收藏
下载资源

企业信息安全风险评估实施细则-2017

上传人:小** 文档编号:55711166 上传时间:2018-10-04 格式:DOC 页数:96 大小:1.37MB
返回 下载 相关 举报
企业信息安全风险评估实施细则-2017_第1页
第1页 / 共96页
企业信息安全风险评估实施细则-2017_第2页
第2页 / 共96页
企业信息安全风险评估实施细则-2017_第3页
第3页 / 共96页
企业信息安全风险评估实施细则-2017_第4页
第4页 / 共96页
企业信息安全风险评估实施细则-2017_第5页
第5页 / 共96页
点击查看更多>>
资源描述

《企业信息安全风险评估实施细则-2017》由会员分享,可在线阅读,更多相关《企业信息安全风险评估实施细则-2017(96页珍藏版)》请在金锄头文库上搜索。

1、企业信息安全风险评估实施细则二八年五月目目 录录1.1.前言前言1 2.2.资产评估资产评估2 2.1.2.1.资产识别资产识别2 2.2.2.2.资产赋值资产赋值3 3.3.威胁评估威胁评估6 4.4.脆弱性评估脆弱性评估10 4.1.4.1.信息安全管理评估信息安全管理评估11 4.1.1.4.1.1.安全方针安全方针 .11 4.1.2.4.1.2.信息安全机构信息安全机构 .13 4.1.3.4.1.3.人员安全管理人员安全管理 .17 4.1.4.4.1.4.信息安全制度文件管理信息安全制度文件管理 .19 4.1.5.4.1.5.信息化建设中的安全管理信息化建设中的安全管理 .23

2、 4.1.6.4.1.6.信息安全等级保护信息安全等级保护 .29 4.1.7.4.1.7.信息安全评估管理信息安全评估管理 .32 4.1.8.4.1.8.信息安全的宣传与培训信息安全的宣传与培训 .32 4.1.9.4.1.9.信息安全监督与考核信息安全监督与考核 .34 4.1.10.4.1.10.符合性管理符合性管理 .36 4.2.4.2.信息安全运行维护评估信息安全运行维护评估37 4.2.1.4.2.1.信息系统运行管理信息系统运行管理 .37 4.2.2.4.2.2.资产分类管理资产分类管理 .41 4.2.3.4.2.3.配置与变更管理配置与变更管理 .42 4.2.4.4.

3、2.4.业务连续性管理业务连续性管理 .43 4.2.5.4.2.5.设备与介质安全设备与介质安全 .46 4.3.4.3.信息安全技术评估信息安全技术评估50 4.3.1.4.3.1.物理安全物理安全 .50 4.3.2.4.3.2.网络安全网络安全 .53 4.3.3.4.3.3.操作系统安全操作系统安全 .60 4.3.4.4.3.4.数据库安全数据库安全 .72 4.3.5.4.3.5.通用服务安全通用服务安全 .81 4.3.6.4.3.6.应用系统安全应用系统安全 .85 4.3.7.4.3.7.安全措施安全措施 .90 4.3.8.4.3.8.数据安全及备份恢复数据安全及备份恢复

4、 .9411.1.前言前言1.1.1.1. 为了规范、深化 XXX 公司信息安全风险评估工作,依据国家信息系统安全等级保护基本要求、XXX 公司信息化“SG186”工程安全防护总体方案、XXX 公司网络与信息系统安全隔离实施指导意见、XXX 公司信息安全风险评估管理暂行办法、XXX公司信息安全风险评估实施指南(以下简称实施指南),组织对XXX 公司信息安全风险评估实施细则进行了完善。1.2.1.2. 本细则是开展信息系统安全风险评估工作实施内容的主要依据,各单位在相关的信息安全检查、安全评价、信息系统安全等级保护评估工作中也可参考本细则的内容。1.3.1.3. 本细则结合公司当前信息化工作重点

