信息安全评估与治理手册（执行版）.docxVIP

信息安全评估与治理手册（执行版）

第1章安全评估准备与范围界定

1.1组织现状与安全目标梳理

首先需明确评估对象的当前安全基线，通过检索组织过往的安全审计报告、漏洞扫描报告及渗透测试记录，梳理出已识别的漏洞数量、平均修复周期及安全等级现状，确保评估工作建立在客观的历史数据之上，避免重复造轮子。组织应依据ISO27001或等保2.0标准，结合业务实际对“业务连续性和数据完整性”的核心安全目标进行量化定义，例如设定“核心业务系统可用性不低于99.9%及“关键数据加密传输比例不低于100%等具体指标，为后续评估提供明确的验收标准。

需详细界定评估的“边界范围”，明确哪些业