國家安全評測技術(shù)白皮書

1、信息系統(tǒng)安全測評信息系統(tǒng)安全測評業(yè)務(wù)白皮書業(yè)務(wù)白皮書中國信息安全測評中心2008 年 8 月第第 1 1 章章 信息系統(tǒng)安全測評信息系統(tǒng)安全測評信息系統(tǒng)安全是關(guān)乎國家穩(wěn)定、 企業(yè)生存與發(fā)展的重大課題，在信息技術(shù)日益發(fā)展的今天， 如何通過信息系統(tǒng)安全測評工作，最大限度使組織結(jié)構(gòu)預(yù)知存在的安全隱患， 最大限度地保證國家重要基礎(chǔ)設(shè)施和重點(diǎn)行業(yè)的安全穩(wěn)定運(yùn)營，已經(jīng)成為當(dāng)前我國信息安全工作的重點(diǎn)。 信息技術(shù)作為支撐企業(yè)業(yè)務(wù)服務(wù)的重要基礎(chǔ)性設(shè)施，直接影響組織機(jī)構(gòu)的對外服務(wù)。是否可以通過主動地、定期地系統(tǒng)安全測評， 做到事前規(guī)避？現(xiàn)實(shí)情況是很多組織機(jī)構(gòu)在信息安全測評工作方面還存在巨大的誤區(qū)和盲區(qū)。信息系統(tǒng)安

2、全測評工作成為組織機(jī)構(gòu)信息系統(tǒng)建設(shè)、運(yùn)營過程中的短板。中國信息安全測評中心是經(jīng)中央批準(zhǔn)成立的國家信息安全權(quán)威測評機(jī)構(gòu)， 職能是開展信息安全漏洞分析和風(fēng)險(xiǎn)評估工作。開展信息系統(tǒng)安全測評工作，旨在引入信息系統(tǒng)安全測評方法，利用先進(jìn)技術(shù)測試手段、風(fēng)險(xiǎn)度量方法和切實(shí)的測評角度， 確保組織機(jī)構(gòu)將安全風(fēng)險(xiǎn)降低到可接受的程度，從而保障其業(yè)務(wù)安全穩(wěn)定運(yùn)營。第第 2 2 章章 測評類型測評類型信息系統(tǒng)安全測評致力于為國家重要行業(yè)、部委提供科學(xué)、客觀、規(guī)范、務(wù)實(shí)的安全評估套餐式服務(wù)，經(jīng)過長期的標(biāo)準(zhǔn)研究、工具探索、項(xiàng)目實(shí)踐以及眾多信息安全專家的反復(fù)論證，現(xiàn)已形成系列服務(wù)產(chǎn)品，包括：1、信息安全風(fēng)險(xiǎn)評估2、信息系統(tǒng)安

3、全等級保護(hù)測評3、信息系統(tǒng)安全評估4、遠(yuǎn)程滲透測試5、信息系統(tǒng)安全監(jiān)控6、信息系統(tǒng)安全方案評審2.12.1 信息安全風(fēng)險(xiǎn)評估信息安全風(fēng)險(xiǎn)評估2.1.12.1.1 評估目標(biāo)評估目標(biāo)由我中心高級測評工程師和咨詢專家共同組成的評估團(tuán)隊(duì)， 采用眾多漏洞測試工具和工作模版，從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性， 評估安全事件一旦發(fā)生可能造成的危害程度， 提出有針對性的抵御威脅的防護(hù)對策和整改措施；為防范和化解信息安全風(fēng)險(xiǎn)， 將風(fēng)險(xiǎn)控制在可接受的水平， 從而最大限度地為保障信息安全提供科學(xué)依據(jù)。2.1.22.1.2 適用對象適用對象具有風(fēng)險(xiǎn)管理意識，關(guān)注信息

