税务系统信息安全风险评估手册.docVIP

PAGE / NUMPAGES “税务系统信息安全风险评估指南” 编制讲明 税务系统信息安全风险评估指南确实是为了对全税务系统的信息安全风险评估工作提供实施的指导，从而统一整个税务系统风险评估工作的实施方法和工作流程，产生相同的工作成果，确保各地税务系统信息安全风险评估工作结果的可比性。 税务系统信息安全风险评估指南对税务系统信息安全风险评估的过程、关键点以及工作成果等方面提出了具体的实施方法和产生的文档类不和内容。 税务系统信息安全风险评估的内容包括:资产分析，漏洞、脆弱性及弱点评估、威胁评估、阻碍与可能性分析和系统分析等方面。风险评估过程分为三个时期：确定资产的威胁概况、确定基础设施风险和制定安全策略和打算。 本风险评估指南规定了风险评估项目组织、跟进工作等。限定了风险评估的前提和分工。 本风险评估指南共提供了六个附录，附录A为术语表，对本指南内的专业术语进行解释，附录B为调查问卷，对税务系统信息安全风险评估的调查问卷种类和内容进行规定，附录C为交付文档范例，确定了税务系统信息安全风险评估工作需完成的工作文档，附录D资产分类清单，对税务系统内的资产进行了分类，附录E资产脆弱性清单列举了各类资产可能存在的脆弱性，附录F为资产威胁清单，列举了资产所面临的威胁。 税务系统信息安全风险评估指南 （征求意见稿） 〖作者，单位〗 〖本页是封面，按要求制作〗 版号：1.0 公布日期：200 制定： 审核： 批准： 国家税务总局信息中心安全处 二〇〇四年六月 讲 明 〖关于本文档的讲明，留空。〗 目 录 TOC \o 1-3 \h \z \u 信息系统安全风险评估指南 1 目 录 3 1 前言 1 1.1 关于本文档 1 1.2 目标读者 1 1.3 文档结构 2 1.3.1 相关标准 2 1.3.2 相关文档 2 1.4 关于术语与缩略语的约定 3 2 风险评估概述 3 2.1 差不多概念 3 2.2 意义与作用 4 2.3 过程概述 4 2.4 工具 5 2.5 成功的关键因素 5 2.6 收益 6 2.7 面临的挑战 6 3 风险评估的内容 7 3.1 资产分析 7 3.1.1 资产定义 7 3.1.2 资产类不 7 3.1.3 资产评估 8 3.1.4 资产评估的目的 8 3.1.5 资产的重要性 8 3.1.6 资产级不 9 3.1.7 评估实例 10 3.2 漏洞/脆弱性/弱点评估 10 3.2.1 弱点评估的目的 10 3.2.2 弱点评估的内容 10 3.2.3 弱点评估手段 11 3.3 威胁评估 12 3.3.1 威胁定义 12 3.3.2 威胁分类 13 3.3.3 威胁属性 13 3.3.4 威胁的猎取方法 14 3.3.5 威胁评估手段 15 3.3.6 威胁评估实例 15 3.4 阻碍与可能性分析 15 3.5 系统分析 16 3.5.1 系统结构及边界 16 3.5.2 信息的敏感度评估 16 3.6 调查问卷的结构 17 3.6.1 调查系统操纵 17 3.6.2 系统确认 17 3.6.3 目的和评估者信息 17 3.6.4 信息的决定性 18 3.7 利用问卷调查结果 18 3.7.1 调查问卷分析 18 3.7.2 行动打算 18 3.8 综合风险分析 18 3.8.1 风险分析矩阵 19 3.8.2 风险评估层面 20 3.8.3 风险评估实例 20 3.8.4 ISO 17799十个域 20 3.9 可交付的文档 21 3.9.1 信息网络 21 3.9.2 文档一览 22 4 风险评估过程 22 4.1 评估过程 22 4.1.1 时期1：提取基于资产的威胁概况 22 4.1.2 时期2：确定基础设施漏洞 23 4.1.3 时期3：制订安全策略和打算 23 4.2 风险评估的输入 24 4.3 各时期的一般过程 24 4.3.1 调查与分析 24 4.3.2 数据/信息收集与处理 24 4.3.3 撰写评估报告 24 4.4 风险操纵 24 4.4.1 风险操纵的方式 24 4.4.2 风险操纵措施举例： 2