第一篇：信息安全測評與風險評估考試資料

《信息安全測評與風險評估》

（本科目閉卷考試，考試題型：填空56分，解答18分，案例分析26）

P4安全測評工具：系統(tǒng)科學/系統(tǒng)工程

P6貫標：測評人員在測評活動中嚴格遵循相關(guān)標準的行為

P19安全域：將一個大型信息系統(tǒng)中具有某種相似性的子系統(tǒng)“聚集”在一起

P43數(shù)據(jù)安全三個屬性：完整性、保密性、可用性數(shù)據(jù)安全三個測評：數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份與恢復數(shù)據(jù)安全三個手段：訪談、檢查、測試

P75主機安全測評：身份鑒別、自主訪問控制、強制訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范、資源控制

P119網(wǎng)絡安全測評：結(jié)構(gòu)安全與網(wǎng)段劃分、網(wǎng)絡訪問控制、撥號訪問控制、網(wǎng)絡安全審計、邊界完整性檢查、網(wǎng)絡入侵防范、惡意代碼防范、網(wǎng)絡設(shè)備防護

P169應用安全測評：身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制

P217風險：不確定性對目標的影響

信息安全風險：人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導致安全事件發(fā)生及其對組織造成的影響

PP259威脅：可能導致對系統(tǒng)或組織危害的事故潛在起因

威脅識別分為：重點識別和全面識別 重點識別：是按照資產(chǎn)重要性進行排序，從而決定威脅識別的巨細程度和投入多少識別資源全面識別：對每一個資產(chǎn)可能面臨的所有威脅都要進行詳細分析，而不管資產(chǎn)本身重要程度的高低

P283脆弱性：可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)

P313風險分析：依據(jù)國家有關(guān)標準對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性喝可用性等安全屬性進行分析和評價的過程

風險分析與威脅識別、脆弱性識別之間的關(guān)系？

風險分析將在威脅識別、脆弱性識別基礎(chǔ)上進行風險計算，對風險進行定級，提出相應的風險控制措施，最后再次評估殘余風險，從而使得人們對信息系統(tǒng)所面臨的風險從模糊的感覺上升到更為科學、理性的認識上面來。

第二篇：信息安全風險評估服務

1、風險評估概述

1.1風險評估概念

信息安全風險評估是參照風險評估標準和管理規(guī)范，對信息系統(tǒng)的資產(chǎn)價值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護措施等進行分析，判斷安全事件發(fā)生的概率以及可能造成的損失，提出風險管理措施的過程。當風險評估應用于IT領(lǐng)域時，就是對信息安全的風險評估。風險評估從早期簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術(shù)操作，逐漸過渡到目前普遍采用國際標準的BS7799、ISO17799、國家標準《信息系統(tǒng)安全等級評測準則》等方法，充分體現(xiàn)以資產(chǎn)為出發(fā)點、以威脅為觸發(fā)因素、以技術(shù)/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型。

1.2風險評估相關(guān)

資產(chǎn)，任何對組織有價值的事物。

威脅，指可能對資產(chǎn)或組織造成損害的事故的潛在原因。例如，組織的網(wǎng)絡系統(tǒng)可能受到來自計算機病毒和黑客攻擊的威脅。

脆弱點，是指資產(chǎn)或資產(chǎn)組中能背威脅利用的弱點。如員工缺乏信息安全意思，使用簡短易被猜測的口令、操作系統(tǒng)本身有安全漏洞等。

風險，特定的威脅利用資產(chǎn)的一種或一組薄弱點，導致資產(chǎn)的丟失或損害餓潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。風險評估，對信息和信息處理設(shè)施的威脅、影響和脆弱點及三者發(fā)生的可能性評估。風險評估也稱為風險分析，就是確認安全風險及其大小的過程，即利用適當?shù)娘L險評估工具，包括定性和定量的方法，去頂資產(chǎn)風險等級和優(yōu)先控制順序。

