中国联通信息化系统风险评估流程及规范(试行).pdf

中国联通信息化系统风险评估 流程及规范 （试行） Page 1 of 29 目 录 1 目标 3 2 引用标准 3 3 相关术语 3 4 风险评估概述 4 4.1 风险评估概念 4 4.1.1 信息安全 4 4.1.2 安全风险 4 4.1.3 信息安全风险评估 5 4.2 风险评估要素关系模型 5 5 风险评估规范 6 5.1 风险评估规范概述 6 5.2 资产评估 6 5.2.1 资产识别 6 5.3 脆弱性评估 7 5.3.1 脆弱性分类 7 5.3.2 脆弱性赋值 8 5.3.3 脆弱性评估方法 8 5.4 综合风险分析 20 5.5 实施改进 2 1 5.5.1 制定策略 2 1 5.5.2 安全加固 2 1 5.5.3 安全工程实施 2 1 6 风险评估流程 22 6.1 风险评估沟通阶段 22 6.2 风险评估实施阶段 22 6.2.1 项目启动 22 6.2.2 资产识别 22 6.2.3 安全漏洞扫描 22 6.2.4 渗透测试检查 23 6.2.5 安全基线检查 24 6.2.6 安全管理评估 26 6.2.7 配合情况检查 27 6.3 风险评估总结阶段 28 6.3.1 风险评估报告 28 6.3.2 风险整改 28 附录 29 Page 2 of 29 1 目标 本指导手册用于指导中国联通信息化部系统安全风险评估工作， 是中国联通信息化部开 展安全风险评估的指导性文件。 本指导手册适用于中国联通信息化总部、各直属单位和各省级分公司。 2 引用标准 下列标准所包含的条文，通过在本手册中引用而成为本手册的参考。 注：所有标准都会被修订，使用本手册的各方应探讨使用下列标准最新版