文档介绍:风险评估的主要内容包括三个方面:基于资产的估值与分析、资产本身存在的脆弱性的识别与分析、资产受到的威胁识别以及它的影响与可能性分析。资产定义资产是构成整个系统的各种元素的组合,它直接的表现了这个系统的业务或任务的重要性,这种重要性进而转化为资产应具有的保护价值。资产类别依据资产的属性,主要分为以下几个类别:信息资产:信息资产主要包括各种设备以及数据库系统中存储的各类信息、设备和系统的配置信息、系统中存储的各类电子文档以及各种日志等等,信息资产也包括各种管理制度,而且各种打印的以及部分其他成文的文档也属于信息资产的范畴。软件资产:软件资产包括各种专门购进的系统与应用软件(比如操作系统、网管系统、办公软件、防火墙系统软件等)、随产品赠送的各种配套软件、以及自行开发的各种业务软件等。物理资产:物理资产主要包括各种主机设备(比如各类PC机、工作站、服务器等)、各种网络设备(比如交换、路由、拨号设备等)、各种安全设备(比如防火墙设备、入侵检测设备等)、数据存储设备以及各类基础物理设施(比如办公楼、机房以及辅助的温度控制、湿度控制、防火防盗报警设备等)。人员资产:人员资产是各类资产中很难有效衡量甚至根本无法衡量的一部分,它主要包括税务系统内部各类具备不同综合素质的人员,包括各层管理人员、技术人员以及其他的保障与维护人员等。资产评估资产评估是与风险评估相关联的重要任务之一,资产评估通过分析评估对象——资产的各种属性(包括经济影响、时间敏感性、客户影响、社会影响和法律争端等方面),进而对资产进行确认、价值分析和统计报告,简单的说资产评估是一种为资产业务提供价值尺度的行为。资产评估的目的资产评估的目的就是要对系统的各类资产做潜在价值分析,了解其资产利用、维护和管理现状。明确各类资产具备的保护价值和需要的保护层次,从而使税务系统能够更合理的利用现有资产,更有效地进行资产管理,更有针对性的进行资产保护,最具策略性地进行新的资产投入。资产的重要性按照What-If模型,资产的重要性可以分为经济影响、时间敏感性、客户影响、社会影响和法律影响。级别定义经济影响(F)时间敏感性(T)对客户影响(C)社会影响(S)法律影响(L)导致直接经济损失(¥)可接受的中断时间不满意的客户数量会引起如下机构的注意将涉及不同程度的法律问题510,000,000以上1小时以下50,000以上国家或国际的媒体、机构被迫面对复杂的法律诉讼,案情由级别相当高的法院审理,控方提出的赔付数额巨大41,000,001-10,000,0001-24小时10,001-50,000省、市级媒体、机构提交更高级别法院立案,诉讼过程漫长3100,001-1,000,0001-3天1,001-10,000公司正式提交法院立案250,001-100,0003-10天101-1,000公司部门会有人就法律问题提出交涉150,000以下10天以上100以下几人或工作组几乎没有法律问题资产级别依据资产的潜在价值以及资产对时间的敏感性、对客户的影响、资产的社会影响和可能造成的法律争端等各个方面,资产按重要性可分为五类:超核心资产:超核心资产的瘫痪或损坏造成直接经济损失一般在1000万元以上;超核心资产的时间敏感性是非常强的,一般来说,在其运行过程中可接受的中断时间是在一个小时以内的,有的甚至只能是几秒钟;超核心资产瘫痪对客户和社会造成的影响都是十分巨大的,可能会导致5万以上的客户不满意,并引起国家甚至国际媒体的广泛关注,而且超核心资产瘫痪将会使得税务系统被迫面对复杂的法律诉讼,并且案情将由级别相当高的法院审理,控方提出的赔付数额异常巨大。核心资产:核心资产的瘫痪或损坏造成直接经济损失一般在100万元至1000万元之间;核心资产的时间敏感性同样是非常强的,一般其运行过程中可接受的中断时间在1-24小时之内;核心资产瘫痪对客户和社会造成的影响很巨大,可能会导致数万客户的不满意,并引起省市级媒体和机构的关注,而且核心资产瘫痪引起的法律争端可能提交很高级别的法院立案,诉讼过程可能很漫长。高级资产:高级资产的瘫痪或损坏造成的直接经济损失一般在10万元至100万元之间;高级资产的时间敏感性很强,可接受的中断时间大概在1-3天之间;高级资产的瘫痪可能导致数千客户的不满意,其造成的社会影响主要集中在税务系统的内部,但是高级资产的瘫痪引起的法律争端同样会正式提交法院立案审理。中级资产:中级资产的瘫痪或损坏造成的直接经济损失一般在5-10万元之间,其时间敏感性一般,可接受的中断时间一般在3-10天左右;中级资产的瘫痪可能造成数百客户的不满意,造成的社会影响主要集中在税务系统的某个部门内部,但是中级资产的瘫痪有一定的可能会引出法律争端。一般资产:一般资产的瘫痪或损坏造成的直接经济损失一般少于5万元,其时间敏感性很弱,可接受的中断