信息安全风险评估需求方案

信息安全风险评定需求方案一、项目背景数年来，XX市财政局（地方税务局）在加紧信息化建设和信息系统开发应用的同时，高度重视信息安全工作，采用了诸多防X方法，获得了较好的工作效果，但同新形势、新任务的规定相比，还存在有许多不相适应的地方。，国家税务总局和市政府分别对我局信息系统安全状况进行了抽查，在充足必定成绩的同时，也指出了我局在信息安全方面存在的问题。通过抽查所暴露的这些问题，给我们敲响了警钟，也对我局信息安全工作提出了新的更高的规定。因此，XX市财政局（地方税务局）在对现有信息安全资源进行整合、整治的同时，按照国家税务总局信息安全管理规定，结合本单位实际状况拟定实施信息安全评定、安全加固、应急响应、安全咨询、安全事件通告、安全巡检、安全值守、安全培训、应急演习服务等工作内容（下列简称“安全风险评定”），形成安全规划、实施、检查、处置四位一体的长效机制。二、项目目的通过开展信息“安全风险评定”,完善安全管理机制；通过安全服务的引入，进一步建立健全财税系统安全管理方略，实现安全风险的可知、可控和可管理；通过建立财税系统信息安全风险评定机制，实现财税系统信息安全风险的动态跟踪分析，为财税系统信息安全整体规划提供科学的决策根据，进一步加强财税内部网络的整体安全防护能力，全方面提高我局信息系统整体安全防X能力，极大提高财税系统网络与信息安全管理水平；通过进一步挖掘网络与信息系统存在的脆弱点，并以业务系统为核心要素，对现有的信息安全管理制度和技术方法的有效性进行评定，不停增强系统的网络和信息系统抵抗风险安全风险能力，增进我局安全管理水平的提高，增强信息安全风险管理意识，培养信息安全专业人才，为财税系统各项业务提供安全可靠的支撑平台。三、项目需求（一）服务规定1基本规定“安全风险评定服务”全过程规定有据可依，并在产品使用有据可查，并保持项目之后的持续改善。针对顾客单位网络中的IT设备及应用软件，需要有软件产品识别全部设备及其安全配备，或以其它方式收集、保存设备明细及安全配备，进行资产收集作为建立信息安全体系的基础。安全评定的过程及成果规定通过软件或其它形式进行展示。对于风险的解决涉及：协助顾客制订安全加固方案、在工程建设及日常运维中提供安全值守、咨询及支持服务，通过安全产品解决已知的安全风险。在日常安全管理方面提供安全支持服务，并根据国家及行业原则制订信息安全管理体系，针对安全管理员提供安全培训，遇有可能的安全事件发生时，提供应急的安全分析、紧急响应服务。2安全评定评定的X围应全方面，涉及到网络信息系统的各个方面，涉及物理环境、网络构造、应用系统、数据库、服务器及网络安全设备的安全性、安全产品和技术的应用状况以及管理体系与否完善等等；同时对管理风险、综合安全风险以及应用系统安全性进行评定；评定采用专业工具扫描（漏洞扫描、数据库扫描采用产品必须为商业化产品）、人工评定、渗入测试三种相结合的方式，对多个操作系统进行评定，涉及：XX与口令安全、网络服务安全、内核参数安全、文献系统安全、日志安全等；从应用系统有关硬件、软件和数据等方面来审核应用所处环境下存在哪些威胁，根据应用系统所存在的威胁，来拟定需要达成哪些系统安全目的才干确保应用系统能够抵挡预期的安全威胁。其它评定内容应最少涉及下列几方面：信息探测类网络设备与防火墙RPC服务Web服务CGI问题文献服务域名服务Mail服务Windows远程访问数据库问题SQL注入跨站脚本攻击后门程序其它服务网络回绝服务(DOS)其它问题安全评定服务X围应涉及但不只限于协助顾客完毕信息安全专项检查工作。3安全加固每次对顾客单位网络信息系统进行全方面评定后应立刻制订安全加固方案，另外如顾客单位有紧急需求时可随时安排制订安全加固方案。安全加固方案应覆盖顾客单位IT系统中全部服务器和网络设备，以及不同类别的操作系统、数据库和应用系统。