信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估作業(yè)指導(dǎo)書(shū)

1、中科園智能網(wǎng)絡(luò)系統(tǒng)有限責(zé)任公司中科園智能網(wǎng)絡(luò)系統(tǒng)有限責(zé)任公司信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估作業(yè)指導(dǎo)書(shū)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估作業(yè)指導(dǎo)書(shū)1、作業(yè)目的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估作業(yè)是我公司的主要服務(wù)內(nèi)容之一，其目的是通過(guò)發(fā)現(xiàn)客戶系統(tǒng)中的安全風(fēng)險(xiǎn)和威脅， 對(duì)客戶系統(tǒng)進(jìn)行真實(shí)、可靠的安全評(píng)估，為客戶信息系統(tǒng)的安全整改提供依據(jù)和建議， 從而幫助客戶切實(shí)改進(jìn)自身信息系統(tǒng)， 使客戶系統(tǒng)順利達(dá)到相關(guān)安全接入標(biāo)準(zhǔn)。2、作業(yè)范圍信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估作業(yè)的范圍主要包括：2.1 信息系統(tǒng)用戶訪問(wèn)針對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估作業(yè)的主要依據(jù)和方法是對(duì)信息系統(tǒng)的用戶訪問(wèn)， 通過(guò)訪問(wèn)發(fā)現(xiàn)系統(tǒng)資產(chǎn)的重要性、 操作方法、 業(yè)務(wù)流程、依賴(lài)程度、受攻擊情況、安全管理制度、人

2、員管理制度、管理機(jī)構(gòu)設(shè)置以及管理狀況等等。2.2 信息系統(tǒng)現(xiàn)場(chǎng)勘察針對(duì)信息系統(tǒng)的現(xiàn)場(chǎng)勘察作業(yè)，可以發(fā)現(xiàn)系統(tǒng)的物理安全環(huán)境、實(shí)際拓?fù)浣Y(jié)構(gòu)以及實(shí)際的管理狀況， 并可通過(guò)現(xiàn)場(chǎng)勘察驗(yàn)證資產(chǎn)信息和配置狀況。對(duì)于內(nèi)網(wǎng)系統(tǒng)，現(xiàn)場(chǎng)勘察過(guò)程中也可進(jìn)行必要測(cè)試和驗(yàn)證作業(yè)。2.3 信息系統(tǒng)遠(yuǎn)程測(cè)試針對(duì)信息系統(tǒng)的遠(yuǎn)程測(cè)試主要目的是通過(guò)遠(yuǎn)程方式， 在時(shí)間相對(duì)寬裕的條件下通過(guò)善意掃描和滲透， 測(cè)試客戶信息系統(tǒng)的安全狀況和安全程度，并提出適當(dāng)報(bào)告和相關(guān)建議。 但遠(yuǎn)程測(cè)試并非每個(gè)評(píng)估作業(yè)項(xiàng)目都必需的作業(yè)方式，除非經(jīng)過(guò)用戶許可或現(xiàn)實(shí)條件允許， 否則不應(yīng)采用遠(yuǎn)程測(cè)試方式進(jìn)行評(píng)估作業(yè)。2.4 信息系統(tǒng)威脅分析通過(guò)人員訪問(wèn)、現(xiàn)場(chǎng)勘察

3、、遠(yuǎn)程測(cè)試等途徑，從客戶資產(chǎn)識(shí)別、脆弱性識(shí)別以及威脅性識(shí)別三個(gè)方面出發(fā)，基于信息系統(tǒng)的可用性、完整性、安全性三原則出發(fā)，根據(jù)資料對(duì)比、客戶溝通結(jié)果進(jìn)行分析和驗(yàn)證。2.5 信息系統(tǒng)評(píng)估報(bào)告針對(duì)客戶信息系統(tǒng)威脅分析結(jié)果生成評(píng)估報(bào)告并附加安全整改建議。2.6 信息系統(tǒng)安全演練信息系統(tǒng)安全演練的主要目的是基于作業(yè)員工的評(píng)估素質(zhì)出發(fā)，進(jìn)行日常訓(xùn)練。內(nèi)容包括評(píng)估方法訓(xùn)練、測(cè)試技術(shù)訓(xùn)練、資料分析訓(xùn)練等等。3、職責(zé)劃分3.1 評(píng)估管理小組因?yàn)樾畔⑾到y(tǒng)的風(fēng)險(xiǎn)評(píng)估工作本身帶有一定的風(fēng)險(xiǎn)， 因此加強(qiáng)作業(yè)管理、重視客戶溝通就必然成為評(píng)估作業(yè)首要的保障手段。 評(píng)估管理小組的主要職責(zé)正是通過(guò)對(duì)作業(yè)人員、作業(yè)行為、作業(yè)工具

