2024年企业信息安全风险评估实施细则VIP免费

企业信息安全风险评估实施细则二〇〇八年五月目录１.ﻩ前言ﻩ12.资产评估ﻩ２2.1．资产识别ﻩ２2.2.ﻩ资产赋值ﻩ33.威胁评估ﻩ6４.脆弱性评估....................................................................................................................10４.1.信息安全管理评估.................................................................................................114.1.1.ﻩ安全方针...........................................................................................................114.1.2．ﻩ信息安全机构ﻩ3１4.1.3.ﻩ人员安全管理ﻩ174.１．4.信息安全制度文件管理ﻩ194.1.5.信息化建设中的安全管理.............................................................................234.1.6.ﻩ信息安全等级保护ﻩ294．１.7.ﻩ信息安全评估管理ﻩ３２4.1.8.ﻩ信息安全的宣传与培训ﻩ32４．1.9．.............................................................................信息安全监督与考核ﻩ3４4.1.1０.ﻩ符合性管理ﻩ3６4.2.ﻩ信息安全运行维护评估ﻩ7３4.2.1.信息系统运行管理.........................................................................................374.2.2.ﻩ资产分类管理ﻩ414.2.3.配置与变更管理..........................................................................................４24．2．4.业务连续性管理ﻩ４３4.2.5.设备与介质安全ﻩ464.３.ﻩ信息安全技术评估.....................................................................................................504．3.1.物理安全......................................................................................................５04.3.２．ﻩ网络安全.......................................................................................................53４.３．3............................................................................................操作系统安全ﻩ60４．3.4.ﻩ数据库安全...................................................................................................724.3.5.ﻩ通用服务安全................................................................................................８1４.3.6.应用系统安全ﻩ85４.3.7.ﻩ安全措施......................................................................................................9０4.3.８．ﻩ数据安全及备份恢复...................................................................................941.前言1.1.为了规范、深化ＸXX公司信息安全风险评估工作,依据国家《信息系统安全等级保护基本要求》、《XXX公司信息化“ＳG1８6”工程安全防护总体方案》、《ＸXX公司网络与信息系统安全隔离实施指导意见》、《XXX公司信息安全风险评估管理暂行办法》、《XＸＸ公司信息安全风险评估实施指南》（以下简称《实施指南》),组织对《XXＸ公司信息安全风险评估实施细则》进行了完善。1.2.本细则是开展信息系统安全风险评估工作实施内容的主要依据,各单位在相关的信息安全检查、安全评价、信息系统安全等级保护评估工作中也可参考本细则的内容。1.3.本细则结合公司当前信息化工作重点，针对《实施指南》中信息资产评估、威胁评估、脆弱性评估提出了具体的评估内容。其中，资产评估内容主要针对公司一体化企业级信息系统展开;威胁评估包含非人为威胁和人为威胁等因素；脆弱性评估内容分为信息安全管理评估、信息安全运行维护评估、信息安全技术评估三部分。1.4.公司的评估工作应在本细则的基础上,结合《实施指南》提出更详细的实施方案，并采用专业的评估工具对信息系统进行全面的评估和深层的统计分析，并进行风险计算,确保全面掌握信息系统的安全问题,并提供解决问题的安全建议。1.5.本细则将随公司信息安全管理、技术、运维情况的发展而滚动修订与完善。1.6.本标准由XXX公司信息化工作部组织制...