目 錄

1  概述

2  準(zhǔn)備

2.1  確定 ISMS 范圍 

2.2  確定信息安全總體方針政策 

2.3  定義風(fēng)險(xiǎn)評(píng)估與管理方法 

2.4  項(xiàng)目準(zhǔn)備 

3  風(fēng)險(xiǎn)評(píng)估 

3.1  現(xiàn)狀分析 

3.2  風(fēng)險(xiǎn)評(píng)價(jià) 

3.3  風(fēng)險(xiǎn)處置 

4  安全體系規(guī)劃與設(shè)計(jì) 

4.1  安全體系規(guī)劃 

4.2  編寫(xiě)安全體系文檔 

5  安全體系實(shí)施、調(diào)整、評(píng)審 

5.1  體系實(shí)施 

5.2  體系調(diào)整 

5.3  體系評(píng)審 

1 1 概述

實(shí)踐證明，按照 BS7799/ISO27000 的要求在組織內(nèi)部建立并運(yùn)行信息安全管理體系

（ISMS），強(qiáng)化信息安全管理體系的運(yùn)行審核和管理評(píng)審，不斷改進(jìn)優(yōu)化組織的信息安全管

理體系，是處理組織信息安全問(wèn)題有效手段之一。

根據(jù) BS7799/ISO27000 要求，在建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、保持與改進(jìn)組織 ISMS

時(shí)采用 PDCA 的過(guò)程模型，即首先依據(jù)組織的信息安全總體方針政策，通過(guò)對(duì) ISMS 涉及范圍

內(nèi)的所有信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，選取合適的安全控制措施，建立包括安全策略、控制程序、

操作指南/手冊(cè)在內(nèi)的文件化的信息安全管理體系，然后在組織內(nèi)部實(shí)施并運(yùn)行 ISMS 信息安

全策略、控制程序及措施，并通過(guò) ISMS 運(yùn)行監(jiān)控、內(nèi)部審計(jì)及管理評(píng)審，發(fā)現(xiàn) ISMS 存在的

問(wèn)題及弱點(diǎn)，及時(shí)采取適當(dāng)?shù)募m正或預(yù)防措施，實(shí)現(xiàn) ISMS 的持續(xù)改進(jìn)。

信息安全管理體系咨詢(xún)服務(wù)的目的就是根據(jù) ISO27001 標(biāo)準(zhǔn)的要求，采用 PDCA 的過(guò)程模

型，通過(guò)基于資產(chǎn)的風(fēng)險(xiǎn)評(píng)估，幫助客戶(hù)建立文件化的信息安全管理體系，輔導(dǎo)客戶(hù)在其組

織范圍內(nèi)實(shí)施、運(yùn)行、評(píng)審信息安全管理體系，從而確?？蛻?hù)信息系統(tǒng)的正常運(yùn)行，提高服

務(wù)競(jìng)爭(zhēng)力，最終促進(jìn)客戶(hù)業(yè)務(wù)的開(kāi)展。

如上圖所示，信息安全管理體系建設(shè)咨詢(xún)服務(wù)包括準(zhǔn)備、風(fēng)險(xiǎn)評(píng)估、安全體系規(guī)劃與設(shè)

計(jì)、安全體系實(shí)施/調(diào)整/評(píng)審四個(gè)階段，各個(gè)階段說(shuō)明如下:

第一階段：準(zhǔn)備

準(zhǔn)備階段主要完成信息安全管理體系建設(shè)項(xiàng)目的前期準(zhǔn)備工作。包括四個(gè)工作任務(wù)，分

別是：

1) 確定 ISMS 范圍

根據(jù)組織業(yè)務(wù)需要確定 ISMS 涵蓋的范圍，包括地理位置、部門(mén)或信息系統(tǒng)等。

2) 確定信息安全總體方針政策

分析 ISMS 范圍內(nèi)的業(yè)務(wù)及系統(tǒng)安全需求，確定 ISMS 的總體方針政策。

3) 定義風(fēng)險(xiǎn)評(píng)估與管理方法

確定風(fēng)險(xiǎn)評(píng)估模型，確定風(fēng)險(xiǎn)評(píng)估指標(biāo)，定義風(fēng)險(xiǎn)評(píng)估及管理程序。

4) 項(xiàng)目準(zhǔn)備

制定實(shí)施計(jì)劃、成立項(xiàng)目組、整理開(kāi)發(fā)相關(guān)工具模板、召開(kāi)啟動(dòng)會(huì)，進(jìn)行項(xiàng)目背景

知識(shí)培訓(xùn)等。

第 二 階段：風(fēng)險(xiǎn)評(píng)估

分析 ISMS 范圍內(nèi)的信息安全現(xiàn)狀，針對(duì) ISMS 范圍內(nèi)的所有信息資產(chǎn)，識(shí)別并評(píng)價(jià)其面