4、系統(tǒng)安全風(fēng)險(xiǎn)的國家重要行業(yè)、部委。2.1.32.1.3 評估依據(jù)評估依據(jù)1、gb/t 20984信息安全風(fēng)險(xiǎn)評估規(guī)范2、gb/t 20274信息系統(tǒng)安全保障評估框架3、行業(yè)信息安全標(biāo)準(zhǔn)4、用戶自身業(yè)務(wù)安全需求2.1.42.1.4 評估流程評估流程委托單位提出申請，測評機(jī)構(gòu)按商務(wù)流程受理。受理申請委托單位按測評文檔準(zhǔn)備指南提交資料。測評機(jī)構(gòu)組織項(xiàng)目組審核提交的文檔指導(dǎo)委托單位修改完善相關(guān)材料靜態(tài)評估通過審核通過測評機(jī)構(gòu)制定評估方案及計(jì)劃、準(zhǔn)備評估工具，協(xié)調(diào)有關(guān)工作未通過現(xiàn)場評估按照評估計(jì)劃實(shí)施現(xiàn)場評估根據(jù)現(xiàn)場測評結(jié)果對風(fēng)險(xiǎn)分析，制定風(fēng)險(xiǎn)列表風(fēng)險(xiǎn)分析與委托單位共同確定可接受風(fēng)險(xiǎn)范圍，提出風(fēng)險(xiǎn)處置建

5、議2.1.52.1.5 評估內(nèi)容評估內(nèi)容評估信息系統(tǒng)存在的高中低風(fēng)險(xiǎn)的數(shù)量、可能性、影響。主要從安全技術(shù)和安全管理兩個角度：安全技術(shù)網(wǎng)絡(luò)層安全主機(jī)系統(tǒng)層安全應(yīng)用層安全數(shù)據(jù)安全安全管理安全管理組織機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理物理安全2.1.62.1.6 評估方式評估方式配置核查-由測評人員在委托單位現(xiàn)場根據(jù)調(diào)查模版內(nèi)容獲取并分析信息系統(tǒng)關(guān)鍵設(shè)備當(dāng)時的安全配置參數(shù)。工具測試-由資深測評人員采用自動化工具對被評估系統(tǒng)進(jìn)行漏洞檢測。專家訪談-由資深測評人員到委托單位同信息安全主管、it 審計(jì)部門、開發(fā)部門及運(yùn)維部門按我中心調(diào)查模版要求進(jìn)行面對面訪談。資料審閱-查閱信息系統(tǒng)建設(shè)、

6、運(yùn)維過程中的過程文檔、記錄，采用分時段系統(tǒng)查閱和有針對性抽樣查閱的方法進(jìn)行。專家評議-組織本中心行業(yè)專家運(yùn)用恰當(dāng)?shù)娘L(fēng)險(xiǎn)分析方法進(jìn)行集體會診評議。2.1.72.1.7 評估成果評估成果我中心向委托機(jī)構(gòu)提交信息系統(tǒng)安全風(fēng)險(xiǎn)評估報(bào)告，報(bào)告中包含整改建議。2.22.2 信息系統(tǒng)安全等級保護(hù)測評信息系統(tǒng)安全等級保護(hù)測評2.2.12.2.1 評估目標(biāo)評估目標(biāo)由我中心高級測評工程師組成的評估團(tuán)隊(duì)，依據(jù)公安部 信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則 中與信息系統(tǒng)備案等級相對應(yīng)的測評項(xiàng)，進(jìn)行信息系統(tǒng)安全等級符合性測評，出具是否滿足信息系統(tǒng)安全保護(hù)等級的測評結(jié)論。2.2.22.2.2 適用對象適用對象致力于國家信息系統(tǒng)安全

7、等級保護(hù)測評工作的國家重要行業(yè)、部委。2.2.32.2.3 評估依據(jù)評估依據(jù)1、信息系統(tǒng)安全保護(hù)等級測評準(zhǔn)則2、行業(yè)信息安全標(biāo)準(zhǔn)3、用戶自身業(yè)務(wù)安全需求2.2.42.2.4 評估流程評估流程委托單位提出申請，測評機(jī)構(gòu)按商務(wù)流程受理。受理申請委托單位按測評文檔準(zhǔn)備指南提交資料。測評機(jī)構(gòu)組織項(xiàng)目組審核提交的文檔指導(dǎo)委托單位修改完善相關(guān)材料靜態(tài)評估審核通過測評機(jī)構(gòu)制定評估方案及計(jì)劃、準(zhǔn)備評估工具，協(xié)調(diào)有關(guān)工作未通過現(xiàn)場評估按照評估計(jì)劃實(shí)施現(xiàn)場評估根據(jù)單項(xiàng)測評結(jié)果分析安全控制、系統(tǒng)結(jié)構(gòu)間、層面、區(qū)域的關(guān)聯(lián)性測評整體關(guān)聯(lián)性分析與委托單位共同確定可接受風(fēng)險(xiǎn)范圍，提出風(fēng)險(xiǎn)處置建議2.2.52.2.5 評估內(nèi)

