账户远程核准影像管理系统风险评估报告.docVIP

PAGE

人民币银行结算账户核准影像管理系统

风险评估报告

项目名称：人民币银行结算账户核准影像管理系统

风险评估单位:

2008年8月28日

目录

TOC\o”1—3\h\z\uHYPERLINK\l”_Toc203205511”1、风险评估项目概述 1

_Toc203205514”1.1.2建设单位基本信息 1

HYPERLINK\l”_Toc2032055151。1。3承建单位基本信息 2

HYPERLINK\l”_Toc2032055161.2风险评估实施单位基本情况 2

_Toc203205518”2.1风险评估工作组织管理 4

HYPERLINK\l”_Toc203205519”2.2风险评估工作过程 5

HYPERLINK\l”_Toc2032055202.3依据的技术标准及相关法规文件 6

3、评估对象 8

HYPERLINK\l”_Toc203205523”3.1评估对象构成与定级 8

HYPERLINK\l”_Toc2032055243.1.1网络结构 8

HYPERLINK\l”_Toc203205525”3。1.2业务应用 9

HYPERLINK\l”_Toc203205527”3.2评估对象等级保护措施 10

_Toc203205531”4。1资产类型与赋值 12

4。2关键资产说明 12

HYPERLINK\l”_Toc203205535”5、威胁识别与分析 13

_Toc203205560”7、风险分析 16

HYPERLINK\l”_Toc203205561”7。1关键资产的风险计算结果 16

7.2关键资产的风险等级 16

7.2。1风险等级列表 16

_Toc2032055657。2。3基于脆弱性的风险排名 17

HYPERLINK\l”_Toc203205566”7。2.4风险结果分析 18

_Toc203205568”9、整改意见 20

附件1：管理措施表 21

附件2：技术措施表 23

HYPERLINK\l”_Toc203205571附件3：资产类型与赋值表 25

附件4：脆弱性赋值表 27

1、风险评估项目概述

1。1工程项目概况

1。1。1建设项目基本信息

工程项目名称

人民币银行结算账户远程核准影像管理系统

工程项目批复的建设内容

非涉密信息系统部分的建设内容

在不改变现有账户管理系统操作流程的前提下，通过对纸质开户资料进行扫描、传输、审核、比对、存贮、查阅和管理，实现远程核准银行结算账户和账户资料档案影像化管理。

相应的信息安全保护系统建设内容

以WIN2003Server做为服务器平台；数据库使用MYSQL网络数据库；以人行省会中支网间互联平台为基础；与人民币银行结算账户管理系统共享客户端硬件资源。

项目完成时间

2011年8月3日

项目试运行时间

2011年8月8日

1.1.2建设单位基本信息

工程建设牵头部门

部门名称

中国人民银行

工程责任人

通信地址

联系电话

电子邮件

工程建设参与部门

部门名称

工程责任人

通信地址

联系电话

电子邮件

工程建设参与部门

部门名称

工程责任人

通信地址

联系电话

电子邮件

1。1.3承建单位基本信息

单位名称

单位性质

法人代表

通信地址

联系电话

电子邮件

1.2风险评估实施单位基本情况

评估单位名称

法人代表

通信地址

联系电话

电子邮件

二、风险评估活动概述

2。1风险评估工作组织管理

1．建立评估领导小组

领导小组的工作职责是:在中支计算机信息安全工作领导小组的领导下，确定评估的范围和目的、组织结构和任务分工,并对最终评估结果进行评审。信息安全评估领导小组人员组成及分工如下：

办公室的主要职责是：编写评估方案，组织宣传培训，围绕关键业务威胁、风险的技术分析，评估各阶段的具体实施工作，及时向领导小组反馈问题，提交最终评估报告。

2、原则

（1）保密原则

在风险评估过程中,将严格遵循保密原则,对评估过程中涉及到的任何信息未允许不向其他任何第三方泄露。

（2）互动原则

在整个风险评估过程中，将强调员工的互动参与，进而更好地进行风险评估工作。

(3）最小影响原则

风险评估工作应尽可能小地影响系统和网络的正常运行，不能对业务的正常运行产生明显的影响，如无法避免，则应做出说明。

（4）规范性原则

信息安全风险评估的实施必须依照规范的操作流程进行，对操作过程和结果要有相应的记录。

（5)质量保障原则