1/11/1總體概述工程概述南》和GB/T20984-2023》要求，總體評估公司信息化建設風險。2.風險評估方案風險評估現(xiàn)場實施流程風險評估的實施流程見以下圖所示風險評估預備風險評估預備資產(chǎn)識別威逼識別脆弱性識別已有安全措施確實認評估過程文檔風險計算風險分析評估過程文檔保持已有的安全措施是風險是否承受否制定和實施風險處理打算并評估剩余風險.........是否承受剩余風險否評估過程文檔是實施風險治理風險評估文件記錄風險評估使用工具序號序號名稱版本用途1數(shù)據(jù)庫安全掃描系統(tǒng)可掃描Qracle、SqlServer、SybaseATX數(shù)據(jù)庫漏洞掃描2ISS網(wǎng)絡掃描器可掃描各類操作系統(tǒng)和應用系統(tǒng)7.0sp2網(wǎng)絡、主機漏洞掃描3天鏡脆弱性掃描系統(tǒng)可掃描各類操作系統(tǒng)和應用系統(tǒng)6.0網(wǎng)絡、主機漏洞掃描4極光遠程安全可掃描各類操作系統(tǒng)評估系統(tǒng) 和應用系統(tǒng)AURORA-200網(wǎng)絡、主機漏洞掃描55網(wǎng)絡綜合協(xié)議OptiView網(wǎng)絡透視與協(xié)議分析，網(wǎng)絡性能測評INA網(wǎng)絡流量監(jiān)控6理,HPOpenView自動覺察網(wǎng)絡拓撲治理NNM6.0繪制網(wǎng)絡拓撲圖風險評估方法資產(chǎn)識不資產(chǎn)分類為數(shù)據(jù)、軟件、硬件、文檔、效勞、人員等類型。分類例如分類例如保存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運行治理規(guī)程、數(shù)據(jù)打算、報告、用戶手冊等系統(tǒng)軟件：操作系統(tǒng)、語句包、工具軟件、各種庫等軟件應用軟件：外部購置的應用軟件，外包開發(fā)的應用軟件等源程序：各種共享源代碼、自行或合作開發(fā)的各種代碼等網(wǎng)絡設備：路由器、網(wǎng)關、交換機等計算機設備：大型機、小型機、效勞器、工作站、臺式計算機、移動計算機等存儲設備：磁帶機、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等硬件傳輸線路：光纖、雙絞線等〔UPS、變電設備等〕、空調、保險柜、文件柜、門禁、消防設施等安全保障設備：防火墻、入侵檢測系統(tǒng)、身份驗證等其他：打印機、復印機、掃描儀、機等辦公效勞：為提高效率而開發(fā)的治理信息系統(tǒng)〔辦公效勞：為提高效率而開發(fā)的治理信息系統(tǒng)〔MIS，包括各種內(nèi)部配置治理、文件流轉治理等效勞效勞網(wǎng)絡效勞：各種網(wǎng)絡設備、設施供給的網(wǎng)絡連接效勞信息效勞：對外依靠該系統(tǒng)開展的各類效勞文檔紙質的各種文件，如、電報、財務報告、進展打算等人員把握重要信息和核心業(yè)務的人員，如主機維護主管、網(wǎng)絡維護主管及應用工程經(jīng)理等其它企業(yè)形象，客戶關系等資產(chǎn)賦值保密性賦值依照資產(chǎn)在保密性上的不同要求，將其分為五個不同的等時對整個組織的阻礙。資產(chǎn)機密性賦值表賦值賦值標識定義5特地高包含組織最重要的隱秘，關系以后進展的前途命運，對組織全然利益有著打算性的阻礙，假設泄露會造成災難性的損害4高包含組織的重要隱秘，其泄露會使組織的安全和利益患病嚴峻損害3中等組織的一般性隱秘，其泄露會使組織的安全和利益受到損害2低僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外集中有可能對組織的利益造成稍微損害1特地低可對社會公開的信息，公用的信息處理設備和系統(tǒng)資源等完整性賦值依照資產(chǎn)在完整性上的不同要求，將其分為五個不同的等級，分不對應資產(chǎn)在完整性上缺失時對整個組織的阻礙。資產(chǎn)完整性賦值表賦值賦值標識定義5特地高完整性價值特不關鍵，未經(jīng)授權的修改或破壞會對組織造成重大的或無法同意的阻礙，對業(yè)務沖擊重大，并可能造成嚴峻的業(yè)務中斷，難以彌補。4高完整性價值較高，未經(jīng)授權的修改或破壞會對組織造成重大阻礙，對業(yè)務沖擊嚴峻，較難彌補。3中等但能夠彌補。2低完整性價值較低，未經(jīng)授權的修改或破壞會對組織造成稍微阻礙，對業(yè)務沖擊稍微，簡潔彌補。1特地低完整性價值特不低，未經(jīng)授權的修改或破壞對組織造成的阻礙能夠無視，對業(yè)務沖擊能夠無視?？捎眯再x值級，分不對應資產(chǎn)在可用性上應達成的不同程度。資產(chǎn)可用性賦值表賦值標識定義5特地高可用性價值特不高，合法使用者對信息及信息