地税局风险评估试点项目项目实施方案.docxVIP

风险评估试点项目项目实施方案 目 录 1 项目目标 5 2 项目实施原则 5 2 项目范围 6 3 地税征管系统概述分析 7 3.1 征管系统的逻辑架构 7 3.2 征管系统的物理架构 7 3.3 网络架构 8 4 总体设计方法 9 4.1 体系化设计方法 9 4.2 安全体系概述 10 4.2.1 安全框架模型 12 4.3 等级化设计方法 13 4.3.1 国际国内安全标准中的等级划分 14 4.3.2 国家关于信息系统安全等级的规定 16 5 风险评估方法 23 5.1 引用相关标准 23 5.1.1 管理类安全标准 23 5.1.2 模型类安全标准 24 5.2 术语和定义 25 5.3 风险评估框架及流程 26 5.3.1 风险要素关系 26 5.3.2 风险分析原理 28 5.3.3 实施流程 28 6 风险评估实施 29 6.1 风险评估准备 29 6.1.1 概述 29 6.1.2 确定目标 30 6.1.3 确定范围 30 6.1.4 组建团队 30 6.1.5 系统调研 30 6.1.6 确定依据 31 6.1.7 制定方案 31 6.1.8 获得支持 31 6.2 资产识别 32 6.2.1 资产分类 32 6.2.2 资产赋值 33 6.3 威胁识别 35 6.3.1 威胁分类 35 6.3.2 威胁赋值 38 6.4 脆弱性识别 38 6.4.1 脆弱性识别内容 38 6.4.2 脆弱性赋值 40 6.5 已有安全措施确认 41 6.6 风险分析 41 6.6.1 风险计算原理 41 6.6.2 风险结果判定 43 6.6.3 风险处理计划 44 6.6.4 残余风险评估 44 6.6.5 风险评估文档记录的要求 44 6.6.6 风险评估文档 45 7 信息系统生命周期各阶段的风险评估 46 7.1 信息系统生命周期概述 46 7.2 规划阶段的风险评估 46 7.3 设计阶段的风险评估 47 7.4 实施阶段的风险评估 48 7.5 运行维护阶段的风险评估 49 7.6 废弃阶段的风险评估 49 8 风险评估的工作形式 50 8.1 概述 50 8.2 自评估 50 8.3 检查评估 51 9 项目实施流程 52 9.1 项目组织结构 52 9.1.1 项目角色和责任 53 9.2 项目计划安排 55 9.3 项目流程 57 9.3.1 阶段 1.1：项目前期准备 57 9.3.2 阶段 1.2：项目调研阶段 58 9.3.3 阶段 1.3：安全体系设计规划与解决方案 70 10 项目验收 74 10.1 验收方法确认 75 10.1.1 验收方法的确认程序 75 10.2 验收程序 76 10.2.1 交付件审视程序 76 10.2.2 审视的一般性原则 77 11 项目实施的组织、管理 79 11.1 项目管理组织设置 79 11.2 项目组织结构 79 11.2.1 项目管理方式 79 11.2.2 工程项目管理方法 79 11.2.3 项目管理遵循的标准 80 11.2.4 日常沟通、记录和备忘录 80 11.2.5 项目正式会议 80 11.2.6 文档交换方式 82 11.2.7 文档版本控制 82 11.3 保密控制 83 11.3.1 保密承诺 83 11.3.2 场地环境项目期间内的安全保密管理规定 83 11.3.3 文档材料的安全管理办法 83 11.3.4 离场及项目结束的安全管理办法 84 11.3.5 例外情况 84 11.3.6 风险分析及规避措施 84 11.3.7 风险分析 84 11.3.8 风险规避措施 85 11.4 项目质量保证 86 11.4.1 项目执行人员的质量职责 86 11.4.2 项目质量保证体系的主要过程 87 1 项目目标 国信办在 2006 年下发了“关于信息安全风险评估工作的意见” （国信办 [2006]5 号），要求在电子政务和信息系统的安全保障方面实施信息安全风险评估工作。为贯彻落实意见精神，XX 省人民政府信息化工作办公室制定了贯彻的实施意见，文中提出从抓试点开始，在三年内普遍推行信息安全风险评估工作， 为了探索和积累信息安全风险评估工作实施的方法和经验，为全面推行信息安全风险评估奠定基础，XX 省人民政府信息化工作办公室决定组织开展信息安全风险评估试点工作，制定了开展信息安全风险评估试点实施方案，并成立了试点工作领导小组。委托我中心为本次试点的技术支撑机构。 通过试点工作，可以实现以下目标： 1. 通过评估了解试点信息系统存在的安全弱点和面临的安全威胁，掌握系统的安全状况。 2. 通过试点建立适合 XX 省电子政务特点的风险评估方法 3. 培养风险评估队伍，积累风险评估工作经验 4. 为在全省范围内全面推广风险评估工作积累实施