北京市信息安全风险评估介绍资料(25)-保险综合

主要做法与经验
五、积极探索风险评估与等级保护工作的有机 结合。
资产分析与定级工作的结合； 通过系统分析和风险识别完善等级保护安全
要求； 通过风险分析提出有针对性的等级保护建议。
主要做法与经验
六、注重风险评估与风险管理工作的结合。 北京市朝阳区在试点过程中，通过风险评 估，形成了关键信息资产、系统脆弱性与安全 风险列表，为风险管理提供了可视可控的基础 数据，为形成风险评估与风险管理长效机制奠 定了基础。
更新不及时
防病毒 …… 权限管理 补丁管理
审计策略 …… 备份策略 报警响应
……
主要做法与经验
七关、键系风统险单分元的析风和险分评析价方法
主要做法与经验
关键信息资产的风险分析
试点工作情况
三、注重被评估单位的能力培养，充分利用专业 评估队伍的技术与经验，提高被评估单位自评 估能力和水平。
强调被评估单位自身力量的参与，共同组织， 共同实施。发挥专业机构的技术优势和被评估 单位的业务优势，通过相互培训提高评估团队 的整体能力和水平。
北京市信息安全风险评估试点情况介绍资料
北京市信息化工作办公室 2006年3月
汇报内容
试点工作概况 主要做法与经验 认识与思考
试点工作概况
参加试点的单位和试点系统: 北京市朝阳区政府门户网站群 北京市石景山区城市建设管理信息系统 北京市地税局个人所得税管理信息系统
试点工作概况
朝阳区政府门户网群:
主要做法与经验
七、利用工具平台提高风险评估的生产率。
目前风险评估还缺乏工具支持，手工作业量 较大，风险评估的生产率较低，评估的一致性也 难以保证。针对上述问题，北京信息安全测评中 心通过运用由项目管理、检测检查方法库、系统 漏洞库、技术检测工具及数据采集接口构成的风 险评估工具平台，辅助检测方案制定、检测数据 分析、检测报告编写，大大提高了风险评估的工 作效率。
试点工作概况
试点工作从2月下旬开始至8月份结束，历 时6个月，按照国信办《信息安全风险评估试点 工作方案》的安排，分试点准备、组织实施、 试点总结三个阶段，在国信办风险评估试点领 导小组和风险评估试点专家组的指导下，圆满 完成了试点工作任务。
试点工作概况
试工作模式。研究不同评估模式的规律和特点， 研究风险评估与风险管理和等级保护的关系；
主要做法与经验
二、注重标准和指南的指导作用。 在《风险评估指南》(征求意见稿)的指导下， 在总结北京市近三年来信息系统安全测评和风 险评估经验基础上，通过本次试点实践，总结 提出了面向关键信息资产的风险评估方法，编 写了《信息系统风险评估实施指南》，在风险 评估的过程、方法和工具等方面，给出了具体 的技术指导。
主管\使用 \运行单位
评估工作组织协调 确保技术、工程和质量文档、提供 运营相关文档的提供 评审实施方案等相关文档 配合风险评估实施 评估过程中的风险管理和应急管理
评估机构
系统 承建单位
制定实施方案等相关文档 在相关单位支持下实施风险评估 提交评估结果报告
支持评估 提供技术、工程和质量文档 实施的配合
在试点实践中，培养锻炼了风险评估队伍， 积累了风险评估工作经验。
对风险评估、风险管理与等级保护工作的结 合进行了积极的探索，取得了初步的经验。
主要做法与经验
一、理清角色和职责关系，作好工作协调。
风险评估工作 主管部门
组织与监管
专家组
监督方案评审和系统测评 监督确保遵守公正的测评原则和方法 对评估结论进行评审
主要做法与经验
面向关键信息资产的风险分析和评价方法
关键资产
系统单元
相关脆弱性
相关措施
个人所得税 业务和数据
安全风险 数据泄露 非授权访问 数据篡改破坏 服务假冒 拒绝服务
数据库服务器 安全风险
OS脆弱性 …… 数据库脆弱性
应用脆弱性
应用服务器 安全风险 防火墙 …安全…风险
百度文库多余开放端口 ……
默认打开服务
地利用、土地地籍、矿产资源和房屋管理为一 体的国土资源和房屋综合数据库,提供了相关区 域内的政治、经济、文化和房屋土地方面发展 的综合信息。
试点工作概况
北京市地税局个人所得税管理信息系统:
支持约40万家代扣代缴企业的集中申报的处 理和查询，目前每月已有22万个单位通过网络 进行了明细申报。为纳税人提供完税凭证。为 税务机关提供多种组合的查询和分类的统计报 表。已经为300多万纳税人建立起纳税档案，支 持7*24运行模式，提供全天候服务。
试程序与方法。探索可操作的风险评估过程与方 法，检验标准规范、程序和方法的适用性和合理 性；
试操作实施。在实践中培训锻炼队伍，积累评估 经验，深入了解和掌握被评估系统的安全状况。
试点工作概况
通过试点全面了解了试点系统的安全状况， 为加强信息安全建设与管理提供了重要的基 础数据。
在相关标准、指南的指导下，在实践中对风 险评估的过程、方法与工具进行检验。
试点工作概况
评估模式和实施单位: 北京市朝阳区政府门户网站群
——自评估，朝阳区信息中心为主实施，北京 信息安全测评中心负责技术支持 北京市石景山区城市建设管理信息系统
——自评估，委托北京数字证书认证中心实施 北京市地税局个人所得税管理信息系统
——自评估+检查评估前期工作，由北京信息 安全测评中心负责实施
北京市石景山区在试点工作中，投入7名相关 业务和技术人员参与试点工作，以业务人员为 主体组织了系统分析和资产分析，结合石景山 区实际，形成了一套指导全区各单位自评估的 方法体系，初步形成了自评估的队伍和能力。
试点工作情况
四、对具有高可用性要求的信息系统的风险评 估进行风险控制和管理。
在北京市地税局个人所得税管理信息系统 风险评估过程中，我们组织相关业务单位、系 统开发单位、系统运行单位共同对检测方案的 每一项检测方法进行风险分析，尽可能选择稳 妥、可控的检测方法，并编写了应急响应预案， 明确了应急响应职责分工，做好应急准备。
www.bjchy.gov.cn是朝阳区政府的网上门户。 包括网上审批、政民互动、全程代办、庭审直 播、政务公开、网上信访、行政许可、为民服 务、招商引资等栏目。是朝阳区政府为投资者， 普通市民办实事的网上绿色通道。是朝阳区政 府政务公开对外宣传的窗口。
试点工作概况
北京市石景山区城市建设管理信息系统: 是以地理信息系统为基础，集土地规划、土