信息安全风险评估培训.pptx

《信息安全风险评估培训.pptx》由会员分享，可在线阅读，更多相关《信息安全风险评估培训.pptx（85页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全风险评估什么是风险评估？什么是风险评估？从深夜一个回家的女孩开始讲起风险评估的基本概念各安全组件之间的关系资产影响威胁弱点风险钱被偷100块没饭吃小偷打瞌睡服务器黑客软件漏洞被入侵数据失密通俗的比喻风险评估风险评估6风险风险 风险管理（风险管理（风险管理（风险管理（Risk ManagementRisk ManagementRisk ManagementRisk Management）就是以就是以可接受的代价，识别、控制、减少或消除可可接受的代价，识别、控制、减少或消除可能影响信息系统的安全风险的过程。能影响信息系统的安全风险的过程。在信息安全领域，在信息安全领域，风险（风险（风险（风

2、险（RiskRiskRiskRisk）就是指就是指各种威胁导致安全事件发生的可能性及各种威胁导致安全事件发生的可能性及其对组织所造成的负面影响。其对组织所造成的负面影响。风险管理风险管理 风险评估（风险评估（风险评估（风险评估（Risk AssessmentRisk AssessmentRisk AssessmentRisk Assessment）就就是对各方面风险进行辨识和分析的过程，是对各方面风险进行辨识和分析的过程，它包括风险分析和风险评价，是确认安它包括风险分析和风险评价，是确认安全风险及其大小的过程。全风险及其大小的过程。概概 述述 相关概念u 资产（资产（Asset）任何对企业具有

3、价值的东西任何对企业具有价值的东西，包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。u 威胁（威胁（Threat）可能对资产或企业造成损害的某种安全事件发生的潜在原因，通常需要识别出威胁源（Threat source）或威胁代理（Threat agent）。u 弱点（弱点（Vulnerability）也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。u 风险（风险（Risk）特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。u 可能性（可能性（Likelihood）对威胁发生几率（

4、Probability）或频率（Frequency）的定性描述。u 影响（影响（Impact）后果（Consequence），意外事件发生给企业带来的直接或间接的损失或伤害。u 安全措施（安全措施（Safeguard）控制措施（control）或对策（countermeasure），即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。u 残留风险（残留风险（Residual Risk）在实施安全措施之后仍然存在的风险。风险风险RISKRISKRISKRISKRISKRISKRISKRISK风险风险原有风险原有风险采取措施后的剩余风险采取措施后的剩余风险影响影响影响

5、影响威胁威胁威胁威胁脆弱性脆弱性影响影响影响影响威胁威胁威胁威胁脆弱性脆弱性脆弱性脆弱性风险管理的目标资产分类方法分分类类示例示例数据保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等软件系统软件:操作系统、数据库管理系统、语句包、开发系统等 应用软件:办公软件、数据库软件、各类工具软件等 源程序:各种共享源代码、自行或合作开发的各种代码等硬件网络设备:路由器、网关、交换机等计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路:光纤、双绞线等保障设

6、备:UPS、变电设备等、空调、保险柜、文件柜、门禁、消防设施等安全保障：防火墙、入侵检测系统、身份鉴别等其他:打印机、复印机、扫描仪、传真机等资产分类方法分分类类示例示例服务信息服务:对外依赖该系统开展的各类服务 网络服务:各种网络设备、设施提供的网络连接服务 办公服务:为提高效率而开发的管理信息系统,包括各种内部配置管理、文件流转管理等服务人员掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等其它企业形象、客户关系等资产识别模型网络层机房、通信链路网络设备1操作系统、主机设备软件OA人员、文档、制度业务层物理层主机层应用层管理层EAI/EIP 工程管理物资管理生产管理

