chǎn)生了什么影響，采取何種對(duì)策進(jìn)行防范威脅，減少脆弱性；并對(duì)風(fēng)險(xiǎn)評(píng)估作出總結(jié)，總結(jié)出哪些問(wèn)題需要當(dāng)前解決，哪些問(wèn)題可以分步分期解決。資產(chǎn)賦值列表綜合報(bào)告的子報(bào)告，描述了在資產(chǎn)識(shí)別后，對(duì)資產(chǎn)進(jìn)行分類(lèi)整理，并依據(jù)其所受破壞后所造成的影響，分析出其影響權(quán)值及其重要性。威脅賦值列表綜合報(bào)告的子報(bào)告，描述總結(jié)出評(píng)估范圍內(nèi)業(yè)務(wù)資產(chǎn)所面臨的威脅源，以及其所采用的方法。脆弱性賦值列表綜合報(bào)告的子報(bào)告，描述出通過(guò)平安管理調(diào)查、工具掃描、手工檢查進(jìn)行專(zhuān)業(yè)分析后，總結(jié)出評(píng)估范圍內(nèi)業(yè)務(wù)資產(chǎn)自身存在的脆弱性。通過(guò)工具掃描之后，對(duì)評(píng)估范圍內(nèi)的資產(chǎn)脆弱性進(jìn)行統(tǒng)計(jì)，重在描述高風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)、低風(fēng)險(xiǎn)的數(shù)量以及百分比等情況。風(fēng)險(xiǎn)處置方案綜合報(bào)告后的輔助報(bào)告，通過(guò)綜合分析，了解了當(dāng)前的平安現(xiàn)狀，提出了針對(duì)當(dāng)前問(wèn)題的信息系統(tǒng)總體平安解決方案。效勞產(chǎn)品收益資產(chǎn)識(shí)別幫助客戶(hù)對(duì)組織內(nèi)資產(chǎn)進(jìn)行梳理，針對(duì)在傳統(tǒng)資產(chǎn)清理過(guò)程中，比擬容易被忽略的數(shù)據(jù)資產(chǎn)，效勞資產(chǎn)等，使客戶(hù)從原有的固定資產(chǎn)保護(hù)，提升為信息資產(chǎn)保護(hù)。幫助客戶(hù)進(jìn)行組織內(nèi)資產(chǎn)的分級(jí)管理，通過(guò)定量分析，明確各信息系統(tǒng)對(duì)客戶(hù)的重要程度，通過(guò)有效整合信息系統(tǒng)的平安需求，在有限的資源環(huán)境下，更好的提高客戶(hù)的信息平安水平。平衡平安風(fēng)險(xiǎn)與本錢(qián)幫助客戶(hù)在平安建設(shè)過(guò)程中綜合平衡平安風(fēng)險(xiǎn)與本錢(qián)代價(jià)，信息平安工作的核心目標(biāo)就是實(shí)現(xiàn)在最低資源消耗的情況下，到達(dá)最大的平安水平。通過(guò)對(duì)發(fā)現(xiàn)的問(wèn)題和風(fēng)險(xiǎn)進(jìn)行管理，并最優(yōu)化的方案建議，使客戶(hù)防止投入大量資源，但平安工作仍遲遲不見(jiàn)起色的現(xiàn)象。風(fēng)險(xiǎn)識(shí)別對(duì)客戶(hù)的關(guān)鍵信息資產(chǎn)進(jìn)行全面梳理，識(shí)別資產(chǎn)的重要性；清晰自身所面臨的威脅及其威脅方式方法，便于有針對(duì)性地防護(hù)。認(rèn)識(shí)自身存在的脆弱性缺乏，能夠有目的性的進(jìn)行補(bǔ)遺整改。幫助客戶(hù)了解網(wǎng)絡(luò)與信息系統(tǒng)的平安狀況，通過(guò)如工具掃描，滲透測(cè)試，人工審計(jì)等多種技術(shù)手段，全面分析客戶(hù)信息系統(tǒng)和網(wǎng)絡(luò)中存在的各種平安問(wèn)題，同時(shí)將發(fā)現(xiàn)的平安問(wèn)題與信息資產(chǎn)的重要程度相關(guān)聯(lián)，明確當(dāng)前的平安風(fēng)險(xiǎn)。幫助客戶(hù)了解自身存在信息平安管理漏洞，再好的設(shè)備，也是由人進(jìn)行操作的，通過(guò)訪(fǎng)談、問(wèn)卷等多種手段，啟明將協(xié)助客戶(hù)管理層了解當(dāng)前的信息平安管理制度是否存在漏洞，已經(jīng)正式發(fā)布的平安管理制度是否得到了落實(shí)和執(zhí)行。建設(shè)指導(dǎo)通過(guò)專(zhuān)業(yè)的平安技術(shù)和專(zhuān)業(yè)人員及時(shí)全面的掌握客戶(hù)IT環(huán)境的平安現(xiàn)狀和面臨的風(fēng)險(xiǎn)，并提出改良建議，降低風(fēng)險(xiǎn)。為客戶(hù)進(jìn)行信息平安規(guī)劃建設(shè)、平安技術(shù)體系建設(shè)、平安管理體系建設(shè)、平安風(fēng)險(xiǎn)管理奠定基石。通過(guò)對(duì)網(wǎng)絡(luò)與信息系統(tǒng)漏洞產(chǎn)生的威脅進(jìn)行分析，能夠提供有效的平安加固和改良措施建議。在啟明信息平安效勞團(tuán)隊(duì)，如ADlab等國(guó)際國(guó)內(nèi)專(zhuān)業(yè)技術(shù)分析的支持下，啟明平安效勞團(tuán)隊(duì)能夠獲得第一手的信息系統(tǒng)或網(wǎng)絡(luò)的漏洞信息，在此根底上，為客戶(hù)提供及時(shí)、有效地網(wǎng)絡(luò)和信息系統(tǒng)的漏洞開(kāi)掘效勞，并針對(duì)漏洞，提供有效的加固建議和改良措施建議。定期風(fēng)險(xiǎn)評(píng)估，幫助客戶(hù)了解組織信息平安改良情況與開(kāi)展方向，為以后的信息系統(tǒng)平安規(guī)劃建設(shè)提供依據(jù)和參考。通過(guò)對(duì)平安風(fēng)險(xiǎn)的分析和識(shí)別，同時(shí)平衡平安風(fēng)險(xiǎn)與平安本錢(qián)，啟明公司提供專(zhuān)業(yè)的信息平安規(guī)劃和建設(shè)建議，對(duì)于客戶(hù)未來(lái)的信息平安工作，提供重要參考和依據(jù)。幫助客戶(hù)建立信息平安風(fēng)險(xiǎn)管理機(jī)制。為客戶(hù)對(duì)網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行平安風(fēng)險(xiǎn)管理奠定基石，幫助客戶(hù)在降低風(fēng)險(xiǎn)、承受風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)等方面作出最正確的選擇。業(yè)務(wù)保障可以幫助客戶(hù)及時(shí)發(fā)現(xiàn)和修復(fù)網(wǎng)絡(luò)與信息系統(tǒng)的平安問(wèn)題，使平安風(fēng)險(xiǎn)降低到可以接受并且可以被有效管理的范圍內(nèi)，保障客戶(hù)組織內(nèi)信息系統(tǒng)穩(wěn)定運(yùn)行和業(yè)務(wù)連續(xù)性。預(yù)防信息平安事故，保證客戶(hù)業(yè)務(wù)的連續(xù)性，使客戶(hù)的重要信息資產(chǎn)受到與其價(jià)值相符的保護(hù)，防止系統(tǒng)入侵平安隱患再次被破壞或惡意利用，防止業(yè)務(wù)經(jīng)濟(jì)損失數(shù)量持續(xù)增加。啟明星辰信息平安效勞產(chǎn)品規(guī)格效勞評(píng)估模型評(píng)估模型圖-4風(fēng)險(xiǎn)評(píng)估圍繞著資產(chǎn)、威脅、脆弱性和平安措施這些根本要素展開(kāi)，在對(duì)根本要素的評(píng)估過(guò)程中，需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、平安需求、平安事件、剩余風(fēng)險(xiǎn)等與這些根本要素相關(guān)的各類(lèi)屬性。