信息安全风险评估实施方案模版.docx
《信息安全风险评估实施方案模版.docx》由会员分享,可在线阅读,更多相关《信息安全风险评估实施方案模版.docx(34页珍藏版)》请在第一文库网上搜索。
1、上海观安信息技术股份有限公司信息安全风险评估实施方案模版TSC-RA-4-01本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属上海观安信息技术股份有限公司和客户公司所有,受到有关产权及版权法保护。任何个人、机构未经上海观安信息技术股份有限公司和客户公司的书面授权许可,不得以任I可方式复制或引用本文件的任何!片断。修订历史记录版本号拟制人/修改人拟制/修改日期审批人更改原因主要更改内容(写要点即可)V1.0陈芳2019-10-26李俊定稿V1.1陈芳2023-1-12李俊更新流程新增8.3目录1 概述51.1 项目背景51.2 项目目标51.3 项目范
2、围52 风险评估的礴53 风险评估的方法63.1 人员访谈63.2 文档审阅633基线检查63.4工具扫描64 风险评价原则74.1 保密原则74.2 互动原则74.3 最小影响原则74.4 规范场则74.5 质量保障原则85 风险ifiS工具86 准备阶段96.1 项目勤管理96.1.1 风险评估团队成员介绍.96.1.2 组织架构图.107 风险识别阶段107.1 客户信息资产识别IO7.1.1 客户信息资产分类及识别107.2 脆弱性识别137.2.1 客户安全管理体系评估137.2.2 物理豕第(机房)安全评估187.2.3 网络架构安全评估.227.2.4 客户基线安全评估247.2
3、.5 客户设备安全评估.257.2.6 客户应用系统安全评估2673 威胁谢U3074 4已有科措施确认308 风险分辎段308.1 风险分析模典立308.2 风的算方嫌定318.3 风险总体安全评价318.4 制定信息安全总体风险评估报告318.4.1 各评估方式的收集的斓处理、分析318.4.2 总结分析各个风险评估报告328.4.3 制定信息安全总体风险报告338.4.4 汇报会议.339 风险处置阶段349.1 风险处置原则349.2 安全整改建议349.3 组织评审会349.4 残余风险处置341概述1.1 项目背景XX1.2 项目目标XX13项目范围认证范围:认证对象:2风险评估的
4、依据 GB/T22080-2008/ISO/IEC27001:2005信息技术安全技术信息安全管理体系要求 GB/T22081-2008/ISO/IEC27002:2005信息技术安全技术信息安全管理实用规则GB/T20984-2007信息安全技术信息安全风险评估规范 ISOIEC27005:2008信息技术安全技术信息安全风险管理中的定义和缩写,其它定义和缩写可参考。3风险评估的方法3.1 人员访谈通过安全顾问的访谈调研工作,了解客户在信息安全方面所采取的措施,以及存在的安全问题。3.2 文档审阅通过针对客户现有的各类安全相关文档资料包括管理制度、法规通知、网络拓扑等进行收集分析,发现信息安
5、全问题。3.3 基线检查使用基线检查表单,对客户的设备进行安全基线配置检查,并对检查结果进行分析汇总。3.4 工具扫描使用扫描工具,对客户的主机系统进行漏洞扫描,并对扫描结果进行分析汇总。4风险评价原则4.1 保密原则上海观安在为信息系统进行风险评估的过程中,将严格遵循保密原则,服务过程中涉及到的任何用户信息均属保密信息,不得泄露给第三方单位或个人,不得利用这些信息损害用户利益。并与信息中心签订保密协议,承诺未经允许不向其他任何第三方泄露有关信息系统的信息。4.2 互动原则上海观安在整个信息安全风险评估过程之中,将强调客户的互动参与,不管是从准备阶段,还是识别阶段。每个阶段都能够及时根据客户的
6、要求和实际情况对评估的内容、方式作出相关调整,进而更好的进行风险评估工作。4.3 最小影响原则信息安全风睑评估工作应尽可能小的影响系统和网络的正常运行,不能对业务的正常运行产生显著影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应对风险进行说明。4.4 规范性原则信息安全风险评估服务的实施必须由专业的安全评估服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,提供完整的服务报告。4.5 质量保障原则上海观安在整个信息安全风险评估过程之中,将特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督、控制项目的进度和质量。5风险评估工
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 风险 评估 实施方案 模版