信息系統(tǒng)風(fēng)險評估作業(yè)指導(dǎo)書_第1頁
信息系統(tǒng)風(fēng)險評估作業(yè)指導(dǎo)書_第2頁
信息系統(tǒng)風(fēng)險評估作業(yè)指導(dǎo)書_第3頁
信息系統(tǒng)風(fēng)險評估作業(yè)指導(dǎo)書_第4頁
信息系統(tǒng)風(fēng)險評估作業(yè)指導(dǎo)書_第5頁
已閱讀5頁,還剩2頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、中科園智能網(wǎng)絡(luò)系統(tǒng)有限責(zé)任公司信息系統(tǒng)風(fēng)險評估作業(yè)指導(dǎo)書1、作業(yè)目的 信息系統(tǒng)風(fēng)險評估作業(yè)是我公司的主要服務(wù)內(nèi)容之一,其目的 是通過發(fā)現(xiàn)客戶系統(tǒng)中的安全風(fēng)險和威脅, 對客戶系統(tǒng)進行真實、 可 靠的安全評估, 為客戶信息系統(tǒng)的安全整改提供依據(jù)和建議, 從而幫 助客戶切實改進自身信息系統(tǒng), 使客戶系統(tǒng)順利達到相關(guān)安全接入標 準。2、作業(yè)范圍 信息系統(tǒng)風(fēng)險評估作業(yè)的范圍主要包括:2.1 信息系統(tǒng)用戶訪問 針對信息系統(tǒng)的風(fēng)險評估作業(yè)的主要依據(jù)和方法是對信息系統(tǒng) 的用戶訪問, 通過訪問發(fā)現(xiàn)系統(tǒng)資產(chǎn)的重要性、 操作方法、業(yè)務(wù)流程、 依賴程度、受攻擊情況、安全管理制度、人員管理制度、管理機構(gòu)設(shè) 置以及管理狀

2、況等等。2.2 信息系統(tǒng)現(xiàn)場勘察 針對信息系統(tǒng)的現(xiàn)場勘察作業(yè),可以發(fā)現(xiàn)系統(tǒng)的物理安全環(huán)境、 實際拓撲結(jié)構(gòu)以及實際的管理狀況, 并可通過現(xiàn)場勘察驗證資產(chǎn)信息 和配置狀況。對于內(nèi)網(wǎng)系統(tǒng), 現(xiàn)場勘察過程中也可進行必要測試和驗 證作業(yè)。2.3 信息系統(tǒng)遠程測試針對信息系統(tǒng)的遠程測試主要目的是通過遠程方式, 在時間相對 寬裕的條件下通過善意掃描和滲透, 測試客戶信息系統(tǒng)的安全狀況和 安全程度, 并提出適當(dāng)報告和相關(guān)建議。 但遠程測試并非每個評估作 業(yè)項目都必需的作業(yè)方式, 除非經(jīng)過用戶許可或現(xiàn)實條件允許, 否則 不應(yīng)采用遠程測試方式進行評估作業(yè)。2.4 信息系統(tǒng)威脅分析通過人員訪問、現(xiàn)場勘察、遠程測試等

3、途徑,從客戶資產(chǎn)識別、 脆弱性識別以及威脅性識別三個方面出發(fā),基于信息系統(tǒng)的可用性、 完整性、安全性三原則出發(fā),根據(jù)資料對比、客戶溝通結(jié)果進行分析 和驗證。2.5 信息系統(tǒng)評估報告 針對客戶信息系統(tǒng)威脅分析結(jié)果生成評估報告并附加安全整改 建議。2.6 信息系統(tǒng)安全演練 信息系統(tǒng)安全演練的主要目的是基于作業(yè)員工的評估素質(zhì)出發(fā), 進行日常訓(xùn)練。內(nèi)容包括評估方法訓(xùn)練、測試技術(shù)訓(xùn)練、資料分析訓(xùn)3、職責(zé)劃分3.1 評估管理小組因為信息系統(tǒng)的風(fēng)險評估工作本身帶有一定的風(fēng)險, 因此加強作 業(yè)管理、 重視客戶溝通就必然成為評估作業(yè)首要的保障手段。 評估管理小組的主要職責(zé)正是通過對作業(yè)人員、作業(yè)行為、作業(yè)工具、

4、作業(yè) 結(jié)果、歷史檔案以及客戶資料的管理, 保證整個評估項目的順利進行 和成功交付。3.2 評估作業(yè)小組評估作業(yè)小組的主要職責(zé)包括 :針對資產(chǎn)的依賴性識別、重要性 識別等;針對系統(tǒng)脆弱性的用戶訪問、 歷史資料分析、 拓撲結(jié)構(gòu)分析、 穩(wěn)定性分析等; 針對系統(tǒng)威脅的歷史資料分析和用戶訪問。 以及通過 分析歷史資料、安全環(huán)境、用戶習(xí)慣、測試結(jié)果、標準規(guī)范等形成風(fēng) 險評估報告和整改建議。3.3 技術(shù)測試小組技術(shù)測試小組的主要職責(zé)包括: 在獲得客戶許可的前提下對客戶 信息系統(tǒng)進行現(xiàn)場技術(shù)測試和模擬攻擊, 在遠程通過善意掃描和滲透 測試模仿非法行為等方式更好的確定系統(tǒng)存在的漏洞和風(fēng)險, 為評估 作業(yè)分析提供

