中科园智能网络系统有限责任公司 信息系统风险评估作业指导书 1 、 作业目的 信息系统风险评估作业是我公司的主要服务内容之一,其目的是通过发现客户系统中的安全风险和威胁,对客户系统进行真实、可靠的安全评估,为客户信息系统的安全整改提供依据和建议,从而帮助客户切实改进自身信息系统,使客户系统顺利达到相关安全接入标准。 2 、 作业范围 信息系统风险评估作业的范围主要包括: 2 .1 信息系统用户访问 针对信息系统的风险评估作业的主要依据和方法是对信息系统的用户访问,通过访问发现系统资产的重要性、操作方法、业务流程、依赖程度、受攻击情况、安全管理制度、人员管理制度、管理机构设置以及管理状况等等。 2 .2 信息系统现场勘察 针对信息系统的现场勘察作业,可以发现系统的物理安全环境、实际拓扑结构以及实际的管理状况,并可通过现场勘察验证资产信息和配置状况。对于内网系统,现场勘察过程中也可进行必要测试和验证作业。 2 .3 信息系统远程测试 针对信息系统的远程测试主要目的是通过远程方式,在时间相对宽裕的条件下通过善意扫描和渗透,测试客户信息系统的安全状况和安全程度,并提出适当报告和相关建议。但远程测试并非每个评估作业项目都必需的作业方式,除非经过用户许可或现实条件允许,否则不应采用远程测试方式进行评估作业。 2 .4 信息系统威胁分析 通过人员访问、现场勘察、远程测试等途径,从客户资产识别、脆弱性识别以及威胁性识别三个方面出发,基于信息系统的可用性、完整性、安全性三原则出发,根据资料对比、客户沟通结果进行分析和验证。 2 .5 信息系统评估报告 针对客户信息系统威胁分析结果生成评估报告并附加安全整改建议。 2 .6 信息系统安全演练 信息系统安全演练的主要目的是基于作业员工的评估素质出发,进行日常训练。内容包括评估方法训练、测试技术训练、资料分析训练等等。 3 、 职责划分 3 .1 评估管理小组 因为信息系统的风险评估工作本身带有一定的风险,因此加强作业管理、重视客户沟通就必然成为评估作业首要的保障手段。评估管理小组的主要职责正是通过对作业人员、作业行为、作业工具、作业结果、历史档案以及客户资料的管理,保证整个评估项目的顺利进行和成功交付。 3.2 评估作业小组 评估作业小组的主要职责包括:针对资产的依赖性识别、重要性识别等;针对系统脆弱性的用户访问、历史资料分析、拓扑结构分析、稳定性分析等;针对系...
