政府资讯科技总监办公室安全风险评价及审计实务指引ISPG.pdf

政府资讯科技总监办公室 信息安全 安全风险评估及审计 实务指南 [ISPG- SM01] 第 1.1 版 2017 年 11 月 © 香港特别行政区政府 政府资讯科技总监办公室 香港特别行政区政府保留本文件内容的所有权，未经政府资讯 科技总监办公室明确批准，不得翻印文件的全部或部分内容。 版权公告 © 2017 香港特别行政区政府 除非另有注明，本出版物所载资料的版权属香港特别行政区政府所有。在符合下列条 件的情况下，这些资料一般可以任何格式或媒介复制及分发： (a) 有关资料没有特别注明属不可复制及分发之列，因此没有被禁止复制及分发； (b) 复制并非为制造备份作售卖用途； (c) 必须准确地复制资料，而且不得在可能误导他人的情况下使用资料；以及 (d) 复制版本必须附上「经香港特别行政区政府批准复制／分发。香港特别行政区 政府保留一切权利」的字眼。 如须复制资料作上述核准用途以外的用途，请聯络政府资讯科技总监办公室寻求准 许。 修改记录 修改记录 修改 经修改 修改详情 版本编号 日期 次数 页数 1 G 51 安全风险评估及审计指南第 5.0 版 整份文 1.0 2016 年 12 已转换成安全风险评估及审计实务指 件 月 南。修改报告可于政府内联网 「资讯科 技情报网」查阅： (http://itginfo.ccgo.hksarg/content/its ecure/review2016/amendments.shtml) 2 增加关于信息技术安全管理的新章节、 整份文 1.1 2017 年 11 修定安全风险评估与安全审计的描述， 件 月 及与其他实务指南保持参考上的一致。 安全风险评估及审计实务指南 iii 目录 目录 1. 简介 1 目的 1 参考标准 1 定义及惯用语 2 联络方法 2 2. 信息安全管理 3 3. 安全风险评估与审计简介 5 安全风险评估与审计 5 安全风险评估和安全审计 6 4. 安全风险评估 7 安全风险评估的