《税务系统络与信息全风险评估指南》.docVIP

《税务系统网络与信息安全风险评估指南》 编制说明 税务系统网络与信息安全风险评估指南就是为了对全国税务系统的信息安全风险评估工作提供实施的指导，从而统一全国税务系统风险评估工作的实施办法和工作流程，产生相同格式的工作成果，确保各地税务系统网络与信息安全风险评估工作结果的可比性。 税务系统网络与信息安全风险评估指南对税务系统网络与信息安全风险评估的过程、关键点以及工作成果等方面提出了具体的实施方法和产生的文档类别和内容。 税务系统网络与信息安全风险评估的内容包括：资产分析，漏洞、脆弱性及弱点评估，威胁评估，影响与可能性分析和系统分析等方面。风险评估过程分为三个阶段：确定资产的威胁概况，确定基础设施风险和制定安全策略及计划。 本风险评估指南规定了风险评估项目组织、跟进工作等。限定了风险评估的前提和分工。 本风险评估指南共提供了六个附录，附录A为术语表，对本指南内的专业术语进行解释，附录B为调查问卷，对税务系统网络与信息安全风险评估的调查问卷种类和内容进行规定，附录C为交付文档范例，确定了税务系统网络与信息安全风险评估工作需完成的工作文档，附录D资产分类清单，对税务系统内的资产进行了分类，附录E资产脆弱性清单列举了各类资产可能存在的脆弱性，附录F为资产威胁清单，列举了资产所面临的威胁。 税务系统网络与信息安全风险评估指南 （试行稿） 国家税务总局信息中心 二〇〇四年十月 目 录 1 前言 1 1.1 关于本文档 1 1.2 目标读者 1 1.3 文档结构 1 1.3.1 相关标准 2 1.3.2 参考文献 2 1.4 关于术语与缩略语的约定 3 2 风险评估概述 4 2.1 基本概念 4 2.2 意义与作用 5 2.3 过程概述 5 2.4 工具 5 2.4.1 调查问卷 5 2.4.2 远程漏洞扫描工具 6 2.4.3 人工审计检查列表 6 2.4.4 安全风险评估信息库 6 2.5 成功的关键因素 6 2.6 收益 6 2.7 面临的挑战 7 3 风险评估内容 8 3.1 资产分析 8 3.1.1 资产定义 8 3.1.2 资产类别 8 3.1.3 资产评估 9 3.1.4 资产评估的目的 9 3.1.5 资产的重要性 9 3.1.6 资产级别 10 3.1.7 评估实例 11 3.2 漏洞/脆弱性/弱点评估 11 3.2.1 弱点评估的目的 11 3.2.2 弱点评估的内容 11 3.2.3 弱点评估手段 12 3.3 威胁评估 13 3.3.1 威胁定义 13 3.3.2 威胁分类 14 3.3.3 威胁属性 14 3.3.4 威胁的获取方法 15 3.3.5 威胁评估手段 16 3.3.6 威胁评估实例 16 3.4 影响与可能性分析 16 3.5 系统分析 17 3.5.1 系统结构及边界 17 3.5.2 信息的敏感度评估 17 3.6 调查问卷的结构 18 3.6.1 调查系统控制 18 3.6.2 系统确认 18 3.6.3 目的和评估者信息 18 3.6.4 信息的决定性 19 3.7 利用问卷调查结果 19 3.7.1 调查问卷分析 19 3.7.2 行动计划 19 3.8 综合风险分析 19 3.8.1 风险分析矩阵 20 3.8.2 风险评估层面 21 3.8.3 风险评估实例 21 3.8.4 ISO 17799十个域 21 3.9 可交付的文档 22 3.9.1 信息网络 22 3.9.2 文档一览 23 4 风险评估过程 24 4.1 评估过程 24 4.1.1 阶段1：提取基于资产的威胁概况 24 4.1.2 阶段2：确定基础设施漏洞 25 4.1.3 阶段3：制订安全策略和计划 25 4.2 各阶段的一般过程 25 4.2.1 调查与分析 25 4.2.2 数据/信息收集与处理 25 4.2.3 撰写评估报告 25 4.3 风险控制 26 4.3.1 风险控制的方式 26 4.3.2 风险控制措施举例： 26 4.4 风险评估项目 27 4.4.1 计划 27 4.4.2 监控与执行 27 5 风险评估人员组织 30 5.1 评估方人员组织 30 5.2 被评估方人员组织 31 6 风险评估的跟进工作 33 6.1 跟进的重要性 33 6.2 有效的，合格的建议 33 6.3 委托事项 33 6.3.1 安全评估人员 33 6.3.2 工作人员 33 6.3.3 管理层 34 6.4 监督与跟进 34 6.4.1 建立监督与跟进机制 34 6.4.2 标识推荐并制定跟进计划 34 6.4.3 执行主动监督与报告 34 7 风险评估的前提与分工 36 7.1 假设与限制 36 7.2 客户责任 36 7.3 服务资质 36 7.4 安全评估人员的职责 36 附录A 术语表 38 附录B