在上圖中的風(fēng)險(xiǎn)要素及屬性之間存在著以下關(guān)系：業(yè)務(wù)戰(zhàn)略的實(shí)現(xiàn)對(duì)資產(chǎn)具有依賴(lài)性，依賴(lài)程度越高，要求其風(fēng)險(xiǎn)越小；資產(chǎn)是有價(jià)值的，組織的業(yè)務(wù)戰(zhàn)略對(duì)資產(chǎn)的依賴(lài)程度越高，資產(chǎn)價(jià)值就越大；風(fēng)險(xiǎn)是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多那么風(fēng)險(xiǎn)越大，并可能演變成為平安事件；資產(chǎn)的脆弱性可能暴露資產(chǎn)的價(jià)值，資產(chǎn)具有的脆弱性越多那么風(fēng)險(xiǎn)越大；脆弱性是未被滿(mǎn)足的平安需求，威脅利用脆弱性危害資產(chǎn)；風(fēng)險(xiǎn)的存在及對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)導(dǎo)出平安需求；平安需求可通過(guò)平安措施得以滿(mǎn)足，需要結(jié)合資產(chǎn)價(jià)值考慮實(shí)施本錢(qián)；平安措施可抵御威脅，降低風(fēng)險(xiǎn)；剩余風(fēng)險(xiǎn)有些是平安措施不當(dāng)或無(wú)效,需要加強(qiáng)才可控制的風(fēng)險(xiǎn)；而有些那么是在綜合考慮了平安本錢(qián)與效益后不去控制的風(fēng)險(xiǎn)；剩余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它可能會(huì)在將來(lái)誘發(fā)新的平安事件。評(píng)估標(biāo)準(zhǔn)標(biāo)準(zhǔn)類(lèi)型參考標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)ISO15408信息技術(shù)平安評(píng)估準(zhǔn)那么ISO/IECTR13335信息和通信技術(shù)平安管理ISO/TR13569銀行和相關(guān)金融效勞信息平安指南ISO/IEC27000信息平安管理體系系列標(biāo)準(zhǔn)AS/NZS4360風(fēng)險(xiǎn)管理NISTSP800-30IT系統(tǒng)風(fēng)險(xiǎn)管理指南國(guó)內(nèi)標(biāo)準(zhǔn)GB17859計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分準(zhǔn)那么GBT20984信息平安風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)GBT22239信息平安技術(shù)信息系統(tǒng)平安等級(jí)保護(hù)根本要求GBZ20985信息技術(shù)平安技術(shù)信息平安事件管理指南GBZ20986信息平安技術(shù)信息平安事件分類(lèi)分級(jí)指南各個(gè)組織或行業(yè)內(nèi)相關(guān)要求表-1效勞評(píng)估方法圖-5注：滲透測(cè)試模塊為可選模塊訪(fǎng)談?wù){(diào)研收集現(xiàn)有業(yè)務(wù)系統(tǒng)資產(chǎn)組成、IT規(guī)劃、管理制度、原有工程平安成果等信息文檔。對(duì)進(jìn)行收集文檔進(jìn)行深入分析，梳理業(yè)務(wù)系統(tǒng)平安現(xiàn)狀。根據(jù)現(xiàn)有文檔分析整理結(jié)果，制定相關(guān)調(diào)研表進(jìn)行信息資產(chǎn)調(diào)研信息補(bǔ)充。制定訪(fǎng)談提綱，對(duì)相關(guān)人員進(jìn)行訪(fǎng)談。人員訪(fǎng)談可以了解人員平安意識(shí)、對(duì)平安管理獲知的程度、對(duì)平安技術(shù)的掌握程度，并且收集大量有用信息，全面了解信息系統(tǒng)的平安需求，深入了解客戶(hù)各層面的平安現(xiàn)狀。人工審計(jì)人工評(píng)估只對(duì)被評(píng)估對(duì)象進(jìn)行運(yùn)行狀態(tài)和配置檢查，因此不會(huì)對(duì)現(xiàn)有信息系統(tǒng)上的其他設(shè)備和資源帶來(lái)任何影響，而對(duì)被評(píng)估對(duì)象的資源占用也小于工具評(píng)估。人工評(píng)估完成后將產(chǎn)生人工評(píng)估報(bào)告，也將作為整體的平安評(píng)估報(bào)告的一個(gè)重要的來(lái)源和依據(jù)。人工評(píng)估對(duì)本地平安評(píng)估而言是必不可少的。人工平安評(píng)估對(duì)實(shí)施人員的平安知識(shí)、平安技術(shù)和平安經(jīng)驗(yàn)要求很高，因?yàn)樗麄儽仨毩私庾钚碌钠桨猜┒?、掌握多種先進(jìn)的平安技術(shù)和積累豐富的評(píng)估經(jīng)驗(yàn)，這樣才能對(duì)本地平安評(píng)估中位于物理層、網(wǎng)絡(luò)層、主機(jī)層、數(shù)據(jù)層和用戶(hù)層的所有平安對(duì)象目標(biāo)進(jìn)行最有效和最完整的平安評(píng)估，并提供最合理和最及時(shí)的平安建議。工具掃描工具自動(dòng)評(píng)估是用各種商用平安評(píng)估系統(tǒng)或掃描器，根據(jù)其內(nèi)置的評(píng)估內(nèi)容、測(cè)試方法、評(píng)估策略及相關(guān)數(shù)據(jù)庫(kù)信息，從系統(tǒng)內(nèi)部對(duì)主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)等系統(tǒng)進(jìn)行一系列的設(shè)置檢查，使其可預(yù)防潛在平安風(fēng)險(xiǎn)問(wèn)題，如弱口令、用戶(hù)權(quán)限設(shè)置、用戶(hù)帳戶(hù)設(shè)置、關(guān)鍵文件權(quán)限設(shè)置、路徑設(shè)置、密碼設(shè)置、網(wǎng)絡(luò)效勞配置、應(yīng)用程序的可信性、效勞器設(shè)置以及其他含有攻擊隱患的可疑點(diǎn)等。它也可以找出黑客攻破系統(tǒng)的跡象，并提出修補(bǔ)建議。工具評(píng)估最突出的優(yōu)點(diǎn)是評(píng)估工作可由軟件來(lái)自動(dòng)進(jìn)行，速度快，效率高。工具評(píng)估局部將采用基于應(yīng)用和網(wǎng)絡(luò)系統(tǒng)類(lèi)的掃描軟件來(lái)分別進(jìn)行。掃描評(píng)估主要是根據(jù)已有的平安漏洞知識(shí)庫(kù)，檢測(cè)網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)效勞、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等各種信息資產(chǎn)所存在的平安隱患和漏洞。網(wǎng)絡(luò)掃描主要依靠帶有平安漏洞知識(shí)庫(kù)的網(wǎng)絡(luò)平安掃描工具對(duì)系統(tǒng)進(jìn)行平安掃描，其特點(diǎn)是能對(duì)被評(píng)估目標(biāo)進(jìn)行覆蓋面廣泛的平安漏洞查找，并且評(píng)估環(huán)境與被評(píng)估對(duì)象在線(xiàn)運(yùn)行的環(huán)境完全一致，能較真實(shí)地反映系統(tǒng)所存在的平安隱患和面臨的平安威脅。滲透測(cè)試滲透測(cè)試，也叫白客攻擊測(cè)試，它是一種從攻擊者的角度來(lái)對(duì)主機(jī)系統(tǒng)的平安程度進(jìn)行平安評(píng)估的手段，在對(duì)現(xiàn)有信息系統(tǒng)不造成任何損害的前提下，模擬入侵者對(duì)指定系統(tǒng)進(jìn)行攻擊測(cè)試。滲透測(cè)試通常能以非常明顯，直觀的結(jié)果來(lái)反映出系統(tǒng)的平安現(xiàn)狀。該方法也越來(lái)越受到國(guó)際/國(guó)內(nèi)信息平安業(yè)界的認(rèn)可和重視。為了解效勞系統(tǒng)的平安現(xiàn)狀，在許可和控制的范圍內(nèi)，將對(duì)應(yīng)用系統(tǒng)進(jìn)行滲透測(cè)試。滲透測(cè)試將作為平安評(píng)估的一個(gè)重要組成局部。滲透測(cè)試是工具掃描和人工評(píng)估的重要補(bǔ)充。