《信息安全风险评估方案模板》由会员分享,可在线阅读,更多相关《信息安全风险评估方案模板(61页珍藏版)》请在金锄头文库上搜索。
1、 . . . _某单位 信息安全风险评估投标书技术部分_启明星辰信息安全技术注释:本文档所包含的信息在未事先得到启明星辰信息技术股份书面同意之前,本文档全部或部分容不得用于其他任何用途或交与第三方。 / 目 录第1章项目概述51.1.项目背景51.2.项目目标51.3.项目围61.4.项目容6第2章项目需求理解7第3章项目方案设计73.1.设计目标73.2.设计原则83.3.设计依据83.3.1.政策依据83.3.2.标准依据93.4.方法模型103.4.1.风险关系模型103.4.2.风险分析方法模型113.5.工具方法123.5.1.风险评估采用方法123.5.2.风险评估使用工具13第4
2、章风险评估实施流程144.1.阶段1:项目启动阶段144.1.1.阶段目标144.1.2.阶段步骤154.1.3.阶段输出154.2.阶段2:资产评估阶段164.2.1.阶段目标164.2.2.阶段步骤164.2.3.阶段方法164.2.4.阶段输出174.3.阶段3:威胁评估174.3.1.阶段目标174.3.2.阶段步骤174.3.3.阶段方法184.3.4.阶段输出194.4.阶段4:脆弱性评估194.4.1.阶段目标194.4.2.实施步骤194.4.3.已有安全措施识别384.4.4.阶段输出394.5.阶段5:风险综合分析394.5.1.阶段目标394.5.2.阶段步骤394.5.
3、3.阶段输出424.6.阶段6:风险处置计划424.7.阶段7:风险评估验收434.7.1.成果交付434.7.2.成果验收44第5章应急预案修订与演练445.1.应急预案修订445.1.1.修订方法445.1.2.修订程序445.1.3.修订要点455.1.4.阶段输出455.2.应急预案演练455.2.1.应急演练目标:465.2.2.应急演练计划465.3.项目验收49第6章项目管理496.1.组织管理506.2.围管理516.2.1.围定义516.2.2.围变更控制516.3.进度管理526.4.风险管理536.5.质量管理536.5.1.项目实施负责人质量控制536.5.2.项目经理
4、质量控制536.5.3.质量管理质量控制536.6.沟通管理546.6.1.协调沟通机制基本准则546.6.2.沟通计划546.7.会议管理556.8.文档管理556.9.管理56第7章人员安排567.1.职责和分工567.2.人员简历57第8章项目计划688.1.总体计划688.2.项目计划时间表70第9章项目收益70第10章成果交付一览表70第11章成功案例7111.1.重点案例列表7111.2.重点案例简介7211.2.1.金融案例7211.2.2.电信案例7311.2.3.能源案例7311.2.4.政府案例74第12章公司优势7412.1.公司简介7412.2.公司资质75第1章 项目
5、概述1.1. 项目背景中国石油天然气股份管道分公司简称某单位隶属于中国石油天然气股份,主要负责长输油气管道的运营管理、建设和科研。公司下辖、等26个输油气单位以及管道工程项目经理部、管道科技中心等单位,所属单位和人员分布在全国17个省自治区、直辖市。公司拥有集油气管道输送技术研发、服务、培训、检测和监测为一体的专业科研机构,科研力量雄厚,科研设施完备,拥有管道核心技术研发能力。在油气储运工艺、管道完整性管理、管道化学添加剂、管道规划、信息与经济等研究领域整体处于国领先水平。随着 十二五计划的开局与发展,某单位将加快战略转型,深入使用信息化科技手段提高生产效率。当企业经营数据、生产过程控制及信息
6、交换完成信息化的大集中后,信息系统的安全一旦受到破坏将产生严重的、不可估量的后果。因此,某单位急需展开信息安全风险评估专项工作,加强信息安全建设和管理,本次项目根据某单位工作要求,结合国家相关政策要求,依据信息安全建设相关国际和国标准,对石油管道公司重要信息系统进行完整的信息系统评估,为公司信息系统的安全运行提供有力的保障。1.2. 项目目标安全评估的目的通常包括以下几个方面:n 确定可能对信息系统造成危害的威胁n 通过历史资料和专家的经验确定威胁实施的可能性n 对可能受到威胁影响的信息资产确定其价值、敏感性和严重性n 对各类信息资产,确定一旦威胁发生其潜在的损失或破坏针对本次的安全评估,主要
7、包括以下目的:n 准确了解企业的网络和系统安全现状n 明晰企业的安全需求n 制定企业网络和系统的安全策略n 制定企业网络和系统的安全解决方案n 指导企业未来的安全建设和投入n 指导企业建立信息安全框架1.3. 项目围此次信息安全评估服务围涵盖由项目组双方沟通确认,推荐主管信息化部门、系统建设和运维部门、业务部门都参与本次项目。涉及的信息系统如下表所示:实施围 围类型 详细资产技术评估围物理环境评估设备系统所在机房 主机系统主机设备名称操作系统型号IP地址 数据库系统数据库 应用中间件信息系统中间件WEBLOGIC、WEBSPHERE、APACHE、TOMCAT等 网络设备核心层交换机 汇聚层交
