您的位置:360文档中心› 信息安全风险评估计划

信息安全风险评估计划

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息安全风险评估计划

目录

1.工作目标 (3)

2.工作依据 (3)

3.风险评估范围 (5)

4.工作任务 (5)

5.实施人员 (6)

6.工作进度安排 (9)

6.1.自评估工作启动 (9)

6.2.资产识别 (9)

6.3.脆弱性识别 (9)

6.4.威胁识别 (10)

6.5.风险分析和处理计划 (10)

6.6.评估总结 (10)

6.7.管理体系建设 (11)

7.日程安排 ................................................................................................................... 错误!未定义书签。

1.工作目标

根据《华润集团信息安全标准》文件要求,组织本单位开展信息安全风险自评估工作,并掌握信息安全风险评估方法,摸清自身安全风险状况,增强信息安全意识,加强信息安全建设,提高信息安全防范水平。

2.工作依据

1)国家信息化领导小组《关于加强信息安全保障工作的意见》(中办发〔2003〕27 号)

2)国家网络与信息安全协调小组《关于开展信息安全风险评估工作的意见》(国信办〔2006〕5 号)

3)深圳市关于开展信息安全风险评估工作的实施意见(深科信〔2006〕268 号)

4)信息安全技术信息安全风险评估规范(GB/T20984-2007)

5)电子计算机场地通用规范(GB/T2887-2000)

6)计算机场地安全要求(GB/T 9361-2011 )

7)信息技术安全技术信息技术安全性评估准则(GB/T 18336-2008)

8)信息技术安全管理指南(GB/T 19715.1-2005)

9)信息技术信息安全管理实用规则(GB/T 19716-2005)

10)信息安全技术操作系统安全评估准则(GB/T 20008-2005)

11)国家信息化领导小组《关于加强信息安全保障工作的意见》

(中办发〔2003〕27号)

12)信息安全技术数据库管理系统安全评估准则(GB/T 20009-2005)

13)信息安全技术包过滤防火墙评估准则(GB/T 20010-2005)

14)信息安全技术路由器安全评估准则(GB/T 20011-2005)

15)信息安全技术信息系统安全管理要求(GB/T 20269-2006)

16)信息安全技术网络基础安全技术要求(GB/T 20270-2006)

17)信息安全技术信息系统通用安全技术要求(GB/T 20271-2006)

18)信息安全技术操作系统安全技术要求(GB/T 20272-2006)

19)信息安全技术数据库管理系统安全技术要求(GB/T 20273-2006)

20)信息安全技术网络和终端设备隔离部件测试评价方法(GB/T 20277-2006)

21)信息安全技术网络和终端设备隔离部件安全技术要求(GB/T 20279-2006)

22)信息安全技术防火墙技术要求和测试评价方法(GB/T 20281-2006)

23)信息安全技术信息系统安全工程管理要求(GB/T 20282-2006)

24)信息安全技术路由器安全技术要求(GB/T 18018-2007)

25)信息安全技术信息系统安全审计产品技术要求和评价方

法GB/T20945-2007)

26)信息技术安全技术信息安全事件管理指南(GB/Z 20985-2007)

27)信息安全技术信息安全事件分类分级指南(GB/Z 20986-2007)

28)信息安全技术服务器安全技术要求(GB/T 21028-2007)

29)信息安全技术网络交换机安全技术要求(GB/T 21050-2007)

30)信息技术——信息安全管理实施规范(ISO/IEC 27002:2005)

31)深圳市信息安全风险评估实施指南

32)各种检查机构运作的一般规则(ISO-IEC 17020-2004)3.风险评估范围

本次评估范围为的核心网络、安全设备、服务器等基础设施、门户网站等。

4.工作任务

本次风险评估工作将进行资产识别、威胁识别、脆弱性识别三个要素的识别,并进行风险分析,具体工作任务如下:

1)资产识别:保密性、完整性和可用性是评价资产的三个安全属性,通过资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来判定资产的重要性。

2)威胁识别:通过分析信息系统存在的威胁,定义信息安全威胁级别。威胁可以通过威胁主体、资源、动机、途径等多种属性进行描述。

3)脆弱性识别:脆弱性识别可以以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估。

4)风险分析:在完成资产识别、威胁识别、脆弱性识别,以及已有安全措施确认后,采用适当的方法和工具确定威胁利用脆弱性导致安全事件发生的可能性,并对风险评估的结果进行等级化处理。

5)安全管理体系建设:根据对现有安全管理体系评估的结果,按照国家相关标准、政策和法规,建立适用于国有资产监督管理局的安全管理体系,包括制订一系列的安全管理制度、安全策略、规程。

5.实施人员

本次评估小组组织结构如下图所示:

评估小组的职能如下:

1)领导小组:负责授权信息安全风险评估项目负责人组建信息安全风险评估团队、审批项目方案、计划和项目报告等。接受风险评估项目负责人和各评估小组负责人在项目实施各阶段的进展汇报,不定期对风险评估团队的实时工作成果进行检视,听取各阶段成果,并指示风险评估的下一步工作开展。确保本年度的风险评估工作切实按照市信息办等领导主管部门的要求,取得预期效果,保证现有信息系统安全,为后续信息系统建设提供强有力的技术支撑。

2)项目主管:负责组建信息安全风险评估项目团队各小组(资产识别小组、威胁识小组、脆弱性识别小组、风险评估小组、应急响应小组)。指定各小组组长和对小组成员资格进行审核。负责方案计划的编制、负责协调项目所涉及到的各部门人员、负责项目的进度和质量控制,负责组织审核确认风险评估各阶段的过

相关文档
最新文档