信息系統(tǒng)風險評估作業(yè)指導書

1、中科園智能網絡系統(tǒng)有限責任公司信息系統(tǒng)風險評估作業(yè)指導書1、作業(yè)目的 信息系統(tǒng)風險評估作業(yè)是我公司的主要服務內容之一，其目的 是通過發(fā)現(xiàn)客戶系統(tǒng)中的安全風險和威脅， 對客戶系統(tǒng)進行真實、 可 靠的安全評估， 為客戶信息系統(tǒng)的安全整改提供依據和建議， 從而幫 助客戶切實改進自身信息系統(tǒng)， 使客戶系統(tǒng)順利達到相關安全接入標 準。2、作業(yè)范圍 信息系統(tǒng)風險評估作業(yè)的范圍主要包括：2.1 信息系統(tǒng)用戶訪問 針對信息系統(tǒng)的風險評估作業(yè)的主要依據和方法是對信息系統(tǒng) 的用戶訪問， 通過訪問發(fā)現(xiàn)系統(tǒng)資產的重要性、 操作方法、業(yè)務流程、 依賴程度、受攻擊情況、安全管理制度、人員管理制度、管理機構設 置以及管理狀

2、況等等。2.2 信息系統(tǒng)現(xiàn)場勘察 針對信息系統(tǒng)的現(xiàn)場勘察作業(yè)，可以發(fā)現(xiàn)系統(tǒng)的物理安全環(huán)境、 實際拓撲結構以及實際的管理狀況， 并可通過現(xiàn)場勘察驗證資產信息 和配置狀況。對于內網系統(tǒng)， 現(xiàn)場勘察過程中也可進行必要測試和驗 證作業(yè)。2.3 信息系統(tǒng)遠程測試針對信息系統(tǒng)的遠程測試主要目的是通過遠程方式， 在時間相對 寬裕的條件下通過善意掃描和滲透， 測試客戶信息系統(tǒng)的安全狀況和 安全程度， 并提出適當報告和相關建議。 但遠程測試并非每個評估作 業(yè)項目都必需的作業(yè)方式， 除非經過用戶許可或現(xiàn)實條件允許， 否則 不應采用遠程測試方式進行評估作業(yè)。2.4 信息系統(tǒng)威脅分析通過人員訪問、現(xiàn)場勘察、遠程測試等

3、途徑，從客戶資產識別、 脆弱性識別以及威脅性識別三個方面出發(fā)，基于信息系統(tǒng)的可用性、 完整性、安全性三原則出發(fā)，根據資料對比、客戶溝通結果進行分析 和驗證。2.5 信息系統(tǒng)評估報告 針對客戶信息系統(tǒng)威脅分析結果生成評估報告并附加安全整改 建議。2.6 信息系統(tǒng)安全演練 信息系統(tǒng)安全演練的主要目的是基于作業(yè)員工的評估素質出發(fā)， 進行日常訓練。內容包括評估方法訓練、測試技術訓練、資料分析訓3、職責劃分3.1 評估管理小組因為信息系統(tǒng)的風險評估工作本身帶有一定的風險， 因此加強作 業(yè)管理、 重視客戶溝通就必然成為評估作業(yè)首要的保障手段。 評估管理小組的主要職責正是通過對作業(yè)人員、作業(yè)行為、作業(yè)工具、

4、作業(yè) 結果、歷史檔案以及客戶資料的管理， 保證整個評估項目的順利進行 和成功交付。3.2 評估作業(yè)小組評估作業(yè)小組的主要職責包括 :針對資產的依賴性識別、重要性 識別等；針對系統(tǒng)脆弱性的用戶訪問、 歷史資料分析、 拓撲結構分析、 穩(wěn)定性分析等； 針對系統(tǒng)威脅的歷史資料分析和用戶訪問。 以及通過 分析歷史資料、安全環(huán)境、用戶習慣、測試結果、標準規(guī)范等形成風 險評估報告和整改建議。3.3 技術測試小組技術測試小組的主要職責包括： 在獲得客戶許可的前提下對客戶 信息系統(tǒng)進行現(xiàn)場技術測試和模擬攻擊， 在遠程通過善意掃描和滲透 測試模仿非法行為等方式更好的確定系統(tǒng)存在的漏洞和風險， 為評估 作業(yè)分析提供

5、詳實、可靠的技術依據。3.4 風險控制小組風險控制小組的主要職責包括： 根據系統(tǒng)的重要程度和用戶對系 統(tǒng)的業(yè)務依賴程度， 確定整個系統(tǒng)的測試方法， 并對測試方法進行認 真審核和控制以防止對用戶系統(tǒng)產生破壞作用影響客戶正常的業(yè)務 使用。并在測試之前形成風險控制計劃和應急響應計劃及相應措施。4、作業(yè)流程4.1 管理作業(yè)流程 首先：同客戶進行接觸，了解客戶自身信息以及客戶對于信息安全 風險評估的和目的，形成客戶檔案 。其次：明確風險評估的范圍， 并向客戶說明風險評估的過程和可能產 生的意外情況。形成風險評估范圍說明書及客戶意見表 。并 根據所了解情況撰寫客戶評估方案書 。再次：與客戶簽訂風險評估服務

