作者： 网路游侠

　　风险评估包括系统调研、资产识别、威胁分析、脆弱性识别（包括现有控制措施确认）、风险综合分析以及风险控制计划六个阶段，其中脆弱性识别又具体分为物理环境安全、网络安全、系统软件安全、应用信息保护、运行安全、安全管理体系等6个方面的内容。
　　系统调研是熟悉和了解组织和系统的基本情况，对组织IT战略，业务目标、业务类型和业务流程以及所依赖的信息系统基础架构的基本状况和安全需求等进行调研和诊断。
　　资产识别主要参照ISO/IEC 17799的要求，围绕组织IT业务流程对信息系统的IT资产进行识别，包括对主要的硬件、软件和数据信息进行信息收集、分类、统计，形成资产列表；综合组织不同层面（管理层、中层、一般员工）对资产重要性的认识和业务信息流分析，对资产价值进行分级标识，确定重要资产列表。
...

by amxku
2009-01-07
http://www.amxku.net
一个朋友要这些东西，顺便发出来，希望能有所帮助。个人拙见，有不妥之处还望斧正。仅以此文献给我伟大的妈妈！

一、项目启动
1．双方召开项目启动会议，确定各自接口负责人。
==工作输出
1．《业务安全评估相关成员列表》（包括双方人员）
2．《报告蓝图》
==备注
1．务必请指定业务实施负责人作为项目接口和协调人；列出人员的电话号码和电子邮件帐号以备联络。

　　在全党深入开展学习科学发展观活动中，我们结合自身工作实际，针对保密工作如何践行科学发展，尤其对计算机信息系统的保密管理问题，作了深入的调研，发现了问题，提出工作对策和措施。
　　一、存在的主要问题
　　1.认识上的误区。一是领导的认识误区。有的领导思想意识还停留在传统保密管理的旧观念上，对高科技状态下窃密手段的先进性缺乏全面客观的认识；有的领导集中精力抓业务工作，误认为保密工作无足轻重、可

　　随着网络的发展，网络信息的安全越来越引起世界各国的重视，防病毒产品、防火墙、入侵检测、漏洞扫描等安全产品都得到了广泛的应用，但是这些信息安全产品都是为了防御外部的入侵和窃取。随着对网络安全的认识和技术的发展，发现由于内部人员造成的泄密或入侵事件占了很大的比例，所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到重视，要做到这点就需要在网络中实现对网络资源的使用进行审计。　　在当今的网络中各种审计系统已经有了初步的应用，例如：数据库审计、应用程序审计以及网络信息审计等，但是，随着网络规模的不断扩大，功能相对单一的审计产品有一定的局限性，并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一，跨地区、跨网段、集中管理才是综合审计系统最终的发展目标。　　本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后的发展方向做出了讨论。