8、容評估內(nèi)容主要從安全技術(shù)和安全管理兩個角度：安全技術(shù)網(wǎng)絡(luò)層安全主機(jī)系統(tǒng)層安全應(yīng)用層安全數(shù)據(jù)安全安全管理安全管理組織機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理物理安全2.2.62.2.6 評估方式評估方式配置核查-由測評人員根據(jù)調(diào)查模版內(nèi)容獲取并分析信息系統(tǒng)關(guān)鍵設(shè)備當(dāng)時的安全配置參數(shù)。工具測試-由資深測評人員采用自動化工具對被評估系統(tǒng)進(jìn)行漏洞檢測。專家訪談-由資深測評人員到委托單位同信息安全主管、it 審計(jì)部門、開發(fā)部門及運(yùn)維部門按我中心調(diào)查模版要求進(jìn)行面對面訪談。資料審閱-查閱信息系統(tǒng)建設(shè)、運(yùn)維過程中的過程文檔、記錄，采用分時段系統(tǒng)查閱和有針對性抽樣查閱的方法進(jìn)行。專家評議-組織本中

9、心行業(yè)專家運(yùn)用恰當(dāng)?shù)娘L(fēng)險(xiǎn)分析方法進(jìn)行集體會診評議。2.2.72.2.7 評估成果評估成果我中心向委托機(jī)構(gòu)提交信息系統(tǒng)安全等級保護(hù)測評報(bào)告，報(bào)告中包含整改建議。2.32.3信息系統(tǒng)安全評估信息系統(tǒng)安全評估2.3.12.3.1 評估目標(biāo)評估目標(biāo)由我中心高級測評工程師組成的評估團(tuán)隊(duì)，依據(jù) gb/t 20274 信息系統(tǒng)安全保障框架， 進(jìn)行信息系統(tǒng)安全保障能力級的符合性測評，出具是否滿足信息系統(tǒng)安全保障能力級的測評結(jié)論。2.3.22.3.2 適用對象適用對象關(guān)注信息系統(tǒng)安全保障能力建設(shè)的國家重要行業(yè)、部委。2.3.32.3.3 評估依據(jù)評估依據(jù)1、gb/t 20274信息系統(tǒng)安全保障評估框架2、行業(yè)信

10、息安全標(biāo)準(zhǔn)3、用戶自身業(yè)務(wù)安全需求2.3.42.3.4 評估流程評估流程委托單位提出申請，測評機(jī)構(gòu)按商務(wù)流程受理。受理申請委托單位按測評文檔準(zhǔn)備指南提交資料。測評機(jī)構(gòu)組織項(xiàng)目組審核提交的文檔指導(dǎo)委托單位修改完善相關(guān)材料靜態(tài)評估審核通過測評機(jī)構(gòu)制定評估方案及計(jì)劃、準(zhǔn)備評估工具，協(xié)調(diào)有關(guān)工作未通過現(xiàn)場評估按照評估計(jì)劃實(shí)施測試是否符合保障能力級別要求安全保障能力級分析符合不符合提出改進(jìn)建議，委托單位整改編寫安全保障能力級報(bào)告，發(fā)放測評證書。2.3.52.3.5 評估內(nèi)容評估內(nèi)容主要從安全技術(shù)、安全管理和安全工程三個角度：安全技術(shù)網(wǎng)絡(luò)層安全主機(jī)系統(tǒng)層安全應(yīng)用層安全數(shù)據(jù)安全安全管理風(fēng)險(xiǎn)管理信息安全策略安