7、营销系统人力资源综合管理操作系统、主机设备网络设备2数据软件软件软件数据数据数据数据数据数据数据数据层资产价值的评估信息安全属性保密性CONFIDENTIALATY确保信息只能由那些被授权使用的人获取完整性INTEGRITY保护信息及其处理方法的准确性和完整性可用性AVAILABILITY确保被授权使用人在需要时可以获取信息和使用相关的资产资产等级计算公式AV=F(AC,AI,AA)例1：AV=MAX(AC,AI,AA)例2：AV=AC+AI+AA例3：AV=ACAIAA威胁来源列表来源来源描述描述环境因素断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外 事故等环境危害

8、或自然灾害,以及软件、硬件、数据、通讯线路等方面的故障人为因素恶意人员不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾结的方式 盗窃机密信息或进行篡改,获取利益外部人员利用信息系统的脆弱性,对网络或系统的机密性、完整性和可用性进行破 坏,以获取利益或炫耀能力非恶意人员内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操 作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗 位技能要求而导致信息系统故障或被攻击。威胁分类表脆弱性识别内容表威胁与脆弱性之间的关系风险分析原理定性风险分析风险计算方法风险值=R(A,T,V)=R(L(T,V),F

9、(Ia,Va)其中,R 表示安全风险计算函数;A 表示资产;T 表示威胁;V 表示脆弱性;Ia 表示安全事件所作用的资产价值;Va 表示脆弱性严重程度;L 表示威胁利用资产的脆弱性导致安全事件发生的可能性;F 表示安全事件发生后产生的损失。一般风险计算方法：矩阵法和相乘法矩阵法风险评价示例31确定风险处置策略u 降低风险（降低风险（Reduce Risk）采取适当的控制措施来降低风险，包括技术手段和管理手段，如安装防火墙，杀毒软件，或是改善不规范的工作流程、制定业务连续性计划，等等。u 避免风险（避免风险（Avoid Risk）通过消除可能导致风险发生的条件来避免风险的发生，如将公司内外网隔离

10、以避免来自互联网的攻击，或是将机房安置在不可能造成水患的位置，等等。u 转移风险（转移风险（Transfer Risk）将风险全部或者部分地转移到其他责任方，例如购买商业保险。u 接受风险（接受风险（Accept Risk）在实施了其他风险应对措施之后，对于残留的风险，组织可以有意识地选择接受。32评价残留风险u 绝对安全（即零风险）是不可能的。u 实施安全控制后会有残留风险或残存风险（Residual Risk）。u 为了确保信息安全，应该确保残留风险在可接受的范围内：残留风险Rr 原有的风险R0 控制R 残留风险Rr 可接受的风险Rtu 对残留风险进行确认和评价的过程其实就是风险接受的过程

11、。决策者可以根据风险评估的结果来确定一个阀值，以该阀值作为是否接受残留风险的标准。等保测评与风险评估的区别目的不同等级测评：以是否符合等级保护基本要求为目的照方抓药风险评估：以PDCA循环持续推进风险管理为目的对症下药等保测评与风险评估的区别参照标准不同等级测评：GB 17859-1999计算机信息系统安全保护等级划分准则GA/T 387-2002计算机信息系统安全等级保护网络技术要求GA 388-2002 计算机信息系统安全等级保护操作系统技术要求GA/T 389-2002计算机信息系统安全等级保护数据库管理系统技术要求GA/T 390-2002计算机信息系统安全等级保护通用技术要求GA 3

12、91-2002 计算机信息系统安全等级保护管理要求风险评估：BS7799 ISO17799 ISO27001 ISO 27002 GBT 20984-2007 信息安全技术 信息安全风险评估规范 等保测评与风险评估的区别可以简单的理解为等保是标准或体系，风险评估是一种针对性的手段。为什么需要进行风险评估？为什么需要进行风险评估？该买辣椒水呢还是请保镖？什么样的信息系统才是安全的什么样的信息系统才是安全的?如何确保信息系统的安全如何确保信息系统的安全?两个基本问题什么样的信息系统才是安全的什么样的信息系统才是安全的?如何确保信息系统的安全如何确保信息系统的安全?风险分析风险分析风险管理风险管理基