臨的安全風(fēng)險(xiǎn)，提出對(duì)應(yīng)的控制措施。包括三大工作任務(wù)，分別為：

1) 現(xiàn)狀分析

通過(guò)訪(fǎng)談、檢查及測(cè)試了解 ISMS 范圍內(nèi)的信息安全現(xiàn)狀，形成現(xiàn)狀報(bào)告，并將獲

取的安全現(xiàn)狀與 ISO27002 中的安全控制措施進(jìn)行差距分析。

2) 風(fēng)險(xiǎn)評(píng)價(jià)

按照確定的風(fēng)險(xiǎn)評(píng)估模型，評(píng)價(jià)現(xiàn)狀分析階段識(shí)別的資產(chǎn)、威脅及弱點(diǎn)，確定資產(chǎn)

風(fēng)險(xiǎn)等級(jí)。

3) 風(fēng)險(xiǎn)處置

確定風(fēng)險(xiǎn)處置方式，選擇安全控制措施，制定風(fēng)險(xiǎn)處置計(jì)劃，進(jìn)行殘余風(fēng)險(xiǎn)分析。

第 三 階段： 安全 體系規(guī)劃與設(shè)計(jì)

根據(jù)差距分析和風(fēng)險(xiǎn)評(píng)估結(jié)果規(guī)劃安全體系建設(shè)任務(wù)，落實(shí)本期建設(shè)規(guī)劃。包括兩大工

作任務(wù)，分別為：

1) 安全體系規(guī)劃

規(guī)劃信息安全體系建設(shè)項(xiàng)目、任務(wù)、計(jì)劃等。

2) 編寫(xiě)安全體系文檔

設(shè)計(jì)信息安全體系管理文檔或技術(shù)方案。

第 四 階段： 安全 體系實(shí)施 、調(diào)整、評(píng)審

落實(shí)信息安全管理措施，部署信息安全技術(shù)措施，運(yùn)行信息安全管理體系，改進(jìn)信息安

全管理體系不足，按照 ISO27001 要求進(jìn)行信息安全管理體系內(nèi)部審核和管理評(píng)審。包括三

大工作任務(wù)，分別為：

1) 體系實(shí)施

落實(shí)或部署信息安全管理體系的相關(guān)管理及技術(shù)措施，運(yùn)行信息安全管理體系。

2) 體系調(diào)整

針對(duì)實(shí)施和運(yùn)行中存在的問(wèn)題，對(duì)信息安全管理體系進(jìn)行調(diào)整改進(jìn)。

3) 體系評(píng)審

按照 ISO27001 要求進(jìn)行信息安全管理體系內(nèi)部審核和管理評(píng)審。

2 2 準(zhǔn)備 準(zhǔn)備

2.1 2.1 確定 確定 S ISMS  范圍

根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義 ISMS 范圍和邊界。

?  主要工作任務(wù)及內(nèi)容（活動(dòng)）

1) 信息安全與業(yè)務(wù)戰(zhàn)略及規(guī)劃一致性分析

針對(duì)組織內(nèi)部安全狀況與組織業(yè)務(wù)戰(zhàn)略及規(guī)劃一致性的分析，主要從客戶(hù)、合作方等外

部角度考慮 ISMS 需要涵蓋的范圍。

2) 信息安全與相關(guān)法規(guī)/制度符合性分析

針對(duì)組織內(nèi)部安全狀況與法律/法規(guī)/制度符合性的分析，主要從合規(guī)性方面考慮 ISMS

范圍需要涵蓋的范圍。

3) 信息安全與業(yè)務(wù)運(yùn)營(yíng)影響分析

針對(duì)組織內(nèi)部安全狀況對(duì)業(yè)務(wù)運(yùn)營(yíng)影響的分析，主要從內(nèi)部風(fēng)險(xiǎn)管理角度考慮 ISMS 需

要涵蓋范圍

4) 確定 ISMS 范圍

根據(jù)上述分析結(jié)果確定 ISMS 范圍（包括涉及的物理位置、業(yè)務(wù)[流程]、部門(mén)、系統(tǒng)等）。

?  主要工作方式/ / 方法（工作方式、職責(zé)劃分、工作方法）

ISMS 范圍描述

確定 ISMS 范圍

信息安全管理體系是為保障組織信息系統(tǒng)而建立的，而信息系統(tǒng)建設(shè)與運(yùn)行的目標(biāo)是確

保組織業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)，因此信息安全管理體系建設(shè)的最終目的是確保組織業(yè)務(wù)目標(biāo)的實(shí)

現(xiàn)。所以確定 ISMS 范圍時(shí)需要從內(nèi)部業(yè)務(wù)需求和外部合規(guī)性要求出發(fā)，對(duì)信息安全與組織

