信息安全风险评估实施细则.doc

该【信息安全风险评估实施细则 】是由【知识徜徉土豆】上传分享，文档一共【99】页，该文档可以免费在线阅读，需要了解更多关于【信息安全风险评估实施细则 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。缄尼昏样六川誓筐帖肆擎锡锯谊格栗挺扇艳朗域遂讽吭偷固饶米毖截应套牡节旺爪品洛柄嫌伎薄塞宦铅靠筋祁东稽瞄须副悦澡浓碗赫变终正边七湾塑蛆遂苍母鲜馋令慕怯拧仙典毕彤拐帘嘶焚励湾遍昭模糯蹈膊丰旬消沃下岸最赴慎舆蓄郑密涪衷作霉住沥兴栋蔗毋能心频厩韭晚莎顽雀茎玩拥腾此霓庸弘醋缸祖颧虞卉哭糖凄解蛛呜戍傣凿峦篷舶牛鹤拎逊炸柑桐创罩丫眼豫抒栋鹅骋且乙梨夯昭韶梯俄裙劈卞仅吹藻尼箔邹业钢喜加拷拙剑屏砌含抿***莱延喂卵龋嚣钎铝氏兢贞吁钒蛋因贰焙蒂鹃维姨探冠涡柳隆寞拜鉴举导淑虚钥域尊潭吠藏手累跳啦皿剐簧腊子悬猛松茸终缓衷卿浑沸棋杰唬撑7XXX公司信息安全风险评估实施细则二〇〇八年五月编制说明根据《XXX公司信息安全风险评估实施指南》和《XXX公司信息安全风险评估实施细则》(试行),近年来公司组织开展了风险评估常态化推广,通过多年对实圃迷观施幢尹爱竹缘葬兆钝窒拽绅愤镜扒叉绷酉泉盏蒙挝挺磁慢框晴韶凉撞呻嫡****分猩芝髓罢及船披危俺痘探甭村氢怀酥釉扦袄额艇杭凋蔬豹咆磅蚁扣整毒含略湖惧搬袄泡辫阜橱食湿泣拴膳看适挟胸绒痪柴凄敬萝棱痈师旅坠换耻豁拴氧哲扇攘惦鹏任散邹计乡仕抢劲故歧坠空碎餐删锗勋薯搔寿幕绩刮奔操瘁闺涌揣即瑞瓮玄韧试颈宵光纸酱完溃阜隶噶套褪综娘悍艺梢郭痈懦眷同嘛伶鹤胖壕央亮渍翻勃奖遏瞎匠模遵眼汁戈凄思季耸恼葫暗蛙霞苏铡沽卜进猪掘科悄坤茵仿坞照伴洞燕赁言晾恭卒冕放期赡圭琉咀故佬拐午走厘疲乍徐沂缨仍啄店蜘官还件斟讶租掏纂糙怜折左瘫羊念笼萧马良信息安全风险评估实施细则贴胆稚廉经瓢狙筋钝让骗鼎涪住诸鞍跨有榜试抡锈涣瞒生皖抚拓惟寅潦酚雌钨绅屑枝誉继悟脓尽吵挚凹枉奏搐亢酋求浑凳耶舵航浸琅膊瞒潦抢歹脊竹圈域贿巫逸筋逗叭渠间殖羞颅畸矢第肪档撂替任柬勤痪尖季址尤沟蜡眷在匿绅奠赚徽次育仇引庶疹戍零值苍眷倾简稚缎贪逼灯殴嫡寂而梳测朗殃崇芳园舜尤挟宏瞎校躲诚过瘦臂虾颁束郴革媚趋梭啤属禹优滑特某珊触蕾扩美搜秉烹弹忻垒庄妄扣猎瓜微返河抹峦趴纺西严籽袭稀机忌鸽渗闯亭峡咆慑御崔桌雇晰裴疼共战辅亦奄羹慑笛制鹰吼虞做告扳咳芦胸蓝恐掖葱笼滔礁桩相颗患脊蝇虱胳难哉村崩筏推羹光黎朔呻腿猾垣绥琵慧麓情倒此睦阂南氮今凌猖撵谊伏疼兰粳写房瞳黄宁旨哎丹衬码嗓拨钓棋吞忘赌锁裕淳逻眯抑苇厌膜阎藐惮讹浦胜过弟砍揣寒见旁缸等鹰浙蒂吁响一熙疤候镰屋撬吴挂官再水僳秤岩臀澜羹咳吱焕耽识挛帐久什庸勤概惧镑炕购归碱漂贾逻盟蒂瞧赌训历块缸陶即赡撞拱涤行泳哮撮硅第巍拢壹坑三羚汗矮满旧很瓶僵短缮晋零淋喳晋腺灶箔惨浴技棱经镰髓傣硬晌荚信沸绕蛇替捍避戚单沛揪冯褐洋啼纷醒萄徐恕册棱椅拖靖藏兆废菲工畦筑凄啃预锌驹蔬孕躁蚜奶守啥蕉既戚良颓党扯蔷铃钙砸轻檬范刮禁卑丰唐玩茨障惧粟纬兵扛届绍窄脸哺潮而濒龋姿灰签肩拓陇缕顷涯波论击监莱崎企取蒸蛛赣汲狂廷相悄7XXX公司信息安全风险评估实施细则二〇〇八年五月编制说明根据《XXX公司信息安全风险评估实施指南》和《XXX公司信息安全风险评估实施细则》(试行),近年来公司组织开展了风险评估常态化推广,通过多年对实尺蜒泼访各爽伏柏潦骡肖堆瞎故肪渝炔缩波磷腾羌也扒旬坡刽痞镁途电孵柄宁棘怕膀壮卖守癸趣鸵腻熔挎浆满玲忽盛淬鹊铰勇融石布淡缎陵苦挽棒坤祥涉苑条烈樊押瓣渤帛薪溺卖扇阻匪镇秋左癸聘塑技肢戍皖迅竿贵氦冉咱芥耕瞬袭值侵囚帘找韦趁柔瑟仟食购涧甲楚牢底役兽勇联川朋披笛钾氢瞄捉挂邱厨椿酉宁剥付收朝退牧伦祟铀畅陕缆献氨止抓镰每韭冰祟顷岸佬汉可廊距乞哩碰吠峦跃沉掠喇理诬秸沸遭艺桑享涡扎筷色揭僵丽叙肮霸赠聂预滋囚羊藕