《信息安全风险评估实施细则(DOC 73页)》由会员分享,可在线阅读,更多相关《信息安全风险评估实施细则(DOC 73页)(76页珍藏版)》请在金锄头文库上搜索。
1、-CAL-FENGHAI-(2020YEAR-YICAI)_JINGBIAN信息安全风险评估实施细则XXX公司信息安全风险评估实施细则二八年五月编制说明根据XXX公司信息安全风险评估实施指南和XXX公司信息安全风险评估实施细则(试行),近年来公司组织开展了风险评估常态化推广,通过多年对实施细则的应用、实践与总结,需要进一步对实施细则的内容进行调整和完善。另一方面,随着国家对信息系统安全等级保护等相关政策、标准和基本要求,和公司信息化“SG186”工程安全防护总体方案和公司网络与信息系统安全隔离实施指导意见要求,也需要进一步对实施细则内容进行修订。本细则主要修订了原有试行细则第四章脆弱性评估部分
2、的具体内容。主要包括:1、在原有基础上,增加或修改了信息安全管理评估、信息安全运行维护评估、信息安全技术评估的具体要求。为保持本实施细则的可操作性,针对新增的具体要求,按原细则格式添加了标准分值、评分标准和与资产的安全属性(C、I、A)的对应关系。目前,调整后总分值从原先的3000分调整至5000分,其中,管理占1800分、运行维护占1400分、技术占1800分。2、为了与公司等级保护评估相结合并对应,框架结构方面,将信息安全运行维护评估(第节)中的“物理环境安全”部分调整至信息安全技术评估(第4.3.1小节),在信息安全技术评估中新增了“数据安全及备份恢复”(第小节);具体内容方面,在每项具
3、体要求新增了等级保护对应列。目 录1.前言12.资产评估2.资产识别2.资产赋值33.威胁评估64.脆弱性评估10.信息安全管理评估11安全方针11信息安全机构13人员安全管理17信息安全制度文件管理19信息化建设中的安全管理23信息安全等级保护29信息安全评估管理32信息安全的宣传与培训32信息安全监督与考核34符合性管理36.信息安全运行维护评估37信息系统运行管理37资产分类管理41配置与变更管理42业务连续性管理43设备与介质安全46.信息安全技术评估50物理安全50网络安全53操作系统安全60数据库安全72通用服务安全81应用系统安全85安全措施90数据安全及备份恢复941. 前言1
4、.1. 为了规范、深化XXX公司信息安全风险评估工作,依据国家信息系统安全等级保护基本要求、XXX公司信息化“SG186”工程安全防护总体方案、XXX公司网络与信息系统安全隔离实施指导意见、XXX公司信息安全风险评估管理暂行办法、XXX公司信息安全风险评估实施指南(以下简称实施指南),组织对XXX公司信息安全风险评估实施细则进行了完善。1.2. 本细则是开展信息系统安全风险评估工作实施内容的主要依据,各单位在相关的信息安全检查、安全评价、信息系统安全等级保护评估工作中也可参考本细则的内容。1.3. 本细则结合公司当前信息化工作重点,针对实施指南中信息资产评估、威胁评估、脆弱性评估提出了具体的评
5、估内容。其中,资产评估内容主要针对公司一体化企业级信息系统展开;威胁评估包含非人为威胁和人为威胁等因素;脆弱性评估内容分为信息安全管理评估、信息安全运行维护评估、信息安全技术评估三部分。1.4. 公司的评估工作应在本细则的基础上,结合实施指南提出更详细的实施方案,并采用专业的评估工具对信息系统进行全面的评估和深层的统计分析,并进行风险计算,确保全面掌握信息系统的安全问题,并提供解决问题的安全建议。1.5. 本细则将随公司信息安全管理、技术、运维情况的发展而滚动修订与完善。1.6. 本标准由XXX公司信息化工作部组织制定、发布并负责解释。2. 资产评估资产评估是确定资产的信息安全属性(机密性、完
6、整性、可用性等)受到破坏而对信息系统造成的影响的过程。在风险评估中,资产评估包含信息资产识别、资产赋值等内容。2.1. 资产识别资产识别主要针对提供特定业务服务能力的应用系统展开,例如:网络系统提供基础网络服务、OA系统提供办公自动化服务。通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分,这四个部分在信息系统的实例中都显现为独立的资产实体,例如:典型的OA系统可分为客户端、Web服务器、Domino服务器、DB2数据库服务器四部分资产实体。应用系统的功能模块(或子系统),可参照下表进行分解:应用系统分解表类别说明数据存储应用系统中负责数据存储的子系统或功能模块。如