4、、作業(yè)結(jié)果、歷史檔案以及客戶資料的管理， 保證整個(gè)評(píng)估項(xiàng)目的順利進(jìn)行和成功交付。3.2 評(píng)估作業(yè)小組評(píng)估作業(yè)小組的主要職責(zé)包括:針對(duì)資產(chǎn)的依賴(lài)性識(shí)別、重要性識(shí)別等； 針對(duì)系統(tǒng)脆弱性的用戶訪問(wèn)、 歷史資料分析、 拓?fù)浣Y(jié)構(gòu)分析、穩(wěn)定性分析等；針對(duì)系統(tǒng)威脅的歷史資料分析和用戶訪問(wèn)。 以及通過(guò)分析歷史資料、安全環(huán)境、用戶習(xí)慣、測(cè)試結(jié)果、標(biāo)準(zhǔn)規(guī)范等形成風(fēng)險(xiǎn)評(píng)估報(bào)告和整改建議。3.3 技術(shù)測(cè)試小組技術(shù)測(cè)試小組的主要職責(zé)包括： 在獲得客戶許可的前提下對(duì)客戶信息系統(tǒng)進(jìn)行現(xiàn)場(chǎng)技術(shù)測(cè)試和模擬攻擊， 在遠(yuǎn)程通過(guò)善意掃描和滲透測(cè)試模仿非法行為等方式更好的確定系統(tǒng)存在的漏洞和風(fēng)險(xiǎn)， 為評(píng)估作業(yè)分析提供詳實(shí)、可靠的技術(shù)依

5、據(jù)。3.4 風(fēng)險(xiǎn)控制小組風(fēng)險(xiǎn)控制小組的主要職責(zé)包括： 根據(jù)系統(tǒng)的重要程度和用戶對(duì)系統(tǒng)的業(yè)務(wù)依賴(lài)程度，確定整個(gè)系統(tǒng)的測(cè)試方法，并對(duì)測(cè)試方法進(jìn)行認(rèn)真審核和控制以防止對(duì)用戶系統(tǒng)產(chǎn)生破壞作用影響客戶正常的業(yè)務(wù)使用。并在測(cè)試之前形成風(fēng)險(xiǎn)控制計(jì)劃和應(yīng)急響應(yīng)計(jì)劃及相應(yīng)措施。4、作業(yè)流程4.1 管理作業(yè)流程首先：同客戶進(jìn)行接觸，了解客戶自身信息以及客戶對(duì)于信息安全風(fēng)險(xiǎn)評(píng)估的和目的，形成客戶檔案 。其次：明確風(fēng)險(xiǎn)評(píng)估的范圍，并向客戶說(shuō)明風(fēng)險(xiǎn)評(píng)估的過(guò)程和可能產(chǎn)生的意外情況。形成風(fēng)險(xiǎn)評(píng)估范圍說(shuō)明書(shū)及客戶意見(jiàn)表 。并根據(jù)所了解情況撰寫(xiě)客戶評(píng)估方案書(shū) 。再次：與客戶簽訂風(fēng)險(xiǎn)評(píng)估服務(wù)合同和信息系統(tǒng)資料保密協(xié)議。 爭(zhēng)取獲得

6、客戶對(duì)于信息系統(tǒng)進(jìn)行現(xiàn)場(chǎng)測(cè)試和遠(yuǎn)程測(cè)試的授權(quán)書(shū)。再次：審查、保管由測(cè)試組、評(píng)估組、風(fēng)控組提交的測(cè)試方案、評(píng)估方案 、 風(fēng)控方案 。若發(fā)現(xiàn)所接收方案存在問(wèn)題，應(yīng)及時(shí)填寫(xiě)方案審查結(jié)果并通知方案提供者，進(jìn)行修正或變更。再次：在接到測(cè)試組、評(píng)估組、風(fēng)控組遞交的溝通請(qǐng)求報(bào)告后和客戶進(jìn)行及時(shí)溝通，解決隨機(jī)發(fā)生的各種矛盾，形成客戶溝通記錄表 。再次：審查、保管由測(cè)試組、評(píng)估組、風(fēng)控組提交的測(cè)試報(bào)告、評(píng)估報(bào)告 、 整改建議 、 評(píng)估過(guò)程監(jiān)督報(bào)告 。若發(fā)現(xiàn)所接收方案存在問(wèn)題，應(yīng)及時(shí)填寫(xiě)報(bào)告審查結(jié)果并通知方案提供者，進(jìn)行修正或變更。最后：向用戶出具評(píng)估報(bào)告和整改建議 ，并進(jìn)行解釋、說(shuō)明。4.2 測(cè)試作業(yè)流程首先：

