信息系统风险评估作业指导书.pdf

中科园智能网络系统有限责任公司 信息系统风险评佔•作业指导书 1、作业目的 信息系统风险评估作业是我公司的主要服务内容之一，其口的是通过发现客户 系 统中的安全风险和威胁，对客户系统进行真实、可靠的安全评估，为客户信息系统 的 安全整改提供依据和建议，从而帮助客户切实改进自身信息系统，使客户系统顺利 达 到相关安全接入标准。 2、作业范围 信息系统风险评估作业的范用主要包括： 2. 1 信息系统用户访问 针对信息系统的风险评估作业的主要依据和方法是对信息系统的用户访问，通 过 访问发现系统资产的重要性、操作方法、业务流程、依赖程度、受攻击情况、安全管理 制度、人员管理制度、管理机构设置以及管理状况等等。 2.2 信息系统现场勘察 针对信息系统的现场勘察作业，可以发现系统的物理安全环境、实际拓扑结构 以 及实际的管理状况，并可通过现场勘察验证资产信息和配置状况。对于内网系统, 现场 勘察过程中也可进行必要测试和验证作业。 2. 3 信息系统远程测试 针对信息系统的远程测试主要 的是通过远程方式，在时间相对宽裕的条件下 通过善 U 意扫描和渗透，测试客户信息系统的安全状况和安全程度，并提出适当报告和 相关建 议。但远程测试并非每个评估作业项 都必需的作业方式，除非经过用户许 可或现实 LI 条件允许，否则不应采用远程测试方式进行评估作业。 2.4 信息系统威胁分析 通过人员访问、现场勘察、远程测试等途径，从客户资产识别、脆弱性识别以 及 威胁性识别三个方面出发，基于信息系统的可用性、完整性、安全性三原则出发, 根据 资料对比、客户沟通结果进行分析和验证。 2. 5 信息系统评佔报告 针对客户信息系统威胁分析结果生成评佔报告并附加安全整改建议。 2. 6 信息系统安全演练 信息系统安全演练的主要 的是基于作业员工的评佔素质出发，进行日常训 练。 U 内容包括评估方法训练、测试技术训练、资料分析训练等等。 3、 职责划分 3. 1 评估管理小组 因为信息系统的风险评佔丄作本身带有一定的风险,因此加强作业管理、重视 客 户沟通就必然成为评估作业首要的保障手段。评估管理小组的主要职责正是通过 对作 业人员、作业行为、作业工具、作业 结果、历史档案以及客户资料的管理，保证整个评佔项 的顺利进行和成功交 U 付。 3. 2 评估作业小组 评佔作业小组的主要职责包括:针对资产的依赖性识别、重要性识别等;针对 系统 脆弱性的用户访问、历史资料分析、拓扑结构分析、稳定性分析等;针对系统 威胁的历 史资料分析和用户访问。以及通过分析历史资料、安全环境、用户习惯、 测试结果、 标准规范等形成风险评估报告和整改建议。 3. 3 技术测试小组 技术测试小组的主要职责包括:在获得客户许可的前提下对客户信息系统进行 现 场技术测试和模拟攻击，在远程通过善意扫描和渗透测试模仿非法行为等方式更 好的 确定系统存在的漏洞和风险,为评估作业分析提供详实、可靠的技术依据。 3.4 风险控制小组 风险控制小组的主要职责包括:根据系统的重要程度和用户对系统的业务依赖 程 度，确定整个系统的测试方法，并对测试方法进行认真审核和控制以防止对用户系 统 产生破坏作用影响客户正常的业务使用。并在测试之前形成风险控制计划和应急 响应 计划及相应措施。 4、 作业流程 4. 1 管理作业流程 首先：同客户进行接触，了解客户自身信息以及客户对于信息安全风险评估的 和 LI 的，形成《客户档案》。 其次：明确风险评佔的范围，并向客户说明风险评佔的过程和可能产生的意外 情 况。形成《风险评估范围说明书》及《客户意见表》。并根据所了解情况撰写客 户 《评估方案书》。 再次:与客户签订风险评佔服务合同和信息系统资料保密协议。争取获得客户 对 于信息系统进行现场测试和远程测试的授权书。 再次:审查、保管山测试