集团化企业信息化风险评估方案

***公司集团风险评估服务项目方案&&&&科技有限公司2013年12月25日集团安全评估服务项目方案2目录第1章.项目需求分析51.1.行业信息化背景51.2.项目背景51.3.安全风险与需求分析6第2章.整体方案设计72.1.设计目标72.2.设计原则72.3.项目范围82.4.参考标准及资料102.4.1.国家信息安全标准、指南102.4.2.国际信息安全标准11第3章.详细方案设计113.1.安全建设目标113.2.安全规划方法123.3.信息安全现状评估分析143.4.制定***公司信息安全战略和总体策略153.5.设计***公司信息安全总体架构15设计***公司信息安全管理体系架构15设计***公司信息安全技术体系架构16制定***公司信息安全建设实施计划163.6.安全服务体系框架173.7.风险评估服务设计193.7.1.风险评估服务原则193.7.2.评估范围及内容203.7.2.1.信息系统的安全性评估203.7.2.2.信息系统的业务应用安全评估项213.7.2.3.安全管理制度及策略评估项223.7.3.评估方式223.7.4.评估技术手段233.7.4.1.专家分析233.7.4.2.工具扫描233.7.4.3.人工评估243.7.4.4.渗透测试253.7.5.风险评估实施263.7.5.1.服务实施流程263.7.5.2.阶段一：准备阶段263.7.5.2.1.项目组织263.7.5.2.2.项目准备283.7.5.2.3.项目启动303.7.5.3.阶段二：识别阶段303.7.5.3.1.资产识别与梳理303.7.5.3.2.威胁识别333.7.5.3.3.脆弱性识别363.7.5.3.4.技术脆弱性识别373.7.5.3.5.安全管理脆弱性识别41系统建设管理423.7.5.3.6.安全措施识别463.7.5.4.阶段三：分析阶段483.7.5.4.1.资产分析483.7.5.4.2.威胁分析50集团安全评估服务项目方案33.7.5.4.3.脆弱性分析523.7.5.4.4.综合风险分析543.7.5.4.5.阶段四：风险处置阶段563.7.6.最终交付物57第4章.项目管理及人员组织584.1.项目服务承诺584.2.项目管理方法论594.3.实施人员组织614.3.1.项目组织架构614.3.2.组织架构说明614.3.2.1.项目经理614.3.2.2.质量监督组624.3.2.3.客户经理/客户配合人员624.3.2.4.项目实施组634.4.人员配置644.4.1.项目经理644.4.2.风险评估服务组644.5.人员简历644.6.人员资质错误!未定义书签。4.6.1.CISP证书人员(3人)错误!未定义书签。4.6.2.CISP人员社保证明错误!未定义书签。4.7.人员稳定性和安全性承诺664.8.服务使用设备/工具清单67第5章.项目验收方案685.1.项目验收685.1.1.验收方式685.1.1.1.验收方法确认685.1.1.2.验收方法的确认程序695.1.1.3.审视一般性原则695.2.风险规避措施705.2.1.项目保密工作705.2.2.安全评估风险规避措施715.2.2.1.系统备份与恢复措施715.2.2.2.风险应对措施715.2.3.渗透测试风险规避措施72第6章.公司介绍及服务资质72单位简介72信息安全风险评估服务资质79国家信息安全测评信息安全服务资质证书（安全工程类二级）79国家信息安全测评信息安全服务资质证书（安全开发类一级）79网络安全应急服务支撑单位证书（国家级）79信息安全应急处理服务资质证书79国家信息安全测评授权培训机构资质证书79&&市信息安全服务能力等级证书80信息安全管理体系ISO27001证书80质量管理体系ISO9000认证证书80CMMI2证书80涉及国家秘密的计算机信息系统集成资质证书80计算机信息系统集成资质证书806.1.纳税信用等级证书816.2.银行信用等级证书81集团安全评估服务项目方案4第7章.项目实施计划81第8章.项目报价83集团安全评估服务项目方案5第1章.项目需求分析1.1.行业信息化背景近年来，我国卫生信息化建设步伐加快，按照卫生部制定的标准和规范，以医药企业管理为重点的医药信息化建设取得重要进展；以提高公共卫生服务能力和卫生应急管理水平为主要目标的信息化建设取得长足进步。但长期以来，卫生信息化建设缺乏顶层设计与规划，标准和规范应用滞后，导致信息不能互联互通，信息资源共享程度较低；医药企业数据资源库建设滞后，难以适应当前深化医药卫生体制改革的需要，不能有效满足人民群众的健康保障需求。同时，卫生信息化管理和专业人才缺乏，卫生信息化对卫生事业改革发展的技术支撑作用难以得到充分发挥。《中共中央国务院关于深化医药卫生体制改革的意见》要求把卫生信息化建设作为保障医药卫生体系有效规范运转的八项措施之一，建立实用共享的医药卫生信息系统，大力推进医药卫生信息化建设，以推进公共卫生、医疗、医保、药品、财务监管信息化建设为着力点，整合资源，加强信息标准化和公共服务信息平台建设，逐步实现统一高效、互联互通。加快推进卫生信息化建设，对于有效落实医改措施，提高医疗卫生服务质量和效率，降低医药费用，促进人人享有基本医疗卫生服务目标的实现具有重要的战略意义。1.2.项目背景***公司集团公司将信息化建设作为企业战略的重要组成部分，围绕信息集成、资源共享和组织衔接式的集成化供应链管理模式的创新，以“信息化项目群”为载体，全面落实供应链资源一体化整合的战略目标。重点实施了“药品质量安全追踪溯源管理系统”、以集成化供应链为特征的药事服务综合管理系统及应用示范项目、健康家园模式下的智能医护综合集成关键技术与平台项目等“两化”融合项目等。通过信息化建设和技术创新，培育了企业的自主创新能力，形成自有知识产权，提升了公司的人力资源要素、设备要素、信息要素和组织要素等内集团安全评估服务项目方案6生化知识存量，持续改善企业的价值创造功能，并不断提高和优化***公司和关联方之间在供应链体系上的运作效率。1.3.