标准结合企业信息系统实际情况，建设适合于自身的信息安全管理体系，的构建包含以下主要步骤确定的范畴和安全边界在范畴内定义信息安全策略方针和指南对范畴内的相关信息和信息系统进行风险评估规划信息搜集风险分析资产鉴别与资产评估威胁分析弱点分析资产威胁弱点的映射表影响和可能性评估风险结果分析进行审核和批准对需要进行的相关风险处置建议进行项目安排宽带网络安全风险管理实践要点分析运营商宽带网络和常见的针对以主机为核心的系统的安全风险管理不同，其覆盖的范围和影响因素有很大差异性。所以不能直接套用通用的风险管理的方法和资料。在项目执行的不同阶段，需要特别注意以下要点安全目标充分保证自身宽带网络及相关管理支撑系统的安全性保证客户的业务可用性和质量。项目范畴应该包含宽带骨干网城域网接入网及接入网关设备管理支撑系统如网管系统平台等。项目成员应该得到运营商高层领导的明确支持，项目组长应该具备管理大型安全咨询项目经验的人承担，且项目成员除了包含些专业安全评估人员之外，还应该包含与宽带相关的业务与网络规划设备与系统维护业务管理和相关系统集成商和软件开发商人员。背景信息搜集背景信息搜集之前，应该对信息搜集对象进行分组，即分为骨干网小组接入网小组管理支撑系统小组等。分组搜集的信息应包含宽带网络总体架构城域网结构和配置接入网结构和配置平台系统结构和配置系统结构和配置相关主机和设备的软硬件信息相关业务操作规范流程和接口相关业务数据的生成存储和安全需求信息已有的安全事故记录已有的安全产品和已经部署的安全控制措施相关机房的物理环境信息已有的安全管理策略规定和指南其它相关资产鉴别资产鉴别应该自顶向下进行鉴别，必须具备层次性。最顶层可以将资产鉴别为城域网接入网平台平台网管系统等级资产组然后可以在级资产组内，按照功能或地域进行划分二级资产组，如平台级资产组可以划分为组组计费组网络通信设备组等二级资产组进步可以针对各个二级资产组的每个设备进行更为细致的资产鉴别，鉴别其设备类型地址配置软硬件配置等信息。威胁分析威胁分析应该具有针对性，即按照不同的资产组进行针对性威胁分析。如针对城域网，其主要风险可能是蠕虫路由攻击路由设备入侵等而对于或平台，其主要风险可能包括主机病毒后门程序应用服务的攻击主机入侵数据库攻击钓鱼等。威胁影响分析是指对不同威胁其可能造成的危害进行评定，作为下步是否采取或采取何种处置措施的参考依据。在威胁影响分析中应该充分参考运营商意见，尤其要充分考虑威胁发生后可能造成的社会影响和信誉影响。威胁可能性分析是指种威胁可能发生的概率，其发生概率评定非常困难，所以般情况下都应该采用定性的分析方法，制定出套评价规则，主要由运营商管理人员按照规则进行评价。风险处置针对城域网风险分析结果，在进行风险处置建议的时候，需要综合考虑以下多方面的因素效用成本对业务组织和流程的影响技术成熟度等。信息安全风险管理理论摘要随着宽带网络和用户规模的不断增长，用户对宽带接入业务的高可用性要求不断增强，对电信运营商在城域接入网络和支撑系统提出了更高的安全性要求。本文从信息安全管理的理念方法学和相关技术入手，结合电信城域网，提出电信城域网安全管理风险评估和加固的实践方法建议。关键字安全管理风险弱点评估城域网信息安全管理概述普遍意义上，对信息安全的定义是保护信息系统和信息，防止其因为偶然或恶意侵犯而导致信息的破坏更改和泄漏，保证信息系统能够连续可正常的运行。所以说信息安全应该理解为个动态的管理过程，通过系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括保密性完整性可用性防抵赖性可追溯性和真实性等。信息安全管理的本质，可以看作是动态地对信息安全风险的管理，即要实现对信息和信息系统的风险进行有效管理和控制。标准信息安全风险管理和评估规则，给出了个非常经典的信息安全风险管理模型，如下图所示图信息安全风险管理模型既然信息安全是个管理过程，则对模型有适用性，结合信息安全管理相关标准,信息安全管理过程就是计划实施与部署监控与评估维护和改进的循环过程。图二信息安全体系的管理模型建立信息安全管理体系的主要步骤如图二所示，在阶段，就需要遵照等相关标准结合企业信息系统实际情况，建设适合于自身的信息安全管理体系，的构建包含以下主要步骤确定的范畴和安全边界在范畴内定义信息安全策略方针和指南对范畴内的相关信息和信息系统进行风险评估规划信息搜集风险分析资产鉴别与资产评估威胁分析弱点分析资产威胁弱点的映射表影响和可能性评估风险结果分析鉴别和选择防护措施监控和实施效果检查与评估实施和运营初步的体系对运营的过程和效果进行监控在运营中对进行不断优化宽带网络安全风险管理主要实践步骤目前，宽带网络所接入的客户对网络可用性和自身信息系