事故处理过程：确定信息安全事故处理的目标和步 骤。
灾难恢复计划：在自然灾难或人为灾难后提供重建 计算机设施的计划。
1.选择开发策略的次序
如何选择开发策略的次序，取决于评估阶段对风险 的识别。如果信息的保护标识为高风险域，那么应 将信息策略放在首位。如果由于缺少灾难恢复计划 使经营业务丢失是高风险域，那么应将灾难恢复计 划放在首位。
1.评估目的 归纳起来，网络信息安全评估有以下一些目的： 确定信息资产的价值； 确定对这些信息资产的机密性、完整性、可用性和 可审性的威胁； 确定该组织当前实际存在的漏洞； 识别与该组织信息资产有关的风险； 提出改变现状的建议，使风险减少到可接受的水平； 提供一个构造合适的安全计划的基础。
2.评估类型 通常有5个通用的评估类型：
4.评估内容 归纳起来，对该组织的评估包括以下内容： 组织的网络； 组织的物理安全度量； 组织的现有策略和过程； 组织已有的预防措施； 员工对安全的重视程度； 员工的工作负载； 员工的工作态度； 员工对现有策略的过程的执行情况； 组织的经营业务。
5.1.1 网络评估
通常网络提供了对信息和系统最便捷的访问方式。
③ 如果网络和系统管理员不能提供服务器的安全配 置信息，就有必要详细检查这些服务器，包括口令 要求、每个系统的审计配置、当前系统的补丁水平 等。
④ 询问网络管理员关于使用的网络管理系统的类型、 报警的类型、系统的监控者等信息。用这些信息来 识别使用现有的系统，管理人员是否能发觉攻击。
⑤ 最后，应对整个系统进行漏洞扫描。应从系统内 部和外部两方面来做扫描。前者是内部网络的一个 系统，后者是组织防火墙外部的Internet上的一个系 统。扫描的结果可识别外部威胁和内部威胁能看到 的漏洞。

3.评估方法
在评估时，需要从3个基本源搜集信息，即对组织 的员工调查、文本检查以及物理检验。能提供现有 安全系统以及组织实施方法的信息的员工，尤其是 那些熟练的人员以及管理者是关键的调研对象。调 研提纲（评估目的以及有助于保护该组织的信息资 产的问题）应简单、易懂，并且前提是所提供的信 息对被调研人没有直接的贡献。要审查现有的与安 全有关的策略以及关键的配置文本，包括已完成的 和正在草拟的文本。最后一部分搜集的信息来自于 对该组织的各种设施的物理审查。
评估的最后一步是开发一个安全计划。该组织必须 决定评估结果是否真正反映了安全状况，以及如何 最佳地处理它。必须对资源进行分配以及生成调度 计划。计划不一定从最坏的风险开始，因为诸如预 算、资源等因素可以防止这种情况发生。
5.2 策略制定
完成评估后的下一步是制定安全策略和过程。安全 策略和过程是确定该组织期望的安全状态以及在实 施阶段如何工作。没有策略，就不可能设计实施有 效的信息安全程序。需要制定的策略和过程包括以 下几项。
5.1.6 评估结果
在完成评估信息搜集后，评估组需要分析这些信息。 评估组不应根据个别信息，而应审查所有的安全漏 洞。并非将所有漏洞都转换成风险。有些漏洞可由 其他一些控制来阻止漏洞的暴露。
一旦完成了评估分析，评估组应该而且能够提出全 部的风险，以及向组织进行建议。风险的表达可从 大到小有序地列出。对每个风险，应估算在经费、 时间、资源、信誉等方面的代价，并提出管理风险 的建议。
2.人员的技术熟练程度
一个组织的员工对整个安全环境的影响是最大的。 缺少技术或太熟练的技术都有可能使很好的安全程 序失效。要考察安全员和管理员的技术水平，看其 是否具备必要的技术来运行安全程序。安全员应了 解安全策略及相关的安全产品。管理员应具备必要 的知识来管理系统和网络。
一般用户应具备基本的计算机技巧。然而如果用户 具有太熟练的技巧（如公司的软件开发人员），可 能会产生额外的安全问题。一些附加的软件加载至 系统可能会影响整个组织的安全，具备必要的知识 和技巧便于暴露内部系统的漏洞。对审计员，主要 考察其对系统和网络的了解，特别是识别问题的能 力，而不注重其对技术本身的了解。
4.人员的心态
管理者和员工对安全重要性的重视程度是整个安全 环境的又一个关键问题。评估时要审查谁负责组织 的安全，以及如何和员工交流有关安全问题。管理 者的态度以及和与员工的交流都很重要。有时管理 者了解安全的重要性，但不能及时和员工交流，这 样员工并不了解安全的重要性。在评估时，要同时 向管理者、员工了解，审查这两方面的问题。
实施网络评估的具体步骤如下：
① 从网络配置图上检查每个连接点，包括服务器、 桌面系统、Internet访问、拨号访问、对远程和其他 组织的连接。从网络配置图以及和管理员的讨论中 可获得如下信息：网络上的系统数和类型，操作系 统及版本，网络拓扑（包括交换、路由、桥接等）， Internet访问点，Internet使用，防火墙的数目、类 型和版本，拨号访问点，远程访问类型，广域网拓 扑，远程场地的访问点，到其他组织的访问点， Web服务器，FTP服务器以及邮件网关的位置，网络 使用的协议，以及网络的控制人员等。
系统级漏洞评估检验计算机系统的已知漏洞及基本 策略。