安全加固方案不能影响顾客单位各项业务的正常进行，如果加固过程需要临时中断业务，须设计具体的解决方案。同时，随着信息技术的发展，当新的漏洞出现时，评定单位有责任和义务告知顾客，并配合顾客鉴定与否进行对应的加固工作；4紧急响应当顾客单位信息系统出现安全事件后，顾客可立刻启动紧急响应服务，服务应涉及远程紧急响应和现场紧急响应；紧急响应均规定7×24小时提供。紧急响应规定在响应请求发出2小时内由工程师达成事故现场，协助顾客进行解决；响应服务完毕后评定单位需整顿具体的事故解决报告，内容最少涉及事故因素分析、已造成的影响、解决方法、解决成果、防止和改善建议；5安全咨询评定单位应根据ISO17799等多个原则的有关规定对安全方略、安全制度、安全流程进行审计，提供改善建议，建立信息安全的“统一”方略管理机制，并对顾客单位信息安全体系建设规划、信息安全管理体系、信息安全管理制度建设、安全域划分等有关内容提出符合国家及行业原则的合理化建议，并制订完整的解决方案。对于新建信息化项目应从业务需求分析、系统设计、布署实施、测实验收等全周期提供技术咨询支持。6安全事件通告评定单位应含有专门的安全研究人员以跟踪最新安全技术发展、收集业界公布的最新安全信息及时通告顾客单位最新的安全动态、安全技术的发展趋势，以及时效性很强的漏洞、攻击手法、病毒码的预先告知；评定单位最少每月提供一次汇总的安全通告信息，当厂商或安全组织公布紧急安全通告后评定单位应在三天之内提供应人保有关通告信息；及时提供最新的设备补丁，随时根据顾客需求，提供对应安全漏洞与响应的安全系统升级代码；及时向招标人提供国家颁发的最新安全制度与法规。7安全巡检涉及不限于以人工方式检查主机系统和网络设备的日志信息、安全配备以及审计信息等，提出安全方略建议；如发现异常现象或安全问题，及时向顾客单位反馈，并提供后续技术支持，配合问题的查处和解决。规定每月对安全防护产品进行一次巡检服务，并生成巡检报告；每季度对全部主机、数据库、网络、安全产品进行一次全方面巡检，并生成巡检报告。8安全值守服务规定评定单位在重大节假日及特殊时期安排技术人员提供安全值守服务（包含在顾客单位值守及远程值守）。9安全培训服务规定每年安排两次信息安全管理及技术培训（培训只负责提供师资及培训教材，培训教材可为电子版），同时，规定提供四人次专业技术认证培训（含食宿）。10应急演习服务规定配合顾客制订信息系统风险应急响应方案，并每年最少安排一次信息系统风险应急演习。（二）服务原则为保障安全风险评定工作的有序进行，特提出下列原则：1.XX性原则规定评定单位与顾客订立XX合同，在进行信息安全风险评定的过程中，严格遵照XX原则，评定过程中采用严格的管理方法，确保所涉及到的任何顾客XX信息，不会泄露给第三方单位或个人，不得运用这些信息损害顾客利益。2.最小影响原则规定从项目管理和技术应用的层面，在风险评定工作实施过程对我局现有信息系统和网络的正常运行所可能的影响降到最低程度；规定制订风险评定过程中的风险规避方案及应急方法。3.规X性原则规定评定机构在充足总结数年开展信息系统安全风险评定实践经验的基础上，拟定规X的方案；在本次信息安全风险评定任务执行过程中，通过规X的项目管理，在人员、项目实施环节、质量保障和时间进度等方面进行严格管控。4.原则化原则风险评定工作规定严格恪守国家和行业的有关法规、原则，并参考国际的原则来实施。5.完整性原则完整性原则包含下列两个层次的内容：评定内容的完整性——规定在风险评定工作中，要综合考虑所评定信息系统的技术方法、人员、业务及运行维护等方面，含盖信息安全风险评定合同规定。评定流程的完整性——规定信息安全评定过程应遵照科学性、规X性、严谨性原则。6.互动性原则在进行信息安全风险评定过程中，规定必须有顾客单位人员参加，双方共同构成项目实施部门，进行项目实施，从而确保项目执行的效果并提高受我局的整体安全技能和安全意识。