术公司信息安全风险评估管理办法[文].pdfVIP

** 信息安全风险评估管理办法 目录 总则 为确保 ** 网络及信息系统安全、 高效、 可控的运行，提高业务系统安全运行能力，全面降低 信息安全风险，特制定本管理办法。 组织与责任 信息安全管理组负责信息安全风险评估的具体实施。 技术支撑部门协助信息安全管理执行组的信息安全风险评估工作， 并且实施信息安全管理执 行组通过风险评估后提供的解决方案与建议。 其他部门协助信息安全管理执行组开展信息安全风险评估工作。 信息安全风险评估规定 弱点分析 概述 弱点评估是安全风险评估中最主要的内容。 弱点是信息资产本身存在的， 它可以被威胁利用、 引起资产或商业目标的损害。弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件 和信息等各种资产的弱点。 弱点检查 信息安全管理组应定期对集团 IT 系统进行全面的信息安全弱点检查， 了解各 IT 系统的信息 安全现状。 IT 系统安全检查的范围包括：主机系统、网络设备、安全设备、数据库系统、应用系统、 邮件系统以及其它在用系统。 IT 系统安全检查的工具与方法如下： 1. 工具检查：针对 IT 设备建议采用专用的脆弱性评估工具进行检查，如 Nessus 、 BurpSuite 等工具，针对应用系统及代码安全检查，建议采用商业专用软件进行检查， 如 IBM AppScan 。 2. 手工检查：由信息安全专员或技术支撑部门相关人员参照相关的指导文档上机进行手 工检查。 信息安全检查工作开展前，信息安全管理组需制定安全检查计划，对于部分可用性要 求高的业务系统或设备，计划中要明确执行的时间，并且该计划要通知相关部门与系统维 护人员，明确相关人员的及部门的职责与注意事项。 信息安全管理组与外服公司针对信息安全检查须制定《安全检查方案》，方案中，针 对工具扫描部分需明确扫描策略，同时方案必须提供规避操作风险的措施与方法。并且该 方案必须获得技术支撑部领导批准。 信息安全管理组应对 IT 系统安全检查的结果进行汇总，并进行详细分析，提供具体的 安全解决建议，如安全加固、安全技术引进等。 当发生重大的信息安全事件，信息安全管理组应在事后进行一次全面的安全检查，并 通过安全检查结果对重要的安全问题进行及时解决。 常见的弱点种类分为： 1. 技术性弱点：系统，程序，设备中存在的漏洞或缺陷，比如结构设计问题或编程 漏洞； 2. 操作性弱点：软件和系统在配置，操作，使用中的缺陷，包括人员在日常工作中 的不良习惯，审计或备份的缺乏； 3. 管理性弱点：策略，程序，规章制度，人员意识，组织结构等方面的不足； 识别弱点的途径包括审计报告，事件报告， 安全复查报告， 系统测试及评估报告，还可 以利用专业机构发布的列表信息。 当然， 许多技术性和操作性弱点， 可以借助自动化的漏洞 扫描工具和渗透测试等方法来识别和评估。 在对生命周期敏感的资产评估过程中，应注意从创建，使用，传输，存储，销毁等不同 的阶段识别弱点。 弱点的发现随着新应用 , 新技术的出现 , 需要不断更新完善弱点列表。 弱点赋值 信息资产弱点为 IT 设备自身存在的安全问题。在 ** ，弱点的严重性以暴露程度进行评价， 即弱点被利用的难易程度， 而弱点对资产安全影响的严重程度放在资产价值中去考虑， 一个弱点 可能导致多项不同价值资产的风险上升。参考业界的最佳实践，采用的等级划分如下： 将弱点严重性分为 4 个等级，分别是非常高（ VH ）、高（ H ）、中等（ M ）、低（ L ），并 且从高到低分别赋值 4