工具掃描具有很好的效率和速度，但是存在一定的誤報(bào)率，不能發(fā)現(xiàn)高層次、復(fù)雜的平安問(wèn)題；滲透測(cè)試需要投入的人力資源較大、對(duì)測(cè)試者的專(zhuān)業(yè)技能要求很高，但是非常準(zhǔn)確，可以發(fā)現(xiàn)邏輯性更強(qiáng)、更深層次的弱點(diǎn)。效勞評(píng)估范圍技術(shù)評(píng)估評(píng)估類(lèi)型評(píng)估范圍物理環(huán)境評(píng)估評(píng)估對(duì)象：物理環(huán)境根底設(shè)施評(píng)估內(nèi)容：從機(jī)房場(chǎng)地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線(xiàn)路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識(shí)別評(píng)估。網(wǎng)絡(luò)結(jié)構(gòu)評(píng)估評(píng)估對(duì)象：網(wǎng)絡(luò)及平安設(shè)備(交換機(jī)、路由器、防火墻、入侵檢測(cè)設(shè)、平安審計(jì)等)評(píng)估內(nèi)容：從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪(fǎng)問(wèn)控制策略、內(nèi)部訪(fǎng)問(wèn)控制策略、網(wǎng)絡(luò)設(shè)備平安配置等方面進(jìn)行識(shí)別評(píng)估。主機(jī)及數(shù)據(jù)系統(tǒng)評(píng)估評(píng)估對(duì)象：操作及數(shù)據(jù)庫(kù)系統(tǒng)〔Windows、Linux、Unix、Oracle、informix、ibmdb2、sqlserver、mysql等)評(píng)估內(nèi)容：從補(bǔ)丁安裝、物理保護(hù)、用戶(hù)帳號(hào)、口令策略、資源共享、事件審計(jì)、訪(fǎng)問(wèn)控制、新系統(tǒng)配置、注冊(cè)表加固、網(wǎng)絡(luò)平安、系統(tǒng)管理等方面進(jìn)行識(shí)別評(píng)估。應(yīng)用系統(tǒng)評(píng)估評(píng)估對(duì)象：應(yīng)用中間件〔IIS、APACHE、TOMCAT、Weblogic等〕和應(yīng)用系統(tǒng)軟件評(píng)估內(nèi)容：從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪(fǎng)問(wèn)控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)、腳本漏洞等方面進(jìn)行識(shí)別評(píng)估。業(yè)務(wù)流程評(píng)估評(píng)估對(duì)象：業(yè)務(wù)流程評(píng)估內(nèi)容：依據(jù)業(yè)務(wù)過(guò)程的數(shù)據(jù)流程評(píng)估客戶(hù)的業(yè)務(wù)流程，識(shí)別客戶(hù)業(yè)務(wù)流程的平安隱患。表-2管理評(píng)估評(píng)估類(lèi)型評(píng)估范圍平安管理制度評(píng)估評(píng)估內(nèi)容：平安管理制度一般是文檔化的，被正式制定、評(píng)審、發(fā)布和修訂，內(nèi)容包括策略、制度、規(guī)程、表格和記錄等，構(gòu)成一個(gè)塔字結(jié)構(gòu)的文檔體系。對(duì)平安管理制度的制定、發(fā)布、評(píng)審、修訂進(jìn)行評(píng)估。平安管理機(jī)構(gòu)評(píng)估評(píng)估內(nèi)容：平安管理機(jī)構(gòu)包括平安管理的崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作等方面內(nèi)容，嚴(yán)格的平安管理應(yīng)該由相對(duì)獨(dú)立的職能部門(mén)和崗位來(lái)完成。平安管理機(jī)構(gòu)從組織上保證了信息系統(tǒng)的平安。人員平安管理評(píng)估評(píng)估內(nèi)容：人員平安管理包括信息系統(tǒng)用戶(hù)、平安管理人員和第三方人員的管理，覆蓋人員錄用、人員離崗、人員考核、平安意識(shí)教育和培訓(xùn)、第三方人員管理等方面內(nèi)容。工作人員直接運(yùn)行、管理和維護(hù)信息系統(tǒng)的各種設(shè)備、設(shè)施和相關(guān)技術(shù)手段，與他們直接發(fā)生關(guān)聯(lián)關(guān)系。因此，他們的知識(shí)結(jié)構(gòu)和工作能力直接影響到信息系統(tǒng)其他層面的平安。系統(tǒng)建設(shè)管理評(píng)估系統(tǒng)建設(shè)管理包括系統(tǒng)定級(jí)、平安風(fēng)險(xiǎn)分析、平安方案設(shè)計(jì)、產(chǎn)品采購(gòu)、自行軟件開(kāi)發(fā)、外包軟件開(kāi)發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、平安測(cè)評(píng)、系統(tǒng)備案等信息系統(tǒng)平安等級(jí)建設(shè)的各個(gè)方面。信息系統(tǒng)的平安是一個(gè)過(guò)程，是一項(xiàng)工程，它不但涉及到當(dāng)前的運(yùn)行狀態(tài)，而且還關(guān)系到信息系統(tǒng)平安建設(shè)的各個(gè)階段。只有在信息系統(tǒng)平安建設(shè)的各個(gè)階段確保平安，才能使得運(yùn)行中的信息系統(tǒng)有平安保證。系統(tǒng)運(yùn)維管理評(píng)估系統(tǒng)運(yùn)維管理包括運(yùn)行環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備使用管理、運(yùn)行監(jiān)控管理、惡意代碼防護(hù)管理、網(wǎng)絡(luò)平安管理、系統(tǒng)平安管理、密碼管理、變更管理、備份和恢復(fù)管理、平安事件處置和應(yīng)急方案管理等方面內(nèi)容。系統(tǒng)運(yùn)維各個(gè)方面都直接關(guān)系到相關(guān)平安控制技術(shù)的正確、平安配置和合理使用。對(duì)信息系統(tǒng)運(yùn)維各個(gè)方面提出具體的平安要求，可以為工作人員進(jìn)行正確管理和運(yùn)行提供工作準(zhǔn)繩，直接影響到整個(gè)信息系統(tǒng)的平安。表-3啟明星辰信息平安效勞產(chǎn)品流程效勞流程藍(lán)圖圖-6效勞流程階段效勞啟動(dòng)效勞目標(biāo)風(fēng)險(xiǎn)評(píng)估啟動(dòng)是整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程有效性的保證。組織實(shí)施風(fēng)險(xiǎn)評(píng)估是一種戰(zhàn)略性的考慮，其結(jié)果將受到組織的業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、平安需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。因此，在風(fēng)險(xiǎn)評(píng)估實(shí)施前，應(yīng)確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)與范圍、進(jìn)行系統(tǒng)調(diào)研、制定風(fēng)險(xiǎn)評(píng)估方案、獲得客戶(hù)管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作支持。效勞內(nèi)容確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)與范圍根據(jù)滿(mǎn)足組織業(yè)務(wù)持續(xù)開(kāi)展在平安方面的需要、法律法規(guī)的規(guī)定等內(nèi)容，識(shí)別現(xiàn)有信息系統(tǒng)及管理上的缺乏，以及可能造成的風(fēng)險(xiǎn)大小。