信息安全风险评价计划

1、信息安全风险评估计划1. 工作目标 32. 工作依据 33. 风险评估范围 54. 工作任务55. 实施人员 66. 工作进度安排96.1. 自评估工作启动 96.2. 资产识别96.3. 脆弱性识别96.4. 威胁识别106.5. 风险分析和处理计划 106.6. 评估总结106.7. 管理体系建设 117. 日程安排 错误！未定义书签。1 .工作目标根据华润集团信息安全标准文件要求，组织本单位开展 信息安全风险自评估工作，并掌握信息安全风险评估方法，摸清 自身安全风险状况，增强信息安全意识，加强信息安全建设，提 高信息安全防范水平。2 .工作依据1）国家信息化领导小组关于加强信息安全保障工

2、作的意见 （中办发200327号）2）国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见（国 信办20065号）3）深圳市关于开展信息安全风险评估工作的实施意见（深科信2006268 号）4）信息安全技术信息安全风险评估规范（GB/T20984-2007）5）电子计算机场地通用规范（GB/T2887-2000 ）6）计算机场地安全要求（GB/T 9361-2011 ）7）信息技术安全技术信息技术安全性评估准则（GB/T 18336-2008 ）8）信息技术安全管理指南（ GB/T 19715.1-2005 ）9）信息技术信息安全管理实用规则（ GB/T 19716-2005 ）10）

3、信息安全技术操作系统安全评估准则（GB/T 20008-2005 ）11）国家信息化领导小组 关于加强信息安全保障工作的意见（中办发200327号）12）信息安全技术数据库管理系统安全评估准则（GB/T20009-2005 ）13）信息安全技术包过滤防火墙评估准则(GB/T 20010-2005 )14）信息安全技术路由器安全评估准则（GB/T 20011-2005 )15）信息安全技术信息系统安全管理要求(GB/T 20269-2006 )16）信息安全技术网络基础安全技术要求(GB/T 20270-2006 )17）信息安全技术信息系统通用安全技术要求（GB/T20271-2006 ）18

4、）信息安全技术操作系统安全技术要求（GB/T 20272-2006 ）19）信息安全技术数据库管理系统安全技术要求（GB/T20273-2006）20）信息安全技术网络和终端设备隔离部件测试评价方法（GB/T 20277-2006 ）21）信息安全技术网络和终端设备隔离部件安全技术要求（GB/T 20279-2006 ）22）信息安全技术防火墙技术要求和测试评价方法（GB/T20281-2006 ）23）信息安全技术信息系统安全工程管理要求（GB/T 20282-2006）24）信息安全技术路由器安全技术要求（GB/T 18018-2007 ）25）信息安全技术信息系统安全审计产品技术要求和评

5、价方法 GB/T20945-2007)26)信息技术安全技术信息安全事件管理指南(GB/Z 20985-2007 )27)信息安全技术信息安全事件分类分级指南(GB/Z 20986-2007)28)信息安全技术服务器安全技术要求( GB/T 21028-2007 )29)信息安全技术网络交换机安全技术要求(GB/T 21050-2007 )30)信息技术信息安全管理实施规范(ISO/IEC27002:2005 )31)深圳市信息安全风险评估实施指南32)各种检查机构运作的一般规则(ISO-IEC 17020-2004 )3 .风险评估范围本次评估范围为的核心网络、安全设备、服务器等基础设施、门

6、户网站等。4 .工作任务本次风险评估工作将进行资产识别、威胁识别、脆弱性识别 三个要素的识别，并进行风险分析，具体工作任务如下：1)资产识别：保密性、完整性和可用性是评价资产的三个 安全属性，通过资产在这三个安全属性上的达成程度或者其安全 属性未达成时所造成的影响程度来判定资产的重要性。2）威胁识别：通过分析信息系统存在的威胁，定义信息安 全威胁级别。威胁可以通过威胁主体、资源、动机、途径等多种 属性进行描述。3）脆弱性识别：脆弱性识别可以以资产为核心，针对每一 项需要保护的资产，识别可能被威胁利用的弱点，并对脆弱性的 严重程度进行评估。4）风险分析：在完成资产识别、威胁识别、脆弱性识别， 以