8、换机 接入层交换机 安全设备IPS、IDS、防火墙管理评估围安全管理机构信息系统责任单位的安全管理机构设置情况 安全管理制度信息系统责任单位的安全管理制度建设情况 人员安全管理信息系统责任单位的人员安全管理情况 系统建设管理信息系统责任单位的系统建设管理情况 系统运维管理信息系统责任单位的系统运维管理情况 1.4. 项目容本次安全评估的容包括:n 通过技术性检测评估,获得网络层存在的网络安全漏洞报告;n 通过问卷调查和交流沟通,了解非技术层面的安全漏洞;n 通过对上述技术和非技术漏洞的分析,得出安全状况报告;n 提出网络安全策略和网络安全解决方案,指导下一步的网络安全建设;n 根据某单位的要求
9、,可以进行授权渗透测试,模拟黑客入侵的过程;第2章 项目需求理解风险评估的围应全面,涉及到网络信息系统的各个方面,包括物理环境、网络结构、应用系统、数据库、服务器及网络安全设备的安全性、安全产品和技术的应用状况以及管理体系是否完善等等;同时对管理风险、综合安全风险以及应用系统安全性进行评估。风险评估采用专业工具扫描、人工评估、渗透测试三种相结合的方式,对各种操作系统进行评估,包括:与口令安全、网络服务安全、核参数安全、文件系统安全、日志安全等;从应用系统相关硬件、软件和数据等方面来审核应用所处环境下存在哪些威胁,根据应用系统所存在的威胁,来确定需要达到哪些系统安全目标才能保证应用系统能够抵挡预
10、期的安全威胁。第3章 项目方案设计3.1. 设计目标本次风险评估的安全服务项目主要目标是:n 通过风险评估,得到某单位的整体安全现状;n 通过资产评估,得到某单位的网络信息安全资产状况,并录入资产库,进行资产梳理;n 通过威胁评估,得到某单位存在的安全威胁情况;n 通过脆弱性评估,得到某单位当前业务系统存在的脆弱性;n 对各个业务系统进行综合风险分析,得到风险情况,提出分系统的安全解决方案;n 提出各个系统的风险处置解决方案。3.2. 设计原则1.标准性原则遵循国家、行业和组织相关标准开展风险评估工作。2.可控性原则在项目建设与实施过程中,应保证参与实施的人员、使用的技术和工具、过程都是可控的
11、。3.完整性原则项目方案要充分考虑项目所有环节,做到统筹兼顾,细节清楚。4.最小影响原则项目的所有阶段,保证项目实施过程工作对系统正常运行的可能影响降低到最低限度,不会对某单位目前的业务系统运行造成明显的影响。5.原则项目的所有阶段,将严格遵循原则,服务过程中涉及到的任何用户信息均属信息,不得泄露给第三方单位或个人,不得利用这些信息损害用户利益。并与某单位签订协议,承诺未经允许不向其他任何第三方泄露有关信息系统的信息。3.3. 设计依据本方案设计主要参照以下政策和标准进行设计。3.3.1. 政策依据表格 1 相关策略时间相关政策文件20XX 国家信息化领导小组关于加强信息安全保障工作的意见中办
12、发27号文,提出要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估。20XX 为贯彻落实27号文件精神,原国信办组织有关单位和专家编写了信息安全风险评估指南。20XX 国务院信息化工作办公室关于印发的通知国信办20055号,组织在、等地方以及银行、税务、电力等重要行业开展信息安全风险评估试点工作。20XX 由国家网络与信息安全协调小组讨论通过的关于开展信息安全风险评估工作的意见国信办20065号,文件要求三年在国家基础信息网络和重要行业信息系统中普遍推行信息安全风险评估工作。 中共中央办公厅国务院办公厅关于印发20062020年国家信息化发展战略的通知
13、中办200611号文提出加强信息安全风险评估工作。 20XX 为保障十七大,在国家基础信息网络和重要信息系统围,全面展开了自评估工作。中国移动、电力、税务、证券20XX 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知发改高技20082071号,明确加强和规国家电子政务工程建设项目信息安全风险评估工作。3.3.2. 标准依据表格 2 相关标准标准类型参考标准国际标准v ISO15408 信息技术安全评估准则v ISO/IEC TR 13335信息和通信技术安全管理v ISO/TR 13569 银行和相关金融服务信息安全指南v ISO/IEC 27000 信息安全管理体系系列标准v AS/NZS 4360 风险管理v NIST SP 800-30 IT系统风险管理指南国标准v GB17859计算机信息系统安全保护等级划分准则v GBT 20984信息安全风险评估规v GBT 22239信息安全技术信息系统安全等级
