新技術新業務信息安全評估包括什么

• 深入業務，分析流程

深入業務，分析流程，目的是為了了解業務信息系統承載的業務使命、業務功能、業務流程等，客觀準確的把握業務信息系統的體系特征。最后出具評估報告，落實整改責任并跟蹤風險整改。

• 業務威脅分析、業務脆弱性識別和人工滲透分析

業務威脅包含了WEB應用安全、客戶端安全、業務邏輯安全。因為業務的特性是“個性化”，那么就很難用一個或多個工具發現所有的問題。且業務的個性化，在業務使用、業務邏輯、接口等安全測評中，必須要有人工參與驗證。利用業務流程分析、威脅分析和脆弱性分析的相關數據，可以實現保障能力驗證和滲透測試。

• 風險分析和處置

通過威脅得分和脆弱性得分的與運算，得出業務系統安全和數據安全的總體風險值，結合匹配性分析的評估結果，制定出風險清單，列出風險等級，出具評估報告。針對高/中級別的風險，新業務要全部得到整改后才能通過評估上線，存量業務要在開展風險整改的同時，采取限制發展用戶、限制功能升級等措施控制風險影響范圍，對于遺留風險較多的業務，要制定更有針對性的應急預案。

回答所涉及的環境：聯想天逸510S、Windows 10。