6、合同和信息系統(tǒng)資料保密協(xié)議。 爭取 獲得客戶對于信息系統(tǒng)進行現(xiàn)場測試和遠程測試的授權書。 再次：審查、保管由測試組、評估組、風控組提交的測試方案 、 評估方案、風控方案。若發(fā)現(xiàn)所接收方案存在問題，應及時填 寫方案審查結果并通知方案提供者，進行修正或變更。 再次：在接到測試組、評估組、風控組遞交的溝通請求報告后和 客戶進行及時溝通，解決隨機發(fā)生的各種矛盾，形成客戶溝通記錄 表。再次：審查、保管由測試組、評估組、風控組提交的測試報告 、 評估報告、整改建議、評估過程監(jiān)督報告 。若發(fā)現(xiàn)所接收方 案存在問題，應及時填寫報告審查結果并通知方案提供者，進行 修正或變更。最后：向用戶出具評估報告和整改建議

7、，并進行解釋、說明。4.2 測試作業(yè)流程 首先：根據管理組撰寫的范圍說明 、客戶意見表、評估方案 以及測試授權書制定測試方案 。 其次：進行現(xiàn)場或遠程測試。生成測試報告 。在需要與客戶配合 時，向管理組遞交溝通請求報告 。再次：根據分析測試報告 ，生成包含有可接受風險、不可接受風 險統(tǒng)計信息的風險說明書以及包含不可接受風險防范措施的整 改建議。最后：將測試報告、風險說明書、整改建議 交付評估作業(yè)組， 并進行必要的解釋和說明。4.3 評估作業(yè)流程 首先：根據管理組提供的客戶檔案 、范圍說明、客戶意見表、 評估方案書制定信息系統(tǒng)安全評估方案 。其次：準備客戶訪談記錄表 ，該表應包括客戶資產訪談記錄

8、表 、 目標系統(tǒng)調查表、客戶系統(tǒng)安全配置記錄表 、客戶系統(tǒng)管理措 施記錄表、歷史威脅訪談記錄表 、客戶所在行業(yè)所面臨安全風險 歷史記錄表、信息系統(tǒng)安全風險形式分析表 以及國家有關于信息 系統(tǒng)安全評估的法律、法規(guī)、政策、標準。 再次：進入評估現(xiàn)場。訪談客戶，填寫客戶訪談記錄表 。 再次：根據客戶訪談記錄和測試組遞交的測試報告 、風險說 明書和歷史資料庫，對客戶系統(tǒng)所存在的安全風險進行分析對比， 生成客戶信息系統(tǒng)安全風險評估報告 。通過整理分析測試組遞交 的整改建議和客戶信息系統(tǒng)安全風險評估報告生成客戶信 息系統(tǒng)安全風險整改建議書 ，并提交管理組交付客戶。4.4 風控作業(yè)流程 首先：接受管理組提交

9、的評估范圍說明書 、客戶意見、評估方 案書和評估組提交的目標系統(tǒng)調查表 、客戶所在行業(yè)所面臨安 全風險歷史記錄表，通過分析產生潛在評估風險記錄表 。其次：根據潛在評估風險記錄表 ，進行現(xiàn)場勘察和客戶訪談，產 生風險控制現(xiàn)場調查記錄 ，通過分析產生潛在評估風險控制方 案。再次：將潛在評估風險控制方案提交管理組和評估組、測試組進 行方案修訂。再次：審查評估組和測試組的相關方案，控制其中的潛在風險。當需 與客戶溝通時，填寫溝通請求報告 ，交由管理組同客戶溝通協(xié)調。 最后：對測試組的測試過程進行監(jiān)督，生成評估過程監(jiān)督報告 ， 并提交管理組審查。5、成果約束5.1 過程文檔 管理組：評估方案書、方案審查結果、報告審查結果 測試組：溝通請求報告 評估組：溝通請求報告、客戶訪談記錄表 風控組：溝通請求報告5.2 分析文檔管理組：客戶意見表測試組：風險說明書評估組：目標系統(tǒng)調查表 、客戶系統(tǒng)安全配置記錄表 、客戶系 統(tǒng)管理措施記錄表 、歷史威脅訪談記錄表 、客戶所在行業(yè)所面臨 安全風險歷史記錄表 、信息系統(tǒng)安全風險形式分析表 以及國家有 關于信息系統(tǒng)安全評估的