风险评估的主要内容包括三个方面:基于资产的估值与分析、资产本身存在的脆弱性的识别与分析、资产受到的威胁识别以及它的影响与可能性分析。
资产定义
资产是构成整个系统的各种元素的组合,它直接的表现了这个系统的业务或任务的重要性,这种重要性进而转化为资产应具有的保护价值。
资产类别
依据资产的属性,主要分为以下几个类别:
信息资产:信息资产主要包括各种设备以及数据库系统中存储的各类信息、设备和系统的配置信息、系统中存储的各类电子文档以及各种日志等等,信息资产也包括各种管理制度,而且各种打印的以及部分其他成文的文档也属于信息资产的范畴。
软件资产:软件资产包括各种专门购进的系统与应用软件(比如操作系统、网管系统、办公软件、防火墙系统软件等)、随产品赠送的各种配套软件、以及自行开发的各种业务软件等。 物理资产:物理资产主要包括各种主机设备(比如各类PC机、工作站、服务器等)、各种网络设备(比如交换、路由、拨号设备等)、各种安全设备(比如防火墙设备、入侵检测设备等)、数据存储设备以及各类基础物理设施(比如办公楼、机房以及辅助的温度控制、湿度控制、防火防盗报警设备等)。
人员资产:人员资产是各类资产中很难有效衡量甚至根本无法衡量的一部分,它主要包括税务系统内部各类具备不同综合素质的人员,包括各层管理人员、技术人员以及其他的保障与维护人员等。
资产评估
资产评估是与风险评估相关联的重要任务之一,资产评估通过分析评估对象——资产的各种属性(包括经济影响、时间敏感性、客户影响、社会影响和法律争端等方面),进而对资产进行确认、价值分析和统计报告,简单的说资产评估是一种为资产业务提供价值尺度的行为。
资产评估的目的
资产评估的目的就是要对系统的各类资产做潜在价值分析,了解其资产利用、维护和管理现状。明确各类资产具备的保护价值和需要的保护层次,从而使税务系统能够更合理的利用现有资产,更有效地进行资产管理,更有针对性的进行资产保护,最具策略性地进行新的资产投入。
…… …… 余下全文