5、,针对实施指南中信息资产评估、威胁评估、脆弱性评估提出了具体的评估内容。其中,资产评估内容主要针对公司一体化企业级信息系统展开;威胁评估包含非人为威胁和人为威胁等因素;脆弱性评估内容分为信息安全管理评估、信息安全运行维护评估、信息安全技术评估三部分。1.4.1.4. 公司的评估工作应在本细则的基础上,结合实施指南提出更详细的实施方案,并采用专业的评估工具对信息系统进行全面的评估和深层的统计分析,并进行风险计算,确保全面掌握信息系统的安全问题,并提供解决问题的安全建议。1.5.1.5. 本细则将随公司信息安全管理、技术、运维情况的发展而滚动修订与完善。1.6.1.6. 本标准由 XXX 公司信息

6、化工作部组织制定、发布并负责解释。22.2.资产评估资产评估资产评估是确定资产的信息安全属性(机密性、完整性、可用性等)受到破坏而对信息系统造成的影响的过程。在风险评估中,资产评估包含信息资产识别、资产赋值等内容。2.1.2.1. 资产识别资产识别资产识别主要针对提供特定业务服务能力的应用系统展开,例如:网络系统提供基础网络服务、OA 系统提供办公自动化服务。通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分,这四个部分在信息系统的实例中都显现为独立的资产实体,例如:典型的 OA 系统可分为客户端、Web 服务器、Domino 服务器、DB2数据库服务器四部分资产实

7、体。应用系统的功能模块(或子系统) ,可参照下表进行分解:应用系统分解表类别说明数据存储应用系统中负责数据存储的子系统或功能模块。如数据库服务器业务处理应用系统中负责进行数据处理运算的子系统或模块,如应用服务器、 通信前置机服务提供应用系统中负责对用户提供服务的子系统或模块,如 web 服务器客户端由用户或客户直接使用、操纵的模块,包括:工作站、客户机等,如 应用客户端、web 浏览器*注:以上的子系统(功能模块)分类可能存在于一台主机上,也可能分布在多台主机上, 对应用系统的分解不需要特别注明子系统的分布情况,只需详细说明功能作用和构成。对于不具有多层结构的系统,可根据实际情况进行简化分解,

8、例如:仅分解为服务器端与客户端。典型的应用系统分解结构图如下:3数据存 储模块业务处 理模块服务提 供模块客户端应用系统分解本细则中对公司“SG186”工程应用系统按照上表进行信息资产的分解与识别,并在资产赋值部分按照这一分解进行赋值。2.2.2.2. 资产赋值资产赋值根据实施指南的定义,资产评估中对资产的赋值最终结果是对识别出的独立资产实体的赋值。每项资产都要进行机密性要求、完整性要求、可用性要求的赋值,赋值定义为:安全性要求很高5、安全性要求高4、安全性要求中等3、安全性要求低2、安全性要求很低1。结合资产识别的情况,对公司“SG186”工程应用系统的各部分进行赋值,结果见下表。:代表数据

9、传输4客户端业务系统系统安全 等级管理员普通用户服务提供业务处理数据存储CIACIACIACIACIA企业信息门户2422311224113 数据中心2422 233233444数据交换平台2311 134123 目录与单点登录系统2411 334223444一体化平台信息网络2313 144 财务管理系统3544433355242353财务资金资金管理系统3544433355242353营销管理信息系统3533422355242353客户缴费系统331121122412425395598 客户服务管理系统3312211113113232 电能信息实时采集与监控系 统2311211131131

10、131市场管理系统2311211131131131客户关系系统2311211131131131需求侧管理系统3322211344244344营销管理辅助决策系统2311211132132132调度管理信息系统2322211133133133生产管理信息系统2322211133133133地理信息系统2322211133133133安全监督管理信息系统2311211131131131安全生产电力市场交易系统3422322244244244协同办公协同办公2424323434323434人力资源人力资源管理系统23222111311313315业务系统系统安全 等级客户端服务提供业务处理数据存储管

11、理员普通用户CIACIACIACIACIA物资管理系统2311211131131131物资管理招投标系统2431321331331331项目管理项目管理系统2311211131131131规划计划管理系统2311211131131131审计管理系统2311211331331331金融信息管理系统2311211131131131法律事务管理系统2311211331331331国际合作业务应用系统2311211331331331综合管理纪检监察管理系统2311211131131131ERP 系统ERP 系统3433322344344344说明:(1)C 代表机密性赋值、I 代表完整性赋值、A 代表