業(yè)務(wù)發(fā)展戰(zhàn)略及規(guī)劃的一致性、信息安全與與相關(guān)法規(guī)/制度的符合性、信息安全對(duì)業(yè)務(wù)運(yùn)

營(yíng)的影響進(jìn)行綜合分析形成與業(yè)務(wù)目標(biāo)相一致的 ISMS 范圍。

應(yīng)該對(duì)確定的 ISMS 范圍進(jìn)行書(shū)面說(shuō)明（可以放在信息安全管理手冊(cè)或總體方針文件

中），對(duì) ISMS 涉及的部門(mén)，位置、業(yè)務(wù)以及主要資產(chǎn)（主要信息系統(tǒng)或設(shè)備）進(jìn)行描述。

2.2 2.2 確定 確定 信息安全 總體方針政策

分析 ISMS 范圍內(nèi)的業(yè)務(wù)及系統(tǒng)安全需求，確定 ISMS 的總體方針政策。

?  主要工作任務(wù)及內(nèi)容（活動(dòng)）

1) 業(yè)務(wù)及系統(tǒng)初步安全需求分析

根據(jù)組織業(yè)務(wù)及系統(tǒng)特點(diǎn)進(jìn)行初步安全需求分析，形成總體安全需求。

2) 確定 ISMS 總體方針政策

在初步安全需求分析結(jié)果基礎(chǔ)上，確定組織信息安全的總體方針政策，包括 ISMS 范圍、

總體目標(biāo)、安全組織結(jié)構(gòu)、安全管理框架、

?  主要工作方式/ / 方法（工作方式、職責(zé)劃分、工作方法）

在進(jìn)行信息安全管理體系建設(shè)前，應(yīng)該制定組織的信息安全總體方針政策，設(shè)定信息安

全的總體目標(biāo)，明確信息安全管理職責(zé)，建立信息安全總體框架，為相關(guān)活動(dòng)指明總的方向

和原則。信息安全總體方針政策是建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持并持續(xù)信息安全管

理體系的基礎(chǔ)，需要獲得最高管理者的批準(zhǔn)。

制定組織信息安全總體方針政策時(shí)可以首先針對(duì)組織業(yè)務(wù)及系統(tǒng)特點(diǎn)進(jìn)行初步的安全

需求分析，考慮包括業(yè)務(wù)及法規(guī)制度合同要求在內(nèi)的安全需求，形成安全需求框架。

確定信息安全總體方針政策的過(guò)程如下：

確定的信息安全總體方針政策應(yīng)該文件化，并由最高管理者簽發(fā)。信息安全總體方針政

策文件需要包含如下內(nèi)容：

? 組織信息安全的定義、總體目標(biāo)、范圍等；

? 組織信息安全的重要性（如何保障業(yè)務(wù)目標(biāo)實(shí)現(xiàn)）；

? 管理層承諾與支持；

? 信息安全體系框架（如何實(shí)現(xiàn)組織信息安全）；

? 對(duì)組織尤其重要的特殊方針、原則、標(biāo)準(zhǔn)及符合性要求簡(jiǎn)短說(shuō)明，如：法律法規(guī)要

求、業(yè)務(wù)持續(xù)性管理、教育與培訓(xùn)以及違反策略的后果等；

? 信息安全管理組織架構(gòu)、職責(zé)、安全管理方法等；

? 引用的支撐策略或管理制度。

2.3 2.3 定義風(fēng)險(xiǎn)評(píng)估 定義風(fēng)險(xiǎn)評(píng)估 與管理 方法

確定信息安全風(fēng)險(xiǎn)評(píng)估模型，定義風(fēng)險(xiǎn)評(píng)估程序、建立風(fēng)險(xiǎn)評(píng)估指標(biāo)及風(fēng)險(xiǎn)接受準(zhǔn)則。

?  主要工作任務(wù)及內(nèi)容（活動(dòng)）

1) 確定風(fēng)險(xiǎn)評(píng)估模型及相關(guān)指標(biāo)準(zhǔn)則

定義組織風(fēng)險(xiǎn)評(píng)估方法及風(fēng)險(xiǎn)接受準(zhǔn)則等。

2) 制定風(fēng)險(xiǎn)評(píng)估與管理程序

按照確定的風(fēng)險(xiǎn)評(píng)估方法及風(fēng)險(xiǎn)接受準(zhǔn)則，形成文件化的風(fēng)險(xiǎn)評(píng)估與管理程序。

?  主要工作方式/ / 方法（工作方式、職責(zé)劃分、工作方法）

在確定了 ISMS 的范圍和總體方針之后，需要確定一種適合組織的風(fēng)險(xiǎn)評(píng)估模型，建立

風(fēng)險(xiǎn)評(píng)估指標(biāo)及風(fēng)險(xiǎn)接受準(zhǔn)則。并且需要按照確定的風(fēng)險(xiǎn)評(píng)估方法及風(fēng)險(xiǎn)接受準(zhǔn)則，形成文