2、風險評估的發(fā)展現(xiàn)狀

2.1信息安全風險評估在美國的發(fā)展

第一階段（60-70年代）以計算機為對象的信息保密階段

1067年11月到1970年2月，美國國防科學委員會委托蘭德公司、邁特公司（MITIE）及其它和國防工業(yè)有關(guān)的一些公司對當時的大型機、遠程終端進行了研究，分析。作為第一次比較大規(guī)模的風險評估。特點：

僅重點針對了計算機系統(tǒng)的保密性問題提出要求，對安全的評估只限于保密性，且重點在于安全評估，對風險問題考慮不多。第二階段（80-90年代）以計算機和網(wǎng)絡為對象的信息系統(tǒng)安全保護階段

評估對象多為產(chǎn)品，很少延拓至系統(tǒng)，嬰兒在嚴格意義上扔不是全面的風險評估。

第三階段（90年代末，21世紀初）以信息系統(tǒng)為對象的信息保障階段

隨著信息保障的研究的深入，保障對象明確為信息和信息系統(tǒng)；保障能力明確來源于技術(shù)、管理和人員三個方面；逐步形成了風險評估、自評估、認證認可的工作思路。2.2我國風險評估發(fā)展

● 2002年在863計劃中首次規(guī)劃了《系統(tǒng)安全風險分析和評估方法研究》課題

● 2003年8月至2010年在國信辦直接指導下，組成了風險評估課題組

● 2004● 2005年，國家信息中心《風險評估指南》，《風險管理指南》 年全國風險評估試點

● 在試點和調(diào)研基礎(chǔ)上，由國信辦會同公安部，安全部，等起草了《關(guān)于開展信息安全風險評估工作的意見》征求意見稿

● 2006年，所有的部委和所有省市選擇1-2單位開展本地風險評估試點工作

● 2015年，國家能源局根據(jù)《電力監(jiān)控系統(tǒng)安全防護規(guī)定》（國家發(fā)展和改革委員會令2014年第14號）制定了《電力監(jiān)控系統(tǒng)安全防護總體方案》（國能安全[2015]36號）等安全防護方案和評估方案，其中相關(guān)規(guī)定明確風險評估在電力系統(tǒng)中的需要

● 2017年7月，《中華人民共和國網(wǎng)絡安全法》頒布，其中第二章第十七條“國家推進網(wǎng)絡安全社會化服務體系建設(shè)，鼓勵有關(guān)企業(yè)、機構(gòu)開展網(wǎng)絡安全認證、檢測和風險評估等安全服務”。明確了需要社會廣泛參與服務。

3、風險評估要素關(guān)系模型

4、風險評估流程

● 確定資產(chǎn)評估范圍 ● 資產(chǎn)的識別和影響 ● 威脅識別 ● 脆弱性評估 ● 威脅分析 ● 風險分析 ● 風險管理

5、風險評估原則

● 符合性原則 ● 標準性原則 ● 規(guī)范性原則

● 可控性原則 ● 保密性原則

● 整體性原則 ● 重點突出原則 ● 最小影響原則

6、評估依據(jù)的標準和規(guī)范

? GB/T 20984-2007 《信息安全技術(shù) 信息安全風險評估規(guī)范》 ? 《電力監(jiān)控系統(tǒng)安全防護規(guī)定》（發(fā)改委14號令）

? 《關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方案和評估規(guī)范的通知》（國能安全[2015]36號）

? GB/T 18336-2001 《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則》

? ISO/IEC 27001:2005《信息安全管理體系標準》

? GB/T 22239-2008 《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》

? GB/T 22240-2008 《信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南》

? GB/T 25058-2010 《信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南》

? 《電力行業(yè)信息安全等級保護基本要求》（電監(jiān)信息[2012]62號）? 《關(guān)于開展電力行業(yè)信息系統(tǒng)安全等級保護定級工作的通知》（電監(jiān)信息[2007]34號）

? 《電力行業(yè)信息系統(tǒng)等級保護定級工作指導意見》（電監(jiān)信息[2007]44號）

7、風險評估的發(fā)展方向

8.1風險評估行業(yè)發(fā)展方向

從2003年7月至今，我國信息安全風險評估工作大致經(jīng)歷了三個階段，即調(diào)查研究階段、標準編制階段和試點工作階段。

歷時兩年、經(jīng)過調(diào)查研究、標準編制和試點工作三個階段，目前，我國信息安全風險評估工作已取得階段性的成果，此間也是《關(guān)于開展信息安全風險評估工作的意見》政策文件，以及《信息安全風險評估指南》和《信息安全風險管理指南》兩項標準歷經(jīng)醞釀、形成到不斷完善的三個時期。

