|
|
|
|
根据评估实施情况和所搜集到的信息,如资产评估数据、威胁评估数据、脆弱性评估数据等,完成评估报告撰写。评估报告是风险评估结果的记录文件,是组织实施风险管理的主要依据,是对风险评估活动进行评审和认可的基础资料,因此,报告必须做到有据可查。报告内容一般主要包括风险评估范围、风险计算方法、安全问题归纳及描述、风险级数、安全建议等。风险评估报告还可以包括风险控制措施建议、残余风险描述等。网络风险评估报告由绪论、安全现状描述、资产评估、脆弱性评估、安全管理评估、评估总结和建议组成。其中,绪论包括术语和定义、评估内容、评估流程、评估数据来源和评估参考依据;安全现状描述则是给出网络组成说明、网络拓扑结构、关键设备和网络服务、当前网络安全防范措施;资产评估列出网络系统中的软硬件清单,如路由器、交换机、网络服务、操作系统、数据库、主机等,并对资产给出重要性评价;脆弱性评估则是给出网络系统所面临的威胁,包括威胁来源、威胁途径、威胁方式、威胁后果等;安全管理评估则是从安全操作流程、设备管理、人员管理、安全制度、应急响应能力、行政控制手段等方面对网络系统的安全问题进行分析评价,分析其存在的不足;评估总结和建议是风险评估报告的最后部分,这一部分内容主要是把网络系统的安全问题进行归类,并说明各类安全问题的轻重和应采取的安全对策。
|
|
|
|
|
|
|
|
|
|
