信息安全风险评估实施方案.docx

| 信息安全风险评估实施方案 中证信息技术服务有限责任公司 20XX年X月  文档信息 文档名称 文档管理编号 保密级别 文档版本号 制作人 创建日期 校对 校对日期 排版 排版日期 复审人 复审日期 扩散范围 扩散批准人 适用范围 本文档为信息安全风险评估实施方案，仅供内部人员参考。 版本变更记录 日期 版本 说明 编辑人 第 PAGE21页 共 NUMPAGES23页 目录 TOC \o 1-3 \h \z \u 文档信息 2 适用范围 2 版本变更记录 2 1 概述 4 1.1 项目背景及目标 4 1.1.1 项目背景 4 1.1.2 项目目标 4 1.2 检测对象及范围 4 1.2.1 检测对象 4 1.2.2 检测范围 4 1.3 检测依据及原则 5 1.3.1 检测依据 5 1.3.2 检测原则 6 1.4 成果交付物 7 2 评估实施方案 7 2.1 风险评估流程 7 2.2 准备阶段 9 2.2.1 项目组织 9 2.2.2 项目准备 11 2.2.3 项目启动 11 2.3 识别阶段 11 2.3.1 资产识别 11 2.3.2 威胁识别 12 2.3.3 脆弱性识别 14 2.3.4 安全措施识别 17 2.4 分析阶段 17 2.4.1 资产影响分析 17 2.4.2 威胁分析 19 2.4.3 脆弱性分析 20 2.4.4 综合风险分析 21 2.5 规划验收阶段 22 2.5.1 工作内容 22 2.5.2 参与人员 22 概述 项目背景及目标 项目背景 为落实行业相关监管要求，完善和加强信息科技风险管控体系建设，因而启动风险评估项目。通过该项目的实施，分析信息科技和管理流程中存在的风险点，形成风险点库，评估管理、控制措施有效性和剩余风险状况等级是否在可接受范围内，从风险防范的角度提出加强控制措施建议，从而为业务运行连续性提供保障。 项目目标 通过信息安全风险评估的实施，查找和发现信息系统业务应用、系统、网络、数据库和管理等方面的漏洞和脆弱性，全面和准确地了解系统安全状况、安全风险等级，并提出相应的改进建议； 通过开展风险评估和风险控制工作，使企业满足证监会和其他相关机构关于信息安全相关规定的合规性要求。 检测对象及范围 检测对象 XX系统； 检测范围 本次风险评估项目主要针对以下几个层面： 物理层面 支撑信息系统的场所、所处的周边环境以及场所内保障计算机系统正常运行的设施。包括机房环境、门禁、监控、环控、电源等。 网络层面 构成信息系统网络传输环境的线路介质、拓扑结构、网络通讯设备、网络安全设备等。 系统层面 支撑信息系统的服务器、客户机及其操作系统、应用服务器系统、数据库服务器系统、Web服务器系统等软件平台系统。 应用层面 系统应用程序的设计、工程实现、业务相关功能、安全相关功能。 安全管理 包括安全策略、规章制度、人员组织结构、项目安全管理和日常运维管理等。 已有安全措施 包括主机边界防护措施、主机入侵检测防护措施、主机恶意程序防护措施、主机漏洞扫描措施等。 检测依据及原则 检测依据 GB/T 20269-2006 《信息安全技术 信息系统安全管理要求》； GB/T 20270-2006 《信息安全技术 网络基础安全技术要求》； GB/T 20271-2006 《信息安全技术 信息系统通用安全技术要求》； GB/T 20274-2006 《信息安全技术 信息系统安全保障评估框架》； GB/T 20275-2006 《信息安全技术 入侵检测系统技术要求和测试评价方法》； GB/T 20945-2007 《信息安全技术 信息系统安全审计产品技术要求和评价方法》； GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》； GB/T 20985-2007 《信息技术安全技术 信息安全事件管理指南》；? GB/T 18018-2007 《信息安全技术 路由器安全技术要求》； GB/T 21028-2007 《信息安全技术 服务器安全技术要求》； GB/T 21050-2007 《信息安全技术 网络交换机安全技术要求（评估保证级3）》； GB/T 21052-2007 《信息安全技术 信息安全等级保护 信息系统物理安全技术要求》； GB/T 14394-2008 《计算机软件可靠性和可维护性管理》 GB/T 18336.1-2008 《信息技术 安全技术 信息技术安全性评估准则 第1部