信息安全風(fēng)險評價計劃_第1頁
信息安全風(fēng)險評價計劃_第2頁
信息安全風(fēng)險評價計劃_第3頁
信息安全風(fēng)險評價計劃_第4頁
信息安全風(fēng)險評價計劃_第5頁
已閱讀5頁,還剩5頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

1、信息安全風(fēng)險評估計劃1. 工作目標(biāo) 32. 工作依據(jù) 33. 風(fēng)險評估范圍 54. 工作任務(wù)55. 實施人員 66. 工作進度安排96.1. 自評估工作啟動 96.2. 資產(chǎn)識別96.3. 脆弱性識別96.4. 威脅識別106.5. 風(fēng)險分析和處理計劃 106.6. 評估總結(jié)106.7. 管理體系建設(shè) 117. 日程安排 錯誤!未定義書簽。1 .工作目標(biāo)根據(jù)華潤集團信息安全標(biāo)準(zhǔn)文件要求,組織本單位開展 信息安全風(fēng)險自評估工作,并掌握信息安全風(fēng)險評估方法,摸清 自身安全風(fēng)險狀況,增強信息安全意識,加強信息安全建設(shè),提 高信息安全防范水平。2 .工作依據(jù)1)國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工

2、作的意見 (中辦發(fā)200327號)2)國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組關(guān)于開展信息安全風(fēng)險評估工作的意見(國 信辦20065號)3)深圳市關(guān)于開展信息安全風(fēng)險評估工作的實施意見(深科信2006268 號)4)信息安全技術(shù)信息安全風(fēng)險評估規(guī)范(GB/T20984-2007)5)電子計算機場地通用規(guī)范(GB/T2887-2000 )6)計算機場地安全要求(GB/T 9361-2011 )7)信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則(GB/T 18336-2008 )8)信息技術(shù)安全管理指南( GB/T 19715.1-2005 )9)信息技術(shù)信息安全管理實用規(guī)則( GB/T 19716-2005 )10)

3、信息安全技術(shù)操作系統(tǒng)安全評估準(zhǔn)則(GB/T 20008-2005 )11)國家信息化領(lǐng)導(dǎo)小組 關(guān)于加強信息安全保障工作的意見(中辦發(fā)200327號)12)信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全評估準(zhǔn)則(GB/T20009-2005 )13)信息安全技術(shù)包過濾防火墻評估準(zhǔn)則(GB/T 20010-2005 )14)信息安全技術(shù)路由器安全評估準(zhǔn)則(GB/T 20011-2005 )15)信息安全技術(shù)信息系統(tǒng)安全管理要求(GB/T 20269-2006 )16)信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求(GB/T 20270-2006 )17)信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求(GB/T20271-2006 )18

4、)信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求(GB/T 20272-2006 )19)信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求(GB/T20273-2006)20)信息安全技術(shù)網(wǎng)絡(luò)和終端設(shè)備隔離部件測試評價方法(GB/T 20277-2006 )21)信息安全技術(shù)網(wǎng)絡(luò)和終端設(shè)備隔離部件安全技術(shù)要求(GB/T 20279-2006 )22)信息安全技術(shù)防火墻技術(shù)要求和測試評價方法(GB/T20281-2006 )23)信息安全技術(shù)信息系統(tǒng)安全工程管理要求(GB/T 20282-2006)24)信息安全技術(shù)路由器安全技術(shù)要求(GB/T 18018-2007 )25)信息安全技術(shù)信息系統(tǒng)安全審計產(chǎn)品技術(shù)要求和評

