信息安全风险评估服务手册汇.docVIP

____________________________ 信息安全风险评估服务手册 ____________________________ 目录 第1章 风险评估的重要性 5 1.1. 风险评估背景 5 1.2. 风险评估目的 6 1.3. 风险评估方式 7 第2章 信息安全服务产品介绍 7 2.1. 服务产品概述 7 2.2. 服务产品功能 9 2.2.1. 资产评估 9 2.2.2. 威胁评估 10 2.2.3. 脆弱性评估 10 2.2.4. 风险综合分析 10 2.2.5. 风险处置计划 11 2.3. 服务产品交付 12 2.3.1. 风险评估综合报告 12 2.3.2. 资产赋值列表 12 2.3.3. 威胁赋值列表 12 2.3.4. 脆弱性赋值列表 12 2.3.5. 风险处置计划 13 2.4. 服务产品收益 13 2.4.1. 资产识别 13 2.4.2. 平衡安全风险与成本 13 2.4.3. 风险识别 13 2.4.4. 建设指导 14 2.4.5. 业务保障 15 第3章 信息安全服务产品规格 15 3.1. 服务评估模型 15 3.1.1. 评估模型 15 3.1.2. 评估标准 16 3.2. 服务评估方法 17 3.2.1. 访谈调研 17 3.2.2. 人工审计 17 3.2.3. 工具扫描 18 3.2.4. 渗透测试 18 3.3. 服务评估范围 19 3.3.1. 技术评估 19 3.3.2. 管理评估 20 第4章 信息安全服务产品流程 21 4.1. 服务流程蓝图 22 4.2. 服务流程阶段 22 4.2.1. 服务启动 22 4.2.2. 资产评估 23 4.2.3. 威胁评估 24 4.2.4. 脆弱评估 26 4.2.5. 风险分析 27 4.2.6. 风险处置 29 4.2.7. 服务验收 30 4.3. 服务流程管理 30 4.3.1. 管理概述 30 4.3.2. 管理组成 31 第5章 信息安全服务产品优势 33 5.1. 公司整体优势 33 5.2. 服务发展优势 34 5.3. 服务资质优势 35 5.4. 团队保障优势 36 第6章 信息安全服务成功案例 37 6.1. 重点案例列表 38 6.2. 重点案例简介 39 6.2.1. 金融案例 39 6.2.2. 电信案例 39 6.2.3. 能源案例 40 6.2.4. 政府案例 40 第7章 附录术语定义 41 风险评估的重要性 风险评估背景 随着政府部门、企事业单位以及各行各业对信息系统依赖程度的日益增强，信息安全问题受到普遍关注。运用风险评估方法去识别安全风险，解决信息安全问题得到了广泛的认识和应用。信息安全风险评估就是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施；为防范和化解信息安全风险，将风险控制在可接受的水平，从而最大限度地保障信息安全提供科学依据。 信息安全风险评估作为信息安全保障工作的基础性工作和重要环节，贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段，是信息安全等级保护制度建设的重要科学方法之一。国内风险评估推进工作情况如下： 时间 具体推进事件历程 2003年 《关于加强信息安全保障工作的意见》（中办发[2003]27号）中明确提出“要重视信息安全风险评估工作”。 2004年 为贯彻落实27号文件精神，原国信办组织有关单位和专家编写了《信息安全风险评估指南》。 2005年 原国信办在北京、上海、云南、黑龙江2市2省区和银行、电力、税务3个行业组织了信息安全风险评估试点。 2006年 原国信办召开了信息安全风险评估推进工作会议。国家部委、各省信息办依据中办发2006 5号、9号文件，开展重要行业安全风险评估工作。 2007年 为保障十七大，在国家基础信息网络和重要信息系统范围内，全面展开了自评估工作。（中国移动、电力、税务、证券） 至今 经过多年实践，风险评估是“一种度量信息安全状况的科学方法”，通过对网络和信息系统潜在风险要素的识别、分析、评价，发现网络和信息系统的安全风险，通过安全加固，使高风险降低到可接受的水平，从而提高信息安全风险管理的水平。” 表-1 风险评估目的 风险评估是对网络与信息系统相关方面风险进行辨识和分析的过程，是依据国际/国家/地方有关信息安全技术标准，评估信息系统的脆弱性、面临的威胁以及脆弱性被威胁源利用的可能性和利用后对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性所产生的实际负面影响，并以此识别信息系统的安全风险的过程。 风险评估目的是分析信息系统及其所依托的网络信息系统的安全状况，全面了解和掌