13、本问题的答案潜在损失潜在损失在可以承受在可以承受范围范围之内的系统之内的系统风险分析风险分析安全决策安全决策风险管理风险管理两个答案的相关性 安全保障体系建设安全保障体系建设安安全全成本成本 效率效率 安全安全-效率曲线效率曲线 安全安全-成本曲线成本曲线要研究建设信息要研究建设信息安全的综合成本安全的综合成本与信息安全风险与信息安全风险之间的平衡，而之间的平衡，而不是要片面追求不是要片面追求不切实际的安全不切实际的安全不同的信息系统，不同的信息系统，对于安全的要求对于安全的要求不同，不是不同，不是“越安全越好越安全越好”信息系统矛盾三角三类操作系统举例怎么做风险评估？怎么做风险评估？评估到底

14、买辣椒水还是请保镖更合适可能的攻击可能的攻击信息的价值信息的价值可能的损失可能的损失风险评估简要版资产资产弱点弱点影响影响弱点弱点威胁威胁可能性可能性+=当前的风险级别当前的风险级别风险分析方法示意图损失的量化必须围绕损失的量化必须围绕用户的用户的核心价值核心价值，用，用户的户的核心业务流程核心业务流程！如何量化损失否是否是风险评估的准备已有安全措施的确认风险计算风险是否接受保持已有的控制措施施施施选择适当的控制措施并评估残余风险实施风险管理脆弱性识别威胁识别资产识别是否接受残余风险 风险识别评估过程文档评估过程文档风险评估结果记录评估结果文档风险评估流程等级保护下风险评估实施框架保护对象划分

15、和定级保护对象划分和定级网络系统划分和定级网络系统划分和定级资产脆弱性威胁风险分析基本安全要求等级保护管理办法、指南信息安全政策、标准、法律法规安全需求风险列表安全规划风险评估结合等保测评的风险评估流程6060风险评估项目实施过程风险评估项目实施过程计划计划准备准备实施实施报告报告跟踪跟踪6161评估工作各角色的责任评估工作各角色的责任评估组长评估组长评估员评估员XX公司安全专责公司安全专责p负责管理问卷访谈和运维负责管理问卷访谈和运维问卷访谈；问卷访谈；p组织评估活动，控制协调组织评估活动，控制协调进度，保证按计划完成评估进度，保证按计划完成评估任务；任务；p组织召开评估会议；组织召开评估会

16、议；p代表评估小组与受评估方代表评估小组与受评估方管理层接触；管理层接触；p组织撰写风险评估报告、组织撰写风险评估报告、现状报告和安全改进建议现状报告和安全改进建议p提交评估报告。提交评估报告。p 负责风险评估技术部分的内负责风险评估技术部分的内容包括：网络、主机系统、应容包括：网络、主机系统、应用和数据库评估用和数据库评估p 熟悉必要的文件和程序；熟悉必要的文件和程序；p准备风险评估技术评估工具；准备风险评估技术评估工具；p 撰写每单位的评估报告；撰写每单位的评估报告；p 配合支持评估组长的工作，配合支持评估组长的工作，有效完成评估任务；有效完成评估任务；p收存和保护与评估有关的文件。收存和

17、保护与评估有关的文件。p 负责配合顾问提供风负责配合顾问提供风险评估相关的工作环境、险评估相关的工作环境、评估实现条件；评估实现条件；p备份系统数据备份系统数据;p配合评估顾问完成资产配合评估顾问完成资产分类、赋值、弱点威胁发分类、赋值、弱点威胁发现和赋值、风险处理意见现和赋值、风险处理意见等工作；等工作；p掌握风险评估方法；掌握风险评估方法；p收存和保护与评估有关收存和保护与评估有关的文件。的文件。p完成扫描后完成扫描后,检查风险检查风险评估后系统的安全性和稳评估后系统的安全性和稳定性定性6262风险评估项目实施过程风险评估项目实施过程计划计划准备准备实施实施报告报告跟踪跟踪6363制定评估