11、全組織管理人員安全管理資產(chǎn)管理符合性管理物理安全信息安全規(guī)劃信息系統(tǒng)建設(shè)管理信息系統(tǒng)運(yùn)維管理業(yè)務(wù)連續(xù)性管理事故響應(yīng)安全工程風(fēng)險(xiǎn)過程工程過程保障過程2.3.62.3.6 評估方式評估方式配置核查-由測評人員根據(jù)調(diào)查模版內(nèi)容獲取并分析信息系統(tǒng)關(guān)鍵設(shè)備當(dāng)時的安全配置參數(shù)。工具測試-由資深測評人員采用自動化工具對被評估系統(tǒng)進(jìn)行漏洞檢測。專家訪談-由資深測評人員到委托單位同信息安全主管、it 審計(jì)部門、開發(fā)部門及運(yùn)維部門按我中心調(diào)查模版要求進(jìn)行面對面訪談。資料審閱-查閱信息系統(tǒng)建設(shè)、運(yùn)維過程中的過程文檔、記錄，采用分時段系統(tǒng)查閱和有針對性抽樣查閱的方法進(jìn)行。專家評議-組織本中心行業(yè)專家運(yùn)用恰當(dāng)?shù)娘L(fēng)險(xiǎn)分析

12、方法和保障能力級判定方法進(jìn)行集體會診評議。2.3.72.3.7 評估成果評估成果我中心向委托機(jī)構(gòu)提交信息系統(tǒng)安全評估報(bào)告，并頒發(fā)“信息系統(tǒng)安全審定書”。2.42.4 遠(yuǎn)程滲透測試遠(yuǎn)程滲透測試2.4.12.4.1 工作目標(biāo)工作目標(biāo)由我中心滲透測試小組模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段， 從攻擊者的角度對目標(biāo)系統(tǒng)的網(wǎng)絡(luò)、 主機(jī)系統(tǒng)、 應(yīng)用服務(wù)的安全性作深入的非破壞性探測，以發(fā)現(xiàn)系統(tǒng)的薄弱環(huán)節(jié)。滲透測試通常能以非常明顯、直觀的結(jié)果來反映出系統(tǒng)的安全現(xiàn)狀。2.4.22.4.2 適用對象適用對象委托單位關(guān)注來自互聯(lián)網(wǎng)的惡意攻擊。2.4.32.4.3 測試流程測試流程委托單位提出申請，并提供委托測試的i

13、p地址，測評機(jī)構(gòu)按商務(wù)流程受理。提供滲透測試報(bào)告，包括滲透成功的截屏圖、危害分析和加固建議。受理申請?zhí)峁y試結(jié)果2.4.42.4.4 測試內(nèi)容測試內(nèi)容信息泄露：對外服務(wù)是否暴露了可能被黑客利用的敏感信息業(yè)務(wù)邏輯測試：系統(tǒng)是否在業(yè)務(wù)邏輯設(shè)計(jì)上存在被黑客利用的漏洞認(rèn)證測試：系統(tǒng)是否存在弱口令、繞過身份認(rèn)證、瀏覽器緩存管理等漏洞會話管理測試：系統(tǒng)是否存在會話劫持、csrf 等漏洞數(shù)據(jù)有效性驗(yàn)證測試：系統(tǒng)是否存在 sql 注入、跨占腳本攻擊、ldap 注入等漏洞拒絕服務(wù)測試：系統(tǒng)是否易受 ddos 攻擊web 服務(wù)測試ajax 測試2.4.52.4.5 工作方式工作方式非現(xiàn)場監(jiān)控-由專門的滲透測試小組

14、通過互聯(lián)網(wǎng)進(jìn)行遠(yuǎn)程測試。2.4.62.4.6 評估成果評估成果我中心向委托機(jī)構(gòu)提交信息系統(tǒng)遠(yuǎn)程滲透測試報(bào)告。2.52.5 系統(tǒng)安全監(jiān)控系統(tǒng)安全監(jiān)控2.5.12.5.1 工作目標(biāo)工作目標(biāo)由我中心高級測評工程師組成的監(jiān)控團(tuán)隊(duì)，采用我中心內(nèi)部的安全監(jiān)控模版，對委托單位信息系統(tǒng)進(jìn)行黑客入侵、網(wǎng)站掛馬等安全監(jiān)控，經(jīng)過內(nèi)部分析向委托單位提交重大安全隱患分析報(bào)告和安全態(tài)勢分析報(bào)告。2.5.22.5.2 適用對象適用對象關(guān)注重要時間段（例如奧運(yùn)期間）信息系統(tǒng)安全穩(wěn)定運(yùn)營的國家重要行業(yè)、部委。2.5.32.5.3 監(jiān)控流程監(jiān)控流程委托單位提出申請，測評機(jī)構(gòu)按商務(wù)流程受理。委托單位填寫測評文檔準(zhǔn)備指南和系統(tǒng)安全監(jiān)

