xxxx-RA-T0002 安全风险评估流程技术指导书v0.1.pdfVIP

安全风险评估流程技术指导书

xxxx科技有限公司

20XX年XX月

文档说明

文档名称安全风险评估流程技术指导书

文档管理编号Xxxx-RA-T0002

保密级别商业秘密文档版本号V1.0

制作人xxxx安全服务团队制作日期20XX-XX-XX

复审人xxxx安全服务团队复审日期20XX-XX-XX

扩散范围限“xxxx科技有限公司项目组”、xxxx

分发控制xxxx：创建、修改、读取xxxx项目组：读取

适用范围

本次信息安全风险评估活动是由DW授权，由xxxx科技有限公司（以下简称“xxxx”）对

DW的XT等系统进行风险评估，根据评估结果所提交的技术报告，用于对该网站系统的安全

状况做出安全评估和加固建议，仅限于“xxxx”、DW内部人员传阅。

本报告结论的有效性建立在被评估单位提供相关证据的真实性基础之上。本报告中给出的

评估结论仅对被评估的信息系统当时的安全状态有效，当信息系统发生涉及到的系统构成组件

（或子系统）变更时本报告不再适用。

版本变更记录

修改日期版本说明修改人

版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注

明，版权均属xxxx所有，受到有关产权及版权法保护。任何个人、机构未经xxxx的书面授权

许可，不得以任何方式复制或引用本文的任何片断

I

目录

1准备阶段1

1.1确定评估范围1

1.2建立评估组织架构1

1.3编制方案及计划2

1.4签署责任书2

1.5项目启动2

1.6阶段成果2

2资产识别3

2.1资产收集3

2.2区分资产重要性3

2.3重要资产估值3

2.4配合要求6

2.5成果6

3脆弱性威胁评估6

3.1脆弱性评估6

3.1.1脆弱性评估方式7

3.1.2配合要求7

3.1.3成果7

3.2威胁评估7

3.2.1威胁评估方式8

3.2.2配合要求9

3.2.3成果9

4防护能力评估9

4.1防护能力评估方式10

4.2配合要求11

4.3成果11

5风险分析11

5.1风险分析方法11

5.2风险等级划分12

5.3不可接受风险划分12

5.4风险统计12

5.5配合要求14

5.6成果14

6风险处理14

6.1不可接受风险处理14

7编制报告15

8总结会议15

8.1配合要求15

8.2成果15

1准备阶段

安全风险评估技术流程：

1.1确定评估范围

现场访谈客户确定评估范围，主要对象是确定评估系统数量及相关服务器、安全设备、

网络设备等硬件设备数量。

1.2建立评估组织架构

根据上图的架构，配备相应的人员。（PS：如项目较小，所有角色均为同一人）

安全风险评估各小组成员职责：

评估项目组组长：负责授权评估项目负责人建立安全风险评估团队、审批项目方

1

案计划和审批项目报告；

项目实施负责人：负责组建项目团队各小组，并指定组长和成员、负责方案计划

的编制、负责协调项目所涉及到的各部门人员、负责项目的进度及质量，负责组织审

核确认各过程文档，负责安全风险评估报告的编制和负责向领导小组汇报项目实施情