信息安全风险评估实施.doc

信息安全风险评估实施细则 （试行） 广州海颐软件有限公司 2015年3月2日 编制说明 根据《XXX公司信息安全风险评估实施指南》和《XXX公司信息安全风险评估实施细则》 试行近年来公司组织开展了风险评估常态化推广通过多年对实施细则的应用、实践 与总结需要进一步对实施细则的内容进行调整和完善。另一方面随着国家对信息系统安 全等级保护等相关政策、标准和基本要求和公司信息化“SG186”工程安全防护总体方案 和公司网络与信息系统安全隔离实施指导意见要求也需要进一步对实施细则内容进行修 订。 本细则主要修订了原有试行细则第四章脆弱性评估部分的具体内容。主要包括 1、在原有基础上增加或修改了信息安全管理评估、信息安全运行维护评估、信息安 全技术评估的具体要求。为保持本实施细则的可操作性针对新增的具体要求按原细则格 式添加了标准分值、评分标准和与资产的安全属性C、I、A的对应关系。目前调整后 总分值从原先的3000分调整至5000分其中管理占1800分、运行维护占1400分、技术 占1800分。 2、为了与公司等级保护评估相结合并对应框架结构方面将信息安全运行维护评估 第4.2节中的“物理环境安全”部分调整至信息安全技术评估第4.3.1小节在信息 安全技术评估中新增了“数据安全及备份恢复”第4.3.8小节具体内容方面在每项具 体要求新增了等级保护对应列。 目 录 1. 前言 .................................................................................................................................. 1 2. 资产评估 .......................................................................................................................... 2 2.1. 资产识别 ................................................................................................................... 2 2.2. 资产赋值 ................................................................................................................... 3 3. 威胁评估 .......................................................................................................................... 6 4. 脆弱性评估 .................................................................................................................... 10 4.1. 信息安全管理评估 ................................................................................................. 11 4.1.1. 安全方针 ......................................................................................................... 11 4.1.2. 信息安全机构 ................................................................................................. 13 4.1.3. 人员安全管理 ............................................................................................