香港安全风险评估及审计指南.pdfVIP

terence@ 内部控制与全面风险管理俱乐部 政府资讯科技总监办公室 安全风险评估及审计指南 [G51] 第 2.1 版 二零零四年七月 香港特别行政区政府 开放•分享•共赢 第 1 页，共 54 页 呆瓜梁山伯工作室 terence@ 内部控制与全面风险管理俱乐部 版权公告 © 2004 香港特别行政区政府 除非另行注明，本出版物所载资料的版权属香港特别行政区政府所有。在符合下列条 件的情况下，这些资料一般可以任何格式或媒介复制及分发： (a) 有关资料没有特别注明属不可复制及分发之列，因此没有被禁止复制及分发； (b) 复制并非为制造备份作售卖用途； (c) 必须准确地复制资料，而且不得在可能误导他人的情况下使用资料；以及 (d) 复制版本必须附上“经香港特别行政区政府批准复制／分发。香港特别行政区政 府保留一切权利”的字眼。 如须复制资料作上述核准用途以外的用途，请联络政府资讯科技总监办公室寻求准许。 开放•分享•共赢 第 2页，共 54 页 呆瓜梁山伯工作室 terence@ 内部控制与全面风险管理俱乐部 安全风险评估及审计指南 目录 目录 1. 目的 1-1 2. 范围 2-1 2.1 信息科技安全文件概览 2-2 3. 参考资料 3-1 4. 定义及惯用词 4-1 4.1 定义 4-1 4.2 惯用词 4-1 5. 信息科技安全管理概览 5-1 5.1 信息科技安全管理概览 5-1 5.2 安全风险评估与安全审计的异同 5-2 5.2.1 安全风险评估是什幺 5-2 5.2.2 安全审计是什幺 5-2 6. 安全风险评估 6-1 6.1 安全风险评估的好处 6-1 6.2 安全风险评估步骤 6-1 6.2.1 规划 6-1 项目范围和目标 6-2 背景资料 6-2 限制 6-2 各方的职务和职责 6-2 方式和方法 6-3 项目规模和时间表 6-3 6.2.2 收集资料 6-3 应收集的资料 6-3 收集资料的方法 6-3 6.2.3 风险分析 6-4 资产确认与估值 6-4 安全威胁分析 6-5 安全漏洞分析 6-6 资产／威胁／漏洞映射 6-6 影响及可能性评估 6-7 风险结果分析 6-7 6.2.4 确定及选择安全保障措施 6-9 常见安全保障措