《香港安全风险评估及审计指南》(55页).rar 目录 1.　目的..1-1 2.　范围..2-1 2.1　信息科技安全文件概览2-2 3.　参考资料.3-1 4.　定义及惯用词.4-1 4.1　定义..4-1 4.2　惯用词..4-1 5.　信息科技安全管理概览5-1 5.1　信息科技安全管理概览5-1 5.2　安全风险评估与安全审计的异同..5-2 5.2.1　安全风险评估是什幺..5-2 5.2.2　安全审计是什幺..5-2 6.　安全风险评估.6-1 6.1　安全风险评估的好处6-1 6.2　安全风险评估步骤6-1 6.2.1　规划6-1 6.2.1.1　项目范围和目标6-2 6.2.1.2　背景资料6-2 6.2.1.3　限制.6-2 6.2.1.4　各方的职务和职责..6-2 6.2.1.5　方式和方法6-3 6.2.1.6　项目规模和时间表..6-3 6.2.2　收集资料6-3 6.2.2.1　应收集的资料6-3 6.2.2.2　收集资料的方法6-3 6.2.3　风险分析6-4 6.2.3.1　资产确认与估值6-4 6.2.3.2　安全威胁分析6-5 6.2.3.3　安全漏洞分析6-6 6.2.3.4　资产／威胁／漏洞映射..6-6 6.2.3.5　影响及可能性评估..6-7 6.2.3.6　风险结果分析6-7 6.2.4　确定及选择安全保障措施.6-9 6.2.4.1　常见安全保障措施类别6-10 6.2.4.2　确定和选择安全保障措施的主要步骤.6-10 6.2.5　监察与推行.6-11 6.3　常见的安全风险评估工作.6-11　Ref.　No.　:　G51　i-1 安全风险评估及审计指南　目录 6.4　成品6-12 7.　安全审计.7-1 7.1　审计频率及时机.7-1 7.1.1　审计频率7-1 7.1.2　审计时机7-1 7.2　审计方法.7-2 7.2.1　一般控制覆检..7-2 7.2.2　系统覆检7-2 7.2.3　渗透测试7-2 7.3　审计工具.7-3 7.4　审计步骤.7-4 7.4.1　界定审计范围和目标..7-4 7.4.1.1　审计范围7-5 7.4.1.2　审计目标7-5 7.4.2　规划7-5 7.4.3　收集审计资料..7-6 7.4.4　进行审计测试..7-7 7.4.5　报告审计结果..7-7 7.4.6　保护审计数据和工具..7-7 7.4.7　改进与跟进7-8 8.　服务的先决条件和一般工作..8-1 8.1　假设和限制.8-1 8.2　用户的责任.8-1 8.3　服务的先决条件.8-1 8.4　安全审计师的责任8-2 8.5　一般工作示例.8-2 9.　安全风险评估及审计跟进9-1 9.1　跟进的重要性.9-1 9.2　有效及合格的建议9-1 9.3　承担..9-2 9.3.1　安全审计师9-2 9.3.2　人员9-2 9.3.3　管理层9-2 9.4　监察与跟进.9-2 9.4.1　建立监察与跟进机制..9-2 9.4.2　确认建议并制订跟进计划.9-3 9.4.3　主动监察及报告..9-3 9.4.3.1　跟进行动的进度和进展情况.9-3 9.4.3.2　跟进行动9-3 附录 A　—　安全风险评估提问示例清单..A-1 Ref.　No.　:　G51　i-2 安全风险评估及审计指南　目录 B　—　成品内容示例B-1 C　—　安全审计的不同类别..C-1 D　—　审计示例清单D-1 ..................