集团化企业信息化风险评估方案.docxVIP

***公司集团 风险评估服务项目方案 科技XX 2013年12月25日 笫1章. 项目需求分析 5 1.1. 行业信息化背景 5 1.2. 项目背景 5 1.3. 安全风险与需求分析 6 笫2章. 整体方案设计 7 2. 1. 设计目标 7 2. 2. 设计原则 7 2. 3. 项目X围 8 2.4. 参考标准及资料 10 2.4. 1.国家信息安全标准、指南 10 2. 4. 2.国际信息安全标准 11 第3章. 详细方案设计 11 3. 1. 安全建设目标 11 3.2. 安全规划方法 12 3. 3. 信息安全现状评估分析 14 3.4. 制定林案公司信息安全战略和总体策略 15 3. 5. 设计林案公司信息安全总体架构 15 设计事林公司信息安全管理体系架构 15 设计車林公司信息安全技术体系架构 16 制定車林公司信息安全建设实施计划 16 3.6. 安全服务体系框架 17 3. 7. 风险评估服务设计 19 3. 7. 1.风险评估服务原则 19 3. 7.2. 评估X围及内容 20 3. 7. 2. 1. 信息系统的安全性评估 20 3. 7. 2. 2. 信息系统的业务应用安全评估项 21 3. 7. 2. 3. 安全管理制度及第略评估项 22 3. 7. 3 评估方式 22 3. 7. 4. 评估技术手段 23 3. 7. 4. 1. 专家分析 23 3. 7. 4. 2. 工具扫描 23 3.7?4?3? 人工评估 24 3. 7. 4. 4. 渗透測试 25 3. 7.5.风险评估实施 26 3. 7. 5. 1. 服务实施流程 26 3. 7. 5. 2. 阶段一：准备阶段 26 3. 7. 5. 2. 1. 项目组织 26 3. 7. 5. 2. 2. 项目准备 28 3. 7. 5. 2. 3. 项目启动 30 3. 7. 5. 3. 阶段二：识别阶段 30 3. 7. 5. 3. 1.资产识别与梳理 30 3?7?5.3?2?威胁识别 33 3. 7. 5. 3. 3.脆弱性识别 36 3?7?5.3?4?技术脆弱性识别 37 3. 7. 5. 3. 5.安全管理脆弱性识别 41 系统建设管理 42 3. 7. 5. 3. 6.安全措施识别 46 3?7.5?4? 阶段三：分析阶段 48 3. 7. 5.4.1.资产分析 48 3. 7. 5. 4. 2. 威胁分析 50 525156 52 51 56 57 58 64 64 64 错误!未定义书签。 错误!未定义书签。 错误!未定义书签。 66 67 68 68 68 68 69 69 70 70 71 71 71 72 72 72 79 79 79 79 79 79 80 80 80 80 80 80 81 81 7. 5. 4. 3.脆弱性分析 3. 7. 5. 4. 4.综合风险分析 3?7?5?4?5?阶段四:风险处置阶段 3. 7. 6.最终交付物 笫4章.项目管理及人员组织 4. 1.项目服务承诺 58 4.2.项目管理方法论 59 4.3.实施人员组织 61 4. 3. 1. 项目组织架构 61 4. 3. 2. 组织架构说明 61 4. 3. 2. 1. 项目经理 61 4. 3. 2. 2. 质量监督组 62 4. 3. 2. 3. 客户经理/客户配合人贾 62 4. 3. 2. 4. 项目实施组 63 4.4.人员配置 64 4. 4. L 项目经理 4?4.2?风险评估服务组 4. 5.人员简历 4. 6.人员资质 6. 1. CISP证书人员（3人） 4?6?2?CISP人员社保证明 7.人员稳定性和安全性承诺 4? 服务使用设备/工具清单 第5章.项目验收方案 1.项目验收 1. 1. 验收方式 5. 1. 1. 1. 骏收方法确认 5. 1.1.2. 骏收方法的确认程序 5. 1. 1.3. 审视一般性原则 5. 2.风险规避措施 5.2. L 项目XX工作 5. 2. 2. 安全评估风险规避措施 5. 2. 2. 1. 系统备份与恢复措施 5. 2. 2. 2. 风险应对措施 5. 2. 3 渗透测试风险规避措施 笫6章. 公司介绍及服务资质 单位简介 信息安全风险评估服务资质 国家信息安全测评信息安全服务资质证书（安全工程类二级） 国家信息安全测评信息安全股务资质证书（安全开发类一级） 网络安全应急服务支撑单位证书（国家级） 信息安全应急处理服务资质证书 国家信息安全测评授权培训机构资质证书 市信息安全服务能力等级证书 信息安全管理体系IS027001证书 质虽管理体系IS09000认证证书 cm2证书 涉及国家秘密的计算机信息系统集战资质证书 计算机信息系统集战资质证书 纳税信用等级证书 银行信用等级证书 8