18、计划制定评估计划u 评估计划分年度计划和具体的实施计划，前者通常是评估策划阶段就需评估计划分年度计划和具体的实施计划，前者通常是评估策划阶段就需要完成的，是整个评估活动的总纲，而具体的评估实施计划则是遵照年度要完成的，是整个评估活动的总纲，而具体的评估实施计划则是遵照年度评估计划而对每次的评估活动所作的实施安排。评估计划而对每次的评估活动所作的实施安排。u 评估计划通常应该包含以下内容：评估计划通常应该包含以下内容：目的：申明组织实施内部评估的目标。：申明组织实施内部评估的目标。时间安排：评估时间避免与重要业务活动发生冲突。：评估时间避免与重要业务活动发生冲突。评估类型：集中方式（本次项目采用

19、集中评估方式）：集中方式（本次项目采用集中评估方式）其他考虑因素：范围、评估组织、评估要求、特殊情况等。：范围、评估组织、评估要求、特殊情况等。u 评估实施计划是对特定评估活动的具体安排，内容通常包括：评估实施计划是对特定评估活动的具体安排，内容通常包括：目的、范围、准则、评估组成员及分工、评估时间和地点、首末次会议及报告时间目的、范围、准则、评估组成员及分工、评估时间和地点、首末次会议及报告时间u 评估计划应以文件形式颁发，评估实施计划应该有评估组长签名并得到评估计划应以文件形式颁发，评估实施计划应该有评估组长签名并得到主管领导的批准。主管领导的批准。6464风险评估计划示例风险评估计划示例

20、评估目的评估目的评价信息安全管理体系运行的符合性和有效性评价信息安全管理体系运行的符合性和有效性评估范围评估范围评估准则评估准则XXXX公司信息安全管理办法公司信息安全管理办法ISO27001ISO27001信息安全管理体系。信息安全管理体系。评估小组评估小组评估组长评估组长评估组员评估组员 评估活动评估活动时间时间负责人负责人备注备注填写信息资产采集表填写信息资产采集表X X月上旬月上旬实施风险评估过程实施风险评估过程X X月中旬月中旬不符合项及高危风险纠不符合项及高危风险纠正正X X月末月末各相关部门负责人各相关部门负责人跟踪验证跟踪验证X X月上旬月上旬评估小组评估小组召开风险评估整改会

21、议召开风险评估整改会议X X月下旬月下旬信息部领导信息部领导编制编制编写者编写者时间时间年年月月日日评估评估评估者评估者（信息按照专责签字）（信息按照专责签字）时间时间年年月月日日批准批准批准者批准者（信息部门领导签字）（信息部门领导签字）时间时间年年月月日日6565风险评估实施计划示例风险评估实施计划示例评估目的评估目的对对ISMSISMS进行内部评估，为体系纠正提供依据，为管理评审提供输入进行内部评估，为体系纠正提供依据，为管理评审提供输入评估范围评估范围评估准则评估准则XXXX公司信息安全管理办法公司信息安全管理办法ISO27001ISO27001信息安全管理体系。信息安全管理体系。评估

22、方式评估方式集中式评估集中式评估评估时间评估时间X X年年X X月月X XX X月月X X日日评估组织评估组织评估组长评估组长评估组员评估组员第一小组第一小组 第二小组第二小组 评估安排评估安排日期日期时间时间评估区域评估区域评估内容评估内容第一小组第一小组第二小组第二小组第一小组第一小组第二小组第二小组X9:00-9:309:00-9:30会议室会议室首次会议首次会议9:30-12:009:30-12:0014:00-17:0014:00-17:0017:00-18:0017:00-18:00X9:00-11:009:00-11:0011:00-12:0011:00-12:00会议室会议室评

23、估小组会议评估小组会议14:00-15:0014:00-15:00会议室会议室末次会议末次会议编制编制编写者编写者 时间时间 年年月月日日 评估评估评估者评估者（信息安全专责签字）（信息安全专责签字）时间时间 年年月月日日 批准批准批准者批准者（信息部管理者签字）（信息部管理者签字）时间时间 年年月月日日 6666风险评估项目实施过程风险评估项目实施过程计划计划准备准备实施实施报告报告跟踪跟踪6767检查列表的四要素检查列表的四要素去哪里？找谁？查什么？如何查？6868风险评估常用方法风险评估常用方法u 检查列表：评估员根据自己的需要，事先编制针对某方面问题的检查列表，然：评估员根据自己的需要

