安全評(píng)估實(shí)施方案完整模板

1、XXXXXXXXXX 安全評(píng)估實(shí)施方案安全評(píng)估實(shí)施方案 20XX20XX 年年 X X 月月 北京北京 XXXXXXXXXXXX 公司公司 安全服務(wù)事業(yè)部安全服務(wù)事業(yè)部 文檔信息文檔信息 項(xiàng)目名稱項(xiàng)目名稱XXXXX 安全服務(wù)項(xiàng)目 文檔編號(hào)文檔編號(hào) 版本號(hào)版本號(hào)日期日期參與人員參與人員更新說明更新說明 1.0 1.0 分發(fā)控制分發(fā)控制 編號(hào)編號(hào)讀者讀者文檔權(quán)限文檔權(quán)限與文檔的主要關(guān)系與文檔的主要關(guān)系 1范卿編寫，修 改 負(fù)責(zé)編制、修改 2XXXXX 項(xiàng)目組成 員 讀取 審核 3XXXXX X 項(xiàng)目組 成員 讀取 版權(quán)說明版權(quán)說明 本文件中出現(xiàn)的全部?jī)?nèi)容，除另有特別注明，版權(quán)均屬北京 XXXXXX

2、 公司所有。任 何個(gè)人、機(jī)構(gòu)未經(jīng)北京 XXXXXX 公司的書面授權(quán)許可，不得以任何方式復(fù)制或引用文件 的任何片斷。北京 XXXXXX 公司安全服務(wù)事業(yè)部負(fù)責(zé)對(duì)本文檔的解釋。 保密申明保密申明 本文件包含了來自北京 XXXXXX 的可靠、權(quán)威的信息，以及 XXXXX 網(wǎng)絡(luò)系統(tǒng)的敏 感信息，接受這份文件表示同意對(duì)其內(nèi)容保密并且未經(jīng)北京 XXXXXX 公司書面請(qǐng)求和書 面認(rèn)可，不得復(fù)制，泄露或散布這份文件。如果你不是有意接受者，請(qǐng)注意對(duì)這份文件內(nèi) 容的任何形式的泄露、復(fù)制或散布都是被禁止的。 目 錄 一一.背景背景.8 1.1.評(píng)估目標(biāo) .8 1.2.評(píng)估范圍 .9 二二.評(píng)估原則評(píng)估原則.9 2.

3、1.保密原則 .9 2.2.標(biāo)準(zhǔn)性原則 .10 2.3.可控性原則 .10 2.4.全面性原則 .11 2.5.重點(diǎn)性原則 .11 2.6.最小影響原則 .12 三三.評(píng)估標(biāo)準(zhǔn)評(píng)估標(biāo)準(zhǔn).12 3.1.信息安全標(biāo)準(zhǔn) .12 3.1.1.BS7799 (ISO/IEC 17799).12 3.1.2.SSE-CMM .13 3.1.3.ISO/IEC 15408(GB/T18336) .13 3.1.4.ISO/IEC 13335.13 3.1.5.其他相關(guān)標(biāo)準(zhǔn).14 3.2.組織安全策略 .14 3.2.1.相關(guān)法規(guī)和政策.14 3.2.2.行業(yè)管理規(guī)范.15 四四.資產(chǎn)調(diào)查與賦值資產(chǎn)調(diào)查與賦值

4、.15 4.1.需求調(diào)查 .15 4.1.1.調(diào)查對(duì)象.16 4.1.2.調(diào)查方式.17 4.1.3.調(diào)查內(nèi)容.17 4.2.資產(chǎn)賦值 .18 4.2.1.基本概念.18 4.2.2.信息資產(chǎn)分類.19 4.2.3.信息資產(chǎn)賦值.22 五五.安全類別安全類別級(jí)評(píng)估內(nèi)容級(jí)評(píng)估內(nèi)容.24 5.1.安全技術(shù)評(píng)估 .25 5.1.1.物理安全.25 5.1.2.網(wǎng)絡(luò)安全.26 5.1.3.節(jié)點(diǎn)安全.28 5.1.4.應(yīng)用與數(shù)據(jù)安全.30 5.2.安全管理評(píng)估 .31 5.2.1.政策與制度.32 5.2.2.機(jī)構(gòu)與人員.34 5.2.3.安全風(fēng)險(xiǎn)管理.38 5.2.4.工程建設(shè)管理.44 5.2.5.