7、及已有安全措施确认后，采用适当的方法和工具确定威胁利用 脆弱性导致安全事件发生的可能性，并对风险评估的结果进行等 级化处理。5）安全管理体系建设：根据对现有安全管理体系评估的结 果，按照国家相关标准、政策和法规，建立适用于国有资产监督 管理局的安全管理体系，包括制订一系列的安全管理制度、安全 策略、规程。5 .实施人员本次评估小组组织结构如下图所示：评估小组的职能如下：1）领导小组：负责授权信息安全风险评估项目负责人组建 信息安全风险评估团队、审批项目方案、计划和项目报告等。接 受风险评估项目负责人和各评估小组负责人在项目实施各阶段的 进展汇报，不定期对风险评估团队的实时工作成果进行检视，听

8、取各阶段成果，并指示风险评估的下一步工作开展。确保本年度 的风险评估工作切实按照市信息办等领导主管部门的要求，取得 预期效果，保证现有信息系统安全，为后续信息系统建设提供强 有力的技术支撑。2）项目主管：负责组建信息安全风险评估项目团队各小组 （资产识别小组、威胁识小组、脆弱性识别小组、风险评估小组、 应急响应小组）。指定各小组组长和对小组成员资格进行审核。负 责方案计划的编制、负责协调项目所涉及到的各部门人员、负责 项目的进度和质量控制，负责组织审核确认风险评估各阶段的过程文档，并保证过程文档的实施者和审核确认人分开、负责风险 评估报告的编制以及向领导小组汇报项目实施情况。3）资产识别小组成

9、员：负责信息系统资产的识别工作，并 向项目主管提交资产识别表、重要资产清单和重要资产 赋值表。4）脆弱性识别小组成员：负责对信息系统的重要资产进行 脆弱性识别工作，并向项目主管提交重要资产脆弱性识别表5）威胁识别小组成员：负责对信息系统的重要资产进行威 胁识别工作，并向项目主管提交资产威胁识别表。6）风险分析小组成员：在对现有安全措施有效性确认的基 础上对信息系统的重要资产进行风险分析，形成最终的风险评估 报告，并向领导小组提交报告，获得认可。7）应急响应小组成员：负责针对风险评估过程制定应急工 作预案，在由现意外情况时进行应急响应。组 名成 员领导小组项目主管资产识别小组脆弱性识别小组威胁识

10、别小组风险分析小组应急响应小组6 .工作进度安排前完成自评估工作，并提交有关材料。细分为五部分工作：6.1. 自评估工作启动本阶段将召开自评估工作启动会议，明确重要网络与信息系 统边界，并制定风险评估工作计划及实施方案。提交文档：自评估工作启动会议纪要、工作计划和实 施方案上报领导进行审核批准。6.2. 资产识别本阶段将召开资产识别会议， 并进行资产识别工作。 按照深 圳市信息安全风险评估实施指南对资产进行分类，并对资产价 值进行赋值。详细内容见实施方案。提交文档：资产识别会议纪要、信息资产识别表。6.3. 脆弱性识别本阶段主要通过以下几种方式识别脆弱性：1）利用网络漏洞扫描器对主机、网络设备

11、及安全设备进行 远程漏洞扫描；2）通过人工的上机操作对系统进行本地安全策略检查；3）利用应用层检测工具发现应用层的安全漏洞；4）通过调查问卷及人员访谈方式识别网络结构、业务系统 及组织管理的脆弱性。6.4. 威胁识别本阶段将召开威胁和脆弱性识别会议，并分析信息系统存在 的威胁及脆弱性，定义威胁及脆弱性的级别。详细内容见实施方 案。提交文档：威胁和脆弱性识别会议纪要、安全威胁评估报 告和脆弱性识别表。6.5. 风险分析和处理计划本阶段将召开风险分析和处理计划会议，并对现有控制措施 对安全风险的消减作用进行分析，制定处理计划。详细内容见实 施方案。提交文档：风险分析和处理计划会议纪要、信息安全风险 评估报告。6.6. 评