风险评估规范

实施阶段
1. 现场实施计划
  1. 现场实施计划.doc 现场实施计划.XLS
2. 资产分析
  1. 工作方法：问卷调查、人员问询
  2. 阶段成果：《资产识别清单》《重要资产清单》《资产分析报告》
3. 威胁分析
  1. 工作方法：问卷调查、人员问询
  2. 阶段成果：《威胁列表》《威胁分析报告》
4. 脆弱性分析
  1. 工作方法：问卷调查、人员问询、工具扫描、手动检查、文档审查、渗透测试等
  2. 工作成果：《脆弱性列表》《脆弱性分析报告》
  3. 工作方式
    1. 主机脆弱性
      1. 操作系统
      2. 硬件系统
      3. 主机脆弱性检查表单
      4. Windows
      5. Linux
      6. UNIX
      7. 主机脆弱性分析报告
    2. 网络
      1. 网络结构
      2. 网络设备
      3. 交换机
      4. 路由器
      5. 防火墙
      6. 入侵检测
      7. 流量分析
      8. 入侵防御
      9. 网络脆弱性分析报告
    3. 数据库
      1. 数据库脆弱性检查表单
      2. SQL Server
      3. Oracle
      4. My Sql
      5. 数据库脆弱性分析报告
    4. 应用系统
      1. 应用脆弱性检查表单
      2. IIS
      3. Apache
      4. Tomcat
      5. WebSphere
      6. Weblogic
      7. 应用系统（OA）
      8. 应用脆弱性分析报告
    5. 数据
      1. 数据脆弱性检查表单
      2. 数据脆弱性分析报告
    6. 物理环境
      1. 物理脆弱性检查表单
      2. 物理脆弱性分析报告
    7. 管理
      1. 管理脆弱性检查表单
      2. 管理脆弱性分析报告
    8. 扫描
      1. 主机扫描
      2. 网络扫描
      3. 数据库扫描
      4. 应用扫描
    9. 渗透
      1. 渗透测试计划
      2. 渗透测试申请单
      3. 渗透测试后系统运行情况验证记录
      4. 渗透测试报告
5. 已有安全措施分析
  1. 工作方法：问卷调查、人员问询、现场勘查、文档复查
  2. 阶段成果：《已有安全措施确认表》《已有安全措施分析报告》
6. 系统安全现状报告
7. 阶段性汇报
  1. 阶段性汇报.PPT
项目启动准备阶段
1. 1、成立项目组
2. 2、系统调研了解
  1. 系统调查表.doc 系统调查表.XLS
3. 3、确定项目范围
4. 4、评估前的准备工作
  1. 人员安排
  2. 评估方法
    1. 评估使用的表单
    2. 评估使用的工具
5. 5、制定风险评估计划
  1. 风险评估计划.doc 风险评估计划.mpp
6. 6、编制评估方案
  1. 风险评估实施方案.doc
7. 7、协调会
8. 8、项目启动会
  1. 调研表和准备材料下发并收集
  2. 确任项目计划与方案
  3. 项目启动会.PPT
需提交文档
1. 评估方案
2. 系统的资产识别报告
3. 系统的危胁识别报告
4. 系统的脆弱性报告
5. 系统的资产价值分析报告
6. 系统的威胁源分析报告
7. 系统的脆弱性分析报告
8. 《风险评估报告》
9. 《风险控制建议》
安全建议和加固阶段
1. 《风险控制建议》
分析与报告阶段
1. 1.系统的资产价值分析报告.doc
2. 2.系统的威胁源分析报告.doc
3. 3.系统的脆弱性分析报告.doc
4. 4.系统的扫描分析报告.doc
5. 5.系统的渗透测试分析报告.doc
6. 6.风险评估报告.doc