24、，事先编制针对某方面问题的检查列表，然后逐项检查符合性，在确认检查列表应答时，评估员可以采取调查问卷、文件审查、后逐项检查符合性，在确认检查列表应答时，评估员可以采取调查问卷、文件审查、现场观察和人员访谈等方式。现场观察和人员访谈等方式。u 文件评估：评估员在现场评估之前，应该对受评估方与信息安全管理活动相关：评估员在现场评估之前，应该对受评估方与信息安全管理活动相关的所有文件进行审查，包括安全方针和目标、程序文件、作业指导书和记录文件。的所有文件进行审查，包括安全方针和目标、程序文件、作业指导书和记录文件。u 现场观察：评估员到现场参观，可以观察并获取关于现场物理环境、信息系统：评估员到现场

25、参观，可以观察并获取关于现场物理环境、信息系统的安全操作和各类安全管理活动的第一手资料。的安全操作和各类安全管理活动的第一手资料。u 人员访谈：与受评估方人员进行面谈，评估员可以了解其职责范围、工作陈述、：与受评估方人员进行面谈，评估员可以了解其职责范围、工作陈述、基本安全意识、对安全管理获知的程度等信息。评估员进行人员访谈时要做好记录基本安全意识、对安全管理获知的程度等信息。评估员进行人员访谈时要做好记录和总结，必要时要和访谈对象进行确认。和总结，必要时要和访谈对象进行确认。u 技术评估：评估员可以采用各种技术手段，对技术性控制的效力及符合性进行：评估员可以采用各种技术手段，对技术性控制的效

26、力及符合性进行评估。这些技术性措施包括：自动化的扫描工具、网络拓扑结构分析、本地主机审评估。这些技术性措施包括：自动化的扫描工具、网络拓扑结构分析、本地主机审查、渗透测试等。查、渗透测试等。6969评估员检查工具评估员检查工具检查列表检查列表u 检查列表（检查列表（Checklist）是评估员进行评估时必备的自用工具，是评估前）是评估员进行评估时必备的自用工具，是评估前需准备的一个重要工作文件。需准备的一个重要工作文件。u 在实施评估之前，评估员将根据分工情况来准备各自在现场评估所需的在实施评估之前，评估员将根据分工情况来准备各自在现场评估所需的检查列表，检查列表的内容，取决于评估主题和被评估

27、部门的职能、范围、检查列表，检查列表的内容，取决于评估主题和被评估部门的职能、范围、评估方法及要求。评估方法及要求。u 检查列表在信息安全管理体系内部评估中起着以下重要作用：检查列表在信息安全管理体系内部评估中起着以下重要作用：明确与评估目标有关的抽样问题；明确与评估目标有关的抽样问题；使评估程序规范化，减少评估工作的随意性和盲目性；使评估程序规范化，减少评估工作的随意性和盲目性；保证评估目标始终明确，突出重点，避免在评估过程中因迷失方向而浪费时间；保证评估目标始终明确，突出重点，避免在评估过程中因迷失方向而浪费时间；更好地控制评估进度；更好地控制评估进度；检查列表、评估计划和评估报告一起，都

28、作为评估记录而存档。检查列表、评估计划和评估报告一起，都作为评估记录而存档。7070u 检查列表编写的依据，是评估准则，也就是信息安全管理标准、组织信检查列表编写的依据，是评估准则，也就是信息安全管理标准、组织信息安全方针手册等文件的要求息安全方针手册等文件的要求u 针对受评估部门的特点，重点选择某些应该格外关注的信息安全问题针对受评估部门的特点，重点选择某些应该格外关注的信息安全问题u 信息的收集和验证的方法应该多种多样，包括面谈、观察、文件和记录信息的收集和验证的方法应该多种多样，包括面谈、观察、文件和记录的收集和汇总分析、从其他信息源（客户反馈、外部报告等）收集信息等的收集和汇总分析、从

