信息系統(tǒng)風險評估作業(yè)指導書

1、中科園智能網絡系統(tǒng)有限責任公司中科園智能網絡系統(tǒng)有限責任公司信息系統(tǒng)風險評估作業(yè)指導書信息系統(tǒng)風險評估作業(yè)指導書1、作業(yè)目的信息系統(tǒng)風險評估作業(yè)是我公司的主要服務內容之一，其目的是通過發(fā)現客戶系統(tǒng)中的安全風險和威脅， 對客戶系統(tǒng)進行真實、可靠的安全評估，為客戶信息系統(tǒng)的安全整改提供依據和建議， 從而幫助客戶切實改進自身信息系統(tǒng)， 使客戶系統(tǒng)順利達到相關安全接入標準。2、作業(yè)范圍信息系統(tǒng)風險評估作業(yè)的范圍主要包括：2.1 信息系統(tǒng)用戶訪問針對信息系統(tǒng)的風險評估作業(yè)的主要依據和方法是對信息系統(tǒng)的用戶訪問， 通過訪問發(fā)現系統(tǒng)資產的重要性、 操作方法、 業(yè)務流程、依賴程度、受攻擊情況、安全管理制度、人

2、員管理制度、管理機構設置以及管理狀況等等。2.2 信息系統(tǒng)現場勘察針對信息系統(tǒng)的現場勘察作業(yè)，可以發(fā)現系統(tǒng)的物理安全環(huán)境、實際拓撲結構以及實際的管理狀況， 并可通過現場勘察驗證資產信息和配置狀況。對于內網系統(tǒng)，現場勘察過程中也可進行必要測試和驗證作業(yè)。2.3 信息系統(tǒng)遠程測試針對信息系統(tǒng)的遠程測試主要目的是通過遠程方式， 在時間相對寬裕的條件下通過善意掃描和滲透， 測試客戶信息系統(tǒng)的安全狀況和安全程度，并提出適當報告和相關建議。 但遠程測試并非每個評估作業(yè)項目都必需的作業(yè)方式，除非經過用戶許可或現實條件允許， 否則不應采用遠程測試方式進行評估作業(yè)。2.4 信息系統(tǒng)威脅分析通過人員訪問、現場勘察

3、、遠程測試等途徑，從客戶資產識別、脆弱性識別以及威脅性識別三個方面出發(fā)，基于信息系統(tǒng)的可用性、完整性、安全性三原則出發(fā)，根據資料對比、客戶溝通結果進行分析和驗證。2.5 信息系統(tǒng)評估報告針對客戶信息系統(tǒng)威脅分析結果生成評估報告并附加安全整改建議。2.6 信息系統(tǒng)安全演練信息系統(tǒng)安全演練的主要目的是基于作業(yè)員工的評估素質出發(fā)，進行日常訓練。內容包括評估方法訓練、測試技術訓練、資料分析訓練等等。3、職責劃分3.1 評估管理小組因為信息系統(tǒng)的風險評估工作本身帶有一定的風險， 因此加強作業(yè)管理、重視客戶溝通就必然成為評估作業(yè)首要的保障手段。 評估管理小組的主要職責正是通過對作業(yè)人員、作業(yè)行為、作業(yè)工具

4、、作業(yè)結果、歷史檔案以及客戶資料的管理， 保證整個評估項目的順利進行和成功交付。3.2 評估作業(yè)小組評估作業(yè)小組的主要職責包括:針對資產的依賴性識別、重要性識別等； 針對系統(tǒng)脆弱性的用戶訪問、 歷史資料分析、 拓撲結構分析、穩(wěn)定性分析等；針對系統(tǒng)威脅的歷史資料分析和用戶訪問。 以及通過分析歷史資料、安全環(huán)境、用戶習慣、測試結果、標準規(guī)范等形成風險評估報告和整改建議。3.3 技術測試小組技術測試小組的主要職責包括： 在獲得客戶許可的前提下對客戶信息系統(tǒng)進行現場技術測試和模擬攻擊， 在遠程通過善意掃描和滲透測試模仿非法行為等方式更好的確定系統(tǒng)存在的漏洞和風險， 為評估作業(yè)分析提供詳實、可靠的技術依

5、據。3.4 風險控制小組風險控制小組的主要職責包括： 根據系統(tǒng)的重要程度和用戶對系統(tǒng)的業(yè)務依賴程度，確定整個系統(tǒng)的測試方法，并對測試方法進行認真審核和控制以防止對用戶系統(tǒng)產生破壞作用影響客戶正常的業(yè)務使用。并在測試之前形成風險控制計劃和應急響應計劃及相應措施。4、作業(yè)流程4.1 管理作業(yè)流程首先：同客戶進行接觸，了解客戶自身信息以及客戶對于信息安全風險評估的和目的，形成客戶檔案 。其次：明確風險評估的范圍，并向客戶說明風險評估的過程和可能產生的意外情況。形成風險評估范圍說明書及客戶意見表 。并根據所了解情況撰寫客戶評估方案書 。再次：與客戶簽訂風險評估服務合同和信息系統(tǒng)資料保密協議。 爭取獲得