信息安全風險是人為或自然的威脅利用系統(tǒng)存在的脆弱性引發(fā)的安全事件，并由于受損信息資產(chǎn)的重要性而對機構(gòu)造成的影響。而信息安全風險評估，則是指依據(jù)國家風險評估有關(guān)管理要求和技術(shù)標準，對信息系統(tǒng)及由其存儲、處理和傳輸?shù)男畔⒌臋C密性、完整性和可用性等安全屬性進行科學、公正的綜合評價的過程。通過對信息及信息系統(tǒng)的重要性、面臨的威脅、其自身的脆弱性以及已采取安全措施有效性的分析，判斷脆弱性被威脅源利用后可能發(fā)生的安全事件以及其所造成的負面影響程度來識別信息安全的安全風險。

信息安全風險評估是信息安全保障體系建立過程中的重要的評價方法和決策機制。沒有準確及時的風險評估，將使得各個機構(gòu)無法對其信息安全的狀況做出準確的判斷。所以，所謂安全的信息系統(tǒng)，實際是指信息系統(tǒng)在實施了風險評估并做出風險控制后，仍然存在可被接受的殘余風險的信息系統(tǒng)。因此，需要運用信息安全風險評估的思想和規(guī)范，對信息系統(tǒng)展開全面、完整的信息安全風險評估。

信息安全風險評估在信息安全保障體系建設(shè)中具有不可替代的地位和重要作用。風險評估既是實施信息系統(tǒng)安全等級保護的前提，又是信息系統(tǒng)安全建設(shè)和安全管理的基礎(chǔ)工作。通過風險評估，能及早發(fā)現(xiàn)和解決問題，防患于未然。當前，尤其迫切需要對我國信息化發(fā)展過程中形成的基礎(chǔ)信息網(wǎng)絡和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)進行持續(xù)的風險評估，隨時掌握我國重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡的安全狀態(tài)，及時采取有針對性的應對措施，為建立全方位的國家信息安全保障體系提供服務。通過風險評估可以有助于認清信息安全環(huán)境和信息安全狀況，明確信息化建設(shè)中各級的責任，采取或完善更加經(jīng)濟有效的安全保障措施，保證信息安全策略的一致性和持續(xù)性，并進而服務于國家信息化發(fā)展，促進信息安全保障體系的建設(shè)，全面提高信息安全保障能力。其意義具體體現(xiàn)在于：風險評估是信息安全建設(shè)和管理的關(guān)鍵環(huán)節(jié)，它是需求主導和突出重點原則的具體體現(xiàn)，是分析確定風險的過程，加強風險評估工作是信息安全工作的客觀需要。

國家信息安全風險評估政策文件和標準的即將出臺與頒布將為我國信息安全風險評估工作的開展提供科學的政策和技術(shù)依據(jù)。相信在未來，我國信息安全風險評估的政策思路、標準規(guī)范、實踐經(jīng)驗將會有進一步提升。

8.2公司自身的發(fā)展方向

就當前公司而言，最緊要的是對于信息安全風險評估資質(zhì)的申請，和人員技術(shù)的培訓。依托現(xiàn)有的省公司調(diào)度自動化處的合作，促進與新型能源企事業(yè)合作，大力開展光伏電站入網(wǎng)前的安全防護檢查與檢測，同時拓展到風電、水電和火電的并網(wǎng)后的定期檢查。在這個方面，我司現(xiàn)在的業(yè)務水平尚有欠缺，技術(shù)方面還有不足。因此現(xiàn)在在面臨這行業(yè)蓬勃發(fā)展的前提下，我們要在資質(zhì)和技術(shù)上雙管齊下。另外，在正式介入這個行業(yè)后，我們不能只局限于和電廠的合作，更應該面向整個社會，提高社會參與度。據(jù)河南同樣類型的企業(yè)，其在2017年一月至2017年七月營業(yè)額同比增長200%。在當前情況下信息安全風險評估無疑是巨大的一塊蛋糕。越來越多的企業(yè)都在信息化、網(wǎng)絡化，意味著這塊蛋糕的體積還在不斷地增加。所以我們應該把握時機。充分利用已有的資源，搶占市場，占據(jù)優(yōu)勢地位。