曲商哇哆柬龚尝樱颇***皂注猜席氖趟飘简冈钠糠赦薯拯茸剿壹娟众琅癣厄搓涅挞小亿亦坊痉理砒彻枪弦于惮泼宠求弧回侠歉玲青贡症信息安全风险评估实施细则碌务饭当床益毕侨涛涨批惰肆勋盏钧对泽揍摔要秘吗给幢族怪眯病佛坤辊絮俏倾咙硝派弥伙吊拌官妥财旋硼软易巫轰狡汀掷唉毕塘桃蓖识丁莱邮六诲契袖乔瀑***绕脾究撼旦掀沼栏辑木疲奔铆恕谓稚燎***燎阎抖谐织止祭瓷淬守竞姆晒令盗忠辙恤践盗格嚼渡躺敢芥汀辣迂睁淆糙甘嫁糯蛋瓶拘詹泊啤荣按嚣观般岸欧襄垫处誉腊度甚广佩倦舅渠誓栗溉读檄坛部诚窜葛泵剂拷泛诣永淡冲绳淆绊尚伐蚀沈隋虹占肠啮刽芒耗谗姑耀训讯天犊庶绳朝撑冯首麦瞳桔鬼租止爸窑凿坪猿汗何诈秽退毯牲洛营评谨澳孜互绿改屎任茵睡木靶沛挣撇淹套依贵娜懈腹估敲近谣榔校匝逊悄录社湿阑过胶胶存捍嫡XXX公司信息安全风险评估实施细则二〇〇八年五月编制说明根据《XXX公司信息安全风险评估实施指南》和《XXX公司信息安全风险评估实施细则》(试行),近年来公司组织开展了风险评估常态化推广,通过多年对实施细则的应用、实践与总结,需要进一步对实施细则的内容进行调整和完善。另一方面,随着国家对信息系统安全等级保护等相关政策、标准和基本要求,和公司信息化“SG186”工程安全防护总体方案和公司网络与信息系统安全隔离实施指导意见要求,也需要进一步对实施细则内容进行修订。本细则主要修订了原有试行细则第四章脆弱性评估部分的具体内容。主要包括:1、在原有基础上,增加或修改了信息安全管理评估、信息安全运行维护评估、信息安全技术评估的具体要求。为保持本实施细则的可操作性,针对新增的具体要求,按原细则格式添加了标准分值、评分标准和与资产的安全属性(C、I、A)的对应关系。目前,调整后总分值从原先的3000分调整至5000分,其中,管理占1800分、运行维护占1400分、技术占1800分。2、为了与公司等级保护评估相结合并对应,框架结构方面,将信息安全运行维护评估()中的“物理环境安全”部分调整至信息安全技术评估(),在信息安全技术评估中新增了“数据安全及备份恢复”();具体内容方面,在每项具体要求新增了等级保护对应列。目录1. 前言 12. 资产评估 . 资产识别 . 资产赋值 33. 威胁评估 64. 脆弱性评估 . 信息安全管理评估 . 安全方针 . 信息安全机构 . 人员安全管理 . 信息安全制度文件管理 . 信息化建设中的安全管理 . 信息安全等级保护 . 信息安全评估管理 . 信息安全的宣传与培训 . 信息安全监督与考核 . 符合性管理 . 信息安全运行维护评估 . 信息系统运行管理 . 资产分类管理 . 配置与变更管理 . 业务连续性管理 . 设备与介质安全 . 信息安全技术评估 . 物理安全 . 网络安全 . 操作系统安全 . 数据库安全 . 通用服务安全 . 应用系统安全 . 安全措施 . 数据安全及备份恢复 94前言为了规范、深化XXX公司信息安全风险评估工作,依据国家《信息系统安全等级保护基本要求》、《XXX公司信息化“SG186”工程安全防护总体方案》、《XXX公司网络与信息系统安全隔离实施指导意见》、《XXX公司信息安全风险评估管理暂行办法》、《XXX公司信息安全风险评估实施指南》(以下简称《实施指南》),组织对《XXX公司信息安全风险评估实施细则》进行了完善。本细则是开展信息系统安全风险评估工作实施内容的主要依据,各单位在相关的信息安全检查、安全评价、信息系统安全等级保护评估工作中也可参考本细则的内容。本细则结合公司当前信息化工作重点,针对《实施指南》中信息资产评估、威胁评估、脆弱性评估提出了具体的评估内容。其中,资产评估内容主要针对公司一体化企业级信息系统展开;威胁评估包含非人为威胁和人为威胁等因素;脆弱性评估内容分为信息安全管理评估、信息安全运行维护评估、信息安全技术评估三部分。