第2章某OA系统信息安全风险评估方案.pptVIP

　　 2.1.1 背景 某OA系统风险评估的目的是评估办公自动化（OA）系统的风险状况，提出风险控制建议，同时为下一步要制定的OA系统安全管理规范以及今后OA系统的安全建设和风险管理提供依据和建议。 需要指出的是，本评估报告中所指的安全风险是针对现阶段OA系统的风险状况，反映的是系统当前的安全状态。 2.1.2 范围 某OA系统风险评估范围包括某OA网络、管理制度、使用或管理OA系统的相关人员以及由其办公所产生的文档、数据。2.1.3 评估方式 信息系统具有一定的生命周期，在其生命周期内完成相应的使命。采取必要的安全保护方式使系统在其生命周期内稳定、可靠的运行，是系统各种技术、管理应用的基本原则。 　　本项目的评估主要根据国际标准、国家标准和地方标准，从识别信息系统的资产入手，着重针对重要资产分析其面临的安全威胁并识别其存在的脆弱性，最后综合评估系统的安全风险。  　　资产识别是风险评估的基础，在所有识别的系统信息资产中，依据资产在机密性、完整性和可用性三个安全属性的价值不同，综合判定资产的重要性程度并将其划分为核心、关键、中等、普通和次要5个等级。其中核心、关键和中等等级的资产都被列为重要资产，并分析其面临的安全威胁。 脆弱性识别主要从技术和管理两个层面，采取人工访谈、现场核查、