5、運(yùn)行與維護(hù)管理.49 5.2.6.業(yè)務(wù)連續(xù)性管理.60 5.2.7.其他管理要求.65 六六.掃描評(píng)估方案掃描評(píng)估方案.66 6.1.目標(biāo) .66 6.2.地點(diǎn) .66 6.3.時(shí)間 .66 6.4.參與人員 .67 6.5.范圍 .67 6.5.1.網(wǎng)絡(luò)設(shè)備.67 6.5.2.應(yīng)用系統(tǒng).67 6.6.評(píng)估方法 .67 6.7.工具選擇 .68 6.7.1.漏洞掃描工具.68 6.7.2.輔助工具.69 6.7.3.系統(tǒng)自帶程序.73 6.8.評(píng)估的代價(jià) .74 6.8.1.流量的代價(jià).74 6.8.2.主機(jī)的代價(jià).75 6.8.3.主機(jī)的潛在威脅.76 6.9.實(shí)施步驟 .76 6.9.1.

6、網(wǎng)絡(luò)掃描.76 6.9.2.掃描策略.77 6.9.3.掃描操作.78 6.9.4.報(bào)告整理.82 七七.人工評(píng)估方案人工評(píng)估方案.82 7.1.目標(biāo) .82 7.2.地點(diǎn) .82 7.3.時(shí)間 .83 7.4.參與人員 .83 7.5.范圍 .83 7.5.1.網(wǎng)絡(luò)設(shè)備.83 7.5.2.應(yīng)用系統(tǒng).83 7.6.評(píng)估方法 .83 7.7.實(shí)施步驟 .85 7.7.1.評(píng)估步驟.85 7.7.2.評(píng)估內(nèi)容.86 7.7.3.報(bào)告整理.87 八八.項(xiàng)目實(shí)施計(jì)劃項(xiàng)目實(shí)施計(jì)劃.87 8.1.項(xiàng)目組結(jié)構(gòu) .87 8.1.1.甲方項(xiàng)目組結(jié)構(gòu).87 8.1.2.乙方項(xiàng)目組結(jié)構(gòu).88 8.2.項(xiàng)目小組聯(lián)系表

7、 .89 8.2.1.甲方小組聯(lián)系表.89 8.2.2.乙方小組聯(lián)系表.89 8.3.項(xiàng)目進(jìn)度安排 .90 8.4.用戶配合 .90 8.5.評(píng)估監(jiān)控 .90 8.5.1.網(wǎng)頁監(jiān)控.91 8.5.2.系統(tǒng)監(jiān)控.91 8.6.評(píng)估風(fēng)險(xiǎn)的應(yīng)對(duì)措施 .91 8.7.評(píng)估風(fēng)險(xiǎn)應(yīng)急預(yù)案 .92 附錄一：甲方項(xiàng)目組聯(lián)系表附錄一：甲方項(xiàng)目組聯(lián)系表.94 附錄二：乙方項(xiàng)目組聯(lián)系表附錄二：乙方項(xiàng)目組聯(lián)系表.95 附錄三：項(xiàng)目進(jìn)度計(jì)劃附錄三：項(xiàng)目進(jìn)度計(jì)劃.96 一一. 背景背景 企業(yè)對(duì)信息技術(shù)和服務(wù)的依賴意味著自身更容易受到安全威脅的攻擊。為保證企業(yè)富 有競(jìng)爭(zhēng)力，保持現(xiàn)金流順暢和贏利，以及維護(hù)企業(yè)的良好商業(yè)形象，

8、信息安全的三要素保 密性、完整性和可用性都是至關(guān)重要的。 對(duì)于一個(gè)特定的網(wǎng)絡(luò)，為了實(shí)現(xiàn)其網(wǎng)絡(luò)安全的目標(biāo)，就是要在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的基 礎(chǔ)上，明確系統(tǒng)中所存在的各種安全風(fēng)險(xiǎn)，并制訂相應(yīng)的安全策略，通過網(wǎng)絡(luò)安全管理和 各種網(wǎng)絡(luò)安全技術(shù)的實(shí)施，從而達(dá)到網(wǎng)絡(luò)安全的目標(biāo)。 安全評(píng)估是網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)，其原理是根據(jù)已知的安全漏洞知識(shí)庫， 對(duì)目標(biāo)可能存在的安全隱患進(jìn)行逐項(xiàng)檢查。目標(biāo)可以包括工作站、服務(wù)器、交換機(jī)、路由 器、數(shù)據(jù)庫等各種網(wǎng)絡(luò)對(duì)象和應(yīng)用對(duì)象。然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的 安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。在網(wǎng)絡(luò)安全體系的建設(shè)中，安 全掃描工具花費(fèi)低、效

