- 1、本文档共15页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
PAGE II
PAGE I
信息系统风险控制规划
XXX信息技术服务有限责任公司
20XX年X月
文档信息
文档名称
文档管理编号
保密级别
文档版本号
制作人
创建日期
校对
校对日期
排版
排版日期
复审人
复审日期
扩散范围
扩散批准人
适用范围
本文档为信息系统风险控制规划,仅适用于信息系统的安全规划及当前建设。
版本变更记录
日期
版本
说明
编辑人
目 录
TOC \o 1-3 \h \z \u 文档信息 II
适用范围 II
版本变更记录 II
目 录 III
1 前言 1
2 风险控制方式 2
3 风险控制规划 4
3.1 安全技术控制规划 4
3.1.1 物理基础环境整改建议 4
3.1.2 网络基础环境整改建议 4
3.1.3 防病毒策略整改建议 4
3.1.4 系统安全加固建议 5
3.2 安全管理控制规划 6
3.2.1 安全管理制度整改建议 6
3.2.2 安全管理机构整改建议 6
3.2.3 安全人员管理整改建议 7
3.2.4 系统运维管理整改建议 7
4 参考依据 10
第 PAGE 1页 共 = SECTIONPAGES 12 - 1 11页
前言
XXX(客户名称)随着多年来信息化程度的不断提高,对信息系统的依赖程度也不断增加,网上信息的价值也逐渐增大,随之而来的信息安全问题也日渐凸现,为保障信息化建设的健康发展,创建安全健康的网络环境,保护组织和公众利益,促进信息化建设的深入发展,XXX(客户名称)领导对当前信息化安全的建设给予了高度重视,为充分了解当前安全现状,掌握信息系统的安全风险状况,组织了本次风险评估项目,并委托XXX信息对信息系统进行风险评估。
通过本次风险评估发现了如下风险:
序号
风险
标识
1
机房物理环境存在缺陷
低
2
网络结构配置存在安全隐患
低
3
关键网络设备安全配置不足
中
4
关键业务服务器操作系统补丁更新不及时
中
5
关键业务服务器防病毒功能存在安全隐患
高
6
关键业务服务器安全配置不足
高
7
关键业务服务器存在高风险安全漏洞
高
8
关键数据库系统未安装最近的补丁程序
高
9
关键数据库系统安全配置不足
中
10
关键应用中间件系统存在安全隐患
中
11
安全管理制度建设存在不足
低
12
安全管理机构建设存在不足
低
13
人员安全管理存在缺陷
低
14
系统运维管理存在不足
低
…
…
XXX信息在风险评估基础上,针对XXXX(客户名称)信息系统所存在的风险状况,结合相关标准及XXXX(客户名称)自身需求特征,制定本风险控制规划,为防范威胁,减少自身脆弱性,将风险降低到可接受范围内作参考。
风险控制方式
在考虑风险控制前,组织应决定确定一个风险是否能被接受的准则。如果,例如评估显示,风险较低或处理成本对于组织来说不划算,则风险可被接受。这些决定应加以记录。对于风险评估所识别的每一个风险,必须作出风险控制决定
消除所有风险往往是不切实际的,也是不可能的,必须在权衡成本的前提下实现最合适的安全措施,将风险控制在可接受的级别,使得可能的负面影响最小化。
风险控制是一种系统化方法,可通过多种方式实现:
—— 风险接受:接受潜在的风险并继续运行信息系统,不对风险进行处理。
—— 风险降低:通过实现安全措施来降低风险,从而将脆弱性被威胁源利用后可能带来的不利影响最小化(如使用防火墙、漏洞扫描系统等安全产品)。
—— 风险规避:不介入风险,通过消除风险的原因和/或后果(如放弃系统某项功能或关闭系统)来规避风险。
—— 风险转移:通过使用其它措施来补偿损失,从而转移风险,如购买保险。
在选择风险控制方式时应该考虑单位的目标和使命。不可能解决所有的风险,应对那些可能给使命带来严重危害的威胁/脆弱性对进行优先级排序。同时,在保护单位的使命及其信息系统时,由于各单位有其特定的环境和目标,因此用来处理风险的方式和实现安全措施的方法也各有不同。
经评估,XXXX(客户名称)信息系统安全控制方式如下:
风险
优先级
控制方式
可行控制措施
机房物理环境存在缺陷
较高
降低
对物理基础环境整改,详见4.1.1
网络结构配置存在安全隐患
较高
降低
对网络基础环境整改,详见4.1.2
关键网络设备安全配置不足
较高
降低
对关键网络设备进行安全加固以消除安全漏洞。详见4.1.4
关键业务服务器操作系统补丁更新不及时
高
降低
对现有业务服务器进行安全加固以消除安全漏洞。详见4.1.4
关键业务服务器防病毒功能存在安全隐患
高
降低
布置统一的网络版
文档评论(0)