企业信息安全风险评估实施细则-2017.docVIP

企业信息 二〇〇八年五月  目 录 1. 前言 1 2. 资产评估 2 2.1. 资产识别 2 2.2. 资产赋值 3 3. 威胁评估 6 4. 脆弱性评估 10 4.1. 信息安全管理评估 11 4.1.1. 安全方针 11 4.1.2. 信息安全机构 13 4.1.3. 人员安全管理 17 4.1.4. 信息安全制度文件管理 19 4.1.5. 信息化建设中的安全管理 23 4.1.6. 信息安全等级保护 29 4.1.7. 信息安全评估管理 32 4.1.8. 信息安全的宣传与培训 32 4.1.9. 信息安全监督与考核 34 4.1.10. 符合性管理 36 4.2. 信息安全运行维护评估 37 4.2.1. 信息系统运行管理 37 4.2.2. 资产分类管理 41 4.2.3. 配置与变更管理 42 4.2.4. 业务连续性管理 43 4.2.5. 设备与介质安全 46 4.3. 信息安全技术评估 50 4.3.1. 物理安全 50 4.3.2. 网络安全 53 4.3.3. 操作系统安全 60 4.3.4. 数据库安全 72 4.3.5. 通用服务安全 81 4.3.6. 应用系统安全 85 4.3.7. 安全措施 90 4.3.8. 数据安全及备份恢复 94  前言 为了规范、深化XXX公司信息安全风险评估工作，依据国家《信息系统安全等级保护基本要求》、《XXX公司信息化“SG186”工程安全防护总体方案》、《XXX公司网络与信息系统安全隔离实施指导意见》、《XXX公司信息安全风险评估管理暂行办法》、《XXX公司信息安全风险评估实施指南》（以下简称《实施指南》），组织对《XXX公司信息安全风险评估实施细则》进行了完善。 本细则是开展信息系统安全风险评估工作实施内容的主要依据，各单位在相关的信息安全检查、安全评价、信息系统安全等级保护评估工作中也可参考本细则的内容。 本细则结合公司当前信息化工作重点，针对《实施指南》中信息资产评估、威胁评估、脆弱性评估提出了具体的评估内容。其中，资产评估内容主要针对公司一体化企业级信息系统展开；威胁评估包含非人为威胁和人为威胁等因素；脆弱性评估内容分为信息安全管理评估、信息安全运行维护评估、信息安全技术评估三部分。 公司的评估工作应在本细则的基础上，结合《实施指南》提出更详细的实施方案，并采用专业的评估工具对信息系统进行全面的评估和深层的统计分析，并进行风险计算，确保全面掌握信息系统的安全问题，并提供解决问题的安全建议。 本细则将随公司信息安全管理、技术、运维情况的发展而滚动修订与完善。 本标准由XXX公司信息化工作部组织制定、发布并负责解释。 资产评估 资产评估是确定资产信息安全属性（机密性、完整性、可用性等）对信息系统造成的影响的过程。在评估中，资产评估包含信息资产识别、资产赋值等内容。 资产识别 omino服务器、DB2数据库服务器四部分资产实体。 应用系统的功能模块（或子系统），可参照下表进行分解： 应用系统分解表 类别 说明 数据存储 应用系统中负责数据存储的子系统或功能模块。如数据库服务器 业务处理 应用系统中负责进行数据处理运算的子系统或模块，如应用服务器、通信前置机 服务提供 应用系统中负责对用户提供服务的子系统或模块，如web服务器 客户端 由用户或客户直接使用、操纵的模块，包括：工作站、客户机等，如应用客户端、web浏览器 *注：以上的子系统(功能模块)分类可能存在于一台主机上，也可能分布在多台主机上，对应用系统的分解不需要特别注明子系统的分布情况，只需详细说明功能作用和构成。 对于不具有多层结构的系统，可根据实际情况进行简化分解，例如：仅分解为服务器端与客户端。 典型的应用系统分解结构图如下： 本细则中对公司“SG186”工程应用系统按照上表进行信息资产的分解与识别，并在资产赋值部分按照这一分解进行赋值。 资产赋值 业务系统 系统安全等级 客户端 服务提供 业务处理 数据存储 管理员 普通用户 　 　 　 C I A C I A C I A C I A C I A 企业信息门户 2 4 2 2 3 1 1 2 2 4 1 1 3 　 　 　 2 4 2 2 　 　 　 2 3 3 2 3 3 4 4 4 2 3 1 1 　 　 　 1 3 4 1 2 3 　 　 　 2 4 1 1 　 　 　 3 3 4 2 2 3 4 4 4 2 3 1 3 　 　 　 1 4 4 　 　 　 　 　 　 财务管理系统 3 5 4 4 4 3 3 3 5 5 2 4 2 3 5 3 资金管理系统 3 5 4 4 4 3 3 3 5 5 2 4 2 3 5 3 营销管理 营销管理信息系统 3 5 3