9、果好、見效快、與網(wǎng)絡(luò)的運(yùn)行相對(duì)獨(dú)立、安裝運(yùn)行簡(jiǎn)單，可以大規(guī) 模減少安全管理員的手工勞動(dòng)，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定。 為了充分了解客戶當(dāng)前的網(wǎng)絡(luò)安全威脅狀況，需要利用一些常用的掃描工具、應(yīng)用軟 件以及人工分析的等方式獲得客戶中重要服務(wù)器的各類數(shù)據(jù)。在掃描之后，將掃描系統(tǒng)獲 得的報(bào)告匯集成為一個(gè)當(dāng)前系統(tǒng)漏洞評(píng)估報(bào)告，同時(shí)根據(jù)漏洞情況提供加強(qiáng)網(wǎng)絡(luò)安全的建 議。 為了保證客戶網(wǎng)絡(luò)的安全有效運(yùn)行以及漏洞信息能夠更加完整和準(zhǔn)確，XXXXXX 公 司還為客戶提供手工的安全評(píng)估服務(wù)，我們公司擁有大量具有豐富經(jīng)驗(yàn)的安全工程師，通 過對(duì)客戶網(wǎng)絡(luò)主機(jī)的直接接觸，對(duì)目標(biāo)進(jìn)行安全評(píng)估，達(dá)到及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)存在的安

10、全問題， 保證網(wǎng)絡(luò)的安全性，同時(shí)對(duì)網(wǎng)絡(luò)系統(tǒng)性能不造成影響。 1.1.評(píng)估目標(biāo)評(píng)估目標(biāo) 本期安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目，將通過管理上、技術(shù)上的等多方面進(jìn)行，以實(shí)現(xiàn)以下安全評(píng) 估目標(biāo)： 管理上 審核安全策略的合理性 審核安全管理文檔的完備程度 完成資產(chǎn)識(shí)別、分類工作 擬定體系及策略改進(jìn)計(jì)劃 技術(shù)上 識(shí)別被評(píng)估系統(tǒng)面臨的威脅 識(shí)別被評(píng)估系統(tǒng)存在的脆弱性 識(shí)別安全設(shè)施的有效性 分析威脅發(fā)生的可能性 分析威脅發(fā)生的后果 評(píng)價(jià)安全風(fēng)險(xiǎn) 擬定風(fēng)險(xiǎn)處理計(jì)劃 1.2.評(píng)估范圍評(píng)估范圍 對(duì)于指定的信息系統(tǒng)必須首先進(jìn)行資產(chǎn)識(shí)別和分類，明確被保護(hù)的信息資產(chǎn)，對(duì)每一 項(xiàng)資產(chǎn)進(jìn)行確認(rèn)和評(píng)估。在對(duì)信息資產(chǎn)進(jìn)行識(shí)別評(píng)估分析時(shí)，要根據(jù)系

11、統(tǒng)遭受破壞后，對(duì) 保密性、完整性和可用性造成的影響來決定信息資產(chǎn)的價(jià)值。 XXXXX 目前擁有一個(gè)機(jī)房。XXXXXX 將對(duì)個(gè)機(jī)房進(jìn)行安全評(píng)估和加固服務(wù)。主要從 這個(gè)機(jī)房的管理層、技術(shù)層、操作層、物理層等多個(gè)層面進(jìn)行安全評(píng)估工作，以求能夠通 過這次評(píng)估和加固工作達(dá)到要求的安全標(biāo)準(zhǔn)，大幅度提高 XXXXX 以及下屬機(jī)房的安全防 御能力。 二二. 評(píng)估原則評(píng)估原則 為了確保安全項(xiàng)目成功實(shí)施，我們將遵循以下原則進(jìn)行： 2.1.保密原則保密原則 對(duì)于安全項(xiàng)目，實(shí)施方首先應(yīng)做到的就是對(duì)用戶要求保密的信息遵守保密原則。 XXXXXX 公司和參加此次評(píng)估項(xiàng)目的所有項(xiàng)目組成員，都要與甲方簽署相關(guān)的保密 協(xié)議和非