件化的風(fēng)險(xiǎn)評(píng)估及管理程序。具體內(nèi)容包括：

? 定義風(fēng)險(xiǎn)評(píng)估模型；

? 定義資產(chǎn)類(lèi)別；

? 定義威脅類(lèi)別；

? 定義弱點(diǎn)類(lèi)別；

? 定義風(fēng)險(xiǎn)處置方式；

? 確定風(fēng)險(xiǎn)接受準(zhǔn)則；

? 確定風(fēng)險(xiǎn)計(jì)算方式；

? 各種指標(biāo)值及描述。

2.4 2.4 項(xiàng)目 項(xiàng)目 準(zhǔn)備

按照 ISMS 建設(shè)范圍及進(jìn)度要求，制定有關(guān)實(shí)施計(jì)劃，組建項(xiàng)目組，落實(shí)人員安排，整

理或開(kāi)發(fā) ISMS 建設(shè)所需的表格/工具/模板，召開(kāi)啟動(dòng)會(huì)，并按照實(shí)際需要對(duì)相關(guān)人員進(jìn)行

項(xiàng)目背景知識(shí)培訓(xùn)，完成 ISMS 建設(shè)項(xiàng)目的前期準(zhǔn)備工作。

?  主要工作任務(wù)及內(nèi)容（活動(dòng)）

1) 制定實(shí)施計(jì)劃

制定項(xiàng)目實(shí)施計(jì)劃，主要是下一階段的風(fēng)險(xiǎn)評(píng)估計(jì)劃。

2) 組建項(xiàng)目組

落實(shí)項(xiàng)目人員安排及其職責(zé)。

3) 整理開(kāi)發(fā)工具/模板

開(kāi)發(fā)或定制各種表格、工具及模板，包括各種問(wèn)卷，表格，檢查及測(cè)試程序與模板等。

4) 項(xiàng)目啟動(dòng)會(huì)

正式啟動(dòng)項(xiàng)目。

5) 培訓(xùn)

按照需要進(jìn)行項(xiàng)目背景知識(shí)培訓(xùn)，包括 BS7799/ISO27000 知識(shí)培訓(xùn)，項(xiàng)目實(shí)施過(guò)程/方

法/工具培訓(xùn)等。

?  主要工作方式/ / 方法（工作方式、職責(zé)劃分、工作方法）

項(xiàng)目準(zhǔn)備主要包括制定項(xiàng)目（下一階段）實(shí)施計(jì)劃，組建項(xiàng)目組，整理開(kāi)發(fā)工具模板，

召開(kāi)啟動(dòng)會(huì)，實(shí)施項(xiàng)目培訓(xùn)等。

項(xiàng)目準(zhǔn)備過(guò)程如下：

開(kāi)發(fā)整理工具/模板是項(xiàng)目準(zhǔn)備階段最重要的工作任務(wù)之一，ISMS 建設(shè)的工具模板包

括：

1) 1) 調(diào)查問(wèn)卷 調(diào)查問(wèn)卷

調(diào)查問(wèn)卷是為了大范圍收集了解情況（所謂全面撒網(wǎng)）而由甲方相關(guān)人員填寫(xiě)由咨詢(xún)?nèi)?/p>

員收集分析的問(wèn)卷表，由于問(wèn)卷調(diào)查可以在大范圍并行開(kāi)展，因此可以節(jié)約信息收集時(shí)間。

但調(diào)查問(wèn)卷獲取信息的可靠性較差，因此問(wèn)卷涉及的調(diào)查內(nèi)容應(yīng)該包括在面對(duì)面訪(fǎng)談中。

ISMS 建設(shè)調(diào)查問(wèn)卷包括：

? 威脅調(diào)查問(wèn)卷

用于收集了解體系建設(shè)范圍內(nèi)信息安全威脅及事件的相關(guān)信息。

? 信息安全管理調(diào)查問(wèn)卷

初步了解體系建設(shè)范圍內(nèi)信息安全管理的相關(guān)情況，同時(shí)了解調(diào)查被調(diào)查人員關(guān)于

信息安全管理的意識(shí)以及關(guān)于 ISMS 體系建設(shè)迫切需要解決的問(wèn)題。

2) 2) 現(xiàn)場(chǎng)訪(fǎng)談表 現(xiàn)場(chǎng)訪(fǎng)談表

現(xiàn)場(chǎng)訪(fǎng)談表是由咨詢(xún)?nèi)藛T使用的用于面對(duì)面訪(fǎng)談甲方相關(guān)人員的工作表格?，F(xiàn)場(chǎng)訪(fǎng)談表

