信息系统安全内容和评估过程

信息安全的内容：
    网络安全评估：包括对网络交换设备、安全设备、网络结构、安全防护措施等安全性的全面评估。
  系统安全评估：包括对操作系统安全性的全面评估。
  应用安全评估：包括对数据库管理系统、WEB服务器、中间件和应用软件的安全性进行全面评估。
  管理安全评估：对安全组织机构、安全管理制度、安全运行维护、安全人员培训等方面进行全面评估。
渗透性测试：对网络、数据库和应用系统中存在的安全漏洞和隐患实施本地或远程的渗透性检测和验证，识别系统中存在的各种威胁途径，并且提出规避措施。

信息系统安全风险评估过程：
共分为申请受理、准备、实施、评估、结题五个阶段，参见风险评估流程图。
  申请受理阶段：售前与委托单位就风险评估项目进行前期沟通，签署《保密协议》，接收委托单位提交的资料，协助委托单位提交《信息系统安全风险评估委托书》，必要时由中心技术部门为委托单位提供技术咨询。前期沟通结束后，双方签署《信息系统安全风险评估合同》。
  准备阶段：项目进场实施前的准备工作，主要由项目经理负责。项目经理组织召开由双方参与的首次工作安排会议、编写制定《信息系统安全风险评估方案》。项目经理在与客户确定现场核查测试的具体日期、客户方配合的人员、现场配合等注意事项后方可准备进场实施测试。
  实施阶段：项目组成员进入客户现场实施现场检查工作。现场检测时，由项目经理提出测评工作要求，明确项目组成员承担的测试内容，检测人员填写《现场检测表》。
  评估阶段：项目组整理核查测试数据，对资产、威胁、脆弱性和风险进行分析，形成《信息系统安全风险评估核查测试报告》和《信息系统安全风险评估报告》。
  结题阶段：项目组将测评过程中生成的各类文档、过程记录进行整理，并交档案管理员归档保存。中心质量专员请客户填写《客户满意度调查表》，收集客户反馈意见。

本文来自：网络安全技术培训 http://www.h***