7、数据库服务器业务处理应用系统中负责进行数据处理运算的子系统或模块,如应用服务器、通信前置机服务提供应用系统中负责对用户提供服务的子系统或模块,如web服务器客户端由用户或客户直接使用、操纵的模块,包括:工作站、客户机等,如应用客户端、web浏览器*注:以上的子系统(功能模块)分类可能存在于一台主机上,也可能分布在多台主机上,对应用系统的分解不需要特别注明子系统的分布情况,只需详细说明功能作用和构成。对于不具有多层结构的系统,可根据实际情况进行简化分解,例如:仅分解为服务器端与客户端。典型的应用系统分解结构图如下:代表数据传输数据存储模块业务处理模块服务提供模块客户端应用系统分解本细则中对公司“
8、SG186”工程应用系统按照上表进行信息资产的分解与识别,并在资产赋值部分按照这一分解进行赋值。2.2. 资产赋值根据实施指南的定义,资产评估中对资产的赋值最终结果是对识别出的独立资产实体的赋值。每项资产都要进行机密性要求、完整性要求、可用性要求的赋值,赋值定义为:安全性要求很高5、安全性要求高4、安全性要求中等3、安全性要求低2、安全性要求很低1。结合资产识别的情况,对公司“SG186”工程应用系统的各部分进行赋值,结果见下表。业务系统系统安全等级客户端服务提供业务处理数据存储管理员普通用户CIACIACIACIACIA一体化平台企业信息门户2422311224113数据中心24222332
9、33444数据交换平台2311134123目录与单点登录系统2411334223444信息网络2313144财务资金财务管理系统3544433355242353资金管理系统3544433355242353营销管理营销管理信息系统3533422355242353客户缴费系统331121122412425395598客户服务管理系统3312211113113232电能信息实时采集与监控系统2311211131131131市场管理系统2311211131131131客户关系系统2311211131131131需求侧管理系统3322211344244344辅助决策系统2311211132132132安
10、全生产调度管理信息系统2322211133133133生产管理信息系统2322211133133133地理信息系统2322211133133133安全监督管理信息系统2311211131131131电力市场交易系统3422322244244244协同办公协同办公2424323434323434人力资源人力资源管理系统2322211131131331物资管理物资管理系统2311211131131131招投标系统2431321331331331项目管理项目管理系统2311211131131131综合管理规划计划管理系统2311211131131131审计管理系统2311211331331331金融
11、信息管理系统2311211131131131法律事务管理系统2311211331331331国际合作业务应用系统2311211331331331纪检监察管理系统2311211131131131ERP系统ERP系统3433322344344344说明:(1)C代表机密性赋值、I代表完整性赋值、A代表可用性赋值。(2)系统安全等级作为业务系统资产权值与每项赋值相乘后参与风险计算过程。(3)对各单位不包括在“SG186”工程中的应用系统,系统安全等级按照XXX公司信息系统安全保护等级定级指南定义方法计算出来,资产赋值按照实施指南定义的方法进行识别和赋值,同时可参考上的表赋值结果。3. 威胁评估在信息安全风险评估中,威胁评估也分为威胁识别和威胁赋值两部分内容。威胁识别通常依据威胁列表对历史事件进行分析和判断获得的。由于信息系统运行环境千差万别,威胁可能性赋值无法给出统一定义,例如:海边城市受到台风威胁的可能性要大。本细则中仅给
