信息系統(tǒng)風(fēng)險評估作業(yè)指導(dǎo)書_第1頁
信息系統(tǒng)風(fēng)險評估作業(yè)指導(dǎo)書_第2頁
信息系統(tǒng)風(fēng)險評估作業(yè)指導(dǎo)書_第3頁
信息系統(tǒng)風(fēng)險評估作業(yè)指導(dǎo)書_第4頁
信息系統(tǒng)風(fēng)險評估作業(yè)指導(dǎo)書_第5頁
已閱讀5頁,還剩2頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

1、中科園智能網(wǎng)絡(luò)系統(tǒng)有限責(zé)任公司信息系統(tǒng)風(fēng)險評估作業(yè)指導(dǎo)書1、 作業(yè)目的信息系統(tǒng)風(fēng)險評估作業(yè)是我公司的主要服務(wù)內(nèi)容之一,其目的是通過發(fā)現(xiàn)客戶系統(tǒng)中的安全風(fēng)險和威脅,對客戶系統(tǒng)進行真實、可靠的安全評估,為客戶信息系統(tǒng)的安全整改提供依據(jù)和建議,從而幫助客戶切實改進自身信息系統(tǒng),使客戶系統(tǒng)順利達到相關(guān)安全接入標(biāo)準(zhǔn)。2、 作業(yè)范圍信息系統(tǒng)風(fēng)險評估作業(yè)的范圍主要包括:2.1 信息系統(tǒng)用戶訪問針對信息系統(tǒng)的風(fēng)險評估作業(yè)的主要依據(jù)和方法是對信息系統(tǒng)的用戶訪問,通過訪問發(fā)現(xiàn)系統(tǒng)資產(chǎn)的重要性、操作方法、業(yè)務(wù)流程、依賴程度、受攻擊情況、安全管理制度、人員管理制度、管理機構(gòu)設(shè)置以及管理狀況等等。2.2 信息系統(tǒng)現(xiàn)場勘

2、察針對信息系統(tǒng)的現(xiàn)場勘察作業(yè),可以發(fā)現(xiàn)系統(tǒng)的物理安全環(huán)境、實際拓?fù)浣Y(jié)構(gòu)以及實際的管理狀況,并可通過現(xiàn)場勘察驗證資產(chǎn)信息和配置狀況。對于內(nèi)網(wǎng)系統(tǒng),現(xiàn)場勘察過程中也可進行必要測試和驗證作業(yè)。2.3 信息系統(tǒng)遠(yuǎn)程測試針對信息系統(tǒng)的遠(yuǎn)程測試主要目的是通過遠(yuǎn)程方式,在時間相對寬裕的條件下通過善意掃描和滲透,測試客戶信息系統(tǒng)的安全狀況和安全程度,并提出適當(dāng)報告和相關(guān)建議。但遠(yuǎn)程測試并非每個評估作業(yè)項目都必需的作業(yè)方式,除非經(jīng)過用戶許可或現(xiàn)實條件允許,否則不應(yīng)采用遠(yuǎn)程測試方式進行評估作業(yè)。2.4 信息系統(tǒng)威脅分析通過人員訪問、現(xiàn)場勘察、遠(yuǎn)程測試等途徑,從客戶資產(chǎn)識別、脆弱性識別以及威脅性識別三個方面出發(fā),基

3、于信息系統(tǒng)的可用性、完整性、安全性三原則出發(fā),根據(jù)資料對比、客戶溝通結(jié)果進行分析和驗證。2.5 信息系統(tǒng)評估報告針對客戶信息系統(tǒng)威脅分析結(jié)果生成評估報告并附加安全整改建議。2.6 信息系統(tǒng)安全演練信息系統(tǒng)安全演練的主要目的是基于作業(yè)員工的評估素質(zhì)出發(fā),進行日常訓(xùn)練。內(nèi)容包括評估方法訓(xùn)練、測試技術(shù)訓(xùn)練、資料分析訓(xùn)練等等。3、 職責(zé)劃分3.1 評估管理小組因為信息系統(tǒng)的風(fēng)險評估工作本身帶有一定的風(fēng)險,因此加強作業(yè)管理、重視客戶溝通就必然成為評估作業(yè)首要的保障手段。評估管理小組的主要職責(zé)正是通過對作業(yè)人員、作業(yè)行為、作業(yè)工具、作業(yè)結(jié)果、歷史檔案以及客戶資料的管理,保證整個評估項目的順利進行和成功交付

4、。3.2 評估作業(yè)小組評估作業(yè)小組的主要職責(zé)包括:針對資產(chǎn)的依賴性識別、重要性識別等;針對系統(tǒng)脆弱性的用戶訪問、歷史資料分析、拓?fù)浣Y(jié)構(gòu)分析、穩(wěn)定性分析等;針對系統(tǒng)威脅的歷史資料分析和用戶訪問。以及通過分析歷史資料、安全環(huán)境、用戶習(xí)慣、測試結(jié)果、標(biāo)準(zhǔn)規(guī)范等形成風(fēng)險評估報告和整改建議。3.3 技術(shù)測試小組技術(shù)測試小組的主要職責(zé)包括:在獲得客戶許可的前提下對客戶信息系統(tǒng)進行現(xiàn)場技術(shù)測試和模擬攻擊,在遠(yuǎn)程通過善意掃描和滲透測試模仿非法行為等方式更好的確定系統(tǒng)存在的漏洞和風(fēng)險,為評估作業(yè)分析提供詳實、可靠的技術(shù)依據(jù)。3.4 風(fēng)險控制小組風(fēng)險控制小組的主要職責(zé)包括:根據(jù)系統(tǒng)的重要程度和用戶對系統(tǒng)的業(yè)務(wù)依賴