15、控需求表提交資料。受理申請測評機(jī)構(gòu)組織項(xiàng)目組審核提交的文檔指導(dǎo)委托單位修改完善相關(guān)材料非現(xiàn)場準(zhǔn)備通過審核通過測評機(jī)構(gòu)制定監(jiān)控工作方案，準(zhǔn)備監(jiān)控工具和模版未通過現(xiàn)場準(zhǔn)備搭建監(jiān)控工作環(huán)境，了解監(jiān)控對象的管理方式采集監(jiān)控?cái)?shù)據(jù)現(xiàn)場監(jiān)控分析監(jiān)控?cái)?shù)據(jù)是否有安全事件無，進(jìn)入下一工作日有安全事件預(yù)警綜合分析安全態(tài)勢分析2.5.42.5.4 監(jiān)控內(nèi)容監(jiān)控內(nèi)容門戶網(wǎng)站是否受到黑客威脅網(wǎng)站是否被掛馬網(wǎng)絡(luò)流量是否異常網(wǎng)絡(luò)中病毒泛濫趨勢網(wǎng)絡(luò)中是否存在入侵事件2.5.52.5.5 工作方式工作方式現(xiàn)場監(jiān)控-由測評人員根據(jù)監(jiān)控模版內(nèi)容獲取并分析信息系統(tǒng)關(guān)鍵設(shè)備當(dāng)時的安全信息。非現(xiàn)場監(jiān)控-由資深測評人員采用日志分析工具對被監(jiān)

16、控系統(tǒng)的各種日志進(jìn)行綜合分析。2.5.62.5.6 評估成果評估成果我中心向委托機(jī)構(gòu)提交信息系統(tǒng)安全態(tài)勢分析報(bào)告。2.62.6 信息系統(tǒng)安全方案評審信息系統(tǒng)安全方案評審2.6.12.6.1 工作目標(biāo)工作目標(biāo)由我中心組織行業(yè)專家和滲透測試測評工程師， 對信息系統(tǒng)安全方案進(jìn)行評估，幫助委托單位了解安全方案在實(shí)施后系統(tǒng)安全是否能實(shí)現(xiàn)最大預(yù)期值。2.6.22.6.2 適用對象適用對象 1、在信息系統(tǒng)投入建設(shè)之前，希望確定信息系統(tǒng)實(shí)施方案中的安全設(shè)計(jì)是否合理有效，可以申請信息系統(tǒng)安全方案評審。 2、在信息系統(tǒng)即將進(jìn)行擴(kuò)建之前，希望確定信息系統(tǒng)擴(kuò)建方案中的安全設(shè)計(jì)是否合理有效，可以申請信息系統(tǒng)安全方案評審

17、。 3、在面對多種安全方案，無從選擇時，可以申請信息系統(tǒng)安全方案評審，由中心作為第三方對各個安全方案進(jìn)行評估，委托單位根據(jù)評估結(jié)果和自身情況，選擇最佳方案。 4、在信息系統(tǒng)投入運(yùn)行后，希望對系統(tǒng)采用的安全方案的合理性和有效性進(jìn)行評估， 從而了解在方案實(shí)施后可能存在哪些安全問題， 以便作進(jìn)一步的改進(jìn)，可以申請信息系統(tǒng)安全方案評審。2.6.32.6.3 評審依據(jù)評審依據(jù)1、gb/t 20984信息安全風(fēng)險(xiǎn)評估規(guī)范2、gb/t 20274信息系統(tǒng)安全保障評估框架3、行業(yè)信息安全標(biāo)準(zhǔn)4、用戶自身業(yè)務(wù)安全需求2.6.42.6.4 評審流程評審流程委托單位提出申請，測評機(jī)構(gòu)按商務(wù)流程受理。受理申請委托單位

