您的位置:360文档中心› 云计算信息安全风险评估方案框架

云计算信息安全风险评估方案框架

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

云计算系统信息安全评估方案框架

1 / 27

一.背景

对背景、意义进行简述

1.1. 评估目标

总体目标是,通过风险评估,全面了解云计算系统安全防护情况,查找云计算系统在安全保障方面存在的不足,并提出整改加固建议,为系统上线和运行提供决策依据。

1.2. 评估范围

甲方乙方合同中指定的评估范围。

二.评估原则

为了确保此次安全评估项目成功实施,我们将遵循以下原则开展工作:

2.1. 保密原则

签署相关的保密协议和非侵害性协议。

2 / 27

2.2. 标准性原则

依据国际、国内及行业标准开展评估,评估过程遵循标准化和规范化原则。

2.3. 可控性原则

l人员可控性

l工具可控性

l服务可控性

l过程可控性

2.4. 全面性原则

2.5. 重点性原则

从被评估单位的业务期望出发,采用科学的安全风险评估方式对被评估单位提出的承载公开信息的重要业务、承载敏感信息的一般业务或重要业务、关键性业务系统进行重点评估。

3 / 27

2.6. 最小影响原则

三.评估标准

3.1. 信息安全国际、国内标准3.2. 信息安全法规、政策

3.3. 信息安全行业管理规范

四.风险评估流程

参照GB/T 20984

4 / 27

五.资产识别与赋值

5.1. 资产调查

5.1.1.调查对象

5.1.2.调查方式

问卷调查

访谈

现场勘查。

5.1.3.调查内容

调查内容将覆盖被评估系统的安全管理、物理、技术、操作等多方面的内容。

5 / 27

5.2. 资产分类

5.3. 资产赋值

六.威胁评估

在信息安全风险评估中,威胁评估分为威胁识别和威胁赋值两部分内容。

6.1.1.威胁分类

6.1.2.威胁调查

6.1.2.1. 威胁发生频率数据统计

6.1.2.2. 威胁可能性分析

6 / 27

6.1.3.威胁赋值

七.安全管理脆弱性评估

安全管理评估以《信息安全技术云计算服务安全能力要求》、《云计算服务安全指南》为基础,结合国家等级保护安全管理要求和《党政机关信息系统安全评测规范》DB11 T171—2002,评价被评估信息系统是否根据自身安全需求,建立必要的信息系统安全管理制度,对安全管理和执行过程通过安全策略、管理制度、操作规范等文件方式加以固化。安全管理评估主要采取问卷调查、访谈、现场查验等方式进行。管理评估共有495项。

7.1.1.政策、策略与计划

7.1.1.1. 信息安全方针和政策

7.1.1.2. 安全管理策略与制度

7 / 27

7.1.1.3. 云安全计划

7.1.1.4. 安全责任

(1)云服务商与用户安全责任划分标准

(2)云服务商安全责任内容

8 / 27

7.1.2.安全集中管理体系7.1.2.1. 安全管理中心

7.1.2.2. 运维管理中心

7.1.2.3. 安全审计中心

7.1.3.安全组织与人员7.1.3.1. 安全组织

7.1.3.2. 安全规章制度

7.1.3.3. 岗位风险与职责

7.1.3.4. 关键岗位人员管理7.1.3.5. 人员筛选

9 / 27

7.1.3.6. 人员离职

7.1.3.7. 人员调动

7.1.3.8. 访问协议

7.1.3.9. 第三方人员安全

7.1.3.10. 人员处罚

7.1.3.11. 安全培训

7.1.3.12. 安全保密

7.1.4.资产管理

7.1.4.1. 信息资产分类与标识7.1.4.2. 资产登记

10 / 27

7.1.4.3. 资产定性赋值

7.1.5.系统开发与供应链7.1.5.1. 资源分配

7.1.5.2. 系统生命周期

7.1.5.3. 采购过程

7.1.5.4. 系统文档

7.1.5.5. 安全工程原则

7.1.5.6. 关键性分析

7.1.5.7. 外部信息系统服务7.1.5.8. 开发商安全体系架构

7.1.5.9. 开发过程、标准和工具7.1.5.10. 开发商配置管理

7.1.5.11. 开发商提供的培训

7.1.5.12. 防篡改

7.1.5.13. 组件真实性

7.1.5.14. 不被支持的系统组件7.1.5.15. 供应链保护

7.1.5.16. 安全系统的设计和采购7.1.5.17. 工程项目的控制和验收7.1.5.18. 开发文件的控制和保护

7.1.6.配置管理

7.1.6.1. 配置管理计划

7.1.6.2. 基线配置

7.1.6.3. 变更控制

7.1.6.4. 设置配置项的参数7.1.6.5. 最小功能原则

7.1.6.6. 信息系统组件清单7.1.7.运行维护管理7.1.7.1. 设备使用管理

7.1.7.2. 病毒防护

7.1.7.3. 密码和密钥管理7.1.7.4. 运行状况监控7.1.7.5. 用户管理

7.1.7.6. 受控维护

7.1.7.7. 维护工具

7.1.7.8. 远程维护

7.1.7.9. 维护人员

7.1.7.10. 及时维护

7.1.7.11. 缺陷修复

7.1.7.12. 安全功能验证

相关文档
最新文档