安全风险与需求分析对于***公司的应用系统，安全风险主要表现在以下几个方面：主机系统安全风险：信息系统采用的系统与网络存在的一些安全隐患，如操作系统漏洞、数据库系统不合理配置、病毒发作、网络安全控制措施缺陷、系统可用性缺陷等，这些系统与网络的风险可能极大地影响信息系统业务运行的稳定性，致使各项网站业务难以正常开展。网络架构安全风险：***公司计划将城区的信息中心和子公司的信息机房迁移到位于小行的新信息中心进行集中，小行信息中心机房的网络健壮性和安全性将影响到整个集团信息系统的平稳有效运行。总部与外部节点之前WMS系统的访问也需要考虑各类安全风险，防止外部节点成为整个信息中心的安全薄弱点。信息系统应用风险：指设计与开发信息系统业务应用时，存在的应用缺陷，而导致业务出现中断或者非正常业务应用操作造成的损失，这类风险包括：应用逻辑错误、输入输出控制缺失、验证失效、应用安全功能缺陷等。内部管理控制风险：指信息系统安全管理的基本框架、管理机制、策略方法和工作流程还不完善，一些制度策略得不到认真执行，导致内部人员违规操作，给信息系统安全运行造成的风险。运维管理体系建设：运维管理体系建设涉及到整个集团的信息化安全运行、安全管理。如何建立起有效的运维管理体系不仅涉及到信息化部门，还涉及到各个和信息化相关的部门，同时也涉及到总部与分子公司的安全管理；不权包括技术方面的安全建设，也包括安全管理策略、制度文档的建设，形成一套统一的安全管理措施。集团安全评估服务项目方案7第2章.整体方案设计2.1.设计目标本项目的设计目标为：通过构建一套全面的风险评估体系，覆盖各类保障对象，管理和协调各类保障组织和队伍，实现安全保障工作的标准化、规范化，确保安全保障工作正常、有序、高效、协调地进行，提升***公司集团安全保障团队的信息化安全保障能力，保障***公司信息系统健康、高效运行。安全保障服务体系由评估、渗透、加固、检查、监控、响应、保障服务以及保障对象几个部分组成，涉及制度、人、技术、对象四类因素。在本项目中，将主要针对***公司集团指定的信息系统进行评估，并着重针对公司管理制度、管理职能方面等安全管理方面的内容进行评估。管理制度是规范安全保障工作的基本保障，也是服务流程建立的基础。安全保障服务组织中的相关人员遵照制度要求和标准化的服务流程，采用先进的安全保障管理手段对各类安全保障对象进行规范化的管理和监控。2.2.设计原则&&公司在服务整体方案和详细方案设计时，遵循以下一些原则：标准性原则评估方案的设计和具体实施都依据国内和国外的相关标准进行及理论模型。规范性原则&&信息安全服务及相关安全产品遵守严格的质量控制，通过ISO9001-2000的质量体系认证，同时还获得了国家、行业的多个信息安全资质，可以为用户提供规范的服务。工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。可控性原则评估过程和所使用的工具具有可控性。&&有着丰富的评估工程实践，承担过集团安全评估服务项目方案8多项国内大规模的安全服务项目，对于项目管理有丰富的经验。项目所采用的工具都经过多次安全服务项目考验，或者是根据具体要求和组织的具体网络特点定制的，具有很好的可控性。整体性原则安全服务从组织的实际需求出发，从业务角度进行评估，而不是局限于网络、主机等单个的安全层面，涉及到安全管理和业务运营，保障整体性和全面性。最小影响原则安全服务工作做到充分的计划性，不对现网的运行和业务的正常提供产生显著影响，尽可能小地影响系统和网络的正常运行。保密性原则从公司、人员、过程三个方面进行保密控制：公司双方签署保密协议，不得利用安全服务中的任何数据进行其他有损甲方利益的用途；人员保密，公司内部签订保密协议；在安全服务过程中对相关数据严格保密；2.3.项目范围本项目建设范围主要包含但不限于以下：1、应用系统安全评估：总部7个应用系统（硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等）；2、管理评估：总部管理职能与制度评估。具体服务范围如下表所示：序号服务名称服务范围1.1OA系统风险评估OA应用系统相关的硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等安全性评估，并提出针对性安全建议。集团安全评估服务项目方案9序号服务名称服务范围2.2邮件系统风险评估邮件系统相关的硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等安全性评估，并提出针对性安全建议。3.3新、老用友应用系统评估新、老用友应用相关的硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等安全性评估，并提出针对性安全建议。4.4财务系统风险评估财务系统相关的硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等安全性评估，并提出针对性安全建议。5.5药事ERP应用风险评估药事ERP应用系统相关的硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等安全性评估，并提出针对性安全建议。6.药业虚拟机ERP应用风险评估ERP应用系统相关的硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等安全性评估，并提出针对性安全建议。7.国药ERP（奥博克）风险评估远程ERP使用的安全性一般较弱，对于国药ERP系统则需要对各个远程接入点或访问点进行用户连接方式、连接技术、安全账号、数据保密等方面的安全评估。8.基础数据、数据仓库应用风险评估基础数据、数据仓库应用相关的硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等安全性评估，并提出针对性安全建议。集团安全评估服务项目方案10序号服务名称服务范围9.人力资源系统风险评估人力资源系统系统相关的硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等安全性评估，并提出针对性安全建议。10.公司信息化部门管理职能和管理制度