12、侵害性協(xié)議。 2.2.標(biāo)準(zhǔn)性原則標(biāo)準(zhǔn)性原則 依據(jù)國際國內(nèi)標(biāo)準(zhǔn)開展工作是本次評(píng)估工作的指導(dǎo)原則，也是 XXXXXX 公司提供信 息安全服務(wù)的一貫原則。 XXXXXX 公司在提供本次評(píng)估服務(wù)中，將會(huì)依據(jù)相關(guān)的國內(nèi)和國際標(biāo)準(zhǔn)進(jìn)行。這些 標(biāo)準(zhǔn)包括： ISO 17799 BS7799-2 ISO 13335 AS/NZS 4360 ISO 15408 / GB18336 SSE-CMM XXXXXX 公司在提供本次評(píng)估服務(wù)中，除了依據(jù)相關(guān)的國內(nèi)和國際標(biāo)準(zhǔn)之外，還要 參考一些沒有成為國際和國內(nèi)標(biāo)準(zhǔn)，但是已經(jīng)成為業(yè)界事實(shí)上標(biāo)準(zhǔn)的一些規(guī)范和約定。這 些規(guī)范和約定包括： CVE 公共漏洞和暴露 PMI 項(xiàng)目管理

13、方法學(xué) XXXXXX 公司在提供本次評(píng)估服務(wù)中，除了依據(jù)相關(guān)的國內(nèi)和國際標(biāo)準(zhǔn)之外，還根 據(jù)本項(xiàng)目的需要，遵循 XXXXXX 公司自身的一些規(guī)范和要求。這些規(guī)范包括： XXXXXX 科技顧問服務(wù)項(xiàng)目管理規(guī)范 V1.0 XXXXXX 科技信息安全顧問服務(wù)規(guī)范 V1.0 XXXXXX 科技信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn) V1.1 XXXXXX 科技信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)規(guī)范 V1.1 2.3.可控性原則可控性原則 XXXXXX 公司將從多個(gè)方面配合甲方，以便達(dá)到甲方對(duì)評(píng)估工作的可控性。這些可 控性包括： 人員可控性 XXXXXX 公司項(xiàng)目組將確保項(xiàng)目組成員工作的連續(xù)性。 XXXXXX 公司將派遣有經(jīng)驗(yàn)的顧問、評(píng)

14、估師和工程師參加本項(xiàng)目的評(píng)估工 作，同時(shí)還會(huì)安排有經(jīng)驗(yàn)的項(xiàng)目管理人員、質(zhì)量保證人員、標(biāo)準(zhǔn)化審核人員 等支持項(xiàng)目的工作。 XXXXXX 公司的人員安排將在顧問服務(wù)的工作說明中明確定義并得到雙方 的同意、確認(rèn)和簽署。如果根據(jù)項(xiàng)目的具體情況，后期需要進(jìn)行人員調(diào)整時(shí)， 必須經(jīng)過正規(guī)的項(xiàng)目變更程序，并得到雙方的正式認(rèn)可和簽署。 工具可控性 XXXXXX 公司項(xiàng)目組所使用的所有技術(shù)工具都事先通告甲方。并且在必要 時(shí)可以應(yīng)甲方要求，向甲方介紹主要工具的使用方法，并進(jìn)行一些實(shí)驗(yàn)。 項(xiàng)目過程可控性 本評(píng)估項(xiàng)目的管理將依據(jù) PMI 項(xiàng)目管理方法學(xué)達(dá)到項(xiàng)目過程的可控性。 為了保證 XXXXXX 公司的工作能夠按照工

