信息安全风险评估需求方案.docxVIP

信息安全风险评估需求方案 信息平安风险评估需求方案一、工程背景多年来，天津市财政局〔地方税务局〕在加快信息化建立和信息系统开发应用的同时，高度重视信息平安工作，实行了许多防范措施，获得了较好的工作效果，但同新形势、新任务的要求相比，还存在有很多不相适应的地方。2009年，国家税务总局和市政府分别对我局信息系统平安状况进展了抽查，在充分确定成果的同时，也指出了我局在信息平安方面存在的问题。通过抽查所暴露的这些问题，给我们敲响了警钟，也对我局信息平安工作提出了新的更高的要求。因此，天津市财政局〔地方税务局〕在对现有信息平安资源进展整合、整改的同时，根据国家税务总局信息平安管理规定，结合本单位实际状况确定施行信息平安评估、平安加固、应急响应、平安询问、平安大事通告、平安巡检、平安值守、平安培训、应急演练效劳等工作内容〔以下简称“平安风险评估〞〕，形成平安规划、施行、检查、处置四位一体的长效机制。二、工程目的通过开展信息“平安风险评估〞, 完善平安管理机制；通过平安效劳的引入，进一步建立健全财税系统平安管理策略，实现平安风险的可知、可控和可管理；通过建立财税系统信息平安风险评估机制，实现财税系统信息平安风险的动态跟踪分析，为财税系统信息平安整体规划供应科学的决策根据，进一步加强财税内部网络的整体平安防护力量，全面提升我局信息系统整体平安防范力量，极大进步财税系统网络与信息平安管理程度；通过深化挖掘网络与信息系统存在的脆弱点，并以业务系统为关键要素，对现有的信息平安管理制度和技术措施的有效性进展评估，不断增加系统的网络和信息系统抵挡风险平安风险力量，促进我局平安管理程度的进步，增加信息平安风险管理意识，培育信息平安专业人才，为财税系统各项业务供应平安牢靠的支撑平台。三、工程需求〔一〕效劳要求1根本要求“平安风险评估效劳〞全过程要求有据可依，并在产品用法有据可查，并保持工程之后的持续改良。针对用户单位网络中的IT设备及应用软件，需要有软件产品识别全部设备及其平安配置，或以其他方式搜集、保存设备明细及平安配置，进展资产搜集作为建立信息平安体系的根底。平安评估的过程及结果要求通过软件或其他形式进展展现。对于风险的处理包括：帮助用户制定平安加固方案、在工程建立及日常运维中供应平安值守、询问及支持效劳，通过平安产品解决已知的平安风险。在日常平安管理方面供应平安支持效劳，并依据国家及行业标准制定信息平安管理体系，针对平安管理员供应平安培训，遇有可能的平安大事发生时，供应应急的平安分析、紧急响应效劳。2平安评估评估的范围应全面，涉及到网络信息系统的各个方面，包括物理环境、网络构造、应用系统、数据库、效劳器及网络平安设备的平安性、平安产品和技术的应用情况以及管理体系是否完善等等；同时对管理风险、综合平安风险以及应用系统平安性进展评估；评估采纳专业工具扫描〔破绽扫描、数据库扫描采纳产品必需为商业化产品〕、人工评估、浸透测试三种相结合的方式，对各种操作系统进展评估，包括：帐户与口令平安、网络效劳平安、内核参数平安、文件系统平安、日志平安等；从应用系统相关硬件、软件和数据等方面来审核应用所处环境下存在哪些威逼，依据应用系统所存在的威逼，来确定需要到达哪些系统平安目的才能保证应用系统可以抵抗预期的平安威逼。其他评估内容应至少包括以下几方面：平安评估效劳范围应包括但不只限于帮助用户完成2010年度信息平安专项检查工作。3平安加固每次对用户单位网络信息系统进展全面评估后应马上制定平安加固方案，另外如用户单位有紧急需求时可随时支配制定平安加固方案。平安加固方案应掩盖用户单位IT系统中全部效劳器和网络设备，以及不同类别的操作系统、数据库和应用系统。平安加固方案不能影响用户单位各项业务的正常进展，假如加固过程需要临时中断业务，须设计详细的解决方案。同时，随着信息技术的进展，当新的破绽出现时，评估单位有责任和义务告知用户，并协作用户断定是否进展相应的加固工作；4紧急响应当用户单位信息系统出现平安大事后，用户可马上启动紧急响应效劳，效劳应包括远程紧急响应和现场紧急响应；紧急响应均要求7×24小时供应。紧急响应要求在响应恳求发出2小时内由工程师到达事故现场，帮助用户进展处理；响应效劳完成后评估单位需整理具体的事故处理报告，内容至少包括事故缘由分析、已造成的影响、处理方法、处理结果、预防和改良建议；评估单位应依据ISO17799等多个标准的相关要求对平安策略、平安制度、平安流程进展审计，供应改良建议，建立信息平安的“统一〞策略管理机制，并对用户单位信息平安体系建立规划、信息平安管理体系、信息平安管理制度建立、平安域划分等相关内容提出符合国家及行业标准的合理化建议，并制定完好的解决方案。对于新建信息化工程应从业务需求分析、系统设