主要用于收集體系建設(shè)范圍內(nèi)組織及 IT 系統(tǒng)的基本信息和安全狀況。

ISMS 建設(shè)現(xiàn)場(chǎng)訪(fǎng)談表包括：

? IT 組織情況調(diào)查表

主要調(diào)查體系建設(shè)范圍內(nèi) IT 組織的基本情況。

? 信息系統(tǒng)調(diào)查表（系列）

主要調(diào)查體系建設(shè)范圍內(nèi)信息系統(tǒng)的基本情況，包括物理、網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫(kù)以

及應(yīng)用系統(tǒng)的部署使用、安全措施等。

? 安全管理訪(fǎng)談表

按照 BS7799-1 或者 ISO27002 要求，進(jìn)行安全管理措施及弱點(diǎn)訪(fǎng)談。

?

4) 形成項(xiàng)目執(zhí)行決議

項(xiàng)目背景知識(shí)培訓(xùn)主要涉及 BS7799/ISO27000 知識(shí)培訓(xùn)，項(xiàng)目實(shí)施過(guò)程/方法/工具培訓(xùn)

等?？梢栽谂嘤?xùn)后根據(jù)甲方的意愿進(jìn)行培訓(xùn)考試。

3 3 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)評(píng)估

3.1 3.1 現(xiàn)狀分析 現(xiàn)狀分析

通過(guò)問(wèn)卷調(diào)查、訪(fǎng)談、檢查及測(cè)試等多種方式盡可能多的收集信息系統(tǒng)及安全管理相關(guān)

信息，對(duì)收集到的信息進(jìn)行綜合分析和整理，形成差距分析報(bào)告和現(xiàn)狀報(bào)告。

?  主要工作任務(wù)及內(nèi)容（活動(dòng)）

1) 問(wèn)卷調(diào)查

對(duì) ISMS 范圍內(nèi)的相關(guān)人員進(jìn)行問(wèn)卷調(diào)查，了解組織人員的安全管理意識(shí)、組織面臨的

主要威脅情況以及發(fā)生的主要安全事件。

2) 現(xiàn)場(chǎng)訪(fǎng)談

面對(duì)面訪(fǎng)談信息系統(tǒng)架構(gòu)、部署以及安全弱點(diǎn)、管理及技術(shù)措施等。

3) 手工檢測(cè)

人工檢查或測(cè)試系統(tǒng)的安全管理落實(shí)情況。

4) 安全掃描

使用自動(dòng)化工具進(jìn)行網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)或應(yīng)用系統(tǒng)掃描。

5) 滲透測(cè)試

對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)或應(yīng)用系統(tǒng)實(shí)施滲透測(cè)試，可選。

6) 綜合分析

對(duì)問(wèn)卷調(diào)查、現(xiàn)場(chǎng)訪(fǎng)談、手工檢測(cè)、安全掃描收集的信息進(jìn)行綜合分析。

7) 撰寫(xiě)報(bào)告

撰寫(xiě)差距分析報(bào)告和現(xiàn)狀報(bào)告。

?  主要工作方式/ / 方法（工作方式、職責(zé)劃分、工作方法）

現(xiàn)狀分析的目的是收集信息系統(tǒng)及安全管理的相關(guān)信息，所采用的手段包括：?jiǎn)柧碚{(diào)查、

現(xiàn)場(chǎng)訪(fǎng)談、檢查與測(cè)試等，在進(jìn)行現(xiàn)狀分析前需要準(zhǔn)備完成相關(guān)的現(xiàn)狀調(diào)研及分析工具模板。

具體包括：

? 調(diào)查問(wèn)卷

? 現(xiàn)場(chǎng)訪(fǎng)談表

? 人工檢測(cè)表

? 自動(dòng)掃描工具等

其中調(diào)查問(wèn)卷需要根據(jù) ISMS 范圍內(nèi)的人員崗位分別定制，現(xiàn)場(chǎng)訪(fǎng)談表、人工檢測(cè)表需

要根據(jù)網(wǎng)絡(luò)及系統(tǒng)平臺(tái)類(lèi)別分別定制。

各種主要手段功用及工作底稿描述如下：

? 問(wèn)卷調(diào)查主要用于信息安全管理意識(shí)、安全威脅及相關(guān)安全事件了解。問(wèn)卷調(diào)查的

工作底稿主要是問(wèn)卷答卷。

? 現(xiàn)場(chǎng)訪(fǎng)談主要了解物理、網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)的基本信息以及

其安全管理設(shè)計(jì)情況?，F(xiàn)場(chǎng)訪(fǎng)談工作底稿包括：訪(fǎng)談?dòng)?jì)劃、訪(fǎng)談結(jié)果記錄等。