第三篇：信息安全風險評估管理辦法

信息安全風險評估管理辦法

第一章 總 則

第一條 為規(guī)范信息安全風險評估（以下簡稱“風險評估”）及其管理活動，保障信息系統(tǒng)安全，依據(jù)國家有關(guān)規(guī)定，結(jié)合本省實際，制定本辦法。

第二條 本省行政區(qū)域內(nèi)信息系統(tǒng)風險評估及其管理活動，適用本辦法。

第三條 本辦法所稱信息系統(tǒng)，是指由計算機、信息網(wǎng)絡及其配套的設(shè)施、設(shè)備構(gòu)成的，按照一定的應用目標和規(guī)則對信息進行存儲、傳輸、處理的運行體系。

本辦法所稱重要信息系統(tǒng)，是指履行經(jīng)濟調(diào)節(jié)、市場監(jiān)管、社會管理和公共服務職能的信息系統(tǒng)。

本辦法所稱風險評估，是指依據(jù)有關(guān)信息安全技術(shù)與管理標準，對信息網(wǎng)絡和信息系統(tǒng)及由其存儲、傳輸、處理的信息的保密性、完整性和可用性等安全屬性進行評價的活動。第四條 縣以上信息化主管部門負責本行政區(qū)域內(nèi)風險評估的組織、指導和監(jiān)督、檢查。

跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的重要信息系統(tǒng)的風險評估，可以由其行業(yè)管理部門統(tǒng)一組織實施。

涉密信息系統(tǒng)的風險評估，由國家保密部門按照有關(guān)法律、法規(guī)規(guī)定實施。第五條 風險評估分為自評估和檢查評估兩種形式。自評估由信息系統(tǒng)的建設(shè)、運營或者使用單位自主開展。檢查評估由縣以上信息化主管部門在本行政區(qū)域內(nèi)依法開展，也可以由信息系統(tǒng)建設(shè)、運營或者使用單位的上級主管部門依據(jù)有關(guān)標準和規(guī)范組織進行，雙方實行互備案制度。第二章 組織與實施

第六條 信息化主管部門應當定期發(fā)布本行政區(qū)域內(nèi)重要信息系統(tǒng)目錄，制定檢查評估實施計劃，并對重要信息系統(tǒng)管理技術(shù)人員開展相關(guān)培訓。

第七條 江蘇省信息安全測評中心為本省從事信息安全測評的專門機構(gòu)，受省信息化主管部門委托，具體負責對從事風險評估服務的社會機構(gòu)進行條件審核、業(yè)務管理和人員培訓，組織開展全省重要信息系統(tǒng)的外部安全測試。第八條 信息系統(tǒng)的建設(shè)、運營或者使用單位可以依托本單位技術(shù)力量，或者委托符合條件的風險評估服務機構(gòu)進行自評估。

第九條 重要信息系統(tǒng)新建、擴建或者改建的，在設(shè)計、驗收、運行維護階段，均應當進行自評估。重要信息系統(tǒng)廢棄、發(fā)生重大變更或者安全狀況發(fā)生重大變化的，應當及時進行自評估。

第十條 本省行政區(qū)域內(nèi)信息系統(tǒng)應當定期開展風險評估，其中重要信息系統(tǒng)應當至少每三年進行一次自評估或檢查評估。在規(guī)定期限內(nèi)已進行檢查評估的重要信息系統(tǒng)，可以不再進行自評估。

第十一條 縣以上信息化主管部門委托符合條件的風險評估服務機構(gòu)，對本行政區(qū)域內(nèi)重要信息系統(tǒng)實施檢查評估。第十二條信息系統(tǒng)的建設(shè)、運營或使用單位委托風險評估服務機構(gòu)開展自評估,應當簽訂風險評估協(xié)議；信息化主管部門委托開展檢查評估，受委托的風險評估服務機構(gòu)應當與被評估單位簽訂風險評估協(xié)議。

