税务系统网络与信息安全风险评估指南.doc

《税务系统网络与信息安全风险评估指南》编制说明税务系统网络与信息安全风险评估指南就是为了对全国税务系统的信息安全风险评估工作提供实施的指导,从而统一全国税务系统风险评估工作的实施办法和工作流程,产生相同格式的工作成果,确保各地税务系统网络与信息安全风险评估工作结果的可比性。税务系统网络与信息安全风险评估指南对税务系统网络与信息安全风险评估的过程、关键点以及工作成果等方面提出了具体的实施方法和产生的文档类别和内容。税务系统网络与信息安全风险评估的内容包括:资产分析,漏洞、脆弱性及弱点评估,威胁评估,影响与可能性分析和系统分析等方面。风险评估过程分为三个阶段:确定资产的威胁概况,确定基础设施风险和制定安全策略及计划。本风险评估指南规定了风险评估项目组织、跟进工作等。限定了风险评估的前提和分工。本风险评估指南共提供了六个附录,附录A为术语表,对本指南内的专业术语进行解释,附录B为调查问卷,对税务系统网络与信息安全风险评估的调查问卷种类和内容进行规定,附录C为交付文档范例,确定了税务系统网络与信息安全风险评估工作需完成的工作文档,附录D资产分类清单,对税务系统内的资产进行了分类,附录E资产脆弱性清单列举了各类资产可能存在的脆弱性,附录F为资产威胁清单,列举了资产所面临的威胁。税务系统网络与信息安全风险评估指南(试行稿)国家税务总局信息中心二〇〇四年十月目录1 前言 关于本文档 目标读者 文档结构 相关标准 参考文献 关于术语与缩略语的约定 32 风险评估概述 基本概念 意义与作用 过程概述 工具 调查问卷 远程***工具 人工审计检查列表 安全风险评估信息库 成功的关键因素 收益 面临的挑战 73 风险评估内容 资产分析 资产定义 资产类别 资产评估 资产评估的目的 资产的重要性 资产级别 评估实例 漏洞/脆弱性/弱点评估 弱点评估的目的 弱点评估的内容 弱点评估手段 威胁评估 威胁定义 威胁分类 威胁属性 威胁的获取方法 威胁评估手段 威胁评估实例 影响与可能性分析 系统分析 系统结构及边界 信息的敏感度评估 调查问卷的结构 调查系统控制