税务系统网络与信息安全风险评估指南.doc

《税务系统网络与信息安全风险评估指南》编制说明税务系统网络与信息安全风险评估指南就是为了对全国税务系统的信息安全风险评估工作提供实施的指导,从而统一全国税务系统风险评估工作的实施办法和工作流程,产生相同格式的工作成果,确保各地税务系统网络与信息安全风险评估工作结果的可比性。税务系统网络与信息安全风险评估指南对税务系统网络与信息安全风险评估的过程、关键点以及工作成果等方面提出了具体的实施方法和产生的文档类别和内容。税务系统网络与信息安全风险评估的内容包括:资产分析,漏洞、脆弱性及弱点评估,威胁评估,影响与可能性分析和系统分析等方面。风险评估过程分为三个阶段:确定资产的威胁概况,确定基础设施风险和制定安全策略及计划。本风险评估指南规定了风险评估项目组织、跟进工作等。限定了风险评估的前提和分工。本风险评估指南共提供了六个附录,附录A为术语表,对本指南内的专业术语进行解释,附录B为调查问卷,对税务系统网络与信息安全风险评估的调查问卷种类和内容进行规定,附录C为交付文档范例,确定了税务系统网络与信息安全风险评估工作需完成的工作文档,附录D资产分类清单,对税务系统内的资产进行了分类,附录E资产脆弱性清单列举了各类资产可能存在的脆弱性,附录F为资产威胁清单,列举了资产所面临的威胁。税务系统网络与信息安全风险评估指南(试行稿)国家税务总局信息中心二〇〇四年十月目录1 前言 1 关于本文档 1 目标读者 1 文档结构 1 相关标准 2 参考文献 2 关于术语与缩略语的约定 32 风险评估概述 4 基本概念 4 意义与作用 5 过程概述 5 工具 5 调查问卷 5 远程***工具 6 人工审计检查列表 6 安全风险评估信息库 6 成功的关键因素 6 收益 6 面临的挑战 73 风险评估内容 8 资产分析 8 资产定义 8 资产类别 8 资产评估 9 资产评估的目的 9 资产的重要性 9 资产级别 10 评估实例 11 漏洞/脆弱性/弱点评估 11 弱点评估的目的 11 弱点评估的内容 11 弱点评估手段 12 威胁评估 13 威胁定义 13 威胁分类 14 威胁属性 14 威胁的获取方法 15 威胁评估手段 16 威胁评估实例 16 影响与可能性分析 16 系统分析 17 系统结构及边界 17 信息的敏感度评估 17 调查问卷的结构 18 调查系统控制 18 系统确认 18 目的和评估者信息 18 信息的决定性 19 利用问卷调查结果 19 调查问卷分析 19 行动计划 19 综合风险分析 19 风险分析矩阵 20 风险评估层面 21 风险评估实例 21 ISO17799十个域 21 可交付的文档 22 信息网络 22 文档一览 234 风险评估过程 24 评估过程 24 阶段1:提取基于资产的威胁概况 24 阶段2:确定基础设施漏洞 25 阶段3:制订安全策略和计划 25 各阶段的一般过程 25 调查与分析 25 数据/信息收集与处理 25 撰写评估报告 25 风险控制 26 风险控制的方式 26 风险控制措施举例: 26 风险评估项目 27 计划 27 监控与执行 275 风险评估人员组织 30 评估方人员组织 30 被评估方人员组织 316 风险评估的跟进工作 33 跟进的重要性 33 有效的,合格的建议 33 委托事项 33 安全评估人员 33 工作人员 33 管理层 34 监督与跟进 34 建立监督与跟进机制 34 标识推荐并制定跟进计划 34 执行主动监督与报告 347 风险评估的前提与分工 36 假设与限制 36 客户责任 36 服务资质 36 安全评估人员的职责 36附录A术语表 38附录B调查问卷 41调查问卷类别 41调查问卷内容 41问题的方式 42附录C交付文档范例 43《资产评估部分》目录 43《漏洞评估部分》目录 44《威胁评估部分》目录 45《风险评估部分》目录 46《安全策略建议部分》目录 47《安全解决方案部分》目录 49附录D资产分类清单 51附录E资产脆弱性清单 53附录F资产威胁清单 55前言关于本文档信息安全风险评估是信息安全管理的主要内容之一。本文档不覆盖信息安全管理的全部方面。它介绍了一个关于信息安全风险评估的一般过程。在了解这个过程后,管理人员、信息中心主管、系统管理员以及其他技术与运行人员能更好地理解安全风险评估。他们应该能够知道需要准备什么、在哪些方面应该加以注意、会得到什么样的结果。本文档的目标并不是集中在如何进行风险评估,它更侧重于提供一个参考过程来帮助核对由独立的安全评估单位所提供服务的覆盖面、方法论、交付的文档。目标读者本指南为那些在其信息系统中支持或实施风险评估的人员提供关于风险评估基础,无论他们是否有经验,是不是技术人员。这些人包括:高级管理人员,业务的拥有者,信息安全预算的决策者