5、價方法 GB/T20945-2007)26)信息技術(shù)安全技術(shù)信息安全事件管理指南(GB/Z 20985-2007 )27)信息安全技術(shù)信息安全事件分類分級指南(GB/Z 20986-2007)28)信息安全技術(shù)服務(wù)器安全技術(shù)要求( GB/T 21028-2007 )29)信息安全技術(shù)網(wǎng)絡(luò)交換機安全技術(shù)要求(GB/T 21050-2007 )30)信息技術(shù)信息安全管理實施規(guī)范(ISO/IEC27002:2005 )31)深圳市信息安全風(fēng)險評估實施指南32)各種檢查機構(gòu)運作的一般規(guī)則(ISO-IEC 17020-2004 )3 .風(fēng)險評估范圍本次評估范圍為的核心網(wǎng)絡(luò)、安全設(shè)備、服務(wù)器等基礎(chǔ)設(shè)施、門

6、戶網(wǎng)站等。4 .工作任務(wù)本次風(fēng)險評估工作將進行資產(chǎn)識別、威脅識別、脆弱性識別 三個要素的識別,并進行風(fēng)險分析,具體工作任務(wù)如下:1)資產(chǎn)識別:保密性、完整性和可用性是評價資產(chǎn)的三個 安全屬性,通過資產(chǎn)在這三個安全屬性上的達成程度或者其安全 屬性未達成時所造成的影響程度來判定資產(chǎn)的重要性。2)威脅識別:通過分析信息系統(tǒng)存在的威脅,定義信息安 全威脅級別。威脅可以通過威脅主體、資源、動機、途徑等多種 屬性進行描述。3)脆弱性識別:脆弱性識別可以以資產(chǎn)為核心,針對每一 項需要保護的資產(chǎn),識別可能被威脅利用的弱點,并對脆弱性的 嚴(yán)重程度進行評估。4)風(fēng)險分析:在完成資產(chǎn)識別、威脅識別、脆弱性識別, 以

7、及已有安全措施確認(rèn)后,采用適當(dāng)?shù)姆椒ê凸ぞ叽_定威脅利用 脆弱性導(dǎo)致安全事件發(fā)生的可能性,并對風(fēng)險評估的結(jié)果進行等 級化處理。5)安全管理體系建設(shè):根據(jù)對現(xiàn)有安全管理體系評估的結(jié) 果,按照國家相關(guān)標(biāo)準(zhǔn)、政策和法規(guī),建立適用于國有資產(chǎn)監(jiān)督 管理局的安全管理體系,包括制訂一系列的安全管理制度、安全 策略、規(guī)程。5 .實施人員本次評估小組組織結(jié)構(gòu)如下圖所示:評估小組的職能如下:1)領(lǐng)導(dǎo)小組:負(fù)責(zé)授權(quán)信息安全風(fēng)險評估項目負(fù)責(zé)人組建 信息安全風(fēng)險評估團隊、審批項目方案、計劃和項目報告等。接 受風(fēng)險評估項目負(fù)責(zé)人和各評估小組負(fù)責(zé)人在項目實施各階段的 進展匯報,不定期對風(fēng)險評估團隊的實時工作成果進行檢視,聽

8、取各階段成果,并指示風(fēng)險評估的下一步工作開展。確保本年度 的風(fēng)險評估工作切實按照市信息辦等領(lǐng)導(dǎo)主管部門的要求,取得 預(yù)期效果,保證現(xiàn)有信息系統(tǒng)安全,為后續(xù)信息系統(tǒng)建設(shè)提供強 有力的技術(shù)支撐。2)項目主管:負(fù)責(zé)組建信息安全風(fēng)險評估項目團隊各小組 (資產(chǎn)識別小組、威脅識小組、脆弱性識別小組、風(fēng)險評估小組、 應(yīng)急響應(yīng)小組)。指定各小組組長和對小組成員資格進行審核。負(fù) 責(zé)方案計劃的編制、負(fù)責(zé)協(xié)調(diào)項目所涉及到的各部門人員、負(fù)責(zé) 項目的進度和質(zhì)量控制,負(fù)責(zé)組織審核確認(rèn)風(fēng)險評估各階段的過程文檔,并保證過程文檔的實施者和審核確認(rèn)人分開、負(fù)責(zé)風(fēng)險 評估報告的編制以及向領(lǐng)導(dǎo)小組匯報項目實施情況。3)資產(chǎn)識別小組成