12、可用性赋值。(2)系统安全等级作为业务系统资产权值与每项赋值相乘后参与风险计算过程。(3)对各单位不包括在“SG186”工程中的应用系统,系统安全等级按照XXX 公司信息系统安全保护等级定级指南定义方法计算出来,资产赋值按照实施指南定义的方法进行识别和赋值,同时可参考上的表赋值结果。63.3.威胁评估威胁评估在信息安全风险评估中,威胁评估也分为威胁识别和威胁赋值两部分内容。威胁识别通常依据威胁列表对历史事件进行分析和判断获得的。由于信息系统运行环境千差万别,威胁可能性赋值无法给出统一定义,例如:海边城市受到台风威胁的可能性要大。本细则中仅给出威胁对信息资产机密性、完整性和可用性破坏的严重程度赋

13、值。赋值定义为:破坏严重程度很大5、破坏严重程度大4、破坏严重程度中等3、破坏严重程度小2、破坏严重程度很小1。在评估实施时需要依据实施指南定义的方法,结合实际情况对威胁可能性进行判断。下表是常见的威胁列表。7严重程度严重程度威胁分类威胁分类威胁名称威胁名称说明说明威胁可能性威胁可能性C CI IA A 火山爆发由火山爆发引起的故障N/A55 飓风由于飓风引起的系统故障N/A45 地震由地震引起的系统故障N/A45人员丧失由于各种原因,如疾病、道路故障、暴动等原因导致人员 无法正常工作引起的系统无法使用故障N/AN/A3硬件故障系统由于硬件设备老旧、损坏等造成的无法使用问题N/A45 雷电由雷

14、电引起的系统故障N/A55火灾由火灾引起的系统故障,包括在火灾发生后进行消防工作 中引起的设备不可用问题N/A45水灾由水灾引起的系统故障,包括在水灾发生后进行消防工作 中引起的设备不可用问题N/A45雪崩由于雪崩引起的问题N/A24 温度异常由温度超标引起的故障N/A44 湿度异常由湿度超标引起的故障N/A33 灰尘、尘土由灰尘超标引起的故障N/A33 强磁场干扰由磁场干扰引起的故障N/A33电力故障由于电力中断、用电波动、供电设备损坏导致系统停止 运行等导致的系统故障N/A44系统软件故障由于系统软件故障所产生的问题344 应用软件故障由于应用软件故障所产生的问题445 软件缺陷软件缺陷导

15、致的安全问题444 通信故障由于通信故障所产生的问题N/A24非人为威胁DNS 失败由于 DNS 的问题导致的问题114由于误操作传输错误 的或不应传送的数据个人失误导致的安全问题431人为威胁关键员工的离职由于关键员工的离职造成系统的安全问题N/AN/A48威胁分类威胁分类威胁名称威胁名称说明说明威胁可能性威胁可能性严重程度严重程度C CI IA A 离开时未锁门由于离开时未锁门造成系统的安全问题431 离开时屏保未锁定由于离开时屏保未锁定造成的安全问题411 在不恰当的人员中讨 论敏感文档由于在不恰当的人员中讨论敏感文档造成的安全问题5N/AN/A不恰当的配置和操作不恰当的管理系统、数据库

16、、无意的数据操作,导致安 全问题344拒绝服务攻击攻击者以一种或者多种损害信息资源访问或使用能力的 方式消耗信息系统资源N/A35由于设备(如笔记本) 丢失导致泄密等安全问题444过时的规定由于采用过时的规定所造成的安全问题443 不遵守安全策略可能导致各种可能的安全威胁444 不恰当的使用设备、 系统与软件不当的使用设备造成的安全威胁N/A44恶意破坏系统设施对系统设备、存储介质等资产进行恶意破坏N/A45滥用由于某授权的用户(有意或无意的)执行了授权他人要 执行的举动、可能会发生检测不到的信息资产损害543设备或软件被控制或 破坏恶意的控制或破坏设备,以取得机密信息54N/A远程维护端口被非授 权的使用恶意的使用远程维护端口,控制主机444数据传输或电话被监 听恶意截获传输数据4N/AN/A办公地点被非授权的 控制恶意监控办公地点、重要地带,获取重要信息544侦察通过系统开放的服务进行信息收集,获取系统的相关信 息,包括系统的软件、硬件和用户情况等信息44N/A9威胁分类

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 商业/管理/HR > 管理学资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号