5、程度,確定整個系統(tǒng)的測試方法,并對測試方法進行認(rèn)真審核和控制以防止對用戶系統(tǒng)產(chǎn)生破壞作用影響客戶正常的業(yè)務(wù)使用。并在測試之前形成風(fēng)險控制計劃和應(yīng)急響應(yīng)計劃及相應(yīng)措施。4、 作業(yè)流程4.1 管理作業(yè)流程 首先:同客戶進行接觸,了解客戶自身信息以及客戶對于信息安全風(fēng)險評估的和目的,形成客戶檔案。其次:明確風(fēng)險評估的范圍,并向客戶說明風(fēng)險評估的過程和可能產(chǎn)生的意外情況。形成風(fēng)險評估范圍說明書及客戶意見表。并根據(jù)所了解情況撰寫客戶評估方案書。再次:與客戶簽訂風(fēng)險評估服務(wù)合同和信息系統(tǒng)資料保密協(xié)議。爭取獲得客戶對于信息系統(tǒng)進行現(xiàn)場測試和遠(yuǎn)程測試的授權(quán)書。再次:審查、保管由測試組、評估組、風(fēng)控組提交的測試

6、方案、評估方案、風(fēng)控方案。若發(fā)現(xiàn)所接收方案存在問題,應(yīng)及時填寫方案審查結(jié)果并通知方案提供者,進行修正或變更。再次:在接到測試組、評估組、風(fēng)控組遞交的溝通請求報告后和客戶進行及時溝通,解決隨機發(fā)生的各種矛盾,形成客戶溝通記錄表。再次:審查、保管由測試組、評估組、風(fēng)控組提交的測試報告、評估報告、整改建議、評估過程監(jiān)督報告。若發(fā)現(xiàn)所接收方案存在問題,應(yīng)及時填寫報告審查結(jié)果并通知方案提供者,進行修正或變更。最后:向用戶出具評估報告和整改建議,并進行解釋、說明。4.2 測試作業(yè)流程首先:根據(jù)管理組撰寫的范圍說明、客戶意見表、評估方案以及測試授權(quán)書制定測試方案。其次:進行現(xiàn)場或遠(yuǎn)程測試。生成測試報告。在需

7、要與客戶配合時,向管理組遞交溝通請求報告。再次:根據(jù)分析測試報告,生成包含有可接受風(fēng)險、不可接受風(fēng)險統(tǒng)計信息的風(fēng)險說明書以及包含不可接受風(fēng)險防范措施的整改建議。最后:將測試報告、風(fēng)險說明書、整改建議交付評估作業(yè)組,并進行必要的解釋和說明。4.3 評估作業(yè)流程首先:根據(jù)管理組提供的客戶檔案、范圍說明、客戶意見表、評估方案書制定信息系統(tǒng)安全評估方案。其次:準(zhǔn)備客戶訪談記錄表,該表應(yīng)包括客戶資產(chǎn)訪談記錄表、目標(biāo)系統(tǒng)調(diào)查表、客戶系統(tǒng)安全配置記錄表、客戶系統(tǒng)管理措施記錄表、歷史威脅訪談記錄表、客戶所在行業(yè)所面臨安全風(fēng)險歷史記錄表、信息系統(tǒng)安全風(fēng)險形式分析表以及國家有關(guān)于信息系統(tǒng)安全評估的法律、法規(guī)、政策

8、、標(biāo)準(zhǔn)。再次:進入評估現(xiàn)場。訪談客戶,填寫客戶訪談記錄表。再次:根據(jù)客戶訪談記錄和測試組遞交的測試報告、風(fēng)險說明書和歷史資料庫,對客戶系統(tǒng)所存在的安全風(fēng)險進行分析對比,生成客戶信息系統(tǒng)安全風(fēng)險評估報告。通過整理分析測試組遞交的整改建議和客戶信息系統(tǒng)安全風(fēng)險評估報告生成客戶信息系統(tǒng)安全風(fēng)險整改建議書,并提交管理組交付客戶。4.4 風(fēng)控作業(yè)流程首先:接受管理組提交的評估范圍說明書、客戶意見、評估方案書和評估組提交的目標(biāo)系統(tǒng)調(diào)查表、客戶所在行業(yè)所面臨安全風(fēng)險歷史記錄表,通過分析產(chǎn)生潛在評估風(fēng)險記錄表。其次:根據(jù)潛在評估風(fēng)險記錄表,進行現(xiàn)場勘察和客戶訪談,產(chǎn)生風(fēng)險控制現(xiàn)場調(diào)查記錄,通過分析產(chǎn)生潛在評估

9、風(fēng)險控制方案。再次:將潛在評估風(fēng)險控制方案提交管理組和評估組、測試組進行方案修訂。再次:審查評估組和測試組的相關(guān)方案,控制其中的潛在風(fēng)險。當(dāng)需與客戶溝通時,填寫溝通請求報告,交由管理組同客戶溝通協(xié)調(diào)。最后:對測試組的測試過程進行監(jiān)督,生成評估過程監(jiān)督報告,并提交管理組審查。5、 成果約束5.1 過程文檔管理組:評估方案書、方案審查結(jié)果、報告審查結(jié)果測試組:溝通請求報告評估組:溝通請求報告、客戶訪談記錄表風(fēng)控組:溝通請求報告5.2 分析文檔管理組:客戶意見表測試組:風(fēng)險說明書評估組:目標(biāo)系統(tǒng)調(diào)查表、客戶系統(tǒng)安全配置記錄表、客戶系統(tǒng)管理措施記錄表、歷史威脅訪談記錄表、客戶所在行業(yè)所面臨安全風(fēng)險歷史記錄表、信息系統(tǒng)安全風(fēng)險形式分析表以及國家有關(guān)于信息系統(tǒng)安全評估的法律

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論