風(fēng)險(xiǎn)評(píng)估范圍可能是組織全部的信息及與信息處理相關(guān)的各類(lèi)資產(chǎn)、管理機(jī)構(gòu)，也可能是某個(gè)獨(dú)立的信息系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與客戶(hù)知識(shí)產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門(mén)等。系統(tǒng)調(diào)研系統(tǒng)調(diào)研是確定被評(píng)估對(duì)象的過(guò)程，風(fēng)險(xiǎn)評(píng)估小組應(yīng)進(jìn)行充分的系統(tǒng)調(diào)研，為風(fēng)險(xiǎn)評(píng)估依據(jù)和方法的選擇、評(píng)估內(nèi)容的實(shí)施奠定根底。調(diào)研內(nèi)容至少應(yīng)包括：業(yè)務(wù)戰(zhàn)略及管理制度、主要的業(yè)務(wù)功能和要求、網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部連接和外部連接、系統(tǒng)邊界、主要的硬件、軟件、數(shù)據(jù)和信息、系統(tǒng)和數(shù)據(jù)的敏感性、支持和使用系統(tǒng)的人員、其他。制定風(fēng)險(xiǎn)評(píng)估方案風(fēng)險(xiǎn)評(píng)估方案的目的是為后面的風(fēng)險(xiǎn)評(píng)估實(shí)施活動(dòng)提供一個(gè)總體方案，用于指導(dǎo)實(shí)施方開(kāi)展后續(xù)工作。風(fēng)險(xiǎn)評(píng)估方案的內(nèi)容一般包括：團(tuán)隊(duì)組織：包括評(píng)估團(tuán)隊(duì)成員、組織結(jié)構(gòu)、角色、責(zé)任等內(nèi)容；工作方案：風(fēng)險(xiǎn)評(píng)估各階段的工作方案，包括工作內(nèi)容、工作形式、工作成果等內(nèi)容；時(shí)間進(jìn)度安排：工程實(shí)施的時(shí)間進(jìn)度安排。獲得支持上述所有內(nèi)容確定后，應(yīng)形成較為完整的風(fēng)險(xiǎn)評(píng)估實(shí)施方案，得到客戶(hù)管理者的支持、批準(zhǔn)；對(duì)管理層和技術(shù)人員進(jìn)行傳達(dá)，在組織范圍就風(fēng)險(xiǎn)評(píng)估相關(guān)內(nèi)容進(jìn)行培訓(xùn)，以明確有關(guān)人員在風(fēng)險(xiǎn)評(píng)估中的任務(wù)。成果輸出：?效勞實(shí)施綜合方案?資產(chǎn)評(píng)估效勞目標(biāo)對(duì)被評(píng)估信息系統(tǒng)的關(guān)鍵資產(chǎn)進(jìn)行識(shí)別，并合理分類(lèi)；在資產(chǎn)識(shí)別過(guò)程中，需要詳細(xì)識(shí)別關(guān)鍵資產(chǎn)的平安屬性，重點(diǎn)識(shí)別出資產(chǎn)在遭受泄密、中斷、損害等破壞時(shí)所遭受的影響，并根據(jù)資產(chǎn)在遭受泄密、中斷、損害等破壞時(shí)所遭受的影響，對(duì)資產(chǎn)的價(jià)值進(jìn)行賦值。效勞內(nèi)容資產(chǎn)識(shí)別資產(chǎn)是構(gòu)成整個(gè)系統(tǒng)的各種元素的組合，它直接的表現(xiàn)了這個(gè)系統(tǒng)的業(yè)務(wù)或任務(wù)的重要性，這種重要性進(jìn)而轉(zhuǎn)化為資產(chǎn)應(yīng)具有的保護(hù)價(jià)值。信息系統(tǒng)資可以分為硬件、軟件、數(shù)據(jù)、人員、效勞、其他類(lèi)資產(chǎn)等。資產(chǎn)分析在資產(chǎn)識(shí)別的根底上，進(jìn)一步分析被評(píng)估信息系統(tǒng)及其關(guān)鍵資產(chǎn)在遭受泄密、中斷、損害等破壞時(shí)對(duì)系統(tǒng)所承載的業(yè)務(wù)系統(tǒng)所產(chǎn)生的影響。并進(jìn)行賦值量化。從而為最后綜合風(fēng)險(xiǎn)分析提供參考數(shù)據(jù)。資產(chǎn)賦值的過(guò)程也就是對(duì)資產(chǎn)在機(jī)密性、完整性和可用性上的達(dá)成程度進(jìn)行分析，并在此根底上得出綜合結(jié)果的過(guò)程。等級(jí)標(biāo)識(shí)描述5很高非常重要，其平安屬性破壞后可能對(duì)組織造成非常嚴(yán)重的損失。4高重要，其平安屬性破壞后可能對(duì)組織造成比擬嚴(yán)重的損失。3中比擬重要，其平安屬性破壞后可能對(duì)組織造成中等程度的損失。2低不太重要，其平安屬性破壞后可能對(duì)組織造成較低的損失。1很低不重要，其平安屬性破壞后對(duì)組織造成導(dǎo)很小的損失，甚至忽略不計(jì)。表-4階段成果輸出：?資產(chǎn)賦值列表?威脅評(píng)估效勞目標(biāo)通過(guò)威脅調(diào)查、取樣等手段識(shí)別被評(píng)估信息系統(tǒng)的關(guān)鍵資產(chǎn)所面臨的威脅源，及其威脅所常采用的威脅方法，對(duì)資產(chǎn)所產(chǎn)生的影響。并為后續(xù)威脅分析及綜合風(fēng)險(xiǎn)分析提供參考數(shù)據(jù)。效勞內(nèi)容威脅識(shí)別威脅識(shí)別要從威脅的主體、威脅途徑和威脅方式三個(gè)方面來(lái)進(jìn)行：威脅主體：分為人為因素和環(huán)境因素。根據(jù)威脅的動(dòng)機(jī)，人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然災(zāi)害和設(shè)施故障。威脅途徑：分為間接接觸和直接接觸，間接接觸主要有網(wǎng)絡(luò)訪(fǎng)問(wèn)、語(yǔ)音、視頻訪(fǎng)問(wèn)等形式，直接接觸指威脅主體可以直接物理接觸到信息資產(chǎn)。威脅方式：主要有傳播計(jì)算機(jī)病毒、傳播異常信息(垃圾郵件、反動(dòng)、色情、敏感信息)、掃描監(jiān)聽(tīng)、網(wǎng)絡(luò)攻擊(后門(mén)、漏洞、口令、拒絕效勞等)、越權(quán)或?yàn)E用、行為抵賴(lài)、濫用網(wǎng)絡(luò)資源(P2P下載等)、人為災(zāi)害(水、火等)、人為根底設(shè)施故障(電力、網(wǎng)絡(luò)等)、竊取、破壞硬件、軟件和數(shù)據(jù)等。威脅識(shí)別的方法有：人工審計(jì)、平安策略文檔審閱、人員面談、入侵檢測(cè)系統(tǒng)收集的信息和人工分析等。威脅識(shí)別方法列表如下：編號(hào)威脅識(shí)別方法描述1訪(fǎng)談通過(guò)和資產(chǎn)所有人、負(fù)責(zé)管理人員進(jìn)行訪(fǎng)談2人工分析根據(jù)專(zhuān)家經(jīng)驗(yàn)，從的數(shù)據(jù)中進(jìn)行分析3IDS通過(guò)入侵監(jiān)測(cè)系統(tǒng)在一段時(shí)間內(nèi)監(jiān)視網(wǎng)絡(luò)上的平安事件來(lái)獲得數(shù)據(jù)4人工審計(jì)通過(guò)人工審計(jì)方法來(lái)測(cè)試弱點(diǎn)，證實(shí)威脅5平安策略文檔分析平安策略文檔分析6平安審計(jì)通過(guò)一套審計(jì)問(wèn)題列表問(wèn)答的方式來(lái)分析弱點(diǎn)7事件記錄對(duì)已有歷史平安事件記錄進(jìn)行分析表-5威脅分析在威脅識(shí)別的根底上，進(jìn)一步分析被評(píng)估信息系統(tǒng)及其關(guān)鍵資產(chǎn)將面臨哪一方面的威脅及其所采用的威脅方法。并依據(jù)其發(fā)生的可能性進(jìn)行賦值量化。同時(shí)為最后綜合風(fēng)險(xiǎn)分析提供參考數(shù)據(jù)。威脅主要依據(jù)其出現(xiàn)頻率來(lái)賦值：等級(jí)標(biāo)識(shí)定義5很高出現(xiàn)的頻率很高〔或≥1次/周〕；或在大多數(shù)情況下幾乎不可防止；或可以證實(shí)經(jīng)常發(fā)生過(guò)。