大数据背景下网络安全问题研究
                    Research on Network Security Issues under the Background of Big Data


                  4.策略与安全控制实施审计
                  策略与安全控制实施审计是指收集组织的策略文档和安全控制手段并进行审计，
             以发现其中可能存在的弱点。
                  对现有安全措施进行评估也需要进行对安全策略实施审计，但二者的审计内容是

             不同的。在弱点评估中，策略和安全控制审计强调发现策略文档和安全控制措施本身
             是否存在弱点，而在现有安全措施评估中，策略和安全控制实施审计则主要强调对策
             略和安全控制实施情况的审计，即看实际情况是否与策略文档和安全控制相一致。

                  在对策略与安全控制进行审计过程中，评估人员首先需要全面搜集组织的安全
             策略与安全控制文档，搜集范围包括信息安全相关的策略、规章制度、标准规范、流
             程、指南、通知、条例、处理办法等任何正式成文的内容，这些文档可以是已经正式

             发布的，也可以是正在编制和修订的；然后阅读这些文档并进行分析评价，会同用户
             有关责任人召开沟通和答疑会，对阅读和分析过程中存在的疑问进行沟通。除此之
             外，咨询顾问还可以依据标准安全策略框架（如ISO17799/BS7799）对用户有关人员

             进行访谈，以寻找那些可能已经实施但未成文的安全策略和安全控制，最后编制完成
             《策略与安全控制审计报告》。
                  5.安全弱点综合分析

                  安全弱点综合分析是指根据技术弱点检测和审计结果，对组织的安全弱点进行综
             合分析，并做出评估报告。安全弱点综合评估报告是对所评估信息资产相关信息系统
             安全弱点的全面描述，报告应包括评估的记录数据、数据的分类分析、数据的综合分

             析以及对弱点所做的评价和评级等内容。

                 三、风险评估的流程

                  信息系统风险评估是对当前系统的安全现状进行评价。进行风险评估除了可以

             明确系统现实情况与安全目标的差距外，更为重要的是为降低系统风险制定安全策略
             提供指导。风险评估是整个信息安全风险管理的基础，一次次完整的风险评估过程之
             后是组织根据已制定的策略实施，再根据实施情况对系统进行新的风险评估，进行不

             断的循环，以实现组织的整体安全目标。关于风险评估实施共分为四个阶段，具体见
             表2-2。












             • 50 •