? 人工檢測(cè)表主要用于核查安全管理的落實(shí)情況，檢查或測(cè)試各類(lèi)網(wǎng)絡(luò)設(shè)備、操作系

統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)的安全實(shí)現(xiàn)情況。工作底稿主要是檢測(cè)結(jié)果記錄。

? 自動(dòng)掃描主要用于對(duì)網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)或應(yīng)用系統(tǒng)的進(jìn)行自動(dòng)化掃

描。工作底稿包括：掃描計(jì)劃、掃描原始記錄、掃描報(bào)告等。

? 滲透測(cè)試主要對(duì)網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)或應(yīng)用系統(tǒng)的實(shí)施滲透。工作底

稿包括：滲透測(cè)試計(jì)劃、滲透測(cè)試記錄、滲透測(cè)試報(bào)告等。

3.2 3.2 風(fēng)險(xiǎn)評(píng)價(jià) 風(fēng)險(xiǎn)評(píng)價(jià)

依據(jù)確定的風(fēng)險(xiǎn)評(píng)估模型與方法，對(duì)現(xiàn)狀分析階段識(shí)別出的資產(chǎn)、威脅、弱點(diǎn)以及由此

而形成的資產(chǎn)綜合風(fēng)險(xiǎn)進(jìn)行分析評(píng)價(jià)，形成風(fēng)險(xiǎn)評(píng)估報(bào)告。

?  主要工作任務(wù)及內(nèi)容（活動(dòng)）

1) 資產(chǎn)評(píng)價(jià)

評(píng)估資產(chǎn)價(jià)值。

2) 威脅評(píng)價(jià)

評(píng)估威脅發(fā)生可能性。

3) 弱點(diǎn)評(píng)價(jià)

評(píng)估弱點(diǎn)嚴(yán)重程度。

4) 風(fēng)險(xiǎn)評(píng)價(jià)

綜合資產(chǎn)評(píng)價(jià)、威脅評(píng)價(jià)、弱點(diǎn)評(píng)價(jià)結(jié)果評(píng)估資產(chǎn)面臨的風(fēng)險(xiǎn)。

5) 風(fēng)險(xiǎn)評(píng)估報(bào)告

形成風(fēng)險(xiǎn)評(píng)估報(bào)告。

?  主要工作方式/ / 方法（工作方式、職責(zé)劃分、工作方法）

風(fēng)險(xiǎn)評(píng)價(jià)充分利用了現(xiàn)狀分析階段收集的資產(chǎn)、威脅、弱點(diǎn)以及安全控制的相關(guān)信息，

按照確定風(fēng)險(xiǎn)評(píng)估模型及方法，評(píng)估資產(chǎn)面臨的風(fēng)險(xiǎn)。

3.3 3.3 風(fēng)險(xiǎn)處置 風(fēng)險(xiǎn)處置

根據(jù)風(fēng)險(xiǎn)處置標(biāo)準(zhǔn)，確定風(fēng)險(xiǎn)處置方式。對(duì)于那些需要控制的風(fēng)險(xiǎn)，需要選擇安全控制

措施，制定風(fēng)險(xiǎn)處置計(jì)劃，進(jìn)行殘余風(fēng)險(xiǎn)分析。

?  主要工作任務(wù)及內(nèi)容（活動(dòng)）

1) 選擇風(fēng)險(xiǎn)處置方式

根據(jù)確定的風(fēng)險(xiǎn)接受準(zhǔn)則，選擇風(fēng)險(xiǎn)處置方式，如：接受、控制、轉(zhuǎn)移、規(guī)避等。

2) 選擇安全控制措施

對(duì)于確定為控制的風(fēng)險(xiǎn)，選擇 ISO27002 中的或其它的安全控制措施。

3) 制定風(fēng)險(xiǎn)處置計(jì)劃

對(duì)確定為控制的風(fēng)險(xiǎn)，制定相應(yīng)的風(fēng)險(xiǎn)處理計(jì)劃，包括任務(wù)、人員、時(shí)間安排

4) 殘余風(fēng)險(xiǎn)分析

分析控制實(shí)施后的殘余風(fēng)險(xiǎn)。

?  主要工作方式/ / 方法（工作方式、職責(zé)劃分、工作方法）

風(fēng)險(xiǎn)處置方法一般包括風(fēng)險(xiǎn)接受、風(fēng)險(xiǎn)控制、風(fēng)險(xiǎn)轉(zhuǎn)移、風(fēng)險(xiǎn)規(guī)避四種。

? 風(fēng)險(xiǎn)接受：包括低于一定的風(fēng)險(xiǎn)水平本身就可接受的風(fēng)險(xiǎn)，或者那些不可避免，而

且技術(shù)上、資源上不可能采取對(duì)策來(lái)降低，或者降低對(duì)組織來(lái)說(shuō)不經(jīng)濟(jì)的風(fēng)險(xiǎn)。