18、提交待評審方案。測評機(jī)構(gòu)組織項(xiàng)目組審核提交的文檔指導(dǎo)委托單位修改完善相關(guān)材料準(zhǔn)備階段通過審核通過測評機(jī)構(gòu)組織行業(yè)專家，準(zhǔn)備召開專家評審會未通過專家評議整體分析，出具專家評審意見2.6.52.6.5 評審內(nèi)容評審內(nèi)容安全方案的設(shè)計(jì)是否滿足業(yè)務(wù)安全需求安全方案的設(shè)計(jì)是否滿足相關(guān)法律、法規(guī)以及行業(yè)標(biāo)準(zhǔn)的要求安全方案設(shè)計(jì)是否合理安全方案設(shè)計(jì)是否可行2.6.62.6.6 工作方式工作方式專家訪談-由資深測評人員通過電話遠(yuǎn)程同方案設(shè)計(jì)者進(jìn)行深層次的業(yè)務(wù)安全需求交流。專家評議-組織行業(yè)專家進(jìn)行集體會診評議。2.6.72.6.7 評估成果評估成果我中心向委托機(jī)構(gòu)提交信息系統(tǒng)安全方案評審報(bào)告。第第 3 3 章章

19、 測評內(nèi)容測評內(nèi)容每個項(xiàng)目的安全測評內(nèi)容可根據(jù)委托單位信息系統(tǒng)的實(shí)際情況定制。 下面介紹我中心可提供的測評內(nèi)容。3.13.1 安全技術(shù)安全技術(shù)網(wǎng)絡(luò)層安全網(wǎng)絡(luò)層安全信息系統(tǒng)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)是否安全合理網(wǎng)絡(luò)訪問控制是否嚴(yán)格有效網(wǎng)絡(luò)安全審計(jì)是否有效是否存在“非法外聯(lián)”行為網(wǎng)絡(luò)入侵防范措施是否有效惡意代碼防范措施是否有效網(wǎng)絡(luò)設(shè)備、安全設(shè)備配置是否安全、有效主機(jī)系統(tǒng)安全主機(jī)系統(tǒng)安全（針對操作系統(tǒng)、數(shù)據(jù)庫、中間件）是否能對主機(jī)系統(tǒng)用戶設(shè)置恰當(dāng)?shù)纳矸蓁b別手段后臺維護(hù)人員的權(quán)限是否是最小授權(quán)后臺維護(hù)人員的邏輯訪問路徑是否可信安全審計(jì)記錄是否完整入侵防范措施、惡意代碼防范是否充分有效主機(jī)系統(tǒng)資源使用是否可控應(yīng)用系統(tǒng)

20、安全應(yīng)用系統(tǒng)安全（針對應(yīng)用軟件）是否能對應(yīng)用軟件用戶設(shè)置恰當(dāng)?shù)纳矸蓁b別手段用戶訪問權(quán)限是否是最小授權(quán)安全審計(jì)記錄是否完整剩余信息是否能夠被釋放或重新分配是否能保證通信過程中的完整性、保密性是否能保證交易的抗抵賴性是否能保證軟件容錯應(yīng)用系統(tǒng)資源使用是否可控是否存在代碼安全缺陷信息流分析信息流分析根據(jù)業(yè)務(wù)流程和正確數(shù)據(jù)流向， 通過抓取數(shù)據(jù)包判斷信息系統(tǒng)范圍內(nèi)是否有非法數(shù)據(jù)流和異常連接網(wǎng)站掛馬監(jiān)測網(wǎng)站掛馬監(jiān)測網(wǎng)站是否被植入木馬無線安全檢測無線安全檢測無線局域網(wǎng)設(shè)備配置是否安全合理是否能夠通過無線網(wǎng)絡(luò)非法接入并非法訪問受保護(hù)系統(tǒng)日志分析日志分析分析系統(tǒng)安全威脅來源， 威脅源可能采用的攻擊方式，對疑似黑客行為進(jìn)行分析并提供相應(yīng)的解決方法3.23.2 安全管理安全管理風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理是否能夠以信息安全風(fēng)險(xiǎn)管理思想為核心， 進(jìn)行風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)控制等風(fēng)險(xiǎn)管理活動信息安全策略（管理制度）信息安全策略（管理制度）是否有恰當(dāng)?shù)陌踩芾碇贫润w系安全管理制度體系的制定、審批、維護(hù)流程是否存在并能夠有效組織實(shí)施安全組織管