文档介绍:企业信息安全风险评估实施细则
二〇〇八年五月
目录
1. 前言 1
2. 资产评估 2
. 资产识别 2
. 资产赋值 3
3. 威胁评估 6
4. 脆弱性评估 10
. 信息安全管理评估 11
. 安全方针 11
. 信息安全机构 13
. 人员安全管理 17
. 信息安全制度文件管理 19
. 信息化建设中的安全管理 23
. 信息安全等级保护 29
. 信息安全评估管理 32
. 信息安全的宣传与培训 32
. 信息安全监督与考核 34
. 符合性管理 36
. 信息安全运行维护评估 37
. 信息系统运行管理 37
. 资产分类管理 41
. 配置与变更管理 42
. 业务连续性管理 43
. 设备与介质安全 46
. 信息安全技术评估 50
. 物理安全 50
. 网络安全 53
. 操作系统安全 60
. 数据库安全 72
. 通用服务安全 81
. 应用系统安全 85
. 安全措施 90
. 数据安全及备份恢复 94
前言
为了规范、深化XXX公司信息安全风险评估工作,依据国家《信息系统安全等级保护基本要求》、《XXX公司信息化“SG186”工程安全防护总体方案》、《XXX公司网络与信息系统安全隔离实施指导意见》、《XXX公司信息安全风险评估管理暂行办法》、《XXX公司信息安全风险评估实施指南》(以下简称《实施指南》),组织对《XXX公司信息安全风险评估实施细则》进行了完善。
本细则是开展信息系统安全风险评估工作实施内容的主要依据,各单位在相关的信息安全检查、安全评价、信息系统安全等级保护评估工作中也可参考本细则的内容。
本细则结合公司当前信息化工作重点,针对《实施指南》中信息资产评估、威胁评估、脆弱性评估提出了具体的评估内容。其中,资产评估内容主要针对公司一体化企业级信息系统展开;威胁评估包含非人为威胁和人为威胁等因素;脆弱性评估内容分为信息安全管理评估、信息安全运行维护评估、信息安全技术评估三部分。
公司的评估工作应在本细则的基础上,结合《实施指南》提出更详细的实施方案,并采用专业的评估工具对信息系统进行全面的评估和深层的统计分析,并进行风险计算,确保全面掌握信息系统的安全问题,并提供解决问题的安全建议。
本细则将随公司信息安全管理、技术、运维情况的发展而滚动修订与完善。
本标准由XXX公司信息化工作部组织制定、发布并负责解释。
资产评估
资产评估是确定资产的信息安全属性(机密性、完整性、可用性等)受到破坏而对信息系统造成的影响的过程。在风险评估中,资产评估包含信息资产识别、资产赋值等内容。
资产识别
资产识别主要针对提供特定业务服务能力的应用系统展开,例如:网络系统提供基础网络服务、OA系统提供办公自动化服务。通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分,这四个部分在信息系统的实例中都显现为独立的资产实体,例如:典型的OA系统可分为客户端、Web服务器、Domino服务器、DB2数据库服务器四部分资产实体。
应用系统的功能模块(或子系统),可参照下表进行分解:
应用系统分解表
类别
说明
数据存储
应用系统中负责数据存储的子系统或功能模块。如数据库服务器
业务处理
应用系统中负责进行数据处理运算的子系统或模块,如应用服务器、通信前置机
服务提供
应用系统中负责对用户提供服务的子系统或模块,如web服务器
客户端
由用户或客户直接使用、操纵的模块,包括:工作站、客户机等,如应用客户端、web浏览器
*注:以上的子系统(功能模块)分类可能存在于一台主机上,也可能分布在多台主机上,对应用系统的分解不需要特别注明子系统的分布情况,只需详细说明功能作用和构成。
对于不具有多层结构的系统,可根据实际情况进行简化分解,例如:仅分解为服务器端与客户端。
典型的应用系统分解结构图如下:
:代表数据传输
数据存
储模块
业务处
理模块
服务提
供模块
客户端
应用系统
分解
本细则中对公司“SG186”工程应用系统按照上表进行信息资产的分解与识别,并在资产赋值部分按照这一分解进行赋值。
资产赋值
根据《实施指南》的定义,资产评估中对资产的赋值最终结果是对识别出的独立资产实体的赋值。每项资产都要进行机密性要求、完整性要求、可用性要求的赋值,赋值定义为:安全性要求很高=5、安全性要求高=4、安全性