返回
信息安全风险评估实施细则

信息安全风险评估实施细则

ID:46958756

大小:1.40 MB

页数:97页

时间:2019-12-01

信息安全风险评估实施细则_第1页
信息安全风险评估实施细则_第2页
信息安全风险评估实施细则_第3页
信息安全风险评估实施细则_第4页
信息安全风险评估实施细则_第5页
资源描述:

《信息安全风险评估实施细则》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、.....XXX公司信息安全风险评估实施细则二〇〇八年五月学习参考.....编制说明根据《XXX公司信息安全风险评估实施指南》和《XXX公司信息安全风险评估实施细则》(试行),近年来公司组织开展了风险评估常态化推广,通过多年对实施细则的应用、实践与总结,需要进一步对实施细则的内容进行调整和完善。另一方面,随着国家对信息系统安全等级保护等相关政策、标准和基本要求,和公司信息化“SG186”工程安全防护总体方案和公司网络与信息系统安全隔离实施指导意见要求,也需要进一步对实施细则内容进行修订。本细则主要修订了原有试行细则第四章脆弱性评估部分的具体内容。主要包括:1、在原有基础上,增加或修改了信

2、息安全管理评估、信息安全运行维护评估、信息安全技术评估的具体要求。为保持本实施细则的可操作性,针对新增的具体要求,按原细则格式添加了标准分值、评分标准和与资产的安全属性(C、I、A)的对应关系。目前,调整后总分值从原先的3000分调整至5000分,其中,管理占1800分、运行维护占1400分、技术占1800分。2、为了与公司等级保护评估相结合并对应,框架结构方面,将信息安全运行维护评估(第4.2节)中的“物理环境安全”部分调整至信息安全技术评估(第4.3.1小节),在信息安全技术评估中新增了“数据安全及备份恢复”(第4.3.8小节);具体内容方面,在每项具体要求新增了等级保护对应列。学习

3、参考.....目录1.前言12.资产评估22.1.资产识别22.2.资产赋值33.威胁评估64.脆弱性评估104.1.信息安全管理评估114.1.1.安全方针114.1.2.信息安全机构134.1.3.人员安全管理174.1.4.信息安全制度文件管理194.1.5.信息化建设中的安全管理234.1.6.信息安全等级保护294.1.7.信息安全评估管理324.1.8.信息安全的宣传与培训324.1.9.信息安全监督与考核344.1.10.符合性管理364.2.信息安全运行维护评估374.2.1.信息系统运行管理374.2.2.资产分类管理414.2.3.配置与变更管理424.2.4.业务连

4、续性管理434.2.5.设备与介质安全464.3.信息安全技术评估504.3.1.物理安全504.3.2.网络安全534.3.3.操作系统安全604.3.4.数据库安全724.3.5.通用服务安全814.3.6.应用系统安全854.3.7.安全措施904.3.8.数据安全及备份恢复94学习参考.....学习参考.....1.前言1.1.为了规范、深化XXX公司信息安全风险评估工作,依据国家《信息系统安全等级保护基本要求》、《XXX公司信息化“SG186”工程安全防护总体方案》、《XXX公司网络与信息系统安全隔离实施指导意见》、《XXX公司信息安全风险评估管理暂行办法》、《XXX公司信息安

5、全风险评估实施指南》(以下简称《实施指南》),组织对《XXX公司信息安全风险评估实施细则》进行了完善。1.2.本细则是开展信息系统安全风险评估工作实施内容的主要依据,各单位在相关的信息安全检查、安全评价、信息系统安全等级保护评估工作中也可参考本细则的内容。1.3.本细则结合公司当前信息化工作重点,针对《实施指南》中信息资产评估、威胁评估、脆弱性评估提出了具体的评估内容。其中,资产评估内容主要针对公司一体化企业级信息系统展开;威胁评估包含非人为威胁和人为威胁等因素;脆弱性评估内容分为信息安全管理评估、信息安全运行维护评估、信息安全技术评估三部分。1.4.公司的评估工作应在本细则的基础上,结

6、合《实施指南》提出更详细的实施方案,并采用专业的评估工具对信息系统进行全面的评估和深层的统计分析,并进行风险计算,确保全面掌握信息系统的安全问题,并提供解决问题的安全建议。1.5.本细则将随公司信息安全管理、技术、运维情况的发展而滚动修订与完善。1.6.本标准由XXX公司信息化工作部组织制定、发布并负责解释。学习参考.....资产评估资产评估是确定资产的信息安全属性(机密性、完整性、可用性等)受到破坏而对信息系统造成的影响的过程。在风险评估中,资产评估包含信息资产识别、资产赋值等内容。1.1.资产识别资产识别主要针对提供特定业务服务能力的应用系统展开,例如:网络系统提供基础网络服务、OA

7、系统提供办公自动化服务。通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分,这四个部分在信息系统的实例中都显现为独立的资产实体,例如:典型的OA系统可分为客户端、Web服务器、Domino服务器、DB2数据库服务器四部分资产实体。应用系统的功能模块(或子系统),可参照下表进行分解:应用系统分解表类别说明数据存储应用系统中负责数据存储的子系统或功能模块。如数据库服务器业务处理应用系统中负责进行数据处理运算的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。