XXX 公司信息安全风险评估实施细则下载后可任意编辑二〇〇八年五月编制说明根据《XXX 公司信息安全风险评估实施指南》和《XXX 公司信息安全风险评估实施细则》( 试行) , 近年来公司组织开展了风险评估常态化推广, 经过多年对实施细则的应用、 实践与总结, 需要进一步对实施细则的内容进行调整和完善。另一方面, 随着国家对信息系统安全等级保护等相关政策、 标准和基本要求, 和公司信息化”SG186”工程安全防护总体方案和公司网络与信息系统安全隔离实施指导意见要求, 也需要进一步对实施细则内容进行修订。本细则主要修订了原有试行细则第四章脆弱性评估部分的具体内容。主要包括: 1、 在原有基础上, 增加或修改了信息安全管理评估、 信息安全运行维护评估、 信息安全技术评估的具体要求。为保持本实施细则的可操作性, 针对新增的具体要求, 按原细则格式添加了标准分值、 评分标准和与资产的安全属性( C、 I、 A) 的对应关系。当前, 调整后总分值从原先的 3000 分调整至 5000 分, 其中, 管理占 1800 分、 运行维护占 1400 分、 技术占 1800 分。2、 为了与公司等级保护评估相结合并对应, 框架结构方面, 将信息安全运行维护评估( 第 4.2 节) 中的”物理环境安全”部分调整至信息安全技术评估( 第 4.3.1 小节) , 在信息安全技术评估中新增了”数据安全及备份恢复”( 第 4.3.8 小节) ; 具体内容方面, 在每项具体要求新增了等级保护对应列。目 录1.前言..............................................12.资产评估..........................................22.1.资产识别.......................................22.2.资产赋值.......................................33.威胁评估..........................................64.脆弱性评估.......................................104.1.信息安全管理评估..............................114.1.1......................................安全方针114.1.2..................................信息安全机构134.1.3..................................人员安全管理174.1.4..........................信息安全制度文件管理194.1.5........................信息化建设中的安全管理234.1.6..............................信息安全等级保护294.1.7..............................信息安全评估管理324.1.8..........................信息安全的宣...
