xxxx有限公司标准操作政策与程序SOPP.pdfVIP

xxxx有限公司 标准操作政策与程序 SOPP 编 号 ISMS-SOPP-009 第1页共10页 文件名 信息安全风险评估管理程序 版 号: 0 由管理会议推荐: 修改状态: 部门负责人制订: 总经理审核: 董事经理批准: 生效日期: 日期: 日期: 日期: 1．目的 在ISMS 覆盖范围内对信息安全现行状况运用标准模式，进行系统风险评估，形成评估 报告，描述风险等级，识别和评价供处理风险的可选措施，选择控制目标和控制措施处 理风险。 2 ．范围 在ISMS 覆盖范围内主要信息资产 3 ．定义 见程序中描述 4 ．职责 见程序中描述 5 ．程序 5 ．1 按照以下定义，使用ISMS Tool 3 model 来收集信息资产数据，确定组织资产和方案。 5．1．1 定义纵深防御模型 物 理 网 络 主 机 应 用 数 据 a．网络防护：一个精心设计和正确实施的网络体系结构可提供高可用、安全、可扩展、易 管理和可靠的服务。 组织中可能有多个网络，应对它们逐一评估以确保它们都得到了适 当的安全保护，或确保已保护了高价值网络免受未被保护的网络的影响。 实施内部网络 防御包括正确的网络设计、无线网络安全，并可能使用 Internet 协议安全 (IPSec) 以 确保只有受信任的计算机能够访问重要的网络资源。 xxxx有限公司 标准操作政策与程序 SOPP 编 号 ISMS-SOPP-009 第2页共10页 文件名 信息安全风险评估管理程序 版 号: 0 由管理会议推荐: 修改状态: 部门负责人制订: 总经理审核: 董事经理批准: 生效日期: 日期: 日期: 日期: b. 主机防御：主机可分为两种类型：客户端和服务器。 有效地保护这两种主机的安全要求 您在加强级别和可用性级别这两者之间找到一个平衡点。 尽管存在例外，但通常一台计 算机的可用性降低时，其安全性提高。 主机防御可能包括禁用服务、删除特定的用户权 限、使操作系统保持最新以及使用防病毒和分布式防火墙产品。 c．应用程序防御：应用程序防御对安全模型而言非常重要。 应用程序存在于整个系统的环 境中，所以在评估应用程序安全性时，应考虑到整个环境的安全性。 在生产环境下运行 每个应用程序之前，都应对其安全性进行彻底的测试。 实施应用程序防御包括正确的应 用程序体系结构，其中包括确保应用程序以最低权限运行，暴露的受攻击面尽可能小。 d．数据防御:对于大多数组织，数据是最重要的资源。 在客户端级别，数据往往在本地存 储，而且可能特别易受攻击。 可以用多种方式保护数据，包括使用加密文件服务 (EFS) 和 经常安全地进行备份。 5．1．2 按照纵深防御层定义，使用ISMS Tool 1model 收集ISMS 范围内信息资产。 ISMS 信息资产收集 纵深防御层 信息资产名称 所有者 使用者 责任