风险评估报告.docVIP

风险评估过程主要包括：“数据采集、安全评测、安全分析、报告处理” 一、数据采集方法有：问卷调查、人员访谈、漏洞扫描、渗透性测试等 1、问卷调查：下图是微软的Microsoft Security Assessment Tool一款风险评估应用程序，目的是提供一些与信息技术 (IT) 基础架构中的安全最佳经验有关的信息和建议。此应用程序是专为拥有 50 到 500 台台式机和（或）100 到 1,000 名员工的组织设计的。 产生的分析报表： 2、人员访谈也可以以调查问卷的形式作为系统参数的输入配置 3、漏洞扫描、渗透性测试等数据可以通过漏洞扫描器等检测工具获得，输入本系统 二、安全评测、安全分析、报告处理等都属于本系统的功能，并采用前面数据采集得到的数据 目前常见的自动化风险评估工具还包括： CORA —— CORA（Cost-of-Risk Analysis）是由国际安全技术公司（International Security Technology, Inc. ）开发的一种风险管理决策支持系统，它采用典型的定量分析方法，可以方便地采集、组织、分析并存储风险数据，为组织的风险管理决策支持提供准确的依据。 ASSET —— ASSET（Automated Security Self-Evaluation Tool）是美国国家标准技术协会（National Institute of Standard and Technology，NIST）发布的一个可用来进行安全风险自我评估的自动化工具，它采用典型的基于知识的分析方法，利用问卷方式来评估系统安全现状与NIST SP 800-26 指南之间的差距。NIST SpecialPublication 800-26，即信息技术系统安全自我评估指南（Security Self-AssessmentGuide for Information Technology Systems），为组织进行IT 系统风险评估提供了众多控制目标和建议技术。ASSET 是一个免费工具，可以在NIST 的网站下载：。 CRAMM —— CRAMM（CCTA Risk Analysis and Management Method）是由英国 政府的中央计算机与电信局（Central Computer and Telecommunications Agency，CCTA）于1985 年开发的一种定量风险分析工具，同时支持定性分析。经过多次 版本更新（现在是第四版），目前由 Insight 咨询公司负责管理和授权。CRAMM 是一种可以评估信息系统风险并确定恰当对策的结构化方法，适用于各种类型的信息系统和网络，也可以在信息系统生命周期的各个阶段使用。CRAMM 的安全模型数据库基于著名的“资产/威胁/弱点”模型，评估过程经过资产识别与评价、威胁和弱点评估、选择合适的推荐对策这三个阶段。CRAMM 与BS 7799 标准保持一致，它提供的可供选择的安全控制多达3000 个。除了风险评估，CRAMM 还可以对符合ITIL（IT Infrastructure Library）指南的业务连续性管理提供支持。 COBRA —— COBRA（Consultative, Objective and Bi-functional Risk Analysis）是英国的CA 系统安全公司推出的一套风险分析工具软件，它通过问卷的方式来采集和分析数据，并对组织的风险进行定性分析，最终的评估报告中包含已识别风险的水平和推荐措施。此外，COBRA 还支持基于知识的评估方法，可以将组织的安全现状与ISO 17799 标准相比较，从中找出差距，提出弥补措施。CA 公司提供了COBRA 试用版下载：/cobdown.htm。 术语简称： 可以用微软的那种方式采集得到，下面简称micro-style 下面是我们产生的评估报告大体的初步的框架 风险评估报告 风险评估项目概述 1.1工程项目概况（micro-style） 1.1.1建设项目基本信息 1.1.2建设单位基本信息 风险评估的目标 风险评估的依据（技术标准及相关法规文件） 风险评估的范围（评估对象） 3.1评估对象构成及定级 3.1.1网络结构（micro-style） 3.2.2业务应用（micro-style） 3.3.3子系统构成及定级（在3.1.1和3.2.2基础上根据国家标准对该系统安全等级定级，不同的等级采用不同的安全评估方法，最后采取的措施也不一样） 3.2评估对象等级保护措施（已采取的安全措施）（micro-style） 风险评估的内容 3.1资产识别（对组织有价值的信息或资源） 3.1.1资产种类（micro-style） 数据（保存在