15、程進(jìn)度實(shí)施，甲方組成的評(píng)估小 組的工作需要在雙方進(jìn)行評(píng)估之前舉行會(huì)議，予以討論，正式形成文字材料， 即書面確定甲方評(píng)估小組的職責(zé)和義務(wù)。評(píng)估期間雙方將本著友好合作的態(tài) 度完成各自的職責(zé)。 2.4.全面性原則全面性原則 XXXXXX 公司將按照確定的評(píng)估范圍進(jìn)行全面的評(píng)估，從范圍上滿足甲方的要求。 XXXXXX 公司實(shí)施的網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用評(píng)估是對(duì) xxxxx 的全面評(píng)估；XXXXXX 公司實(shí)施 的人工分析也覆蓋了上述業(yè)務(wù)系統(tǒng)的業(yè)務(wù)流程和相互間的業(yè)務(wù)相關(guān)性和數(shù)據(jù)共享； XXXXXX 公司進(jìn)行的綜合分析和建議將結(jié)合 XXXXXX 公司長(zhǎng)期的信息安全經(jīng)驗(yàn)和相關(guān)的 國際經(jīng)驗(yàn)。 評(píng)估覆蓋信息的存儲(chǔ)、傳輸、

16、處理全過程。 2.5.重點(diǎn)性原則重點(diǎn)性原則 從用戶的業(yè)務(wù)期望出發(fā)，采用詳細(xì)的安全風(fēng)險(xiǎn)評(píng)估方式對(duì)用戶指出的關(guān)鍵性業(yè)務(wù)系統(tǒng) 進(jìn)行重點(diǎn)評(píng)估。 2.6.最小影響原則最小影響原則 XXXXXX 公司會(huì)從項(xiàng)目管理層面和工具技術(shù)層面，將評(píng)估工作對(duì)甲方系統(tǒng)和網(wǎng)絡(luò)正 常運(yùn)行的可能影響降低到最低限度，不會(huì)對(duì)現(xiàn)有網(wǎng)絡(luò)的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生顯著影 響。系統(tǒng)評(píng)估我們選擇對(duì)業(yè)務(wù)連續(xù)性影響較小的主機(jī)進(jìn)行。數(shù)據(jù)庫評(píng)估和網(wǎng)絡(luò)評(píng)估，我們 選擇業(yè)務(wù)最小的時(shí)段進(jìn)行，一般在半夜 12 點(diǎn)以后進(jìn)行，在評(píng)估前作好數(shù)據(jù)備份。 三三. 評(píng)估標(biāo)準(zhǔn)評(píng)估標(biāo)準(zhǔn) XXXXXX 公司采用國際信息安全管理標(biāo)準(zhǔn) BS 7799 的風(fēng)險(xiǎn)管理思想作為貫穿整個(gè)

17、風(fēng)險(xiǎn) 評(píng)估過程的主要指導(dǎo)規(guī)范。另外，在風(fēng)險(xiǎn)等關(guān)鍵因素的評(píng)估方面，我們還參考了 SSE- CMM、ISO15408 和 ISO13335 標(biāo)準(zhǔn)。同時(shí)，SSE-CMM 在這次項(xiàng)目的安全工程實(shí)施， ISO15408、ISO13335 在安全評(píng)估方案的制定等方面都提供了規(guī)范化的指導(dǎo)。 其中在評(píng)估過程中涉及到的一些技術(shù)細(xì)節(jié)問題，我們嚴(yán)格遵循和執(zhí)行有關(guān)國家的法律 法規(guī)和行業(yè)的管理規(guī)范。 3.1.信息安全標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn) 3.1.1. BS7799 (ISO/IEC 17799) BS 7799 是國內(nèi)外現(xiàn)在比較流行的信息安全管理標(biāo)準(zhǔn)，其安全模型主要是建立在風(fēng)險(xiǎn) 管理的基礎(chǔ)上，通過風(fēng)險(xiǎn)分析的方法，使信息風(fēng)險(xiǎn)

18、的發(fā)生概率和后果降低到可接受水平， 并采取相應(yīng)措施保證業(yè)務(wù)不會(huì)因安全事件的發(fā)生而中斷。這個(gè)標(biāo)準(zhǔn)中風(fēng)險(xiǎn)管理框架的構(gòu)建 過程也就是宏觀上指導(dǎo)整個(gè)安全風(fēng)險(xiǎn)評(píng)估的過程。 這個(gè)標(biāo)準(zhǔn)中給出了 10 類需要進(jìn)行控制的部分：安全策略、安全組織、資產(chǎn)分類與控制、 個(gè)人信息安全、物理和環(huán)境安全、通信和操作安全、訪問控制、系統(tǒng)的開發(fā)和維護(hù)、商業(yè) 持續(xù)規(guī)劃、合法性要求等方面的安全風(fēng)險(xiǎn)評(píng)估和控制，以及 127 項(xiàng)控制細(xì)則。 3.1.2. SSE-CMM SSE-CMM 是“系統(tǒng)安全工程能力成熟模型”的縮寫。系統(tǒng)安全工程旨在了解用戶單 位存在的安全風(fēng)險(xiǎn)，建立符合實(shí)際的安全需求，將安全需求轉(zhuǎn)換為貫穿安全系統(tǒng)工程的實(shí) 施指南

