管理信息化信息化方案集团化企业信息化风险评估方案.docx

管理信息化信息化方案集团化企业信息化风险评估方案 ***公司集团 风险评估服务项目方案 科技有限公司 2013 年 12 月 25 日 目录 1 章.项目需求分析 5 1.1.行业信息化背景 5 1.2.项目背景 5 1.3.安全风险与需求分析 6 2 章.整体方案设计 7 2.1.设计目标 7 2.2.设计原则 7 2.3.项目范围 8 2.4.参考标准及资料 10 2.4.1.国家信息安全标准、指南 10 2.4.2.国际信息安全标准 11 3 章.详细方案设计 11 3.1.安全建设目标 11 3.2.安全规划方法 12 3.3.信息安全现状评估分析 14 3.4.制定***公司信息安全战略和总体策略 15 3.5.设计***公司信息安全总体架构 15 设计***公司信息安全管理体系架构 15 设计***公司信息安全技术体系架构 16 制定***公司信息安全建设实施计划 16 3.6.安全服务体系框架 17 3.7.风险评估服务设计 19 3.7.1.风险评估服务原则 19 3.7.2.评估范围及内容 20 3.7.2.1.信息系统的安全性评估 20 3.7.2.2.信息系统的业务应用安全评估项 21 3.7.2.3.安全管理制度及策略评估项 22 3.7.3.评估方式 22 3.7.4.评估技术手段 23 3.7.4.1.专家分析 23 3.7.4.2.工具扫描 23 3.7.4.3.人工评估 24 3.7.4.4.渗透测试 25 3.7.5.风险评估实施 26 3.7.5.1.服务实施流程 26 3.7.5.2.阶段一：准备阶段 26 3.7.5.2.1.项目组织 26 3.7.5.2.2.项目准备 28 3.7.5.2.3.项目启动 30 3.7.5.3.阶段二：识别阶段 30 3.7.5.3.1.资产识别与梳理 30 3.7.5.3.2.威胁识别 33 3.7.5.3.3.脆弱性识别 36 3.7.5.3.4.技术脆弱性识别 37 3.7.5.3.5.安全管理脆弱性识别 41 系统建设管理 43 3.7.5.3.6.安全措施识别 46 3.7.5.4.阶段三：分析阶段 48 3.7.5.4.1.资产分析 48 3.7.5.4.2.威胁分析 50 3.7.5.4.3.脆弱性分析 52 3.7.5.4.4.综合风险分析 54 3.7.5.4.5.阶段四：风险处置阶段 56 3.7.6.最终交付物 58 4 章.项目管理及人员组织 58 4.1.项目服务承诺 58 4.2.项目管理方法论 59 4.3.实施人员组织 61 4.3.1.项目组织架构 61 4.3.2.组织架构说明 61 4.3.2.1.项目经理 61 4.3.2.2.质量监督组 62 4.3.2.3.客户经理/客户配合人员 62 4.3.2.4.项目实施组 63 4.4.人员配置 64 4.4.1.项目经理 64 4.4.2.风险评估服务组 64 4.5.人员简历 64 4.6.人员资质 68 4.6.1.CISP 证书人员(3 人)68 4.6.2.CISP 人员社保证明 69 4.7.人员稳定性和安全性承诺 71 4.8.服务使用设备/工具清单 72 5 章.项目验收方案 72 5.1.项目验收 72 5.1.1.验收方式 72 5.1.1.1.验收方法确认 73 5.1.1.2.验收方法的确认程序 73 5.1.1.3.审视一般性原则 74 5.2.风险规避措施 75 5.2.1.项目保密工作 75 5.2.2.安全评估风险规避措施 75 5.2.2.1.系统备份与恢复措施 75 5.2.2.2.风险应对措施 76 5.2.3.渗透测试风险规避措施 76 6 章.公司介绍及服务资质 76 单位简介 76 信息安全风险评估服务资质 84 国家信息安全测评信息安全服务资质证书（安全工程类二级）85 国家信息安全测评信息安全服务资质证书（安全开发类一级）86网络安全应急服务支撑单位证书（国家级）87 信息安全应急处理服务资质证书 88 国家信息安全测评授权培训机构资质证书 89 市信息安全服务能力等级证书 90 信息安全管理体系 ISO27001 证书 91 质量管理体系 ISO9000 认证证书 92 CMMI2 证书 93 涉及国家秘密的计算机信息系统集成资质证书 94 计算机信息系统集成资质证书 96 6.1.纳税信用等级证书 97 6.2.银行信用等级证书 98 7 章.项目实施计划 98 8 章.项目报价 100 第1章.项目需求分析 1.1. 行业信息化背景 近年来，我国卫生信息化建设步伐加快，按照卫生部制定的标准和规范，以医药企业管理为重点的医药信息化建设取得重要进展；以提高公共卫生服务能力和卫生应急管理水平为主要目标的信息化建设取得长