信息安全风险评估计划

《信息安全风险评估计划》由会员分享，可在线阅读，更多相关《信息安全风险评估计划（12页珍藏版）》请在装配图网上搜索。

1、信息安全风险评估计划（共11页）-本页仅作为预览文档封面，使用时请删除本页-信息安全风险评估计划目录1.工作目标 错误!未定义书签。2.工作依据 错误!未定义书签3.风险评估范围 错误!未定义书签4.工作任务 错误!未定义书签5.实施人员 错误!未定义书签6.工作进度安排 错误!未定义书签.自评估工作启动 错误 !未定义书签.资产识别 错误 !未定义书签.脆弱性识别 错误 !未定义书签.威胁识别 错误 !未定义书签.风险分析和处理计划 错误 !未定义书签.评估总结 错误 !未定义书签.管理体系建设 错误 !未定义书签7.日程安排 错误!未定义书签。1. 工作目标根据华润集团信息安全标准文件要求

2、，组织本单位开展 信息安全风险自评估工作，并掌握信息安全风险评估方法，摸清 自身安全风险状况，增强信息安全意识，加强信息安全建设，提 高信息安全防范水平。2. 工作依据1）国家信息化领导小组关于加强信息安全保障工作的意 见（中办发200327 号）2）国家网络与信息安全协调小组关于开展信息安全风险评 估工作的意见（国 信办20065 号）3）深圳市关于开展信息安全风险评估工作的实施意见（深科 信2006268 号）4）信息安全技术信息安全风险评估规范（GB/T20984-2007）5）电子计算机场地通用规范（GB/T2887-2000）6）计算机场地安全要求（GB/T 9361-2011）7）

3、信息技术安全技术信息技术安全性评估准则（GB/T18336-2008）8）信息技术安全管理指南（GB/T）9）信息技术信息安全管理实用规则（GB/T 19716-2005）10) 信息安全技术操作系统安全评估准则(GB/T 20008-2005)11) 国家信息化领导小组关于加强信息安全保障工作的意 见(中办发200327号)12) 信息安全技术数据库管理系统安全评估准则(GB/T 20009-2005)13) 信息安全技术包过滤防火墙评估准则(GB/T 20010-2005)14) 信息安全技术路由器安全评估准则(GB/T 20011-2005)15) 信息安全技术信息系统安全管理要求(GB

4、/T 20269-2006)16) 信息安全技术网络基础安全技术要求(GB/T 20270-2006)17) 信息安全技术信息系统通用安全技术要求(GB/T 20271-2006)18) 信息安全技术操作系统安全技术要求(GB/T 20272-2006)19) 信息安全技术数据库管理系统安全技术要求(GB/T 20273-2006)20) 信息安全技术网络和终端设备隔离部件测试评价方法 (GB/T 20277-2006)21) 信息安全技术网络和终端设备隔离部件安全技术要求 (GB/T 20279-2006)22) 信息安全技术防火墙技术要求和测试评价方法(GB/T 20281-2006)23

5、) 信息安全技术信息系统安全工程管理要求(GB/T 20282-2006)24) 信息安全技术路由器安全技术要求(GB/T 18018-2007)25) 信息安全技术信息系统安全审计产品技术要求和评价方 法 GB/T20945-2007)26) 信息技术安全技术信息安全事件管理指南(GB/Z 20985-2007)27) 信息安全技术信息安全事件分类分级指南(GB/Z 20986-2007)28) 信息安全技术服务器安全技术要求(GB/T 21028-2007)29) 信息安全技术网络交换机安全技术要求(GB/T 21050- 2007)30) 信息技术信息安全管理实施规范(IS0/IEC 2

6、7002:2005)31) 深圳市信息安全风险评估实施指南32) 各种检查机构运作的一般规则(IS0-IEC 17020-2004)3.风险评估范围本次评估范围为的核心网络、安全设备、服务器等基础设 施、门户网站等。4. 工作任务本次风险评估工作将进行资产识别、威胁识别、脆弱性识别 三个要素的识别，并进行风险分析，具体工作任务如下：1) 资产识别：保密性、完整性和可用性是评价资产的三 个安全属性，通过资产在这三个安全属性上的达成程度或者其安 全属性未达成时所造成的影响程度来判定资产的重要性。2) 威胁识别：通过分析信息系统存在的威胁，定义信息 安全威胁级别。威胁可以通过威胁主体、资源、动机、途

