信息安全测评复习资料(word版,不喜勿喷).docxVIP

第二部分信息安全风险评估理论与方法2.1评估策略风险评估依据：（1）政策法规《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）；《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》（国信办[2006]5号）。（2）国际标准BS 7799-1《信息安全管理实施细则》；BS 7799-2《信息安全管理体系规范》；ISO/IEC TR 13335《信息技术安全管理指南》；SSE-CMM《系统安全工程能力成熟模型》。（3）国家标准GB 17589-1999《计算机信息系统安全保护等级划分准则》；GB/T 18336：1-3：2001《信息技术性评估准则》；GB/Z《信息安全风险评估指南》（征求意见稿）；GB/Z《信息安全风险管理指南》（征求意见稿）。（4）行业通用标准CVE公共漏洞数据库；信息安全应急响应机构公布的漏洞；国家信息安全主管部门公布的漏洞。（5）其他风险评估原则：（1）可控性原则人员可控性——所有参与信息安全评估的人员工具可控性——所使用的风险评估工具项目过程可控性——依据项目管理方法学（2）完整性原则严格按照委托单位评估要求和指定范围进行全面评估服务（3）最小影响原则力求将评估对信息系统正常运行的影响降低到最低限度（4）保密原则与评估对象签署保密协议和非侵害性协议2.2 评估实施流程1、风险评估的准备重要性：风险评估的准备是实施风险评