19、。系統(tǒng)安全工程需要對(duì)安全機(jī)制的正確性和有效性做出驗(yàn)證，證明系統(tǒng)安全的信任 度能夠達(dá)到用戶要求，以及未在安全基線內(nèi)仍存在的安全問題連帶的風(fēng)險(xiǎn)在用戶可容許、 或可控范圍內(nèi)。 SSE-CMM 將一個(gè)安全事件分為了三個(gè)組成部分：威脅、脆弱性和影響，并且提供了 影響、風(fēng)險(xiǎn)、威脅和脆弱性的具體評(píng)估方法和過程，進(jìn)一步為安全風(fēng)險(xiǎn)評(píng)估的實(shí)施提供了 指導(dǎo)。 作為更主要的作用，我們應(yīng)用 SSE-CMM 模型把整個(gè)安全風(fēng)險(xiǎn)評(píng)估工程劃分為如下幾 個(gè)階段：安全需求分析階段、安全系統(tǒng)規(guī)劃階段、安全系統(tǒng)實(shí)施階段、安全系統(tǒng)確認(rèn)階段 和安全需求驗(yàn)證階段。在安全工程的整個(gè)生命周期過程中，我們都將嚴(yán)格按照 SSE-CMM 的要求進(jìn)行

20、實(shí)施，以保證整個(gè)項(xiàng)目工程的質(zhì)量。 3.1.3. ISO/IEC 15408(GB/T18336) 信息技術(shù)安全性評(píng)估通用準(zhǔn)則 ISO15408 已被頒布為國家標(biāo)準(zhǔn) GB/T18336，簡(jiǎn)稱通用 準(zhǔn)則（CC） ，它是評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準(zhǔn)則。該標(biāo)準(zhǔn)針對(duì)在安全性評(píng)估 過程中信息技術(shù)產(chǎn)品和系統(tǒng)的安全功能及相應(yīng)的保證措施提出一組通用要求，使各種相對(duì) 獨(dú)立的安全性評(píng)估結(jié)果具有可比性。 ISO15408 同樣對(duì)本次項(xiàng)目的安全風(fēng)險(xiǎn)評(píng)估模型及關(guān)鍵風(fēng)險(xiǎn)因素有著指導(dǎo)意義，但更重 要的是它能比較好的指導(dǎo)我們對(duì)系統(tǒng)安全功能的各方面進(jìn)行安全檢查和分析，保證了安全 風(fēng)險(xiǎn)評(píng)估的全面性和完整性，也使得信息系統(tǒng)在

21、技術(shù)上能夠符合國家的安全測(cè)評(píng)認(rèn)證的要 求。最后，我們可以根據(jù)這個(gè)標(biāo)準(zhǔn)生成針對(duì)信息系統(tǒng)安全的規(guī)范化的安全評(píng)估方案，或者 更確切叫信息系統(tǒng)安全規(guī)范。 3.1.4. ISO/IEC 13335 ISO13335 是信息安全管理方面的規(guī)范，這個(gè)標(biāo)準(zhǔn)的主要目的就是要給出如何有效地實(shí) 施 IT 安全管理的建議和指南。 ISO13335 首先為風(fēng)險(xiǎn)評(píng)估提供了方法上的支持，并且它所定義的安全概念更加全面化 了安全風(fēng)險(xiǎn)評(píng)估考慮的問題，使得最終生成的安全評(píng)估方案不但在技術(shù)方面完整而且從管 理的角度看也很全面。 3.1.5. 其他相關(guān)標(biāo)準(zhǔn)其他相關(guān)標(biāo)準(zhǔn) 這些標(biāo)準(zhǔn)包括國際和國內(nèi)的一些涉及具體安全技術(shù)方面的標(biāo)準(zhǔn)，如 GB

