税务系统网络与信息安全风险评估指南.docx

税务系统网络与借息安
全凤险评估指南
集团文件发布号：（9816・UATWW・MWUB・WUNN・INNUL・DQQTY・
《税务系统网络与信息安全风险评估指南》
编制说明
税务系统网络与信息安全风险评估指南就是为了对全国税务系统的信息安全 风险评估工作提供实施的指导，从而统一全国税务系统风险评估工作的实施办法 和工作流程，产生相同格式的工作成果，确保各地税务系统网络与信息安全风险 评估工作结果的可比性。
税务系统网络与信息安全风险评估指南对税务系统网络与信息安全风险评估 的过程、关键点以及工作成果等方面提出了具体的实施方法和产生的文档类别和 内容。
税务系统网络与信息安全风险评估的内容包括：资产分析，漏洞、脆弱性及 弱点评估，威胁评估，影响与可能性分析和系统分析等方面。风险评估过程分为 三个阶段：确定资产的威胁概况，确定基础设施风险和制定安全策略及计划。
本风险评估指南规定了风险评估项目组织、跟进工作等。限定了风险评估的 前提和分工。
本风险评估指南共提供了六个附录，附录A为术语表，对本指南内的专业术 语进行解释，附录B为调查问卷，对税务系统网络与信息安全风险评估的调查问 卷种类和内容进行规定，附录C为交付文档范例，确定了税务系统网络与信息安 全风险评估工作需完成的工作文档，附录D资产分类清单，对税务系统内的资产 进行了分类，附录E资产脆弱性清单列举了各类资产可能存在的脆弱性，附录F 为资产威胁清单，列举了资产所面临的威胁。
税务系统网络与信息安全风险评估指南
（试行稿）
国家税务总局信息中心
二OO四年十月
前言



关 标 准
考 文 献

风险评估概述
2. 1基本概念
2. 2意义与作用
2. 3过程概述
2. 4工具
. 1 调
查
问
卷
. 2远
程
漏
洞
扫 描
工
具
人
工
审
计
检 查
列
表
安
全
风 险
评 估 信
息
库
2. 5成功的关键因素

2. 7面临的挑战
风险评估内容

3. 1. 1 资
产
定
义
3. 资
产
类
别
3. 资
产
评
估
3. 产
评 估
的
目
的
产
的
重
要
性
3. 资
产
级
别
估 实 例
3. 2漏洞/脆弱性/弱点评估
. 1 弱
占
八“
评
估
的
目
的
3. 2. 2弱
占
八“
评
估
的
内
容
3. 2. 3弱
点
评
估
手
段
3. 3威胁评估..
3. 3. 1 威
胁
定
义
3. 3. 2威
胁
分
类
3. 3. 3威
胁
属
性
3. 3. 4威
胁
的
获
取
方
法
3. 3. 5威
胁
评
估
手
段
3. 3. 6威
胁
评
估
实
例
3. 4影响与可能性分析
3. 5系统分析…
. 1 系
统
结
构
及
边
界
3. 5. 2信
息
的 敏
感
度
评
估
....
. 1 调
查
系
统
控
制
3. 6. 2系
统
确
认
3. 6. 3 目
的
和 评
估
者
信
息
3. 6. 4信
息
的
决
定
性
3. 7利用问卷调查结果
. 1 调
查
问
卷
分
析
3. 7. 2行
动
计
划
3. 8综合风险分析
. 1 风
险
分
析
矩
阵
风
险
评
估
层
面
风
险
评
估
实
例
3.
17799
十
个
域
3. 9可交付的文档
3. 9. 1 信
息
网
络
文
档
—-
览
风险评估过程...
4. 1评估过程....
4.
1 :
提取基于
资产
的威胁概
况

2
: 确定
基础