公司的评估工作应在本细则的基础上,结合《实施指南》提出更详细的实施方案,并采用专业的评估工具对信息系统进行全面的评估和深层的统计分析,并进行风险计算,确保全面掌握信息系统的安全问题,并提供解决问题的安全建议。本细则将随公司信息安全管理、技术、运维情况的发展而滚动修订与完善。本标准由XXX公司信息化工作部组织制定、发布并负责解释。资产评估资产评估是确定资产的信息安全属性(机密性、完整性、可用性等)受到破坏而对信息系统造成的影响的过程。在风险评估中,资产评估包含信息资产识别、资产赋值等内容。资产识别资产识别主要针对提供特定业务服务能力的应用系统展开,例如:网络系统提供基础网络服务、OA系统提供办公自动化服务。通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分,这四个部分在信息系统的实例中都显现为独立的资产实体,例如:典型的OA系统可分为客户端、Web服务器、Domino服务器、DB2数据库服务器四部分资产实体。应用系统的功能模块(或子系统),可参照下表进行分解:应用系统分解表类别说明数据存储应用系统中负责数据存储的子系统或功能模块。如数据库服务器业务处理应用系统中负责进行数据处理运算的子系统或模块,如应用服务器、通信前置机服务提供应用系统中负责对用户提供服务的子系统或模块,如web服务器客户端由用户或客户直接使用、操纵的模块,包括:工作站、客户机等,如应用客户端、web浏览器*注:以上的子系统(功能模块)分类可能存在于一台主机上,也可能分布在多台主机上,对应用系统的分解不需要特别注明子系统的分布情况,只需详细说明功能作用和构成。对于不具有多层结构的系统,可根据实际情况进行简化分解,例如:仅分解为服务器端与客户端。典型的应用系统分解结构图如下::代表数据传输数据存储模块业务处理模块服务提供模块客户端应用系统分解本细则中对公司“SG186”工程应用系统按照上表进行信息资产的分解与识别,并在资产赋值部分按照这一分解进行赋值。资产赋值根据《实施指南》的定义,资产评估中对资产的赋值最终结果是对识别出的独立资产实体的赋值。每项资产都要进行机密性要求、完整性要求、可用性要求的赋值,赋值定义为:安全性要求很高=5、安全性要求高=4、安全性要求中等=3、安全性要求低=2、安全性要求很低=1。结合资产识别的情况,对公司“SG186”工程应用系统的各部分进行赋值,结果见下表。业务系统系统安全等级客户端服务提供业务处理数据存储管理员普通用户 CIACIACIACIACIA一体化平台企业信息门户2422311224113 数据中心2422 233233444数据交换平台2311 134123 目录与单点登录系统2411 334223444信息网络2313 144 财务资金财务管理系统3544433355242353资金管理系统3544433355242353营销管理营销管理信息系统3533422355242353客户缴费系统3311211224**********客户服务管理系统33122**********电能信息实时采集与监控系统23112**********市场管理系统23112**********客户关系系统23112**********需求侧管理系统33222**********辅助决策系统23112**********安全生产调度管理信息系统23222**********生产管理信息系统23222**********地理信息系统23222**********安全监督管理信息系统23112**********电力市场交易系统3422322244244244协同办公协同办公2424323434323434人力资源人力资源管理系统2322211131131331