《企业信息安全风险评估实施细则-2018年》由会员分享,可在线阅读,更多相关《企业信息安全风险评估实施细则-2018年(101页珍藏版)》请在金锄头文库上搜索。
1、完美 WORD 格式企业信息安全风险评估实施细则专业整理知识分享完美 WORD 格式二八年五月专业整理知识分享完美 WORD 格式目 录1.前言 .12.资产评估.22.1.资产识别 . .22.2.资产赋值 . .33.威胁评估.64.脆弱性评估 .114.1.信息安全管理评估 . .124.1.1.安全方针 . .124.1.2.信息安全机构 . .144.1.3.人员安全管理 . .184.1.4.信息安全制度文件管理 . .204.1.5.信息化建设中的安全管理 . .244.1.6.信息安全等级保护 . .304.1.7.信息安全评估管理 . .334.1.8.信息安全的宣传与培训
2、. .334.1.9.信息安全监督与考核 . .354.1.10.符合性管理 . .374.2.信息安全运行维护评估 . .384.2.1.信息系统运行管理 . .384.2.2.资产分类管理 . .424.2.3.配置与变更管理 . .434.2.4.业务连续性管理 . .444.2.5.设备与介质安全 . .474.3.信息安全技术评估 . .514.3.1.物理安全 . .514.3.2.网络安全 . .544.3.3.操作系统安全 . .604.3.4.数据库安全 . .734.3.5.通用服务安全 . .834.3.6.应用系统安全 . .874.3.7.安全措施 . .924.3.
3、8.数据安全及备份恢复 . .96专业整理知识分享完美 WORD 格式专业整理知识分享完美 WORD 格式1. 前言1.1.为了规范、深化XXX公司信息安全风险评估工作,依据国家信息系统安全等级保护基本要求、 XXX公司信息化“ SG186”工程安全防护总体方案、 XXX公司网络与信息系统安全隔离实施指导意见、XXX公司信息安全风险评估管理暂行办法、XXX公司信息安全风险评估实施指南(以下简称实施指南),组织对XXX公司信息安全风险评估实施细则进行了完善。1.2.本细则是开展信息系统安全风险评估工作实施内容的主要依据,各单位在相关的信息安全检查、安全评价、信息系统安全等级保护评估工作中也可参考
4、本细则的内容。1.3.本细则结合公司当前信息化工作重点,针对实施指南 中信息资产评估、威胁评估、脆弱性评估提出了具体的评估内容。其中,资产评估内容主要针对公司一体化企业级信息系统展开; 威胁评估包含非人为威胁和人为威胁等因素;脆弱性评估内容分为信息安全管理评估、信息安全运行维护评估、信息安全技术评估三部分。1.4.公司的评估工作应在本细则的基础上,结合实施指南提出更详细的实施方案,并采用专业的评估工具对信息系统进行全面的评估和深层的统计分析,并进行风险计算, 确保全面掌握信息系统的安全问题,并提供解决问题的安全建议。1.5.本细则将随公司信息安全管理、技术、运维情况的发展而滚动修订与完善。1.
5、6.本标准由XXX公司信息化工作部组织制定、发布并负责解释。专业整理知识分享完美 WORD 格式2. 资产评估资产评估是确定资产的信息安全属性 (机密性、完整性、 可用性等)受到破坏而对信息系统造成的影响的过程。在风险评估中,资产评估包含信息资产识别、资产赋值等内容。2.1. 资产识别资产识别主要针对提供特定业务服务能力的应用系统展开,例如:网络系统提供基础网络服务、 OA系统提供办公自动化服务。通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分,这四个部分在信息系统的实例中都显现为独立的资产实体,例如:典型的OA系统可分为客户端、 Web服务器、 Domino 服
6、务器、 DB2 数据库服务器四部分资产实体。应用系统的功能模块(或子系统),可参照下表进行分解:应用系统分解表类别说明数据存储应用系统中负责数据存储的子系统或功能模块。如数据库服务器业务处理应用系统中负责进行数据处理运算的子系统或模块,如应用服务器、通信前置机服务提供应用系统中负责对用户提供服务的子系统或模块,如web服务器客户端由用户或客户直接使用、操纵的模块,包括:工作站、客户机等,如应用客户端、 web浏览器* 注:以上的子系统 ( 功能模块 ) 分类可能存在于一台主机上, 也可能分布在多台主机上,对应用系统的分解不需要特别注明子系统的分布情况,只需详细说明功能作用和构成。对于不具有多层结构的系统,可根据实际情况进行简化分解,例如: 仅分解为服务器端与客户端。典型的应用系统分解结构图如下:应用系统分解数据存储模块业务处理模块服务提供模块客户端:代表数据传输专业整理知识分享