网络级风险评估评估该组织的全部计算机网络及信 息基础设施的风险范围。
组织的风险评估分析整个组织，以识别对其信息资 产的直接威胁。识别整个组织处理信息的漏洞对包 括电子的和物理的所有形式的信息进行检验。
审计检验特定的策略以及该组织执行的情况。
入侵测试检验该组织对一个模拟的入侵反应的能力。 这类评估只对具有成熟安全程序的组织进行。
在选择首先编写的文本时还要看完成该文本所需的 时间。灾难恢复计划是十分详细的文本，需要很多 部门和人员作出很大努力才能完成，有时还需要热 线场地商帮助完成。在灾难发生时，它可提供全部 计算机设备的冗余设施。
在处理过程中，信息策略需要及早完成。因为信息 策略是构成了解安全程序目的的基础，说明为什么 这些信息是重要的以及应该如何保护它。该文本还 构成安全意识培训的基础。相似地，一个用户策略 以及安全策略中的口令要求都会影响安全意识培训 程序。
5.1.3 策略和过程评估
在评估阶段需要检查的文本包括安全策略、信息策 略、灾难恢复策略、事故响应过程、后备策略与过 程、员工手册或策略手册、招聘新员工的过程、系 统配置指南、防火墙规则、路由器过滤、物理安全 策略、软件开发方法、软件移交过程、网络配置图 以及组织结构图等。在搜集这些文本基础上检查其 相关性、适用性、完全性和正确性。
每个策略和过程应和组织当前的经营业务实际相关 联。策略和过程应适合文本定义的目的。当检查文 本是否适当时，检查其要求是否满足策略和过程的 目标。例如，假如安全策略的目标是定义安全需求 要针对所有计算机系统，那么不仅要为主机系统定 义专门的配置，而且也应包括台式机和客户机服务 器系统。
策略和过程应覆盖组织运行的各个方面。在实际工 作中常常没有考虑到某些方面，或者在生成策略和 过程时，某些方面还不存在。由于技术经常变化， 相应的策略和过程也要改变。
1.员工和管理员的安全意识
除了策略和过程本身是否完善以外，十分重要的是 员工的安全意识。应考察他们是否清楚这些策略和 过程，以及是否遵照这些策略和过程去执行。考察 的方式是和员工谈话和实地考察。
管理员的安全意识也是十分重要的，要考察管理员 是否重视关于系统配置的安全策略，是否了解安全 的威胁、系统的漏洞，是否已采取相应的措施。特 别重要的是，管理员应知道在系统遭受破坏时应做 什么以及如何做。
5.1 评估网络
安全处理过程始于评估阶段。评估的作用是：确定 一个组织的信息资产的价值，识别与这些信息资产 有关的威胁及漏洞大小，确定总的风险对该组织的 重要性。评估是十分重要的，如果对一个组织的信 息资产当前的风险状态不清楚，就不可能有效地实 施合适的安全程序，以保护这些资产。
评估是通过风险管理计划来完成的。一旦识别和量 化了风险，就可以选择有效的、代价小的预防措施 以降低这些风险。
应该检查大楼内的通信线路和位置，以及进入大楼 的通信线位置。这些地方可能放置网络的连接头， 因此应将它们包括在敏感区域或临界区域列表内。 这些地方也是惟一的网络出口处。
物理安全还包括电源、环境控制、用于数据中心的
消防系统。关于这些系统的信息应包括场地是如何 供电的、数据中心的供电情况、使用的UPS的类型、 UPS系统的保持时间、接到UPS上的系统类型、当电 源失效后UPS运行的指示、接到UPS的环境控制、放 置在数据中心的环境控制的类型、环境控制失效的 指示、数据中心的消防系统的类型以及洒水系统等。
5.1.2 物理安全评估
组织建筑物的物理安全是网络安全的一个关键组成。 物理安全的检查应包括场地的物理访问控制以及场 地的敏感区域的物理访问控制。例如，数据中心应 该和整个大楼有分开的物理访问控制，至少访问数 据中心必须有严格的限制。当检查物理安全时，应 包括对场地、大楼、办公室、纸面记录、数据中心 的物理保护类型，各个门的钥匙保管者，邻近数据 中心的大楼或场地这些临界区域的情况等。
当文本太老了或已过时了，应及时修改。因为组织 的系统和网络经常会改变，如果文本不跟随系统和 网络的变化而改变，那么该文本就没有用处。策略 和过程应定期修改。相应地还要检查有关的培训材 料，看这些材料是否反映当前的策略和过程。
最后，评估应包括检查最近的事故和审计报告。考 察该组织是否根据已发生的事故和审计情况有所进 展。
信息策略：确定信息的敏感度以及对敏感信息如何 处理、存储、传输和销毁。该策略构成了解安全程 序目的的基础。
安全策略：确定各种计算机系统需要的技术控制。 该策略构成了安全程序内容的基础。
用户策略：提供使用该组织计算机的使用策略。
后备策略：确定计算机系统的后备需求。
账户管理过程：确定增加或删除用户账号的步骤。
② 在确定网络结构之后，还要识别网络内的保护机 制，包括在全部Internet访问点上的路由器访问控制 表和防火墙规则，用于远程访问的身份鉴别机制， 到其他组织访问点的保护机制，用于传送和存储信 息的加密机制，用于保护手提计算机的加密机制， 在服务器、台式机、邮件系统上的防病毒系统以及 服务器安全配置等。