香港安全风险评估及审计指南

目录
1. 目的.....................................................................................................1-1
2. 范围.....................................................................................................2-1
2.1 信息科技安全文件概览...........................................................................2-2
3. 参考资料..............................................................................................3-1
4. 定义及惯用词........................................................................................4-1
4.1 定义.....................................................................................................4-1
4.2 惯用词..................................................................................................4-1
5. 信息科技安全管理概览...........................................................................5-1
5.1 信息科技安全管理概览...........................................................................5-1
5.2 安全风险评估与安全审计的异同..............................................................5-2
5.2.1 安全风险评估是什幺....................................................................5-2
5.2.2 安全审计是什幺..........................................................................5-2
6. 安全风险评估........................................................................................6-1
6.1 安全风险评估的好处..............................................................................6-1
6.2 安全风险评估步骤.................................................................................6-1
6.2.1 规划..........................................................................................6-1
6.2.1.1 项目范围和目标...............................................................6-2
6.2.1.2 背景资料........................................................................6-2
6.2.1.3 限制...............................................................................6-2
6.2.1.4 各方的职务和职责...........................................................6-2
6.2.1.5 方式和方法.....................................................................6-3
6.2.1.6 项目规模和时间表...........................................................6-3
6.2.2 收集资料....................................................................................6-3
6.2.2.1 应收集的资料..................................................................6-3
6.2.2.2 收集资料的方法...............................................................6-3
6.2.3 风险分析....................................................................................6-4
6.2.3.1 资产确认与估值...............................................................6-4
6.2.3.2 安全威胁分析..................................................................6-5
6.2.3.3 安全漏洞分析..................................................................6-6
6.2.3.4 资产／威胁／漏洞映射.....................................................6-6
6.2.3.5 影响及可能性评估...........................................................6-7
6.2.3.6 风险结果分析..................................................................6-7
6.2.4 确定及选择安全保障措施.............................................................6-9
6.2.4.1 常见安全保障措施类别...................................................6-10
6.2.4.2 确定和选择安全保障措施的主要步骤...............................6-10
6.2.5 监察与推行...............................................................................6-11
6.3 常见的安全风险评估工作......................................................................6-11 Ref. No. : G51 i-1
安全风险评估及审计指南 目录
6.4 成品...................................................................................................6-12
7. 安全审计..............................................................................................7-1
7.1 审计频率及时机.....................................................................................7-1
7.1.1 审计频率....................................................................................7-1
7.1.2 审计时机....................................................................................7-1
7.2 审计方法..............................................................................................7-2
7.2.1 一般控制覆检.............................................................................7-2
7.2.2 系统覆检....................................................................................7-2
7.2.3 渗透测试....................................................................................7-2
7.3 审计工具..............................................................................................7-3
7.4 审计步骤..............................................................................................7-4
7.4.1 界定审计范围和目标....................................................................7-4
7.4.1.1 审计范围........................................................................7-5
7.4.1.2 审计目标........................................................................7-5
7.4.2 规划..........................................................................................7-5
7.4.3 收集审计资料.............................................................................7-6
7.4.4 进行审计测试.............................................................................7-7
7.4.5 报告审计结果.............................................................................7-7
7.4.6 保护审计数据和工具....................................................................7-7
7.4.7 改进与跟进.................................................................................7-8
8. 服务的先决条件和一般工作....................................................................8-1
8.1 假设和限制...........................................................................................8-1
8.2 用户的责任...........................................................................................8-1
8.3 服务的先决条件.....................................................................................8-1
8.4 安全审计师的责任.................................................................................8-2
8.5 一般工作示例........................................................................................8-2
9. 安全风险评估及审计跟进........................................................................9-1
9.1 跟进的重要性........................................................................................9-1
9.2 有效及合格的建议.................................................................................9-1
9.3 承担.....................................................................................................9-2
9.3.1 安全审计师.................................................................................9-2
9.3.2 人员..........................................................................................9-2
9.3.3 管理层.......................................................................................9-2
9.4 监察与跟进...........................................................................................9-2
9.4.1 建立监察与跟进机制....................................................................9-2
9.4.2 确认建议并制订跟进计划.............................................................9-3
9.4.3 主动监察及报告..........................................................................9-3
9.4.3.1 跟进行动的进度和进展情况..............................................9-3
9.4.3.2 跟进行动........................................................................9-3
附录
A — 安全风险评估提问示例清单....................................................................A-1
Ref. No. : G51 i-2
安全风险评估及审计指南 目录
B — 成品内容示例.......................................................................................B-1
C — 安全审计的不同类别.............................................................................C-1
D — 审计示例清单.......................................................................................D-1


楼主记得以后发附件要带上目录
2004年的东西 比较老了 不知道现在适用否

是很老的东西，感觉可以适当参考。

没见过，不过6年以前的东西，参考价值越来越小了吧

我觉得吧，安全的角度和理念都是一样的，不一样的是产品的技术和系统的独特性

可以参考一下

很详细，看看，谢谢分享

有没有文件发上来参考下？

可以参考、学习一下

参考下，学习下，谢谢分享