5、詳實、可靠的技術(shù)依據(jù)。3.4 風(fēng)險控制小組風(fēng)險控制小組的主要職責(zé)包括: 根據(jù)系統(tǒng)的重要程度和用戶對系 統(tǒng)的業(yè)務(wù)依賴程度, 確定整個系統(tǒng)的測試方法, 并對測試方法進行認 真審核和控制以防止對用戶系統(tǒng)產(chǎn)生破壞作用影響客戶正常的業(yè)務(wù) 使用。并在測試之前形成風(fēng)險控制計劃和應(yīng)急響應(yīng)計劃及相應(yīng)措施。4、作業(yè)流程4.1 管理作業(yè)流程 首先:同客戶進行接觸,了解客戶自身信息以及客戶對于信息安全 風(fēng)險評估的和目的,形成客戶檔案 。其次:明確風(fēng)險評估的范圍, 并向客戶說明風(fēng)險評估的過程和可能產(chǎn) 生的意外情況。形成風(fēng)險評估范圍說明書及客戶意見表 。并 根據(jù)所了解情況撰寫客戶評估方案書 。再次:與客戶簽訂風(fēng)險評估服務(wù)

6、合同和信息系統(tǒng)資料保密協(xié)議。 爭取 獲得客戶對于信息系統(tǒng)進行現(xiàn)場測試和遠程測試的授權(quán)書。 再次:審查、保管由測試組、評估組、風(fēng)控組提交的測試方案 、 評估方案、風(fēng)控方案。若發(fā)現(xiàn)所接收方案存在問題,應(yīng)及時填 寫方案審查結(jié)果并通知方案提供者,進行修正或變更。 再次:在接到測試組、評估組、風(fēng)控組遞交的溝通請求報告后和 客戶進行及時溝通,解決隨機發(fā)生的各種矛盾,形成客戶溝通記錄 表。再次:審查、保管由測試組、評估組、風(fēng)控組提交的測試報告 、 評估報告、整改建議、評估過程監(jiān)督報告 。若發(fā)現(xiàn)所接收方 案存在問題,應(yīng)及時填寫報告審查結(jié)果并通知方案提供者,進行 修正或變更。最后:向用戶出具評估報告和整改建議

7、,并進行解釋、說明。4.2 測試作業(yè)流程 首先:根據(jù)管理組撰寫的范圍說明 、客戶意見表、評估方案 以及測試授權(quán)書制定測試方案 。 其次:進行現(xiàn)場或遠程測試。生成測試報告 。在需要與客戶配合 時,向管理組遞交溝通請求報告 。再次:根據(jù)分析測試報告 ,生成包含有可接受風(fēng)險、不可接受風(fēng) 險統(tǒng)計信息的風(fēng)險說明書以及包含不可接受風(fēng)險防范措施的整 改建議。最后:將測試報告、風(fēng)險說明書、整改建議 交付評估作業(yè)組, 并進行必要的解釋和說明。4.3 評估作業(yè)流程 首先:根據(jù)管理組提供的客戶檔案 、范圍說明、客戶意見表、 評估方案書制定信息系統(tǒng)安全評估方案 。其次:準備客戶訪談記錄表 ,該表應(yīng)包括客戶資產(chǎn)訪談記錄

8、表 、 目標系統(tǒng)調(diào)查表、客戶系統(tǒng)安全配置記錄表 、客戶系統(tǒng)管理措 施記錄表、歷史威脅訪談記錄表 、客戶所在行業(yè)所面臨安全風(fēng)險 歷史記錄表、信息系統(tǒng)安全風(fēng)險形式分析表 以及國家有關(guān)于信息 系統(tǒng)安全評估的法律、法規(guī)、政策、標準。 再次:進入評估現(xiàn)場。訪談客戶,填寫客戶訪談記錄表 。 再次:根據(jù)客戶訪談記錄和測試組遞交的測試報告 、風(fēng)險說 明書和歷史資料庫,對客戶系統(tǒng)所存在的安全風(fēng)險進行分析對比, 生成客戶信息系統(tǒng)安全風(fēng)險評估報告 。通過整理分析測試組遞交 的整改建議和客戶信息系統(tǒng)安全風(fēng)險評估報告生成客戶信 息系統(tǒng)安全風(fēng)險整改建議書 ,并提交管理組交付客戶。4.4 風(fēng)控作業(yè)流程 首先:接受管理組提交

9、的評估范圍說明書 、客戶意見、評估方 案書和評估組提交的目標系統(tǒng)調(diào)查表 、客戶所在行業(yè)所面臨安 全風(fēng)險歷史記錄表,通過分析產(chǎn)生潛在評估風(fēng)險記錄表 。其次:根據(jù)潛在評估風(fēng)險記錄表 ,進行現(xiàn)場勘察和客戶訪談,產(chǎn) 生風(fēng)險控制現(xiàn)場調(diào)查記錄 ,通過分析產(chǎn)生潛在評估風(fēng)險控制方 案。再次:將潛在評估風(fēng)險控制方案提交管理組和評估組、測試組進 行方案修訂。再次:審查評估組和測試組的相關(guān)方案,控制其中的潛在風(fēng)險。當(dāng)需 與客戶溝通時,填寫溝通請求報告 ,交由管理組同客戶溝通協(xié)調(diào)。 最后:對測試組的測試過程進行監(jiān)督,生成評估過程監(jiān)督報告 , 并提交管理組審查。5、成果約束5.1 過程文檔 管理組:評估方案書、方案審查結(jié)果、報告審查結(jié)果 測試組:溝通請求報告 評估組:溝通請求報告、客戶訪談記錄表 風(fēng)控組:溝通請求報告5.2 分析文檔管理組:客戶意見表測試組:風(fēng)險說明書評估組:目標系統(tǒng)調(diào)查表 、客戶系統(tǒng)安全配置記錄表 、客戶系 統(tǒng)管理措施記錄表 、歷史威脅訪談記錄表 、客戶所在行業(yè)所面臨 安全風(fēng)險歷史記錄表 、信息系統(tǒng)安全風(fēng)險形式分析表 以及國家有 關(guān)于信息系統(tǒng)安全評估的

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論