XXX 公司信息安全风险评估 实施细则 二〇〇八年五月 编制说明 根据《XXX 公司信息安全风险评估实施指南》和《XXX 公司信息安全风险评估实施细则》(试行),近年来公司组织开展了风险评估常态化推广,通过多年对实施细则的应用、实践与总结,需要进一步对实施细则的内容进行调整和完善。另一方面,随着国家对信息系统安全等级保护等相关政策、标准和基本要求,和公司信息化“S G186”工程安全防护总体方案和公司网络与信息系统安全隔离实施指导意见要求,也需要进一步对实施细则内容进行修订。 本细则主要修订了原有试行细则第四章脆弱性评估部分的具体内容。主要包括: 1、在原有基础上,增加或修改了信息安全管理评估、信息安全运行维护评估、信息安全技术评估的具体要求。为保持本实施细则的可操作性,针对新增的具体要求,按原细则格式添加了标准分值、评分标准和与资产的安全属性(C、I、A)的对应关系。目前,调整后总分值从原先的3000 分调整至5000 分,其中,管理占1800 分、运行维护占1400 分、技术占1800 分。 2、为了与公司等级保护评估相结合并对应,框 架 结构 方面,将 信息安全运行维护评估(第 4.2 节 )中的“物 理环 境 安全”部分调整至信息安全技术评估(第 4.3.1 小 节 ),在信息安全技术评估中新增了“数 据安全及 备 份 恢 复 ”(第 4.3.8 小 节 ); 具体内容方面,在每 项 具体要求新增了等级保护对应列 。 目 录 1. 前言 .................................................................................................................................. 1 2. 资产评估 .......................................................................................................................... 2 2.1. 资产识别 ................................................................................................................... 2 2.2. 资产赋值 ................................................................................................................... 3 3. 威胁评估 .......................................................................................................................... 6 4. 脆弱性评估 ...................................................................................