9、員:負(fù)責(zé)信息系統(tǒng)資產(chǎn)的識別工作,并 向項目主管提交資產(chǎn)識別表、重要資產(chǎn)清單和重要資產(chǎn) 賦值表。4)脆弱性識別小組成員:負(fù)責(zé)對信息系統(tǒng)的重要資產(chǎn)進行 脆弱性識別工作,并向項目主管提交重要資產(chǎn)脆弱性識別表5)威脅識別小組成員:負(fù)責(zé)對信息系統(tǒng)的重要資產(chǎn)進行威 脅識別工作,并向項目主管提交資產(chǎn)威脅識別表。6)風(fēng)險分析小組成員:在對現(xiàn)有安全措施有效性確認(rèn)的基 礎(chǔ)上對信息系統(tǒng)的重要資產(chǎn)進行風(fēng)險分析,形成最終的風(fēng)險評估 報告,并向領(lǐng)導(dǎo)小組提交報告,獲得認(rèn)可。7)應(yīng)急響應(yīng)小組成員:負(fù)責(zé)針對風(fēng)險評估過程制定應(yīng)急工 作預(yù)案,在由現(xiàn)意外情況時進行應(yīng)急響應(yīng)。組 名成 員領(lǐng)導(dǎo)小組項目主管資產(chǎn)識別小組脆弱性識別小組威脅識

10、別小組風(fēng)險分析小組應(yīng)急響應(yīng)小組6 .工作進度安排前完成自評估工作,并提交有關(guān)材料。細(xì)分為五部分工作:6.1. 自評估工作啟動本階段將召開自評估工作啟動會議,明確重要網(wǎng)絡(luò)與信息系 統(tǒng)邊界,并制定風(fēng)險評估工作計劃及實施方案。提交文檔:自評估工作啟動會議紀(jì)要、工作計劃和實 施方案上報領(lǐng)導(dǎo)進行審核批準(zhǔn)。6.2. 資產(chǎn)識別本階段將召開資產(chǎn)識別會議, 并進行資產(chǎn)識別工作。 按照深 圳市信息安全風(fēng)險評估實施指南對資產(chǎn)進行分類,并對資產(chǎn)價 值進行賦值。詳細(xì)內(nèi)容見實施方案。提交文檔:資產(chǎn)識別會議紀(jì)要、信息資產(chǎn)識別表。6.3. 脆弱性識別本階段主要通過以下幾種方式識別脆弱性:1)利用網(wǎng)絡(luò)漏洞掃描器對主機、網(wǎng)絡(luò)設(shè)備

11、及安全設(shè)備進行 遠程漏洞掃描;2)通過人工的上機操作對系統(tǒng)進行本地安全策略檢查;3)利用應(yīng)用層檢測工具發(fā)現(xiàn)應(yīng)用層的安全漏洞;4)通過調(diào)查問卷及人員訪談方式識別網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)系統(tǒng) 及組織管理的脆弱性。6.4. 威脅識別本階段將召開威脅和脆弱性識別會議,并分析信息系統(tǒng)存在 的威脅及脆弱性,定義威脅及脆弱性的級別。詳細(xì)內(nèi)容見實施方 案。提交文檔:威脅和脆弱性識別會議紀(jì)要、安全威脅評估報 告和脆弱性識別表。6.5. 風(fēng)險分析和處理計劃本階段將召開風(fēng)險分析和處理計劃會議,并對現(xiàn)有控制措施 對安全風(fēng)險的消減作用進行分析,制定處理計劃。詳細(xì)內(nèi)容見實 施方案。提交文檔:風(fēng)險分析和處理計劃會議紀(jì)要、信息安全風(fēng)險 評估報告。6.6. 評

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論