信息安全风险评估需求方案一、项目背景(放进建议)二、项目目标通过开展信息“安全风险评估”,完善安全管理机制;通过安全服务的引入,进一步建立健全安全管理策略,实现安全风险的可知、可控和可管理;通过建立信息安全风险评估机制,实现信息安全风险的动态跟踪分析,为信息安全整体规划提供科学的决策依据,进一步加强网络的整体安全防护能力,全面提升我信息系统整体安全防范能力,极大提高网络与信息安全管理水平;通过深入挖掘网络与信息系统存在的脆弱点,并以业务系统为关键要素,对现有的信息安全管理制度和技术措施的有效性进行评估,不断增强系统的网络和信息系统抵御风险安全风险能力,促进安全管理水平的提高,增强信息安全风险管理意识,培养信息安全专业人才,为各项业务提供安全可靠的支撑平台
三、项目需求(一)服务要求1基本要求“安全风险评估服务”全过程要求有据可依,并在产品使用有据可查,并保持项目之后的持续改进
针对用户单位网络中的IT设备及应用软件,需要有软件产品识别所有设备及其安全配置,或以其他方式收集、保存设备明细及安全配置,进行资产收集作为建立信息安全体系的基础
安全评估的过程及结果要求通过软件或其他形式进行展示
对于风险的处理包括:协助用户制定安全加固方案、在工程建设及日常运维中提供安全值守、咨询及支持服务,通过安全产品解决已知的安全风险
在日常安全管理方面提供安全支持服务,并根据国家及行业标准制定信息安全管理体系,针对安全管理员提供安全培训,遇有可能的安全事件发生时,提供应急的安全分析、紧急响应服务
2安全评估评估的范围应全面,涉及到网络信息系统的各个方面,包括物理环境、网络结构、应用系统、数据库、服务器及网络安全设备的安全性、安全产品和技术的应用状况以及管理体系是否完善等等;同时对管理风险、综合安全风险以及应用系统安全性进行评估;评估采用专业工具扫描(漏洞扫描、数据库扫描采用产品必须为商业化产品