6、客戶對于信息系統(tǒng)進行現場測試和遠程測試的授權書。再次：審查、保管由測試組、評估組、風控組提交的測試方案、評估方案 、 風控方案 。若發(fā)現所接收方案存在問題，應及時填寫方案審查結果并通知方案提供者，進行修正或變更。再次：在接到測試組、評估組、風控組遞交的溝通請求報告后和客戶進行及時溝通，解決隨機發(fā)生的各種矛盾，形成客戶溝通記錄表 。再次：審查、保管由測試組、評估組、風控組提交的測試報告、評估報告 、 整改建議 、 評估過程監(jiān)督報告 。若發(fā)現所接收方案存在問題，應及時填寫報告審查結果并通知方案提供者，進行修正或變更。最后：向用戶出具評估報告和整改建議 ，并進行解釋、說明。4.2 測試作業(yè)流程首先：

7、根據管理組撰寫的范圍說明 、 客戶意見表 、 評估方案以及測試授權書制定測試方案 。其次：進行現場或遠程測試。生成測試報告 。在需要與客戶配合時，向管理組遞交溝通請求報告 。再次：根據分析測試報告 ，生成包含有可接受風險、不可接受風險統(tǒng)計信息的風險說明書以及包含不可接受風險防范措施的整改建議 。最后：將測試報告 、 風險說明書 、 整改建議交付評估作業(yè)組，并進行必要的解釋和說明。4.3 評估作業(yè)流程首先：根據管理組提供的客戶檔案 、 范圍說明 、 客戶意見表 、評估方案書制定信息系統(tǒng)安全評估方案 。其次： 準備 客戶訪談記錄表 ， 該表應包括 客戶資產訪談記錄表 、目標系統(tǒng)調查表 、 客戶系統(tǒng)

8、安全配置記錄表 、 客戶系統(tǒng)管理措施記錄表 、 歷史威脅訪談記錄表 、 客戶所在行業(yè)所面臨安全風險歷史記錄表 、 信息系統(tǒng)安全風險形式分析表 以及國家有關于信息系統(tǒng)安全評估的法律、法規(guī)、政策、標準。再次：進入評估現場。訪談客戶，填寫客戶訪談記錄表 。再次：根據客戶訪談記錄和測試組遞交的測試報告、 風險說明書和歷史資料庫，對客戶系統(tǒng)所存在的安全風險進行分析對比，生成客戶信息系統(tǒng)安全風險評估報告 。通過整理分析測試組遞交的整改建議和客戶信息系統(tǒng)安全風險評估報告生成客戶信息系統(tǒng)安全風險整改建議書 ，并提交管理組交付客戶。4.4 風控作業(yè)流程首先：接受管理組提交的評估范圍說明書 、 客戶意見 、 評估

9、方案書和評估組提交的目標系統(tǒng)調查表 、 客戶所在行業(yè)所面臨安全風險歷史記錄表 ，通過分析產生潛在評估風險記錄表 。其次：根據潛在評估風險記錄表 ，進行現場勘察和客戶訪談，產生風險控制現場調查記錄 ，通過分析產生潛在評估風險控制方案 。再次：將潛在評估風險控制方案提交管理組和評估組、測試組進行方案修訂。再次：審查評估組和測試組的相關方案，控制其中的潛在風險。當需與客戶溝通時，填寫溝通請求報告 ，交由管理組同客戶溝通協調。最后：對測試組的測試過程進行監(jiān)督，生成評估過程監(jiān)督報告 ，并提交管理組審查。5、成果約束5.1 過程文檔管理組： 評估方案書 、 方案審查結果 、 報告審查結果測試組： 溝通請求報告評估組： 溝通請求報告 、 客戶訪談記錄表風控組： 溝通請求報告5.2 分析文檔管理組： 客戶意見表測試組： 風險說明書評估組： 目標系統(tǒng)調查表 、 客戶系統(tǒng)安全配置記錄表 、 客戶系統(tǒng)管理措施記錄表 、 歷史威脅訪談記錄表 、 客戶所在行業(yè)所面臨安全風險歷史記錄表 、 信息系統(tǒng)安全風險形式分析表 以及國家有關于信息系統(tǒng)安全評估的法律、法規(guī)、政策、標準。風控組： 潛在評估風