4高出現(xiàn)的頻率較高〔或≥1次/月〕；或在大多數(shù)情況下很有可能會(huì)發(fā)生；或可以證實(shí)屢次發(fā)生過(guò)。3中出現(xiàn)的頻率中等〔或>1次/半年〕；或在某種情況下可能會(huì)發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過(guò)。2低出現(xiàn)的頻率較小；或一般不太可能發(fā)生；或沒(méi)有被證實(shí)發(fā)生過(guò)。1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見(jiàn)和例外的情況下發(fā)生。表-6階段成果輸出：?威脅賦值列表?脆弱評(píng)估效勞目標(biāo)采用平安掃描、手動(dòng)檢查、問(wèn)卷調(diào)查、人工問(wèn)詢(xún)等方式對(duì)評(píng)估工作范圍內(nèi)的物理環(huán)境、網(wǎng)絡(luò)設(shè)備、平安設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和應(yīng)用中間件系統(tǒng)、應(yīng)用系統(tǒng)軟件和平安管理進(jìn)行脆弱性評(píng)估，同時(shí)為后續(xù)脆弱性分析及綜合風(fēng)險(xiǎn)分析提供參考數(shù)據(jù)。階段效勞內(nèi)容脆弱性識(shí)別脆弱性識(shí)別是風(fēng)險(xiǎn)評(píng)估中最重要的一個(gè)環(huán)節(jié)。脆弱性識(shí)別可以以資產(chǎn)為核心，針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn),識(shí)別可能被威脅利用的弱點(diǎn)，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估；也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識(shí)別，然后與資產(chǎn)、威脅對(duì)應(yīng)起來(lái)。脆弱性識(shí)別的依據(jù)可以是國(guó)際或國(guó)家平安標(biāo)準(zhǔn)，也可以是行業(yè)標(biāo)準(zhǔn)、應(yīng)用流程的平安要求。脆弱性識(shí)別類(lèi)型技術(shù)脆弱性識(shí)別內(nèi)容識(shí)別方法物理環(huán)境對(duì)信息系統(tǒng)所處的物理環(huán)境即機(jī)房、線(xiàn)路、客戶(hù)端的支撐設(shè)施等進(jìn)行脆弱性識(shí)別，內(nèi)容主要有：門(mén)禁系統(tǒng)、報(bào)警系統(tǒng)、監(jiān)控系統(tǒng)、防雷擊接地、防靜電、UPS、消防系統(tǒng)、防電磁泄露、弱電系統(tǒng)、防塵、溫室控制和機(jī)房容災(zāi)備份等。問(wèn)卷訪(fǎng)談人工審計(jì)網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)平安、訪(fǎng)問(wèn)控制策略與措施、網(wǎng)絡(luò)設(shè)備策略與配置、平安設(shè)備策略與配置、網(wǎng)絡(luò)性能與業(yè)務(wù)負(fù)載分析評(píng)估等。問(wèn)卷訪(fǎng)談人工審計(jì)工具掃描主機(jī)及數(shù)據(jù)庫(kù)系統(tǒng)從補(bǔ)丁安裝、物理保護(hù)、用戶(hù)帳號(hào)、口令策略、資源共享、事件審計(jì)、訪(fǎng)問(wèn)控制、新系統(tǒng)配置、注冊(cè)表加固、網(wǎng)絡(luò)平安、系統(tǒng)管理等方面進(jìn)行識(shí)別評(píng)估。人工審計(jì)工具掃描應(yīng)用系統(tǒng)含應(yīng)用中間件，從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪(fǎng)問(wèn)控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)、腳本漏洞等方面進(jìn)行識(shí)別評(píng)估。人工審計(jì)工具掃描滲透測(cè)試業(yè)務(wù)流程業(yè)務(wù)數(shù)據(jù)流向〔輸入、傳輸、存儲(chǔ)、輸出〕業(yè)務(wù)策略〔業(yè)務(wù)要求、使用范圍、平安等級(jí)〕業(yè)務(wù)實(shí)現(xiàn)方式、業(yè)務(wù)平安要求、各時(shí)段業(yè)務(wù)負(fù)載量、授權(quán)和認(rèn)證、審計(jì)、加密、完整性、不可否認(rèn)性等進(jìn)行業(yè)務(wù)流程評(píng)估。問(wèn)卷訪(fǎng)談人工審計(jì)平安管理從以下幾方面分析被評(píng)估信息系統(tǒng)平安管理狀況：管理機(jī)構(gòu)、管理制度、人員管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理。問(wèn)卷訪(fǎng)談表-7脆弱性分析在脆弱性識(shí)別的根底上，進(jìn)一步分析被評(píng)估信息系統(tǒng)及其關(guān)鍵資產(chǎn)所存在的各方面脆弱性即根底環(huán)境脆弱性、平安管理脆弱性、技術(shù)脆弱性。并依據(jù)其脆弱性被利用的難易程度和被成功利用后所產(chǎn)生的影響進(jìn)行賦值量化。從而為最后綜合風(fēng)險(xiǎn)分析提供參考數(shù)據(jù)。脆弱性嚴(yán)重程度的賦值方法如下：等級(jí)標(biāo)識(shí)定義5很高如果被威脅利用，將對(duì)資產(chǎn)造成完全損害。4高如果被威脅利用，將對(duì)資產(chǎn)造成重大損害。3中如果被威脅利用，將對(duì)資產(chǎn)造成一般損害。2低如果被威脅利用，將對(duì)資產(chǎn)造成較小損害。1很低如果被威脅利用，將對(duì)資產(chǎn)造成的損害可以忽略。表-8階段成果輸出：?脆弱性賦值列表?風(fēng)險(xiǎn)分析效勞目標(biāo)風(fēng)險(xiǎn)是指特定的威脅利用資產(chǎn)的一種或一組脆弱性，導(dǎo)致資產(chǎn)的喪失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。在這個(gè)過(guò)程中，將采用最新的方法進(jìn)行綜合分析，表述出威脅源采用何種威脅方法，利用了系統(tǒng)的何種脆弱性，對(duì)哪一類(lèi)資產(chǎn)，產(chǎn)生了什么樣的影響，并描述采取何種對(duì)策來(lái)防范威脅，減少脆弱性。效勞內(nèi)容風(fēng)險(xiǎn)計(jì)算在完成以上各項(xiàng)階段評(píng)估工作后，進(jìn)一步分析被評(píng)估信息系統(tǒng)及其關(guān)鍵資產(chǎn)將面臨哪一方面的威脅及其所采用的威脅方法,利用了系統(tǒng)的何種脆弱性，對(duì)哪一類(lèi)資產(chǎn)，產(chǎn)生了什么樣的影響，并描述采取何種對(duì)策來(lái)防范威脅，減少脆弱性，同時(shí)將風(fēng)險(xiǎn)量化。風(fēng)險(xiǎn)計(jì)算方法：綜合風(fēng)險(xiǎn)計(jì)算方法：根據(jù)風(fēng)險(xiǎn)計(jì)算公式R=f(A,V,T)=f(Ia,L(Va,T))，即：風(fēng)險(xiǎn)值=資產(chǎn)價(jià)值×威脅可能性×弱點(diǎn)嚴(yán)重性〔注：R表示風(fēng)險(xiǎn)；A表示資產(chǎn)；V表示脆弱性；T表示威脅；Ia表示資產(chǎn)發(fā)生平安事件后對(duì)組織業(yè)務(wù)的影響(也稱(chēng)為資產(chǎn)的重要程度)；Va表示某一資產(chǎn)本身的脆弱性，L表示威脅利用資產(chǎn)的脆弱性造成平安事件發(fā)生的可能性。〕可根據(jù)自身情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法計(jì)算風(fēng)險(xiǎn)值，如矩陣法或相乘法。