（2）对威胁进行分类。

　　（3）研究威胁发生的可能性。

　　（4）分析威胁的严重程度。

　　威胁分析和赋值方法参见附表4和附表5。

　　3、脆弱性分析。对自查对象存在的管理和技术薄弱环节进行查找、分析和归纳，对已有安全管理体系、安全措施进行核实和评价。

　　（1）规章制度：安全策略及管理规章制度是否健全，有关规章制度的制定、发布、修订及执行情况，对有关政策、法规以及行业监管责任的落实情况。

　　（2）安全组织与职责：安全组织体系是否健全，管理职责是否明确，安全管理机构岗位设置、人员配备是否合理。

　　（3）人员管理：人员的安全和保密意识教育、安全技能培训情况，重点、敏感岗位人员有无特殊管理措施。

　　（4）体系结构：网络与信息系统的体系结构、各类安全保障措施的组合是否合理。

　　（5）网络安全：安全域划分、边界保护、内网防护、外部设备接入控制、内外网物理隔离等情况。

　　（6）设备和操作系统安全：网络交换设备、安全设备。主机和终端设备的安全性，操作系统的安全配置、病毒防护、恶意代码防范等。

　　（7）应用系统安全：数据库、WEB网站、日常办公和业务系统等应用的安全设计、配置和管理情况；关键应用系统开发过程中的质量控制和安全性测试情况。

　　（8）运维管理：设备、系统的操作和维护记录，变更管理，安全事件分析和报告；运行环境与开发环境的分离情况；安全审计、补丁升级管理、安全漏洞检测、网管、权限管理及密码管理等情况。

　　（9）数据安全：数据访问控制情况，服务器、用户终端、数据库等数据加密保护能力，磁盘、光盘、U盘和移动硬盘等存储介质管理情况，数据备份与恢复手段等。

　　（10）物理环境安全：机房安全管控措施、防灾措施、供电和通信系统的保障措施等。

　　（11）关键资产和服务管控：关键资产采购时是否进行了安全性测评，对服务机构和人员的保密约束情况，在服务提供过程中是否采取了管控措施。

　　（12）应急响应与灾难恢复：应急响应体系（应急组织、应急预案、应急物资）建设情况，应急演练情况，系统灾难备份措施情况。

　　脆弱性分析和赋值方法见附表6和附表7。

　　4、综合评估。根据上述检查结果，综合分析网络与信息系统的整体安全现状。

第 [1] [2] [3] [4] [5] [6] [7] 页 共[8]页