网络安全风险评估与应急响应手册（执行版）.docxVIP

网络安全风险评估与应急响应手册（执行版）

第1章风险评估基础与策略

1.1风险评估范围界定与资产清单

界定范围需遵循“全生命周期”原则，明确涵盖从物理基础设施、网络边界、计算资源到数据及软件应用的全方位资产，确保无死角覆盖。例如，在一家拥有500台服务器和10TB存储的金融企业案例中，审计人员需将核心数据库、交易网关及员工办公终端全部纳入清单，同时排除非核心办公电脑。资产清单的构建必须采用“实物+逻辑”双维法，不仅记录硬件型号、序列号及物理位置，还需详细标注软件版本、部署状态及业务价值。对于云端资产，需明确IP地址段、子网掩码及访问控制列表（ACL）策略，确保逻辑资产与物理实体一一对应。

在界定过程中，需识别“关键业务系统”与“一般业务系统”的优先级差异，依据业务连续性和数据敏感性设定不同的风险容忍度。例如，医院HIS系统因涉及患者生命记录，其资产价值权重应显著高于普通企业ERP系统，从而在清单中优先标记为一级资产。清单编制需包含“责任人、物理位置、业务功能、数据量级、当前状态”等核心字段，并建立动态更新机制，防止资产信息过期。若某台服务器因硬件故障已无法运行，其状态必须从“运行中”改为“离线”，并在清单中体现变更原因，为后续风险评估提供准确依据。对于异构网络环境，需将有线网络、无线Wi-Fi及5G专网等不同介质进行独立分类管理，并明确各介质