矩陣法通過(guò)構(gòu)造一個(gè)二維矩陣，形成平安事件的可能性與平安事件造成的損失之間的二維關(guān)系；相乘法通過(guò)構(gòu)造經(jīng)驗(yàn)函數(shù)，將平安事件的可能性與平安事件造成的損失進(jìn)行運(yùn)算得到風(fēng)險(xiǎn)值。風(fēng)險(xiǎn)評(píng)價(jià)將估計(jì)的風(fēng)險(xiǎn)與風(fēng)險(xiǎn)準(zhǔn)那么比擬確定風(fēng)險(xiǎn)的嚴(yán)重性。為實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的控制與管理，可以對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行等級(jí)化處理。可將風(fēng)險(xiǎn)劃分為五級(jí)，等級(jí)越高，風(fēng)險(xiǎn)越高。根據(jù)所采用的風(fēng)險(xiǎn)計(jì)算方法，計(jì)算每種資產(chǎn)面臨的風(fēng)險(xiǎn)值，根據(jù)風(fēng)險(xiǎn)值的分布狀況，為每個(gè)等級(jí)設(shè)定風(fēng)險(xiǎn)值范圍，并對(duì)所有風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)處理。每個(gè)等級(jí)代表了相應(yīng)風(fēng)險(xiǎn)的嚴(yán)重程度。每個(gè)等級(jí)代表了相應(yīng)風(fēng)險(xiǎn)的嚴(yán)重程度。風(fēng)險(xiǎn)等級(jí)劃分方法如下所示：等級(jí)標(biāo)識(shí)描述5很高一旦發(fā)生將產(chǎn)生非常嚴(yán)重的經(jīng)濟(jì)或社會(huì)影響，如組織信譽(yù)嚴(yán)重破壞、嚴(yán)重影響組織的正常經(jīng)營(yíng)，經(jīng)濟(jì)損失重大、社會(huì)影響惡劣。4高一旦發(fā)生將產(chǎn)生較大的經(jīng)濟(jì)或社會(huì)影響，在一定范圍內(nèi)給組織的經(jīng)營(yíng)和組織信譽(yù)造成損害。3中一旦發(fā)生會(huì)造成一定的經(jīng)濟(jì)、社會(huì)或生產(chǎn)經(jīng)營(yíng)影響，但影響面和影響程度不大。2低一旦發(fā)生造成的影響程度較低，一般僅限于組織內(nèi)部，通過(guò)一定手段很快能解決。1很低一旦發(fā)生造成的影響幾乎不存在，通過(guò)簡(jiǎn)單的措施就能彌補(bǔ)。表-9成果輸出：?風(fēng)險(xiǎn)評(píng)估綜合報(bào)告?風(fēng)險(xiǎn)處置效勞目標(biāo)風(fēng)險(xiǎn)處置目的是為風(fēng)險(xiǎn)管理過(guò)程中對(duì)不同風(fēng)險(xiǎn)的直觀比擬，以確定組織平安策略。對(duì)不可接受的風(fēng)險(xiǎn)應(yīng)根據(jù)導(dǎo)致該風(fēng)險(xiǎn)的脆弱性制定風(fēng)險(xiǎn)處理方案。效勞內(nèi)容在分析階段完成之后，將根據(jù)風(fēng)險(xiǎn)分析的結(jié)果，結(jié)合國(guó)家有關(guān)的法律、法規(guī)，總結(jié)出客戶(hù)當(dāng)前的平安需求。根據(jù)平安需求的輕重緩急以及相關(guān)標(biāo)準(zhǔn)和平安技術(shù)保障框架，制定出適合客戶(hù)的風(fēng)險(xiǎn)處置方案方案。風(fēng)險(xiǎn)處理方案中應(yīng)明確采取的彌補(bǔ)脆弱性的平安措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、責(zé)任部門(mén)等。平安措施的選擇應(yīng)從管理與技術(shù)兩個(gè)方面考慮。平安措施的選擇與實(shí)施應(yīng)參照信息平安的相關(guān)標(biāo)準(zhǔn)進(jìn)行。應(yīng)當(dāng)綜合考慮風(fēng)險(xiǎn)控制本錢(qián)與風(fēng)險(xiǎn)造成的影響，提出一個(gè)可接受的風(fēng)險(xiǎn)范圍。對(duì)某些資產(chǎn)的風(fēng)險(xiǎn)，如果風(fēng)險(xiǎn)計(jì)算值在可接受的范圍內(nèi)，那么該風(fēng)險(xiǎn)是可接受的，應(yīng)保持已有的平安措施；如果風(fēng)險(xiǎn)評(píng)估值在可接受的范圍外，即風(fēng)險(xiǎn)計(jì)算值高于可接受范圍的上限值，那么該風(fēng)險(xiǎn)是不可接受的，需要采取平安措施以降低、控制風(fēng)險(xiǎn)。另一種確定不可接受的風(fēng)險(xiǎn)的方法是根據(jù)等級(jí)化處理的結(jié)果，不設(shè)定可接受風(fēng)險(xiǎn)值的基準(zhǔn)，對(duì)到達(dá)相應(yīng)等級(jí)的風(fēng)險(xiǎn)都進(jìn)行處理。成果輸出：?風(fēng)險(xiǎn)處置方案?效勞驗(yàn)收效勞目標(biāo)在以上幾個(gè)階段完成后，向客戶(hù)匯報(bào)風(fēng)險(xiǎn)評(píng)估情況，詳細(xì)介紹被評(píng)估信息系統(tǒng)所面臨的風(fēng)險(xiǎn)，清晰的表達(dá)所面臨的威脅狀況、威脅所利用的脆弱性、產(chǎn)生的影響等狀況，并在描述平安風(fēng)險(xiǎn)之后表述出采取何種對(duì)策防范威脅、減少脆弱性。最后對(duì)工程依據(jù)驗(yàn)收方案進(jìn)行工程最終驗(yàn)收。效勞內(nèi)容交付簽收簽收是對(duì)交付品行為確實(shí)認(rèn)，當(dāng)向客戶(hù)提交工作成果時(shí)，填寫(xiě)?效勞成果提交確認(rèn)書(shū)?，并由工程經(jīng)理認(rèn)可后客戶(hù)提供，同時(shí)為客戶(hù)進(jìn)行成果匯報(bào)。效勞驗(yàn)收當(dāng)客戶(hù)履行內(nèi)部驗(yàn)收程序，認(rèn)為提供的咨詢(xún)成果可以通過(guò)驗(yàn)收后，填寫(xiě)?效勞驗(yàn)收?qǐng)?bào)告?，由客戶(hù)工程負(fù)責(zé)人簽字后，表示效勞成果已通過(guò)驗(yàn)收。階段成果輸出：?效勞驗(yàn)收?qǐng)?bào)告?效勞流程管理管理概述為確保效勞的順利實(shí)施，需要一整套科學(xué)、有效的工程管理方法，對(duì)工程的目標(biāo)、時(shí)間、本錢(qián)、質(zhì)量等關(guān)鍵因素進(jìn)行有效的控制，為工程中具體任務(wù)的開(kāi)展提供支持和保障。啟明星辰信息平安擁有全球領(lǐng)先的工程實(shí)施和管理方法論－PMM4?。采用此方法對(duì)工程進(jìn)行監(jiān)控與管理，能夠幫助工程經(jīng)理對(duì)工程整體進(jìn)行最充分的全局把握，有效提高工作效率并且更易于進(jìn)行工程質(zhì)量控制和工程風(fēng)險(xiǎn)管理。PMM4?從工作流程和關(guān)鍵領(lǐng)域兩個(gè)維度明確提供了工程管理過(guò)程中的主要工作過(guò)程和關(guān)注內(nèi)容，并提供了大量的工程管理工具，例如：各類(lèi)匯總報(bào)告格式、表格、模板等，能夠?yàn)楣こ坦芾淼木唧w實(shí)施提供參考和依據(jù)。管理組成效勞管理名稱(chēng)效勞管理內(nèi)容效勞管理輸出效勞范圍管理范圍管理通過(guò)對(duì)工程范圍的明確界定以及過(guò)程中變更的嚴(yán)格控制，使整個(gè)工程各項(xiàng)工作自始至終嚴(yán)格貫徹立項(xiàng)的宗旨，既無(wú)工作內(nèi)容遺漏，也不存在未經(jīng)授權(quán)的范圍超出，從而保障工程的圓滿(mǎn)完成。?工作范圍說(shuō)明書(shū)?效勞溝通管理及時(shí)準(zhǔn)確順暢的信息溝通，是保障工程在有效的協(xié)調(diào)和管理下，順利實(shí)施的重要手段。啟明星辰信息平安通過(guò)落實(shí)有效的溝通管理方法和反應(yīng)機(jī)制，確保工程相關(guān)信息被及時(shí)、正確的提取、收集、傳播和存儲(chǔ)，保證工程各相關(guān)方之間信息暢通。?