7、径等多 种属性进行描述。3) 脆弱性识别：脆弱性识别可以以资产为核心，针对每 一项需要保护的资产，识别可能被威胁利用的弱点，并对脆弱性 的严重程度进行评估。4) 风险分析：在完成资产识别、威胁识别、脆弱性识 别，以及已有安全措施确认后，采用适当的方法和工具确定威胁 利用脆弱性导致安全事件发生的可能性，并对风险评估的结果进 行等级化处理。5) 安全管理体系建设：根据对现有安全管理体系评估的 结果，按照国家相关标准、政策和法规，建立适用于国有资产监 督管理局的安全管理体系，包括制订一系列的安全管理制度、安 全策略、规程。5. 实施人员本次评估小组组织结构如下图所示：评估小组的职能如下：1) 领导小

8、组:负责授权信息安全风险评估项目负责人组建 信息安全风险评估团队、审批项目方案、计划和项目报告等。接 受风险评估项目负责人和各评估小组负责人在项目实施各阶段的 进展汇报，不定期对风险评估团队的实时工作成果进行检视，听 取各阶段成果，并指示风险评估的下一步工作开展。确保本年度 的风险评估工作切实按照市信息办等领导主管部门的要求，取得 预期效果，保证现有信息系统安全，为后续信息系统建设提供强 有力的技术支撑。2) 项目主管：负责组建信息安全风险评估项目团队各小 组(资产识别小组、威胁识小组、脆弱性识别小组、风险评估小 组、应急响应小组)。指定各小组组长和对小组成员资格进行审 核。负责方案计划的编制

9、、负责协调项目所涉及到的各部门人 员、负责项目的进度和质量控制，负责组织审核确认风险评估各 阶段的过程文档，并保证过程文档的实施者和审核确认人分开、 负责风险评估报告的编制以及向领导小组汇报项目实施情况。3) 资产识别小组成员：负责信息系统资产的识别工作， 并向项目主管提交资产识别表、重要资产清单和重要 资产赋值表。4) 脆弱性识别小组成员：负责对信息系统的重要资产进 行脆弱性识别工作，并向项目主管提交重要资产脆弱性识别 表。5) 威胁识别小组成员：负责对信息系统的重要资产进行 威胁识别工作，并向项目主管提交资产威胁识别表。6) 风险分析小组成员：在对现有安全措施有效性确认的 基础上对信息系统

10、的重要资产进行风险分析，形成最终的风险评 估报告，并向领导小组提交报告，获得认可。7) 应急响应小组成员：负责针对风险评估过程制定应急 工作预案，在出现意外情况时进行应急响应。组名成员领导小组项目主管资产识别小组脆弱性识别小组威胁识别小组风险分析小组应急响应小组6. 工作进度安排前完成自评估工作，并提交有关材料。细分为五部分工作：6.1. 自评估工作启动本阶段将召开自评估工作启动会议，明确重要网络与信息系 统边界，并制定风险评估工作计划及实施方案。提交文档：自评估工作启动会议纪要、工作计划和 实施方案上报领导进行审核批准。6.2. 资产识别本阶段将召开资产识别会议，并进行资产识别工作。按照 深

11、圳市信息安全风险评估实施指南对资产进行分类，并对资 产价值进行赋值。详细内容见实施方案。提交文档：资产识别会议纪要、信息资产识别表。6.3. 脆弱性识别本阶段主要通过以下几种方式识别脆弱性：1) 利用网络漏洞扫描器对主机、网络设备及安全设备进 行远程漏洞扫描；2) 通过人工的上机操作对系统进行本地安全策略检查；3) 利用应用层检测工具发现应用层的安全漏洞；4) 通过调查问卷及人员访谈方式识别网络结构、业务系 统及组织管理的脆弱性。6.4. 威胁识别本阶段将召开威胁和脆弱性识别会议，并分析信息系统存在 的威胁及脆弱性，定义威胁及脆弱性的级别。详细内容见实施方 案。提交文档：威胁和脆弱性识别会议纪

12、要、安全威胁评 估报告和脆弱性识别表。6.5. 风险分析和处理计划本阶段将召开风险分析和处理计划会议，并对现有控制措施 对安全风险的消减作用进行分析，制定处理计划。详细内容见实 施方案。提交文档：风险分析和处理计划会议纪要、信息安全 风险评估报告。6.6. 评估总结本阶段将召开总结会议，并在资产、威胁、脆弱性、已有措 施评估的基础上，对信息系统的总体安全风险进行综合评估，同 时对本次自评估工作进行总结。提交文档：总结会议纪要、信息安全风险自评估工作 总结。6.7. 管理体系建设本阶段根据对现有安全管理体系评估的结果，按照国家相关 标准、政策和法规，建立适用于的安全管理体系。提交文档：安全管理体系系列文档。