29、其他信息源（客户反馈、外部报告等）收集信息等u 检查列表应该具有可操作性检查列表应该具有可操作性u 检查列表内容应该能够覆盖体系所涉及的全部范围和安全要求检查列表内容应该能够覆盖体系所涉及的全部范围和安全要求u 如果采用了技术性评估，可在检查列表中列出具体方法和工具如果采用了技术性评估，可在检查列表中列出具体方法和工具u 检查列表的形式和详略程度可采取灵活方式检查列表的形式和详略程度可采取灵活方式u 检查列表要经过信息安全主管人员审查无误后才能使用检查列表要经过信息安全主管人员审查无误后才能使用检查列表编写注意事项检查列表编写注意事项71常用技术工具清单u 技术漏洞扫描工具技术漏洞扫描工具Ne

30、ssus 扫描器扫描器Nmap端口扫描工具端口扫描工具绿盟极光漏洞扫描器绿盟极光漏洞扫描器安信通数据库扫描器安信通数据库扫描器WireShark/EtherealIBM Appscan 7272风险评估项目实施过程风险评估项目实施过程计划计划准备准备实施实施报告报告跟踪跟踪7373召开首次会议召开首次会议u 在完成全部评估准备工作之后，评估小组就可以按照预先在完成全部评估准备工作之后，评估小组就可以按照预先的计划实施现场评估了，现场评估开始于首次会议，评估小组的计划实施现场评估了，现场评估开始于首次会议，评估小组全体成员和受评估方领导及相关人员共同参加。全体成员和受评估方领导及相关人员共同参加

31、。u 首次会议由评估组长主持，评估小组要向组织的相关人员首次会议由评估组长主持，评估小组要向组织的相关人员介绍评估计划、具体内容、评估方法，并协调、澄清有关问题。介绍评估计划、具体内容、评估方法，并协调、澄清有关问题。u 召开首次会议时，与会者应该做好正式记录。召开首次会议时，与会者应该做好正式记录。7474首次会议议程及内容首次会议议程及内容75风险评估原则风险评估原则u 在风险评估前，需要对技术评估的风险进行重审。在风险评估前，需要对技术评估的风险进行重审。u 被评估方应在接受技术评估前对业务系统备份。被评估方应在接受技术评估前对业务系统备份。u 在技术扫描过程中，需要系统管理员全程陪同。

32、在技术扫描过程中，需要系统管理员全程陪同。u 参考最近一年的风险评估记录参考最近一年的风险评估记录.u 在遇到异常情况时，及时通知管理员，并且停止评估。在遇到异常情况时，及时通知管理员，并且停止评估。u 技术评估安排在对系统影响较小的时间进行技术评估安排在对系统影响较小的时间进行7676实施现场评估实施现场评估u 首次会议之后，即可进入现场评估。现场评估按计划进行，首次会议之后，即可进入现场评估。现场评估按计划进行，评估内容参照事先准备好的检查列表。评估内容参照事先准备好的检查列表。u 评估期间，评估员应该做好笔记和记录，这些记录是评估评估期间，评估员应该做好笔记和记录，这些记录是评估员提出报

33、告的真凭实据。记录的格式可以是员提出报告的真凭实据。记录的格式可以是“笔记式笔记式”，也可，也可以是以是“记录表式记录表式”，一般来说，内审活动都应该有统一的，一般来说，内审活动都应该有统一的“现现场评估记录表场评估记录表”，便于规范化管理。，便于规范化管理。u 评估进行到适当阶段，评估组长应该主持召开评估小组会评估进行到适当阶段，评估组长应该主持召开评估小组会议，借此了解各个评估员的工作进展，提出下一步工作要求，议，借此了解各个评估员的工作进展，提出下一步工作要求，协调有关活动，并对已获得的评估证据和评估发现展开分析和协调有关活动，并对已获得的评估证据和评估发现展开分析和讨论。讨论。7777