效勞溝通方案?效勞進(jìn)度管理通過(guò)制定工程整體工作方案、雙周工作方案并落實(shí)持續(xù)有效的進(jìn)度監(jiān)控機(jī)制，及時(shí)掌握工程進(jìn)度狀態(tài)及趨勢(shì)，發(fā)現(xiàn)重大進(jìn)度問(wèn)題，為工程決策和協(xié)調(diào)提供支持。?效勞實(shí)施方案?效勞風(fēng)險(xiǎn)管理通過(guò)有效的風(fēng)險(xiǎn)管理機(jī)制和方法，對(duì)那些尚未發(fā)生、但可能對(duì)工程實(shí)施產(chǎn)生負(fù)面效果的、不可控的工程活動(dòng)或環(huán)境進(jìn)行識(shí)別、分析、量化、管理，盡可能降低風(fēng)險(xiǎn)發(fā)生的機(jī)率以及發(fā)生后可能產(chǎn)生的影響。?風(fēng)險(xiǎn)管理措施?效勞質(zhì)量管理基于明確的質(zhì)量管理原那么，在工程實(shí)施過(guò)程中執(zhí)行有效的質(zhì)量管理流程，這包括制定質(zhì)量管理方案、執(zhí)行質(zhì)量保證方案、監(jiān)控質(zhì)量保證執(zhí)行三大步驟，從而最終實(shí)現(xiàn)對(duì)交付質(zhì)量的有效控制，降低令客戶(hù)不滿(mǎn)意可能性。?質(zhì)量管理方案?效勞會(huì)議管理會(huì)議是工程各方溝通的重要手段。在工程實(shí)施過(guò)程中，需要通過(guò)一系列相關(guān)的會(huì)議對(duì)工程過(guò)程中的關(guān)鍵問(wèn)題進(jìn)行交流、討論和決策，根據(jù)會(huì)議召開(kāi)時(shí)間的不同，具體可以分為定期會(huì)議和非定期會(huì)議兩大類(lèi)。?效勞會(huì)議紀(jì)要?效勞文檔管理在工程過(guò)程中會(huì)產(chǎn)生數(shù)量眾多的各種類(lèi)型文檔，為了確保工程內(nèi)文檔傳遞的順暢、信息溝通的便捷，在實(shí)施過(guò)程中必須遵循一定的文檔管理標(biāo)準(zhǔn)。?文檔管理標(biāo)準(zhǔn)?表-10

啟明星辰效勞產(chǎn)品優(yōu)勢(shì)公司整體優(yōu)勢(shì)啟明星辰公司成立于1996年，由留美博士嚴(yán)望佳女士創(chuàng)立，是國(guó)內(nèi)最具實(shí)力的、擁有完全自主知識(shí)產(chǎn)權(quán)的網(wǎng)絡(luò)平安產(chǎn)品、可信平安管理平臺(tái)、平安效勞與解決方案的綜合提供商。2024年6月23日，啟明星辰在深交所中小板正式掛牌上市，成為國(guó)內(nèi)唯一一家登陸資本市場(chǎng)的專(zhuān)業(yè)信息平安企業(yè)。啟明星辰擁有完善的專(zhuān)業(yè)平安產(chǎn)品線(xiàn)，橫跨防火墻/UTM、入侵檢測(cè)管理、網(wǎng)絡(luò)審計(jì)、終端管理、加密認(rèn)證等技術(shù)領(lǐng)域，共有百余個(gè)產(chǎn)品型號(hào)，并根據(jù)客戶(hù)需求不斷增加。啟明星辰解決方案為客戶(hù)的平安需求與信息平安產(chǎn)品、效勞之間架起橋梁，將客戶(hù)的平安保障體系與信息平安核心技術(shù)緊密相連，幫助其建立完善的平安保障體系。目前，公司在全國(guó)各省市自治區(qū)設(shè)立三十多家分支機(jī)構(gòu)，擁有覆蓋全國(guó)的渠道和售后效勞體系。自2024年起，啟明星辰就持續(xù)保持國(guó)內(nèi)入侵檢測(cè)、漏洞掃描市場(chǎng)占有率第一。近年來(lái)，開(kāi)展成為國(guó)內(nèi)統(tǒng)一威脅管理、平安管理平臺(tái)國(guó)內(nèi)市場(chǎng)第一位，平安性審計(jì)、平安專(zhuān)業(yè)效勞市場(chǎng)領(lǐng)導(dǎo)者。作為信息平安行業(yè)的領(lǐng)軍企業(yè)，啟明星辰以用戶(hù)需求為根本動(dòng)力，研究開(kāi)發(fā)了完善的專(zhuān)業(yè)平安產(chǎn)品線(xiàn)。通過(guò)不斷耕耘，已經(jīng)成為在政府、電信、金融、能源、交通、軍隊(duì)、軍工、制造等國(guó)內(nèi)高端企業(yè)級(jí)客戶(hù)的首選品牌：?jiǎn)⒚餍浅皆谡蛙婈?duì)擁有80%的市場(chǎng)占有率，為世界五百?gòu)?qiáng)中60%的中國(guó)企業(yè)客戶(hù)提供平安產(chǎn)品及效勞；在金融領(lǐng)域，啟明星辰對(duì)政策性銀行、國(guó)有控股商業(yè)銀行、全國(guó)性股份制商業(yè)銀行實(shí)現(xiàn)90%的覆蓋率。在電信領(lǐng)域，啟明星辰為中國(guó)移動(dòng)、中國(guó)電信、中國(guó)聯(lián)通三大運(yùn)營(yíng)商提供平安產(chǎn)品、平安效勞和解決方案。作為北京奧組委獨(dú)家中標(biāo)的核心信息平安產(chǎn)品、效勞及解決方案提供商，奧帆委唯一信息平安供給商，啟明星辰受到獨(dú)家官方授權(quán),全面負(fù)責(zé)奧運(yùn)會(huì)主體網(wǎng)絡(luò)系統(tǒng)的平安保障，得到了國(guó)家主管部門(mén)的大力嘉獎(jiǎng)。此外，啟明星辰還為上海世博會(huì)、廣州亞運(yùn)會(huì)等多項(xiàng)世界級(jí)大型活動(dòng)提供全方位信息平安保障。效勞開(kāi)展優(yōu)勢(shì)啟明星辰為客戶(hù)提供全面的信息平安咨詢(xún)與風(fēng)險(xiǎn)評(píng)估效勞。啟明星辰認(rèn)為，信息平安工作總體上分為信息平安管理工作與信息平安技術(shù)產(chǎn)品兩個(gè)局部，對(duì)于客戶(hù)來(lái)說(shuō)，一個(gè)完整的信息平安保障體系，都要基于以上兩個(gè)方面進(jìn)行，缺一不可。但以上兩局部的工作開(kāi)展都需要消耗客戶(hù)的資源。對(duì)于開(kāi)展信息平安管理工作來(lái)說(shuō)，勢(shì)必會(huì)大大增加客戶(hù)的行政本錢(qián)，通過(guò)啟明在業(yè)界的長(zhǎng)期信息平安工作實(shí)踐經(jīng)驗(yàn)證明：如果在開(kāi)展信息平安管理工作的過(guò)程中，行政管理資源投入缺乏，將會(huì)導(dǎo)致管理工作失效，組織的平安管理不可控；同樣對(duì)于信息平安技術(shù)產(chǎn)品來(lái)說(shuō)，也存在需要投入大量資金本錢(qián)，但在資金有限的情況下，又存在著產(chǎn)品功能冗余，廠商產(chǎn)品眾多，難以維護(hù)等問(wèn)題。啟明星辰認(rèn)為，最合理的信息平安保障體系建設(shè)方案是要在明確客戶(hù)自身資源優(yōu)勢(shì)的情況下，在管理與技術(shù)之間進(jìn)行平衡。在資金較為充裕的情況下，以產(chǎn)品采購(gòu)為主，管理體系建設(shè)為輔；在資金較為緊張，但行政本錢(qián)較充裕的時(shí)候，可以適當(dāng)進(jìn)行信息平安管理體系的深入建設(shè)，同時(shí)輔以信息平安管理平臺(tái)等工具。那么如何才能找到管理與技術(shù)之間的平衡呢？答案就是通過(guò)結(jié)構(gòu)化的信息平安規(guī)劃與設(shè)計(jì)。在信息平安規(guī)劃過(guò)程中明確各種資源。同時(shí)更為重要的是各種資源必須要與客戶(hù)存在的各種信息平安問(wèn)題或者說(shuō)信息平安風(fēng)險(xiǎn)相結(jié)合。對(duì)于特定的信息平安問(wèn)題或風(fēng)險(xiǎn)，明確其所需要的行政或資金本錢(qián)，才能對(duì)信息平安的建設(shè)進(jìn)行有效的管理。