查申请单177附录二：安全检查方案模版198附录三：风险处置计划表21
f1总则
为确保网络及信息系统安全、高效、可控的运行，提高业务系统安全运行能力，全面降低信息安全风险，特制定本管理办法。
2组织与责任
信息安全管理组负责信息安全风险评估的具体实施。技术支撑部门协助信息安全管理执行组的信息安全风险评估工作，并且实施信息安全管理执行组通过风险评估后提供的解决方案与建议。其他部门协助信息安全管理执行组开展信息安全风险评估工作。
3信息安全风险评估规定
31弱点分析
311概述
弱点评估是安全风险评估中最主要的内容。弱点是信息资产本身存在的，它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的弱点。
312弱点检查
信息安全管理组应定期对集团IT系统进行全面的信息安全弱点检查，了解各IT系统的信息安全现状。
IT系统安全检查的范围包括：主机系统、网络设备、安全设备、数据库系统、应用系统、邮件系统以及其它在用系统。
IT系统安全检查的工具与方法如下：
f1工具检查：针对IT设备建议采用专用的脆弱性评估工具进行检查，如Nessus、BurpSuite等工具，针对应用系统及代码安全检查，建议采用商业专用软件进行检查，如IBMAppSca
。
2手工检查：由信息安全专员或技术支撑部门相关人员参照相关的指导文档上机进行手工检查。信息安全检查工作开展前，信息安全管理组需制定安全检查计划，对于部分可用性
要求高的业务系统或设备，计划中要明确执行的时间，并且该计划要通知相关部门与系统维护人员，明确相关人员的及部门的职责与注意事项。
信息安全管理组与外服公司针对信息安全检查须制定《安全检查方案》，方案中，针对工具扫描部分需明确扫描策略，同时方案必须提供规避操作风险的措施与方法。并且该方案必须获得技术支撑部领导批准。
信息安全管理组应对IT系统安全检查的结果进行汇总，并进行详细分析，提供具体的安全解决建议，如安全加固、安全技术引进等。
当发生重大的信息安全事件，信息安全管理组应在事后进行一次全面的安全检查，并通过安全检查结果对重要的安全问题进行及时解决。
常见的弱点种类分为：1技术性弱点：系r