7、根據(jù)管理組撰寫(xiě)的范圍說(shuō)明 、 客戶意見(jiàn)表 、 評(píng)估方案以及測(cè)試授權(quán)書(shū)制定測(cè)試方案 。其次：進(jìn)行現(xiàn)場(chǎng)或遠(yuǎn)程測(cè)試。生成測(cè)試報(bào)告 。在需要與客戶配合時(shí)，向管理組遞交溝通請(qǐng)求報(bào)告 。再次：根據(jù)分析測(cè)試報(bào)告 ，生成包含有可接受風(fēng)險(xiǎn)、不可接受風(fēng)險(xiǎn)統(tǒng)計(jì)信息的風(fēng)險(xiǎn)說(shuō)明書(shū)以及包含不可接受風(fēng)險(xiǎn)防范措施的整改建議 。最后：將測(cè)試報(bào)告 、 風(fēng)險(xiǎn)說(shuō)明書(shū) 、 整改建議交付評(píng)估作業(yè)組，并進(jìn)行必要的解釋和說(shuō)明。4.3 評(píng)估作業(yè)流程首先：根據(jù)管理組提供的客戶檔案 、 范圍說(shuō)明 、 客戶意見(jiàn)表 、評(píng)估方案書(shū)制定信息系統(tǒng)安全評(píng)估方案 。其次： 準(zhǔn)備 客戶訪談?dòng)涗洷?， 該表應(yīng)包括 客戶資產(chǎn)訪談?dòng)涗洷?、目標(biāo)系統(tǒng)調(diào)查表 、 客戶系統(tǒng)

8、安全配置記錄表 、 客戶系統(tǒng)管理措施記錄表 、 歷史威脅訪談?dòng)涗洷?、 客戶所在行業(yè)所面臨安全風(fēng)險(xiǎn)歷史記錄表 、 信息系統(tǒng)安全風(fēng)險(xiǎn)形式分析表 以及國(guó)家有關(guān)于信息系統(tǒng)安全評(píng)估的法律、法規(guī)、政策、標(biāo)準(zhǔn)。再次：進(jìn)入評(píng)估現(xiàn)場(chǎng)。訪談客戶，填寫(xiě)客戶訪談?dòng)涗洷?。再次：根據(jù)客戶訪談?dòng)涗浐蜏y(cè)試組遞交的測(cè)試報(bào)告、 風(fēng)險(xiǎn)說(shuō)明書(shū)和歷史資料庫(kù)，對(duì)客戶系統(tǒng)所存在的安全風(fēng)險(xiǎn)進(jìn)行分析對(duì)比，生成客戶信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估報(bào)告 。通過(guò)整理分析測(cè)試組遞交的整改建議和客戶信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估報(bào)告生成客戶信息系統(tǒng)安全風(fēng)險(xiǎn)整改建議書(shū) ，并提交管理組交付客戶。4.4 風(fēng)控作業(yè)流程首先：接受管理組提交的評(píng)估范圍說(shuō)明書(shū) 、 客戶意見(jiàn) 、 評(píng)估

9、方案書(shū)和評(píng)估組提交的目標(biāo)系統(tǒng)調(diào)查表 、 客戶所在行業(yè)所面臨安全風(fēng)險(xiǎn)歷史記錄表 ，通過(guò)分析產(chǎn)生潛在評(píng)估風(fēng)險(xiǎn)記錄表 。其次：根據(jù)潛在評(píng)估風(fēng)險(xiǎn)記錄表 ，進(jìn)行現(xiàn)場(chǎng)勘察和客戶訪談，產(chǎn)生風(fēng)險(xiǎn)控制現(xiàn)場(chǎng)調(diào)查記錄 ，通過(guò)分析產(chǎn)生潛在評(píng)估風(fēng)險(xiǎn)控制方案 。再次：將潛在評(píng)估風(fēng)險(xiǎn)控制方案提交管理組和評(píng)估組、測(cè)試組進(jìn)行方案修訂。再次：審查評(píng)估組和測(cè)試組的相關(guān)方案，控制其中的潛在風(fēng)險(xiǎn)。當(dāng)需與客戶溝通時(shí)，填寫(xiě)溝通請(qǐng)求報(bào)告 ，交由管理組同客戶溝通協(xié)調(diào)。最后：對(duì)測(cè)試組的測(cè)試過(guò)程進(jìn)行監(jiān)督，生成評(píng)估過(guò)程監(jiān)督報(bào)告 ，并提交管理組審查。5、成果約束5.1 過(guò)程文檔管理組： 評(píng)估方案書(shū) 、 方案審查結(jié)果 、 報(bào)告審查結(jié)果測(cè)試組： 溝通請(qǐng)求報(bào)告評(píng)估組： 溝通請(qǐng)求報(bào)告 、 客戶訪談?dòng)涗洷盹L(fēng)控組： 溝通請(qǐng)求報(bào)告5.2 分析文檔管理組： 客戶意見(jiàn)表測(cè)試組： 風(fēng)險(xiǎn)說(shuō)明書(shū)評(píng)估組： 目標(biāo)系統(tǒng)調(diào)查表 、 客戶系統(tǒng)安全配置記錄表 、 客戶系統(tǒng)管理措施記錄表 、 歷史威脅訪談?dòng)涗洷?、 客戶所在行業(yè)所面臨安全風(fēng)險(xiǎn)歷史記錄表 、 信息系統(tǒng)安全風(fēng)險(xiǎn)形式分析表 以及國(guó)家有關(guān)于信息系統(tǒng)安全評(píng)估的法律、法規(guī)、政策、標(biāo)準(zhǔn)。風(fēng)控組： 潛在評(píng)估風(fēng)