信息安全风险评估实施方案Word文件下载.docx
- 文档编号:13051885
- 上传时间:2022-10-03
- 格式:DOCX
- 页数:22
- 大小:196.24KB
信息安全风险评估实施方案Word文件下载.docx
《信息安全风险评估实施方案Word文件下载.docx》由会员分享,可在线阅读,更多相关《信息安全风险评估实施方案Word文件下载.docx(22页珍藏版)》请在冰豆网上搜索。
日期
版本
说明
编辑人
目录
文档信息 2
适用范围 2
版本变更记录 2
1概述 4
1.1项目背景及目标 4
1。
1.1项目背景 4
1.1.2项目目标 4
1.2检测对象及范围 4
1-2.1检测对象 4
1.2.2检测范围 4
1.3检测依据及原则 5
1.3.1检测依据 5
1-3-2检测原则 6
1.4成果交付物 7
2评估实施方案 7
2.1风险评估流程 7
2.2准备阶段 9
2.2.1项目组织 9
2.2.2项目准备 11
2.2.3项目启动 11
2.3识别阶段 11
2.3.1资产识别 11
2.3.2威胁识别 12
2.3.3脆弱性识别 14
2.3.4安全措施识别 17
2.4分析阶段 17
2.4.1资产影响分析 17
2.4.2威胁分析 19
2.4.3脆弱性分析 20
2.4.4综合风险分析 21
2.5规划验收阶段 22
2.5.1工作内容 22
2.5.2参与人员 22
1概述
1.1项目背景及目标
1.1.1项目背景
为落实行业相关监管要求,完善和加强信息科技风险管控体系建设,因而启动风险评估项目。
通过该项目的实施,分析信息科技和管理流程中存在的风险点,形成风险点库,评估管理、控制措施有效性和剩余风险状况等级是否在可接受范围内,从风险防范的角度提出加强控制措施建议,从而为业务运行连续性提供保障。
1.1.2项目目标
通过信息安全风险评估的实施,查找和发现信息系统业务应用、系统、网络、数据库和管理等方面的漏洞和脆弱性,全面和准确地了解系统安全状况、安全风险等级,并提出相应的改进建议;
通过开展风险评估和风险控制工作,使企业满足证监会和其他相关机构关于信息安全相关规定的合规性要求。
1.2检测对象及范围
1.2.1检测对象
XX系统:
1.2.2检测范围
本次风险评估项目主要针对以下几个层面:
物理层面
支撑信息系统的场所、所处的周边环境以及场所内保障计算机系统正常运行的设施。
包括机房环境、门禁、监控、环控、电源等
网络层面
构成信息系统网络传输环境的线路介质、拓扑结构、网络通讯设备、网络安全设备等。
系统层面
支撑信息系统的服务器、客户机及其操作系统、应用服务器系统、数据库服务器系统、Web服务器系统等软件平台系统。
层面
系统应用程序的设计、工程实现、业务相关功能、安全相关功能
安全管理
包括安金策略、规章制度、人员组织结构、项目安全管理和日常运维管理等。
巳有安全措施
包括主机边界防护措施、主机入侵检测防护措施、主机恶意程序防护措施、主机漏洞扫描措施等。
1.3检测依据及原则
1.3.1检测依据
GB/T20269-2006
《信息安全技术信息系统安全管理要求》:
GB/T20270-2006
《信息安全技术网络基础安全技术要求》:
GB/T20271-2006
《信息安全技术信息系统通用安全技术要求》:
GB/T20274-2006
《信息安全技术信息系统安全保障评估框架》:
GB/T20275-2006
《信息安全技术入侵检测系统技术要求和测试评价
方法》:
GB/T20945-2007
《信息安全技术信息系统安全审计产品技术要求和
评价方法》;
GB/T20984-2007
《信息安全技术信息安全风险评估规范》:
GB/T20985-2007
《信息技术安全技术信息安全事件管理指南》;
□
GB/T18018-2007
《信息安全技术路由器安全技术要求》:
GB/T21028-2007
《信息安全技术服务器安全技术要求》:
GB/T21050-2007
《信息安全技术网络交换机安全技术要求(评估保
证级3)》;
GB/T21052-2007
《信息安全技术信息安全等级保护信息系统物理安
全技术要求》;
GB/T14394-2008
《计算机软件可靠性和可维护性管理》
GB/T18336.1-2008《信息技术安全技术信息技术安全性评估准则第1部分:
简介和一般模型》;
GB/T18336.2-2008《信息技术安全技术信息技术安全性评估准则第2部分:
安全功能要求》:
GB/T18336.3-2008《信息技术安全技术信息技术安全性评估准则第3部分:
安全保证要求》:
GB/T20983-2008《信息安全技术网上系统信息安全保障评估准则》
GB/T22080-2008《信息安全技术信息安全管理体系要求》:
GB/T22081-2008《信息安全技术信息安全管理使用准则》:
GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》:
GB/T24363-2009《信息安全技术信息安全应急响应计划规范》;
GB/Z24364-2009《信息安全技术信息安全风险管理指南》:
GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》:
GB/T28449-2012《信息安全技术信息系统安全等级保护测评过程指南》
GB/T28450-2012《信息安全技术信息安全管理体系审核指南》:
GB/T28452-2012《信息安全技术应用软件系统通用安全技术要求》:
GB/T28453-2012《信息安全技术信息系统安全管理评估要求》:
