风险评估试点项目实施方案.doc

密 级： 内部 文档编号： 项目编号： 风险评估试点项目 项目实施方案 XX地税局征管系统  目 录 1 项目目标 5 2项目实施原则 5 2 项目范围 6 3 地税征管系统概述分析 7 3.1 征管系统的逻辑架构 7 3.2 征管系统的物理架构 7 3.3 网络架构 8 4 总体设计方法 9 4.1 体系化设计方法 9 4.2 安全体系概述 10 4.2.1 安全框架模型 12 4.3 等级化设计方法 13 4.3.1 国际国内安全标准中的等级划分 14 4.3.2 国家关于信息系统安全等级的规定 16 5 风险评估方法 23 5.1 引用相关标准 23 5.1.1 管理类安全标准 23 5.1.2 模型类安全标准 24 5.2 术语和定义 25 5.3 风险评估框架及流程 26 5.3.1 风险要素关系 26 5.3.2 风险分析原理 28 5.3.3 实施流程 28 6 风险评估实施 29 6.1 风险评估准备 29 6.1.1 概述 29 6.1.2 确定目标 30 6.1.3 确定范围 30 6.1.4 组建团队 30 6.1.5 系统调研 30 6.1.6 确定依据 31 6.1.7 制定方案 31 6.1.8 获得支持 31 6.2 资产识别 32 6.2.1 资产分类 32 6.2.2 资产赋值 33 6.3 威胁识别 35 6.3.1 威胁分类 35 6.3.2 威胁赋值 38 6.4 脆弱性识别 38 6.4.1 脆弱性识别内容 38 6.4.2 脆弱性赋值 40 6.5 已有安全措施确认 41 6.6 风险分析 41 6.6.1 风险计算原理 41 6.6.2 风险结果判定 43 6.6.3 风险处理计划 44 6.6.4 残余风险评估 44 6.6.5 风险评估文档记录的要求 44 6.6.6 风险评估文档 45 7 信息系统生命周期各阶段的风险评估 46 7.1 信息系统生命周期概述 46 7.2 规划阶段的风险评估 46 7.3 设计阶段的风险评估 47 7.4 实施阶段的风险评估 48 7.5 运行维护阶段的风险评估 49 7.6 废弃阶段的风险评估 49 8 风险评估的工作形式 50 8.1 概述 50 8.2 自评估 50 8.3 检查评估 51 9 项目实施流程 52 9.1 项目组织结构 52 9.1.1 项目角色和责任 53 9.2 项目计划安排 55 9.3 项目流程 57 9.3.1 阶段1.1：项目前期准备 57 9.3.2 阶段1.2：项目调研阶段 58 9.3.3 阶段1.3：安全体系设计规划与解决方案 70 10 项目验收 74 10.1 验收方法确认 75 10.1.1 验收方法的确认程序 75 10.2 验收程序 76 10.2.1 交付件审视程序 76 10.2.2 审视的一般性原则 77 11 项目实施的组织、管理 79 11.1 项目管理组织设置 79 11.2 项目组织结构 79 11.2.1 项目管理方式 79 11.2.2 工程项目管理方法 79 11.2.3 项目管理遵循的标准 80 11.2.4 日常沟通、记录和备忘录 80 11.2.5 项目正式会议 80 11.2.6 文档交换方式 82 11.2.7 文档版本控制 82 11.3 保密控制 83 11.3.1 保密承诺 83 11.3.2 场地环境项目期间内的安全保密管理规定 83 11.3.3 文档材料的安全管理办法 83 11.3.4 离场及项目结束的安全管理办法 84 11.3.5 例外情况 84 11.3.6 风险分析及规避措施 84 11.3.7 风险分析 84 11.3.8 风险规避措施 85 11.4 项目质量保证 86 11.4.1 项目执行人员的质量职责 86 11.4.2 项目质量保证体系的主要过程 87  项目目标 国信办关于信息安全风险评估工作（国信办[200]5号）为贯彻落实""精神，探索和积累信息安全风险评估工作实施的方法和经验，为全面推行信息安全风险评估奠定基础，决定组织开展信息安全风险评估试点工作评估信息系统安全状况的风险评估方法培养风险评估队伍，积累风险评估工作经验 标准性原则：服务方案的设计与实施应依据国内或国际的相关标准进行。 规范性原则：服务提供商工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。 可控性原则：评估的工具、方法和过程要在双方认可的范围之内，安全服务的进度要与进度表的安排相一致，保证甲方对于服务工作的可控性。 整体性原则：评估和安全体系设计的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患。 最小影响原则