（三）评定内容1.信息系统安全管理状况检查 评定多个安全制度的建立状况，涉及：对终端计算机访问互联网的有关制度；对终端计算机接入内网的有关制度；使用移动存储介质的制度；系统的业务应用人员、系统的开发、维护、管理人员、系统开发、维护人员有关安全管理制度等。2.网络架构、网络安全设备评定X围涉及：业务办公内网、业务外网、办公外网、外部单位联网等；分析网络拓扑构造与否清晰划分网络边界；评定网络的安全区域划分以及访问控制方法。3.对资产本身存在的脆弱性进行收集和整顿物理环境，涉及UPS、变电设备、空调、门禁等。交换机，涉及核心交换机20台，接入交换机20台。检查安全漏洞和补丁的升级状况，各VLAN间的访问控制方略；口令设立和管理，口令文献的安全存储形式；配备文献的备份。路由器，涉及核心路由器5台，接入路由器10台。检查操作系统与否存在安全漏洞；配备方面，检测端口开放、管理员口令设立与管理、口令文献安全存储形式、访问控制表；与否能对配备文献进行备份和导出；核心位置路由器与否有冗余配备。安全设备，涉及防火墙、入侵检测系统、网闸、防病毒、桌面管理、审计、加密机、身份鉴别等；共约20台。查看安全设备的布署状况。查看安全设备的配备方略；查看安全的日志统计；通过漏洞扫描系统对安全进行扫描。通过渗入性测试检安全配备的有效性。4.重要服务器的安全配备小型机约60台、服务器约200台。登录安全检测；顾客及口令安全检测；共享资源安全检测；系统服务安全检测；系统安全补丁检测；日志统计审计检测；木马检测。5.核心业务系统的安全性对我局核心业务信息系统，在需求分析和设计阶段与否充足识别安全需求；与否能确保系统文献的安全；与否能采用方法保护应用系统开发和维护过程中的信息安全。核查“津税系统”“非税收入”“税管员平台”等重要业务系统数据访问控制状况，敏感文档资料、服务器、顾客终端、数据库等数据加密保护能力。对门户进行渗入性测试；对网上报税等核心业务系统进行渗入性测试；对网络边界进行渗入性测试；对内网进行渗入性测试。（四）评定的应用系统1.应用系统应用类型财政应用地税应用综合办公应用应用项目非税系统津税系统公文系统国库集中系统税收管理员平台系统部门预算系统远程电子报税系统（含建安网上开票）财政地税政务网会计无纸化考试系统、XX会计网、固定资产管理系统外网发票查询、十二万申报、建安项目预登记、建安房产税控开票、车船税代征代缴系统财税内部信息2.数据库（1）外网远程电子报税系统数据库（2）津税系统数据库（3）津税系统查询机（4）税管员平台数据库（5）税管员平台ODS数据库（6）非税收入（7）会计无纸化考试数据库（8）国库集中支（9）部门预算（10）财税政务网、XX会计网（11）固定资产管理3.外部数据交换（1）津税系统人行数据交换（2）津税系统残联数据交换（3）国税联合办证数据交换（4）国税国地共享（5）施管站数据交换（6）车船税数据交换（7）房管局契税数据交换（8）非税收入MQ4.操作系统应用系统和数据库涉及到的主机操作系统。5.配电系统（1）供电系统（2）UPS（3）应急供电系统6.机房环境系统（1）市局机房空调（2）市局机房空间及设备摆放（3）市局机房送回风空调循环系统（4）市局机房防火系统（5）市局机房防雷系统、防静电系统（6）市局机房空调上水水质、管道及下水路由（五）质量控制为确保信息安全风险评定项目质量，规定在风险评定过程中就风险评定过程控制、风险评定过程监督、风险评定成果的验证等方面严格有关原则。四、服务周期信息安全风险评定服务自9月1日－8月31日。五、服务资质规定1评定机构应含有下列资质（提供证明材料）：资质类别最高认证级别ISCCC信息安全风险评定服务资质认证一级国家信息安全认证信息安全服务资质证书安全工