信息安全等级保护风险评估
- 格式:docx
- 大小:58.80 KB
- 文档页数:14
信息安全等级保护
风险评估
生命周期代码 描述
P 计划
文件修订记录
版本 日期 描述 准备 检查 批准
V1.0 XXX-11-27 内部评审 XXX
目录
1 介绍 ............................................................................................................................................................. 4 2 2 风险评估准备 .............................................................................................................................................. 4
2.1 评估目标....................................................................................................................................... 4
2.2 评估范围....................................................................................................................................... 4
2.3 风险评估团队 ............................................................................................................................... 4
2.4 系统调研....................................................................................................................................... 4
2.5 评估依据....................................................................................................................................... 4
2.6 评估方案....................................................................................................................................... 4
2.6.1 团队组织 ........................................................................................................................ 4
2.6.2 工作计划 ........................................................................................................................ 5
2.6.3 进度安排 ........................................................................................................................ 5
3 资产识别 ..................................................................................................................................................... 5
3.1 资产分类....................................................................................................................................... 5
3.2 资产赋值....................................................................................................................................... 6
3.2.1 保密性赋值 .................................................................................................................... 6
3.2.2 完整性赋值 .................................................................................................................... 6
3.2.3 可用性赋值 .................................................................................................................... 7
3.2.4 资产重要性等级 ............................................................................................................. 7
3.3 威胁识别....................................................................................................................................... 7
3.3.1 威胁分类 ........................................................................................................................ 7
3.3.2 威胁赋值 ...................................................................................................................... 10
3.4 脆弱性的识别 ............................................................................................................................. 11
3.5 脆弱性识别 .................................................................................................... 错误!未定义书签。
4 评估准备 ...................................................................................................................... 错误!未定义书签。
4.1 测试 ............................................................................................................................................ 13
4.1.1 关于项目的情况 ........................................................................................................... 13
3
4
1 介绍
根据国家信息安全等级保护测评的要求,需要对组织的信息安全资产进行分类保护。在确定信息安全保护等级前需要对信息系统及资产进行风险评估,以确定关键信息资产所面临的风险,并为后续实施安全措施提供依据。将组织的信息系统及资产所面临的风险降到一个组织可接受的水平。
2 风险评估准备
2.1 评估目标
根据国家信息安全等级保护的测评标准,结合满足组织业务持续发展在安全方面的需要以及符合法律法规的规定等内容,识别现有信息系统及管理上的不足,评估肯能造成更大风险大小。
2.2 评估范围
风险评估范围可能是组织全部的信息资产及与信息处理相关的各类资产、管理机构,也也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或者部门等。
2.3 风险评估团队
本次风险评估的实施团队,有客户管理层、业务骨干、信息技术管理负责人及第三方的安全服务顾问组成风险评估小组。
评估时应准备好评估前的表格、文档、检测工具等各项准备工作,进行风险评估技术培训和保密教育,制定风险评估过程管理的相关规定。可根据被评估方要求,双方签署保密合同,必要时签署个人保密协议。关于相关的评估表格和检测工具请参考xxx-xx
2.4 系统调研
为了确定被评估对象,风险评估小组对测评系统进行充分的调研,以便为风险评估提供依据和方法。并为评估内容的客观性奠定基础。本次调研的内容主要包括以下几方面:
调研对象 调研方式 备注
业务战略及管理制度 调查问卷
主要业务功能及要求 现场面谈
网络结构及网络环境 调查问卷
主要的资产(软、硬件资源) 调查问卷
数据和信息的敏感性 调查问卷
支持和使用系统的人员 现场面谈
2.5 评估依据
根据国家信息安全等级保护测评标准,请参考xxx-xxx。
2.6 评估方案
为了给后续的风险评估活动提供一个总体计划,为了指导实施方开展后续工作。本方案由以下几个部分组成:
2.6.1 团队组织
本次风险评估的团队成员分别来自xx组织和公司,整个团队由XX公司的一位技术专家、一名信息安全工程师和客户方的信息管理员组成。