1.5.3　ISSAF

ISSAF不太活跃，但是提供的指南却非常全面。这个框架旨在评估信息安全策略以及组织对IT行业标准、法律和法规要求的遵守情况。

框架涵盖以下阶段：

·项目管理。

·准则和最佳实践——评估前、评估中和评估后。

·评估方法学。

·信息安全策略和安全组织评估。

·风险评估方法的评价。

·技术控制评估。

·技术控制评估——方法学。

·密码安全。

·密码破解策略。

·UNIX/Linux系统安全性评估。

·Windows系统安全性评估。

·Novell Netware安全评估。

·数据库安全评估。

·无线安全评估。

·交换机安全评估。

·路由器安全评估。

·防火墙安全评估。

·入侵检测系统（IPS）安全评估。

·VPN安全评估。

·防病毒系统安全评估和管理策略。

·Web应用安全评估。

·存储区域网络（Storage Area Network，SAN）安全评估。

·互联网用户安全。

·IBM AS400系统安全。

·源代码审计。

·二进制审计。

·社会工程学。

·物理安全评估。

·事件分析。

·日志/监视和审计流程评估。

·业务连续性计划和灾难恢复。

·安全意识培训。

·外包安全问题。

·知识库。

·安全评估项目在法律方面的考量。

·保密协议（Non-disclosure Agreement，NDA）。

·安全评估合同。

·征求建议书模板。

·桌面安全检查清单——Windows。

·Linux安全检查清单。

·Solaris操作系统安全检查清单。

·默认端口-防火墙。

·默认端口-IDS/IPS。