再谈通保的风险评估报告审核要点

最近我的风险评估报告被打回了几次，我又发现了几个坑点。和大家真诚的分享一下。

坑点分基础版和迭代版，基础版基本是表面问题大家写完风评报告后检查一下就行，迭代版还涉及到一些测评细节，我着重分享。

基础版：

【1】设备列表要和定级报告上的设备一致

【2】管理制度及文档

管理制度和文档，要和符合性评测点一致。比如符合性评测点说了有什么制度，那么风险评估里就要有。

比如，上面的符合性评测里有《操作系统应急预案》和《系统信息泄漏预案》，那么风险评估报告的表5就要有相应的制度。

【3】人员，人员要有审计人员、如果有数据库、那么要有数据库管理员

【4】脆弱项，脆弱性可以从等保测评中的不符合项来找，也可以从漏扫和渗透中找。基本上做通保的都会做等保，如果实在没有做等保，就做一下基线核查和访谈，通过基线核查和访谈收集部分脆弱性。其实基线核查也是等保的基线标准，相当于做一个小小的等保了。

注意，这里的脆弱性要覆盖到所有资产进行，如果漏掉了某个资产就不太行。

【5】风险评估列表中脆弱性，必须和表18脆弱性列表一致，也就是说要和这个脆弱性一一对应。

 风险评估列表已有的安全措施，必须和表20已有的安全措施一一对应。

 风险评估列表威胁，必须和表17威胁列表一致。

迭代版：

最近我风险评估被打回来基本上是一些测评点的细节问题，主要是我这边厢分享一下。主要是脆弱性和整改措施和符合性评测点有矛盾造成的。

问题一：

堡垒机没有定期更改密码可以写为脆弱性吗？

原文始发于微信公众号（透明魔方）：再谈通保的风险评估报告审核要点