? 風(fēng)險(xiǎn)控制：采用適當(dāng)?shù)目刂埔越档惋L(fēng)險(xiǎn)：包括降低安全事件發(fā)生的可能性或者降低

安全事件影響兩個(gè)方面，這時(shí)風(fēng)險(xiǎn)處置的重點(diǎn)。

? 風(fēng)險(xiǎn)轉(zhuǎn)移：將風(fēng)險(xiǎn)和其他的利益方分擔(dān)，避免自己承擔(dān)全部損失。例如保險(xiǎn)和其他

的風(fēng)險(xiǎn)分擔(dān)合同。

? 風(fēng)險(xiǎn)規(guī)避：通過(guò)避免開(kāi)展某項(xiàng)業(yè)務(wù)、活動(dòng)或使用某項(xiàng)不成熟的產(chǎn)品技術(shù)等來(lái)回避可

聯(lián)系人：
性別：	男 女
課程名稱(chēng)：	請(qǐng)選擇課程 GD&T-美國(guó)/歐洲幾何尺寸和公差高級(jí)培訓(xùn) 銷(xiāo)售心理學(xué)與客戶(hù)溝通技巧 TTT-高級(jí)培訓(xùn)師全能培訓(xùn) 貿(mào)易合同條款/貿(mào)易術(shù)語(yǔ)/關(guān)務(wù)合規(guī)和進(jìn)出口實(shí)操重點(diǎn) 壓力與情緒管理 人力資源如何成業(yè)務(wù)部門(mén)的合作伙伴HRBP 客戶(hù)投訴處理及應(yīng)對(duì)技巧 戰(zhàn)略采購(gòu)管理制定與供應(yīng)市場(chǎng)開(kāi)發(fā)-高級(jí)采購(gòu)管理 制造過(guò)程審核 制造業(yè)新產(chǎn)品導(dǎo)入-NPI實(shí)務(wù)特訓(xùn) ISO 9001:2015質(zhì)量管理體系 標(biāo)準(zhǔn)理解、實(shí)施及內(nèi)部審核員培訓(xùn) 8D質(zhì)量問(wèn)題解決 DOE 實(shí)驗(yàn)設(shè)計(jì)實(shí)戰(zhàn)應(yīng)用 大客戶(hù)顧問(wèn)式銷(xiāo)售與談判技巧 TQM-全面質(zhì)量管理 6Sigma準(zhǔn)綠帶培訓(xùn) （六西格瑪基本方法及工具應(yīng)用） IATF 16949:2016 汽車(chē)業(yè)質(zhì)量管理體系標(biāo)準(zhǔn)理解、 實(shí)施及內(nèi)部審核員培訓(xùn) 向華為學(xué)管理：研發(fā)項(xiàng)目管理工具與模板 完美合同-采購(gòu)及銷(xiāo)售人員必備合同法律知識(shí)&風(fēng)險(xiǎn)防控 ISO 9001:2015 & ISO 14001:2015 & OHSAS 18001:2007三標(biāo)管理體系標(biāo)準(zhǔn)理解、實(shí)施及內(nèi)審員培訓(xùn) 生產(chǎn)準(zhǔn)備流程與產(chǎn)品制造成本分析 現(xiàn)代管理者溝通影響力與領(lǐng)導(dǎo)力提升 ISO 9001:2015質(zhì)量管理體系 標(biāo)準(zhǔn)理解、實(shí)施及內(nèi)部審核員培訓(xùn) 制造過(guò)程審核 精益生產(chǎn)全景式實(shí)戰(zhàn)模擬及工具運(yùn)用 許盛華培訓(xùn)經(jīng)理訓(xùn)練營(yíng)獨(dú)家課程--互聯(lián)網(wǎng)+時(shí)代培訓(xùn)體系建立及工具運(yùn)用-贈(zèng)送培訓(xùn)系統(tǒng)軟件 ISO 14001:2015&ISO 9001:2015管理體系標(biāo)準(zhǔn)理解、實(shí)施及內(nèi)審員培訓(xùn) 精細(xì)化的工廠(chǎng)設(shè)備維護(hù)管理 IATF 16949:2016 汽車(chē)業(yè)質(zhì)量管理體系標(biāo)準(zhǔn)理解、 實(shí)施及內(nèi)部審核員培訓(xùn) 現(xiàn)場(chǎng)質(zhì)量管理與突破性快速改善（問(wèn)題分析與解決） ISO 9001:2015質(zhì)量管理體系 標(biāo)準(zhǔn)理解、實(shí)施及內(nèi)部審核員培訓(xùn) 讓供應(yīng)商和我們一起成長(zhǎng) -供應(yīng)商開(kāi)發(fā)、選擇、考核與關(guān)系管理 EHS專(zhuān)業(yè)能力提高班（機(jī)械/電氣/上鎖掛牌/承包商管理） PMC-制造業(yè)生產(chǎn)計(jì)劃與物料控制 