信息安全风险评估计划

-1-信息安全风险评估计划-2-目录1.工作目标.................................................................................................................................................32.工作依据.................................................................................................................................................33.风险评估范围..........................................................................................................................................54.工作任务.................................................................................................................................................55.实施人员.................................................................................................................................................66.工作进度安排..........................................................................................................................................96.1.自评估工作启动....................................................................................................................................96.2.资产识别................................................................................................................................................96.3.脆弱性识别............................................................................................................................................96.4.威胁识别..............................................................................................................................................106.5.风险分析和处理计划..........................................................................................................................106.6.评估总结..............................................................................................................................................106.7.管理体系建设......................................................................................................................................117.日程安排...................................................................................................................错误!未定义书签。-3-1.工作目标根据《华润集团信息安全标准》文件要求，组织本单位开展信息安全风险自评估工作，并掌握信息安全风险评估方法，摸清自身安全风险状况，增强信息安全意识，加强信息安全建设，提高信息安全防范水平。2.工作依据1)国家信息化领导小组《关于加强信息安全保障工作的意见》（中办发〔2003〕27号）2)国家网络与信息安全协调小组《关于开展信息安全风险评估工作的意见》（国信办〔2006〕5号）3)深圳市关于开展信息安全风险评估工作的实施意见（深科信〔2006〕268号）4)信息安全技术信息安全风险评估规范（GB/T20984-2007）5)电子计算机场地通用规范（GB/T2887-2000）6)计算机场地安全要求（GB/T9361-2011）7)信息技术安全技术信息技术安全性评估准则（GB/T18336-2008）8)信息技术安全管理指南（GB/T19715.1-2005）9)信息技术信息安全管理实用规则（GB/T19716-2005）10)信息安全技术操作系统安全评估准则（GB/T20008-2005）11)国家信息化领导小组《关于加强信息安全保障工作的意见》-4-（中办发〔2003〕27号）12)信息安全技术数据库管理系统安全评估准则（GB/T20009-2005）13)信息安全技术包过滤防火墙评估准则（GB/T20010-2005）14)信息安全技术路由器安全评估准则（GB/T20011-2005）15)信息安全技术信息系统安全管理要求（GB/T20269-2006）16)信息安全技术网络基础安全技术要求（GB/T20270-2006）17)信息安全技术信息系统通用安全技术要求（GB/T20271-2006）18)信息安全技术操作系统安全技术要求（GB/T20272-2006）19)信息安全技术数据库管理系统安全技术要求（GB/T20273-2006）20)信息安全技术网络和终端设备隔离部件测试评价方法（GB/T20277-2006）21)信息安全技术网络和终端设备隔离部件安全技术要求（GB/T20279-2006）22)信息安全技术防火墙技术要求和测试评价方法（GB/T20281-2006）23)信息安全技术信息系统安全工程管理要求（GB/T20282-2006）24)信息安全技术路由器安全技术要求（GB/T18018-2007）25)信息安全技术信息系统安全审计产品技术要求和评价方-5-法GB/T20945-2007）26)信息技术安全技术信息安全事件管理指南（GB/Z20985-2007）27)信息安全技术信息安全事件分类分级指南（GB/Z20986-2007）28)信息安全技术服务器安全技术要求（GB/T21028-2007）29)信息安全技术网络交换机安全技术要求（GB/T21050-2007）30)信息技术——信息安全管理实施规范（ISO/IEC27002:2005）31)深圳市信息安全风险评估实施指南32)各种检查机构运作的一般规则（ISO-IEC17020-2004）3.风险评估范围本次评估范围为的核心网络、安全设备、服务器等基础设施、门户网站等。4.工作任务本次风险评估工作将进行资产识别、威胁识别、脆弱性识别三个要素的识别，并进行风险分析，具体工作任务如下：1)资产识别：保密性、完整性和可用性是评价资产的三个安全属性，通过资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来判定资产的重要性。-6-2)威胁识别：通过分析信息系统存在的威胁，定义信息安全威胁级别。威胁可以通过威胁主体、资源、动机、途径等多种属性进行描述。3)脆弱性识别：脆弱性识别可以以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估。4)风险分析：在完成资产识别、威胁识别、脆弱性识别，以及已有安全措施确认后，采用适当的方法和工具确定威胁利用脆弱性导致安全事件发生的可能性，并对风险评估的结果进行等级化处理。5)安全管理体系建设：根据对现有安全管理体系评估的结果，按照国家相关标准、政策和法规，建立适用于国有资产监督管理局的安全管理体系，包括制订一系列的安全管理制度、安全策略、规程。5.实施人员本次评估小组组织结构如下图所示：-7-评估小组的职能如下：1)领导小组:负责授权信息安全风险评估项目负责人组建信息安全风险评估团队、审批项目方案、计划和项目报告等。接受风险评估项目负责人和各评估小组负责人在项目实施各阶段的进展汇报，不定期对风险评估团队的实时工作成果进行检视，听取各阶段成果，并指示风险评估的下一步工作开展。确保本年度的风险评估工作切实按照市信息办等领导主管部门的要求，取得预期效果，保证现有信息系统安全，为后续信息系统建设提供强有力的技术支撑。2)项目主管：负责组建信息安全风险评估项目团队各小组（资产识别小组、威胁识小组、脆弱性识别小组、风险评估小组、应急响应小组）。指定各小组组长和对小组成员资格进行审核。负责方案计划的编制、负责协调项目所涉及到的各部门人员、负责项目的进度和质量控制，负责组织审核确认风险评估各阶段的过-8-程文档，并保证过程文档的实施者和审核确认人分开、负责风险评估报告的编制以及向领导小组汇报项目实施情况。3)资产识别小组成员：负责信息系统资产的识别工作，并向项目主管提交《资产识别表》、《重要资产清单》和《重要资产赋值表》。4)脆弱性识别小组成员：负责对信息系统的重要资产进行脆弱性识别工作，并向项目主管提交《重要资产脆弱性识别表》。5)威胁识别小组成员：负责对信息系统的重要资产进行威胁识别工作，并向项目主管提交《资产威胁识别表》。6)风险分析小组成员：在对现有安全措施有效性确认的基础上对信息系统的重要资产进行风险分析，形成最终的风险评估报告，并向领导小组提交报告，获得认可。7)应急响应小组成员：负责针对风险评估过程制定应急工作预案，在出现意外情况时进行应急响应。组名成员领导小组项目主管资产识别小组脆弱性识别小组威胁识别小组风险分析小组-9-应急响应小组6.工作进度安排前完成自评估工作，并提交有关材料。细分为五部分工作：6.1.自评估工作启动本阶段将召开自评估工作启动会议，明确重要网络与信息系统边界，并制定风险评估《工作计划》及《实施方案》。提交文档：《自评估工作启动会议纪要》、《工作计划》和《实施方案》上报领导进行审核批准。6.2.资产识别本阶段将召开资产识别会议，并进行资产识别工作。按照《深圳市信息安全风险评估实施指南》对资产进行分类，并对资产价值进行赋值。详细内容见实施方案。提交文档：《资产识别会议纪要》、《信息资产识别表》。6.3.脆弱性识别本阶段主要通过以下几种方式识别脆弱性：1)利用网络漏洞扫描器对主机、网络设备及安全设备进行远程漏洞扫描；2)通过人工的上机操作对系统进行本地安全策略检查；-10-3)利用应用层检测工具发现应用层的安全漏洞；4)通过调查问卷及人员访谈方式识别网络结构、业务系统及组织管理的脆弱性。6.4.威胁识别本阶段将召开威胁和脆弱性识