22、9361-88 計(jì)算機(jī) 場(chǎng)地安全要求、GB2887-89 計(jì)算機(jī)站場(chǎng)地技術(shù)條件等，以便為安全評(píng)估的具體技術(shù)細(xì)節(jié)作 指導(dǎo)。 3.2.組織安全策略組織安全策略 3.2.1. 相關(guān)法規(guī)和政策相關(guān)法規(guī)和政策 信息系統(tǒng)的建設(shè)是國家信息化的一個(gè)組成部分，在促進(jìn)國民經(jīng)濟(jì)發(fā)展和社會(huì)穩(wěn)定方面 具有越來越重要的作用。隨著計(jì)算機(jī)應(yīng)用的進(jìn)一步普及和發(fā)展，計(jì)算機(jī)信息系統(tǒng)安全問題 日益社會(huì)化、嚴(yán)重化，國家有必要運(yùn)用行政法律手段來進(jìn)行有效的管理，維護(hù)社會(huì)的穩(wěn)定 和發(fā)展。這些相關(guān)的政策法規(guī)包括了可能約束信息系統(tǒng)在進(jìn)行安全體系建立和使用信息的 安全方面的國家法律法規(guī)和政策。這些政策法規(guī)主要有： 中華人民共和國保守國家秘密法 （

23、1988 年 9 月 5 日中華人民共和國主席令 第 6 號(hào)公布） 中華人民共和國保守國家秘密法實(shí)施辦法 （國家保密局文件 國保發(fā) 1990 1 號(hào)） 中華人民共和國國家安全法 （主席令 68 號(hào)，1993 年 2 月 22 日第七屆全國人民代 表大會(huì)常務(wù)委員會(huì)第三十次會(huì)議通過） 中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 （國務(wù)院令 147 號(hào)） 計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定 （國家保密局文件 國保發(fā)1998 1 號(hào)） 計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定 （國家保密局文件 國保發(fā)1999 1 號(hào)） 中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定 （國務(wù)院令 195 號(hào)） 中華人民共和國計(jì)算

24、機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法 （1997 年 12 月 8 日國務(wù)院信息化工作領(lǐng)導(dǎo)小組審定） 計(jì)算機(jī)病毒防治管理辦法 （2000 年 4 月 26 日中華人民共和國公安部 第 51 號(hào)令） 計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法 （1997 年 12 月 11 日國務(wù)院批準(zhǔn)， 1997 年 12 月 30 日公安部發(fā)布） 計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則 （1997 年 4 月公安部發(fā)布） 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 （1999 年 9 月國家技術(shù)監(jiān)督局發(fā)布） 互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定 （信息產(chǎn)業(yè)部 2000 年 10 月 8 日第 4 次部務(wù)會(huì)議通過） 互聯(lián)網(wǎng)站從事登載

25、新聞業(yè)務(wù)管理暫行規(guī)定 （國務(wù)院新聞辦公室和信息產(chǎn)業(yè)部 11 月 7 日聯(lián)合發(fā)布） 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則 （GB/T17859-1999） 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求 （GA/T387-2002） 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求 （GA/T388-2002） 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求 （GA/T389-2002） 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求 （GA/T390-2002） 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求 （GA/T391-2002） 計(jì)算機(jī)機(jī)房場(chǎng)地安全要求 （GB9361-88） 上述國家政策法規(guī)對(duì)信息系統(tǒng)安全等級(jí)標(biāo)準(zhǔn)、機(jī)房場(chǎng)地與設(shè)施、通信和信息保密信息、 安全產(chǎn)品和安全系統(tǒng)開發(fā)商、電子商務(wù)安全以及有關(guān)技術(shù)標(biāo)準(zhǔn)等方面提出了具體要求。 3.2.2. 行業(yè)管理規(guī)范行業(yè)管理規(guī)范 行業(yè)管理規(guī)范是指各行業(yè)的主管機(jī)構(gòu)對(duì)整個(gè)行業(yè)信息系統(tǒng)安全所作的針對(duì)行業(yè)特點(diǎn)的 具體規(guī)范和要求，這些行業(yè)包括證券、銀行、電信、政府部門等眾多的機(jī)構(gòu)和組織。這些 要求成為安全風(fēng)險(xiǎn)評(píng)估的基本安全需求和尺度，因此在評(píng)估中應(yīng)當(dāng)嚴(yán)格遵循這些要求。 四四. 資產(chǎn)調(diào)查與賦值資產(chǎn)調(diào)查與賦值 4.1.需求調(diào)查