怎样写一份符合标准的风险评估报告？.pdfVIP

怎样写一份符合标准的风险评估报告？ 0×0 前言 怎么写一份规范的风险评估报告？这还真不一两句能说清的，如果想了解一下看下此文 档吧。 0×1 标准依据 网络安全讲究条款依据， 怎么算一个合格的风险评估？国标文件详见《YD/T 2252-2011 网络与信息安全风险评估服务能力评估方法》 当然我们这里不是来讲标准的，而是关键的过程，找到这个标准文件注意力请放在第四 页的这个表格上。 这 4 个阶段 16 个控制项非常重要，简单说标准文件已经表明风险评估不是一个文档， 还应该有很多众多的过程文档，申请文档，结论文档组成。 截图部分文档其实本身严格得说也不全，但是至少 4 个阶段可以体现出来了。 0×2 主要过程与阶段 此段以阶段形式来讲解风险评估主要过程。 评估准备阶段： 这个阶段标准文件中主张 4 个控制措施、服务需求界定、服务合同签订、服务方案制 定、人员和工具准备。 服务需求界定：主要跟客户商议，服务范围比如多少个服务器啊，什么 时候开工，什么时候结束。 服务合同签订：简单说签合同，定价格。写明交付什么东西为验收标准， 写明双方责任义务以及违约条款。 服务方案制定：工作计划，工作周期，项目开始起止日期等。涉及到每 个工作所涉及的安排不同技能人员和工作内容。 人员和工具准备：项目组架构图，项目成员联系名单，以及甲方负责人 需要配合工作的人员联系名单等（运维人员联系名单），评估中可能用 到的工具介绍和影响等。 风险识别阶段： 这个阶段标准文件中主张 4 个控制措施：资产识别、威胁识别、脆弱性识别、已有措 施确认。 资产识别：识别客户对项目内容的所有设备，一般情况主要是硬件，如 涉及业务服务器和计算机，周边设备打印机，加密盒，网络的相关设备。 标识资产重要程度我一般以 1-5 分值来标识重要程度，因为你问客户只 有一句话，我的东西都重要 ╮(╯▽╰)╭。自行判断吧。 威胁识别：主要讲可能发生的危险，但是目前并没有发生，比如停电， 地震，漏水，硬件故障 人员误操作等。一旦出现会影响这个业务系统可 能性的。建议是做个表格列出威胁对应相对的结果以及可能发生程度进 行标识。一般调查问卷 访谈询问类调查。属于这类的威胁调查内容。 脆弱性识别：一般脆弱性通常说的两个方面： 系统本身的存在问题和配 置不当造成的问题，前者说的主要是就是微软操作系统的本身漏洞需要 打补丁这类，后者比如一些防火墙策略设之不当 或者密码复杂度不当造 成的问题等。 我们常说的 「漏洞扫描」 「渗透测试」 「主机基线检查」 应 该归结于这个部分。 已有措施确认： 比较好理解就是客户已经有的安全措施是否有效，你需 要进行确认和记录。比如客户有防火墙，你需要用工具或者访问的方式 测试防火墙相关策略是否有效，如果安全措施有效对应的之前调查到的 风险值可以适当调整降低。 风险分析阶段： 这个阶段标准文件中主张 4 个控制措施：风险分析模型、风险计算方法、风险分析与 评价、风险评估报告。 风