GB/T28456-2012(IPsec协议应用测试规范》;
GB/T28457-2012《SSL协议应用测试规范》:
GB/T28458-2012《信息安全技术安全漏洞标识与描述规范》。
1.3.2检测原则
1.3.2.1保密原则
我司在在进行风险评估的过程中,将严格遵循保密原则,服务过程中涉及到的任何用户信息均属保密信息,不得泄露给第三方单位或个人,不得利用这些信息损害用户利益。
并与甲方签订保密协议,承诺未经允许不向其他任何第三方泄露有关甲方信息系统的信息。
1.3.2.2互动原则
我司在整个信息安全风险评估过程之中,将强调客户的互动参与,不管是从准备阶段,还是识别阶段。
每个阶段都能够及时根据客户的要求和实际情况对评估的内容、方式作出相关调整,进而更好的进行风险评估工作。
1.3.2.3最小影响原则
信息安全风险评估工作应尽可能小的影响系统和网络的正常运行,不能对业务的正常运行产生显著影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应对风险进行说明。
1.3.2.4规范性原则
信息安全风险评估服务的实施必须由专业的安全评估服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,提供完整的服务报告。
13.2.5质量保障原则
在整个信息安全风险评估过程之中,将特别重视项目质量管理。
项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督、控制项目的进度和质量。
1.4成果交付物
>《资产赋值表》
>《威胁赋值表》
>《脆弱性赋值表》
>《信息安全风险评估技术报告》
>《信息系统风险控制规划》
2评估实施方案
2.1风险评估流程
本次风险评估的实施工作将依据如下流程进行项目实施。
第9页共23页
2.2准备阶段
2.2.1项目组织
为了保证信息安全风险评估项目的顺利实施,确保项目质量并达到预期目标,加强管理和协调合作,使工作和责任更加清晰明确,特建立如下的项目管理组织和实施团队。
项目实施组按照工作职责划分为以下职能小组:
项目协调小组:
沟通协调参与各方的相关事宜。
监督、控制项目进度及质量,及时发现项目实施过程中存在的问题,并及时组织改进。
对重大问题及时向领导小组汇报。
组织项目验收工作。
识别小组:
负责各相关识别阶段的各项实施工作。
>配合风险分析小组完成分析工作。
向项目协调小组反馈问题。
风险分析小组:
负责风险分析阶段的各项实施工作。
控制规划小组:
负责制定安全规划方案。
负责对项目进行总结。
>负责向项目协调小组及项目领导小组汇报评估结果。
2.2.2项目准备
双方对项目实施信息进行交流,包括信息系统风险评估项目目标、范围、项目交付文件、项目实施方案、工作方式、评估成果提交形式等,讨论并确定,形成最终版《风险评估实施方案》。
2.2.3项目启动
双方项目组人员召开项目启动会,阐述此次项目的目标、内容、过程、工具、成果、需求配合、沟通方式等内容,签署项目保密协议,由项目负责人作总结发言,宣布项目开始。
2.3识别阶段
在准备阶段完成后,风险评估项目将进入识别阶段即:
资产识别、威胁识别、脆弱性识别、安全措施识别。
具体如下:
2.3.1资产识别
风险评估在确认评估范围后首要的内容就是对被评估信息系统及所涉及的物理资产、软件资产、数据资产进行识别。
这些资产容易受到安全威胁的侵害,给机构、组织或部门造成不同程度的损害。
因此正确地管理这些资产对于一个机构或组织部门来说是非常重要的,它也是所有级别安全管理的责任所在。
由此可见,为了进行风险评估,就必须对信息系统评估范围内的相关资产进行识别,根据资产在业务和应用流程中的作用进行安全分析。
工作内容
对被评估信息系统的关键资产进行识别,并合理分类:
在资产识别过程中,需要详细识别核心资产的安全属性,重点识别出资产在遭受泄密、中断、损害等破坏时所遭受的影响,为资产影响分析及综合风险分析提供参考数据。
2.3.1.1参与人员
参与人员主要包括被评估信息系统的网络管理员、系统管理员、数据库管理员、安全管理员等相关运行维护人员;
以及实施方相应小组成员,具体如下:
甲方协调小组成员
实施方资产识别小组成员
2.3.1.2配合工作
提供会议室及场地供协调小组、资产识别项目组进行资产识别工作
协调小组成员需协调被评估信息系统各管理员填写资产识别表。
协调小组成员需提供被评估信息系统相关的文档(包含资产清单等)。
协调小组成员需对资产识别小组在识别整理过程中发现不清晰的问题进行确认。
2.3.13工作方式
资产识别会议:
准备工作完成后应召集相关参与人员进行资产识别会议相应调查表填写:
具体包括主机及应用资产识别表,网络资产识别表。
相应资料审查确认:
相关调查表填写完成后,识别小组成员将对相关资料进行审查确认。
在这一过程中,首先要对组织需要保护的每一项关键资产进行威胁识别。
在威胁识别过程中,应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断,一项资产可能面临着多个威胁,同样一个威胁可能对不同的资产造成影响。
识别出威胁由谁或什么事物引发以及威胁影响的资产是什么,即确认威胁的主体和客体。
威胁可能源于意外的,或有预谋的事件。
用于威胁评估的信息能够从信息安全管理的有关人员,以及相关的商业过程中获得,这些人可能是内部的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 风险 评估 实施方案