- 1、本文档共32页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
信息安全风险评估实施指南 评估阶段 阅读文档 调查问卷 现场观察 应用系统观察:是否按角色授权、用户口令强度、变更管理要求、身份识别、是否加密等 机房环境观察:选址、防盗、防尘、防雷击等 被评估方工作观察:出入授权、安全机制展示 信息安全风险评估实施指南 评估阶段 资产识别 威胁识别 威胁概述 威胁作用形式 威胁来源 信息安全风险评估实施指南 信息安全风险评估实施指南 评估阶段 脆弱性识别 本地审计 主机系统 数据库系统 路由器审计 交换机审计 防火墙审计 渗透测试 人员访谈 信息安全风险评估实施指南 综合分析 资产赋值 脆弱性赋值 威胁赋值 已有措施分析 安全事件可能性赋值 安全事件影响分析 风险等级计算 信息安全风险评估实施指南 创建报告 概述 评估综述 评估详述 整改建议 附件 信息系统密码安全管理规范 人员职责 密码生成 长度 初始6位 应用12位 强度 包含密码、数字和符号,不使用典型的弱密码 重复 六个历史密码不重复 登录失败锁定 密码管理 固定周期密码更改 特殊密码更改 遗忘和泄露处理 身份令牌管理 计算机病毒与网络入侵应急响应规范 组织结构 信息管理部、各企事业单位信息管理部门、专家组 分级 一级 特别重大 二级 重大 三级 较大 四级 一般 应急响应 启动:事发单位先期处理、控制事件发展,然后上报,一级报信息化领导小组,二级报信息管理部,三、四级报本单位信息管理部门 响应流程 一级:2小时上报,涉及涉密按保密流程上报,信息化领导小组举行首次会议并委派信息系统安全负责人及专家组赴现场处置协调。专家组现场处置并及时汇报,至风险消除后记录,经信息管理部确认后上报,由信息化领导小组下达应急解除指令 二级: 24小时上报,信息管理部举行首次会议并委派专家组赴现场处置协调。专家组现场处置并及时汇报,至风险消除后记录,经信息管理部下达应急解除指令 应急响应 响应流程 三级、四级:4小时上报本单位信息管理部门,本单位信息管理部门负责现场处置 恢复与重建 信息系统用户管理规范 用户登记管理 用户变更管理 用户使用守则 管理员使用守则 信息安全讲义 中油新疆培训中心网络培训部 中石油信息专业企业标准 信息门户标准 信息系统运维标准 基础设施建设与运维标准 信息安全标准 信息门户运行与维护系列企业标准 Q/SY 1020-2009 《信息门户系统建设与运行管理规定》 Q/SY 1021-2009 《 计算机网络互联技术规范》 信息门户系统建设与运行管理规定 管理体系 门户建设 内部门户和外部门户 栏目设置 页面规范 开发与测试 门户运行 内容管理 系统管理 信息安全 权限管理 信息保密 计算机网络互联技术规范 这个规范定了中石油计算机网络的体系结构,协议规范,命名规范,IP划分等内容 信息系统运行维护系列企业标准 —— Q/SY 1331-2010 《信息系统运维管理规范》 —— Q/SY 1332-2010 《信息系统灾难恢复管理规范》 信息系统运维管理规范 一:导则:规定了基本的原则及各部分关系 二:热线帮助:热线的定义、角色、职责和响应流程 三:监控管理:监控对象(设备、系统、用户),职责,角色,工作流程 四:事件管理:定义了角色,流程,事件指标 信息系统运维管理规范 信息系统运维管理规范 五:问题管理:调查事件原因,制定解决方案防止事件再次发生的流程。本部分定义了问题管理的角色、流程和指标 六:变更管理:定义了变更流程的角色、流程和度量方法 七:配置管理:定义了配置的角色、流程、指标和管理报告 信息系统灾难恢复管理规范 组织机构 风险分析 业务影响分析 灾难恢复需求 恢复策略 灾备中心设置 恢复预案 应急响应流程 演练与培训 信息技术专业基础设施层系列企业标准 信息技术专业基础设施层系列企业标准共8项标准 ——Q/SY 1333— 2010《广域网建设与运行维护规范》; ——Q/SY 1334— 2010《互联网出口建设与运行维护规范》; ——Q/SY 1335— 2010《局域网建设与运行维护规范》; ——Q/SY 1336— 2010《数据中心机房建设规范》; ——Q/SY 1337— 2010《数据中心机房管理规范》; ——Q/SY 1338— 2010《电子邮件管理规范》; ——Q/SY 1339— 2010《计算机硬件选型规范》; ——Q/SY 1340— 2010《计算机软件选型规范》。 信息技术专业安全系列企业标准 信息技术专业基础设施层系列企业标准共六项标准 ——Q/SY 1341— 2010《信息系统安全管理规范》; ——Q/SY 1342— 2010《终端计算机安全管理规范》; ——Q/SY 1343— 2010《信息安全风险评估实施指南》; ——Q/SY
您可能关注的文档
- 薪酬福利管理解说.ppt
- 薪酬管理(讲义)解说.ppt
- 薪酬管理解说.ppt
- 薪酬管理演讲解说.ppt
- 薪酬管理总论解说.ppt
- 月份临床标本采集技术技术报告.ppt
- 薪酬设计讲义解说.ppt
- 薪酬体系设计案例解说.ppt
- 薪酬调查案例解说.ppt
- 薪酬与福利解说.ppt
- 人教版八年级数学下册专项提优:二次根式最热考点——阅读材料题(解析版).pdf
- 2025年三支一扶题库检测试题打印带答案详解(新).docx
- 2024广播影视职业技能鉴定每日一练试卷【名校卷】附答案详解.docx
- 2025三支一扶高频难、易错点题及参考答案详解【达标题】.docx
- “两防”整治监理细则.pdf
- 2026年人教版高考英语一轮总复习综合测试试卷(七).pdf
- 2024-2025学年新疆维吾尔巴音郭楞蒙古自治州人教版三年级下册期末测试数学试卷(含解析).pdf
- 2024-2025学年重庆市巴南区人教版三年级下册期末考试数学试卷(含解析).pdf
- 期末模拟试卷(含解析)-三年级数学下册(人教版).pdf
- 被打还手即互殴成为历史:中国法治迈出关键一步-备考2026年高考语文作文热点素材(全国通用).pdf
文档评论(0)