34、对不符合项进行描述对不符合项进行描述u 无论是严重不符合项还是轻微不符合项，评估员都应该将其记录到不符无论是严重不符合项还是轻微不符合项，评估员都应该将其记录到不符合项报告中。不符合项报告是对现场评估得到的评估发现进行评审并合项报告中。不符合项报告是对现场评估得到的评估发现进行评审并经过受评估方确认的对不符合项的陈述，是最终的评估报告的一部分，是评估的对不符合项的陈述，是最终的评估报告的一部分，是评估小组提交给委托方或受评估方的正式文件。小组提交给委托方或受评估方的正式文件。u 不符合项描述应该明确以下内容：不符合项描述应该明确以下内容：在哪里发现的？描述相关区域、文件、记录、设备在哪里发现的

35、？描述相关区域、文件、记录、设备 发现了什么？客观描述发现的事实发现了什么？客观描述发现的事实 有谁在场？或者和谁有关？描述相关人员、职位有谁在场？或者和谁有关？描述相关人员、职位 为什么不合格？描述不符合原因，所违背的标准或文件条款为什么不合格？描述不符合原因，所违背的标准或文件条款u 在对不符合项进行描述时，应该注意：在对不符合项进行描述时，应该注意：不符合项描述务必清楚明白，便于追溯不符合项描述务必清楚明白，便于追溯 描述语句务必正规，采用标准术语描述语句务必正规，采用标准术语78现场工作时间安排（一）现场工作时间安排（二）8080召开评估小组会议召开评估小组会议u 现场评估结束后，末次

36、会议召开之前，评估小组应该召开内部碰头会。现场评估结束后，末次会议召开之前，评估小组应该召开内部碰头会。或者是在整个评估过程中，定期（每天结束时）召开评估小组碰头会或者是在整个评估过程中，定期（每天结束时）召开评估小组碰头会u 同一评估小组的成员参加同一评估小组的成员参加u 会议期间讨论当前的评估结果会议期间讨论当前的评估结果u 沟通评估信息、线索沟通评估信息、线索u 协调评估方向，控制评估实施按计划进行协调评估方向，控制评估实施按计划进行u 评估组长作评估总结准备。在末次会议之前的评估组会议中，评估组长评估组长作评估总结准备。在末次会议之前的评估组会议中，评估组长要对评估的观察结果作一次汇总

37、分析：要对评估的观察结果作一次汇总分析：从发现的风险进行分析（发生的部门、要素、性质、类型）从发现的风险进行分析（发生的部门、要素、性质、类型）从技术漏洞的趋势分析（不同业务系统的比较）从技术漏洞的趋势分析（不同业务系统的比较）从体系运行状况对影响情况进行分析从体系运行状况对影响情况进行分析 总结各项安全措施落实的优缺点总结各项安全措施落实的优缺点8181召开末次会议u 现场评估之后，评估组长应该主持召开末次会议，有评估小组、受评估现场评估之后，评估组长应该主持召开末次会议，有评估小组、受评估方领导和各相关部门负责人共同参加。方领导和各相关部门负责人共同参加。u 末次会议的任务在于：向受评估方

38、介绍评估的情况；报告评估发现（重末次会议的任务在于：向受评估方介绍评估的情况；报告评估发现（重大风险点）和评估结论；提出后续工作的建议（纠正措施等）；结束现场大风险点）和评估结论；提出后续工作的建议（纠正措施等）；结束现场评估。评估。8282末次会议议程及内容末次会议议程及内容等级保护测评中的风险分析风险分析和评价风险分析和评价安全事件可能性分析安全事件可能性分析安全事件后果分析安全事件后果分析风险分析和评价风险分析和评价重点回顾风险评估基本概念(P5)资产赋值的一般方法(P11-P16)风险分析原理(P23)等级保护测评与风险评估的区别(P30)风险与投入的平衡(P41)风险评估流程(P54)等级保护测评中的风险分析(P80)