信息平安保障本質(zhì)就是風(fēng)險(xiǎn)管理的工作，信息平安風(fēng)險(xiǎn)和事件不可能完全防止，關(guān)鍵在于如何控制、化解和躲避風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估工作是獲得客戶(hù)信息平安問(wèn)題或風(fēng)險(xiǎn)的重要工具和手段，也是風(fēng)險(xiǎn)管理的基石，是信息平安建設(shè)的起點(diǎn)和根底，是直接識(shí)別客戶(hù)平安問(wèn)題的關(guān)鍵環(huán)節(jié)，同時(shí)風(fēng)險(xiǎn)評(píng)估工作也貫穿于信息系統(tǒng)生命周期全過(guò)程。啟明星辰的風(fēng)險(xiǎn)評(píng)估工作目標(biāo)就是從業(yè)務(wù)實(shí)際需求出發(fā)，分析資產(chǎn)、弱點(diǎn)、威脅、平安措施和平安風(fēng)險(xiǎn)等各要素的關(guān)系〔見(jiàn)下列圖〕，運(yùn)用風(fēng)險(xiǎn)評(píng)估理論和結(jié)構(gòu)化的科學(xué)分析方法，理解網(wǎng)絡(luò)和信息系統(tǒng)在機(jī)密性、完整性、可用性等方面所面臨的風(fēng)險(xiǎn)和客戶(hù)信息平安工作中存在的問(wèn)題，并在此根底上提供最優(yōu)化的解決方案和加固建議。。圖-7多年來(lái)，啟明星辰公司承當(dāng)了千余項(xiàng)大中型平安風(fēng)險(xiǎn)評(píng)估、平安管理與監(jiān)控、平安管理咨詢(xún)、等級(jí)保護(hù)咨詢(xún)、平安審計(jì)咨詢(xún)及綜合性平安效勞等方面的工程，公司的平安效勞開(kāi)展經(jīng)過(guò)了一個(gè)輝煌的歷程：圖-8效勞資質(zhì)優(yōu)勢(shì)啟明星辰擁有全面的平安資質(zhì)，其中平安效勞資產(chǎn)包括如下所示編號(hào)資質(zhì)名稱(chēng)1?信息平安效勞資質(zhì)〔一級(jí)風(fēng)險(xiǎn)評(píng)估效勞〕?2?信息平安效勞資質(zhì)〔一級(jí)應(yīng)急處理效勞〕?3?北京市信息平安效勞能力等級(jí)證書(shū)一級(jí)?4?國(guó)家信息平安認(rèn)證信息平安效勞資質(zhì)證書(shū)〔平安工程類(lèi)二級(jí)〕?5?國(guó)家信息平安認(rèn)證信息平安效勞資質(zhì)證書(shū)〔平安開(kāi)發(fā)類(lèi)一級(jí)〕?6?計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)二級(jí)?7?國(guó)家級(jí)網(wǎng)絡(luò)平安應(yīng)急效勞支撐單位?8?涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)證書(shū)〔甲級(jí)〕9?涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)證書(shū)〔軟件開(kāi)發(fā)單項(xiàng)〕10?CMMI3認(rèn)證證書(shū)?11?質(zhì)量管理體系認(rèn)證證書(shū)?表-11圖-9團(tuán)隊(duì)保障優(yōu)勢(shì)啟明星辰公司擁有國(guó)內(nèi)最具實(shí)力的平安產(chǎn)品開(kāi)發(fā)隊(duì)伍，國(guó)際一流的黑客攻防技術(shù)研究團(tuán)隊(duì)—積極防御實(shí)驗(yàn)室〔ADLAB〕，國(guó)際一流的平安運(yùn)營(yíng)效勞團(tuán)隊(duì)—M2S平安運(yùn)營(yíng)中心，國(guó)內(nèi)一流的平安體系設(shè)計(jì)及咨詢(xún)團(tuán)隊(duì)—前線(xiàn)技術(shù)專(zhuān)家團(tuán)〔VF〕，國(guó)內(nèi)一流的平安系統(tǒng)集成團(tuán)隊(duì)和國(guó)內(nèi)首家企業(yè)網(wǎng)絡(luò)平安博士后工作站。啟明星辰專(zhuān)業(yè)平安效勞團(tuán)隊(duì)由一批經(jīng)驗(yàn)豐富，富有責(zé)任心和使命感的專(zhuān)業(yè)技術(shù)人員組成，多人擁有CISP、CISSP、CISA、ISO20000、ISO27001、CCIE、計(jì)算機(jī)信息系統(tǒng)集成工程經(jīng)理、PMP認(rèn)證及能力。研發(fā)團(tuán)隊(duì):啟明星辰研發(fā)中心成立于1999年，擁有近200名研發(fā)人員，是我國(guó)目前規(guī)模最大的網(wǎng)絡(luò)平安研究基地，已研發(fā)出100多種產(chǎn)品型號(hào)并且在不斷增加，主力產(chǎn)品已經(jīng)衍生為多個(gè)細(xì)分類(lèi)別、多種特殊型號(hào)，以適應(yīng)不同用戶(hù)的實(shí)際需求。ADLab:啟明星辰積極防御實(shí)驗(yàn)室〔ADLabTM〕成立于1999年，由專(zhuān)職研究技術(shù)人員40余人組成，是國(guó)內(nèi)平安業(yè)內(nèi)最早成立的攻防技術(shù)研究實(shí)驗(yàn)室之一。截至目前，啟明星辰ADLab通過(guò)CVE共發(fā)布80余個(gè)windows、linux、unix操作系統(tǒng)的平安漏洞，居亞洲首位，確立了ADLab在國(guó)際尖端網(wǎng)絡(luò)平安領(lǐng)域的核心地位。VF專(zhuān)家團(tuán)：?jiǎn)⒚餍浅角熬€(xiàn)技術(shù)專(zhuān)家團(tuán)〔VF專(zhuān)家團(tuán)〕成立于2024年，由30余名在國(guó)內(nèi)外享有盛譽(yù)的資深平安專(zhuān)家組成，是國(guó)內(nèi)一流的平安體系設(shè)計(jì)及咨詢(xún)團(tuán)隊(duì)，為客戶(hù)的網(wǎng)絡(luò)提供完善的解決方案和效勞，支撐網(wǎng)絡(luò)平安的建設(shè)。VF專(zhuān)家團(tuán)在電子政務(wù)、金融、運(yùn)營(yíng)商、能源、制造、軍工、軍隊(duì)等領(lǐng)域積累了豐富的信息平安保障工作經(jīng)驗(yàn)，在平安理論、平安體系、平安管理、平安集成、平安效勞、平安產(chǎn)品等方面也積累了深厚的工程實(shí)踐經(jīng)驗(yàn)。博士后工作站：?jiǎn)⒚餍浅讲┦亢蠊ぷ髡境闪⒂?000年，是國(guó)內(nèi)首家企業(yè)級(jí)網(wǎng)絡(luò)平安博士后工作站，為國(guó)家培養(yǎng)出了優(yōu)秀的網(wǎng)絡(luò)平安高級(jí)專(zhuān)業(yè)人才。長(zhǎng)期以來(lái)，博士后工作站致力于研究開(kāi)發(fā)最前沿的網(wǎng)絡(luò)平安科研技術(shù)，掌握國(guó)際、國(guó)內(nèi)最新平安技術(shù)開(kāi)展動(dòng)態(tài)，研發(fā)出了大量?jī)?yōu)秀技術(shù)成果，并將其實(shí)現(xiàn)產(chǎn)品化，大大提升公司產(chǎn)品的競(jìng)爭(zhēng)優(yōu)勢(shì)。啟明星辰效勞成功案例重點(diǎn)案例列表行業(yè)類(lèi)型客戶(hù)單位效勞類(lèi)型金融客戶(hù)中國(guó)工商銀行股份有限公司風(fēng)險(xiǎn)評(píng)估類(lèi)中國(guó)光大銀行股份有限公司風(fēng)險(xiǎn)評(píng)估類(lèi)中國(guó)人壽保險(xiǎn)股份有限公司風(fēng)險(xiǎn)評(píng)估類(lèi)國(guó)家外匯管理局風(fēng)險(xiǎn)評(píng)估類(lèi)電信客戶(hù)中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司風(fēng)險(xiǎn)評(píng)估類(lèi)廣東移動(dòng)通信有限責(zé)任公司風(fēng)險(xiǎn)評(píng)估類(lèi)廣東省電信有限公司風(fēng)險(xiǎn)評(píng)估類(lèi)中國(guó)電信集團(tuán)上海公司風(fēng)險(xiǎn)評(píng)估類(lèi)能源客戶(hù)中國(guó)石油天然氣集團(tuán)公司風(fēng)險(xiǎn)評(píng)估類(lèi)中國(guó)石化工程建設(shè)公司風(fēng)險(xiǎn)評(píng)估