信息系统风险评估作业指导书

1、中科园智能网络系统有限责任公司信息系统风险评估作业指导书1、 作业目的信息系统风险评估作业是我公司的主要服务内容之一，其目的是通过发现客户系统中的安全风险和威胁，对客户系统进行真实、可靠的安全评估，为客户信息系统的安全整改提供依据和建议，从而帮助客户切实改进自身信息系统，使客户系统顺利达到相关安全接入标准。2、 作业范围信息系统风险评估作业的范围主要包括：2.1 信息系统用户访问针对信息系统的风险评估作业的主要依据和方法是对信息系统的用户访问，通过访问发现系统资产的重要性、操作方法、业务流程、依赖程度、受攻击情况、安全管理制度、人员管理制度、管理机构设置以及管理状况等等。2.2 信息系统现场勘

2、察针对信息系统的现场勘察作业，可以发现系统的物理安全环境、实际拓扑结构以及实际的管理状况，并可通过现场勘察验证资产信息和配置状况。对于内网系统，现场勘察过程中也可进行必要测试和验证作业。2.3 信息系统远程测试针对信息系统的远程测试主要目的是通过远程方式，在时间相对宽裕的条件下通过善意扫描和渗透，测试客户信息系统的安全状况和安全程度，并提出适当报告和相关建议。但远程测试并非每个评估作业项目都必需的作业方式，除非经过用户许可或现实条件允许，否则不应采用远程测试方式进行评估作业。2.4 信息系统威胁分析通过人员访问、现场勘察、远程测试等途径，从客户资产识别、脆弱性识别以及威胁性识别三个方面出发，基

3、于信息系统的可用性、完整性、安全性三原则出发，根据资料对比、客户沟通结果进行分析和验证。2.5 信息系统评估报告针对客户信息系统威胁分析结果生成评估报告并附加安全整改建议。2.6 信息系统安全演练信息系统安全演练的主要目的是基于作业员工的评估素质出发，进行日常训练。内容包括评估方法训练、测试技术训练、资料分析训练等等。3、 职责划分3.1 评估管理小组因为信息系统的风险评估工作本身带有一定的风险，因此加强作业管理、重视客户沟通就必然成为评估作业首要的保障手段。评估管理小组的主要职责正是通过对作业人员、作业行为、作业工具、作业结果、历史档案以及客户资料的管理，保证整个评估项目的顺利进行和成功交付

4、。3.2 评估作业小组评估作业小组的主要职责包括:针对资产的依赖性识别、重要性识别等；针对系统脆弱性的用户访问、历史资料分析、拓扑结构分析、稳定性分析等；针对系统威胁的历史资料分析和用户访问。以及通过分析历史资料、安全环境、用户习惯、测试结果、标准规范等形成风险评估报告和整改建议。3.3 技术测试小组技术测试小组的主要职责包括：在获得客户许可的前提下对客户信息系统进行现场技术测试和模拟攻击，在远程通过善意扫描和渗透测试模仿非法行为等方式更好的确定系统存在的漏洞和风险，为评估作业分析提供详实、可靠的技术依据。3.4 风险控制小组风险控制小组的主要职责包括：根据系统的重要程度和用户对系统的业务依赖

5、程度，确定整个系统的测试方法，并对测试方法进行认真审核和控制以防止对用户系统产生破坏作用影响客户正常的业务使用。并在测试之前形成风险控制计划和应急响应计划及相应措施。4、 作业流程4.1 管理作业流程 首先：同客户进行接触，了解客户自身信息以及客户对于信息安全风险评估的和目的，形成客户档案。其次：明确风险评估的范围，并向客户说明风险评估的过程和可能产生的意外情况。形成风险评估范围说明书及客户意见表。并根据所了解情况撰写客户评估方案书。再次：与客户签订风险评估服务合同和信息系统资料保密协议。争取获得客户对于信息系统进行现场测试和远程测试的授权书。再次：审查、保管由测试组、评估组、风控组提交的测试

6、方案、评估方案、风控方案。若发现所接收方案存在问题，应及时填写方案审查结果并通知方案提供者，进行修正或变更。再次：在接到测试组、评估组、风控组递交的沟通请求报告后和客户进行及时沟通，解决随机发生的各种矛盾，形成客户沟通记录表。再次：审查、保管由测试组、评估组、风控组提交的测试报告、评估报告、整改建议、评估过程监督报告。若发现所接收方案存在问题，应及时填写报告审查结果并通知方案提供者，进行修正或变更。最后：向用户出具评估报告和整改建议，并进行解释、说明。4.2 测试作业流程首先：根据管理组撰写的范围说明、客户意见表、评估方案以及测试授权书制定测试方案。其次：进行现场或远程测试。生成测试报告。在需

7、要与客户配合时，向管理组递交沟通请求报告。再次：根据分析测试报告，生成包含有可接受风险、不可接受风险统计信息的风险说明书以及包含不可接受风险防范措施的整改建议。最后：将测试报告、风险说明书、整改建议交付评估作业组，并进行必要的解释和说明。4.3 评估作业流程首先：根据管理组提供的客户档案、范围说明、客户意见表、评估方案书制定信息系统安全评估方案。其次：准备客户访谈记录表，该表应包括客户资产访谈记录表、目标系统调查表、客户系统安全配置记录表、客户系统管理措施记录表、历史威胁访谈记录表、客户所在行业所面临安全风险历史记录表、信息系统安全风险形式分析表以及国家有关于信息系统安全评估的法律、法规、政策

8、、标准。再次：进入评估现场。访谈客户，填写客户访谈记录表。再次：根据客户访谈记录和测试组递交的测试报告、风险说明书和历史资料库，对客户系统所存在的安全风险进行分析对比，生成客户信息系统安全风险评估报告。通过整理分析测试组递交的整改建议和客户信息系统安全风险评估报告生成客户信息系统安全风险整改建议书，并提交管理组交付客户。4.4 风控作业流程首先：接受管理组提交的评估范围说明书、客户意见、评估方案书和评估组提交的目标系统调查表、客户所在行业所面临安全风险历史记录表，通过分析产生潜在评估风险记录表。其次：根据潜在评估风险记录表，进行现场勘察和客户访谈，产生风险控制现场调查记录，通过分析产生潜在评估

9、风险控制方案。再次：将潜在评估风险控制方案提交管理组和评估组、测试组进行方案修订。再次：审查评估组和测试组的相关方案，控制其中的潜在风险。当需与客户沟通时，填写沟通请求报告，交由管理组同客户沟通协调。最后：对测试组的测试过程进行监督，生成评估过程监督报告，并提交管理组审查。5、 成果约束5.1 过程文档管理组：评估方案书、方案审查结果、报告审查结果测试组：沟通请求报告评估组：沟通请求报告、客户访谈记录表风控组：沟通请求报告5.2 分析文档管理组：客户意见表测试组：风险说明书评估组：目标系统调查表、客户系统安全配置记录表、客户系统管理措施记录表、历史威胁访谈记录表、客户所在行业所面临安全风险历史记录表、信息系统安全风险形式分析表以及国家有关于信息系统安全评估的法律