供應(yīng)鏈庫(kù)存優(yōu)化與需求管理 抽樣檢驗(yàn)與品質(zhì)保證 新舊QC七大工具（十四個(gè)質(zhì)量工具） SPC&MSA ISO 9001:2015 & ISO 14001:2015 & OHSAS 18001:2007三標(biāo)管理體系標(biāo)準(zhǔn)理解、實(shí)施及內(nèi)審員培訓(xùn) 多品種小批量下的生產(chǎn)計(jì)劃與排程管理 FMEA&APQP&PPAP 如何開(kāi)展TPM全員自主維護(hù)活動(dòng) ISO 9001:2015質(zhì)量管理體系 標(biāo)準(zhǔn)理解、實(shí)施及內(nèi)部審核員培訓(xùn) ISO 14001:2015&ISO 9001:2015管理體系標(biāo)準(zhǔn)理解、實(shí)施及內(nèi)審員培訓(xùn) 程曉華獨(dú)家課程-制造業(yè)庫(kù)存控制技術(shù)與策略 （贈(zèng)送簽名書(shū)） EHS專(zhuān)員全面技能提升（環(huán)境/健康/零事故安全生產(chǎn)） IATF 16949:2016 汽車(chē)業(yè)質(zhì)量管理體系標(biāo)準(zhǔn)理解、 實(shí)施及內(nèi)部審核員培訓(xùn) SQE-供應(yīng)商質(zhì)量管理高級(jí)研修班 SQE-供應(yīng)商質(zhì)量管理高級(jí)研修班 采購(gòu)成本分析、削減與談判技巧 供應(yīng)鏈及采購(gòu)管理人員必備的財(cái)稅知識(shí) 優(yōu)秀倉(cāng)管員全能實(shí)戰(zhàn)訓(xùn)練 現(xiàn)場(chǎng)精細(xì)化管理改善與提升 供應(yīng)鏈中的包裝設(shè)計(jì)與管理 Excel在企業(yè)管理中的運(yùn)用 ISO 9001:2015質(zhì)量管理體系 標(biāo)準(zhǔn)理解、實(shí)施及內(nèi)部審核員培訓(xùn) IATF 16949:2016 汽車(chē)業(yè)質(zhì)量管理體系標(biāo)準(zhǔn)理解、 實(shí)施及內(nèi)部審核員培訓(xùn) 制造型企業(yè)物流與供應(yīng)鏈管理 IATF 16949:2016 汽車(chē)業(yè)質(zhì)量管理體系標(biāo)準(zhǔn)理解、 實(shí)施及內(nèi)部審核員培訓(xùn) 演示之道-PPT商務(wù)/設(shè)計(jì)應(yīng)用 防錯(cuò)防呆技術(shù)及其最新技術(shù) 防錯(cuò)防呆技術(shù)及其最新技術(shù) QCC品管圈操作實(shí)務(wù) 項(xiàng)目思維與關(guān)鍵性管理能力提升（沙盤(pán)） 用數(shù)據(jù)說(shuō)話(huà)-基于企業(yè)實(shí)踐的MINITAB軟件應(yīng)用 精益遇上工業(yè)4.0--智能化工廠(chǎng) 項(xiàng)目經(jīng)理的五圖二表實(shí)戰(zhàn)落地兩天一夜（劉毛華經(jīng)典課程） 采購(gòu)人員綜合能力提升 構(gòu)建基于業(yè)務(wù)及其風(fēng)險(xiǎn)的質(zhì)量體系 6sigma綠帶(2+2+2+2) 6sigma綠帶(2+2+2+2) 6sigma綠帶(2+2+2+2) 6sigma綠帶(2+2+2+2) 精益工廠(chǎng)系統(tǒng)導(dǎo)入與推行（實(shí)戰(zhàn)模擬） 精益工廠(chǎng)系統(tǒng)導(dǎo)入與推行（實(shí)戰(zhàn)模擬） 現(xiàn)場(chǎng)精細(xì)化管理改善與提升 產(chǎn)品質(zhì)量責(zé)任、召回及其法律風(fēng)險(xiǎn) 5s目視管理推行實(shí)戰(zhàn)（推行篇） 產(chǎn)品審核
公司名稱(chēng)：
公司簡(jiǎn)介：
職務(wù)：	董事長(zhǎng)（總裁） 總經(jīng)理 副總 總監(jiān)（協(xié)理、處長(zhǎng)） 經(jīng)理 課長(zhǎng) 組長(zhǎng) 專(zhuān)員 一般員工 其它 人資主管
手機(jī)號(hào)：
電子郵箱：
郵寄地址：
郵政編碼：
參課程人數(shù)：
驗(yàn)證碼：	點(diǎn)擊圖片刷新