對于評估活動可能影響信息系統(tǒng)正常運行的，風險評估服務機構(gòu)應當事先告知被評估單位，并協(xié)助其采取相應的預防措施。

第十三條 風險評估應當出具評估報告。評估報告應當包括評估范圍、內(nèi)容、依據(jù)、結(jié)論和整改建議等。

風險評估服務機構(gòu)出具的自評估報告，應當經(jīng)被評估單位認可，并經(jīng)雙方部門負責人簽署后生效。

風險評估服務機構(gòu)出具的檢查評估報告，應當報委托其開展評估的主管部門審定；主管部門應當自收到評估報告之日起10個工作日內(nèi)，將審定結(jié)果和整改意見告知被評估單位。第十四條 自評估單位應當根據(jù)自評估報告進行整改，并自報告生效之日起30日內(nèi)，將自評估情況和整改方案報本級信息化主管部門備案。

接受檢查評估的單位應當自收到檢查評估報告之日起30日內(nèi)，根據(jù)整改建議提出整改方案、明確整改時限，報本級信息化主管部門備案。

受委托進行風險評估的服務機構(gòu)應當指導被評估單位開展整改，并對整改措施的有效性進行驗證。第十五條 信息化主管部門應當定期公布已開展自評估、檢查評估單位備案名單，督促未備案單位開展自評估。

第十六條 未發(fā)生重大變更的重要信息系統(tǒng)再次進行風險評估的，可以參考前次評估結(jié)果，重點評估以下內(nèi)容：

（一）前次風險評估發(fā)現(xiàn)的主要問題及整改情況；

（二）核心網(wǎng)絡設(shè)備、服務器、安全防護設(shè)施、應用軟件等系統(tǒng)關(guān)鍵部位發(fā)生局部變更后，可能出現(xiàn)的安全隱患；

（三）新的信息技術(shù)可能對信息系統(tǒng)安全造成的影響；

（四）其他需要重點評估的內(nèi)容。第三章 風險評估機構(gòu)

第十七條 在本省行政區(qū)域內(nèi)從事自評估服務的社會機構(gòu)，應當具備下列條件，并報經(jīng)其所在地省轄市信息化主管部門備案：

（一）依法在中國境內(nèi)注冊成立并在本省設(shè)有機構(gòu)，由中國公民、法人投資或者由其它組織投資；

（二）從事信息安全檢測、評估相關(guān)業(yè)務兩年以上，無違法記錄；

（三）專業(yè)評估人員不少于10人且均為中國公民，接受并通過相關(guān)培訓考核，無違法記錄；其中主要評估人員2人以上，具有由國家權(quán)威機構(gòu)認定的或由其它機構(gòu)認定的相當水平的信息安全服務資格，具備獨立實施風險評估的技術(shù)能力;

（四）評估使用的技術(shù)裝備、設(shè)施符合國家信息安全產(chǎn)品要求；

（五）具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等內(nèi)部管理制度；

（六）法律法規(guī)規(guī)定的其它條件。

第十八條 在本省從事檢查評估的社會機構(gòu)，除具備第十七條規(guī)定條件外，還應當同時具備下列條件，并經(jīng)其所在地省轄市信息化主管部門審核后，報省信息化主管部門備案：

（一）具有國家權(quán)威機構(gòu)認定的信息安全服務資質(zhì)；

（二）評估人員不少于20人，其中主要評估人員4人以上，具有國家權(quán)威機構(gòu)認定的或由其它機構(gòu)認定的相當水平的信息安全服務資格。

第十九條 省轄市以上信息化主管部門應當自收到備案申請報告之日起10個工作日內(nèi)，告知備案結(jié)果，并定期向社會公布本行政區(qū)域內(nèi)風險評估服務機構(gòu)備案名單，對其服務進行管理、監(jiān)督。

第二十條 從事風險評估服務的機構(gòu)，應當履行下列義務：

（一）遵守國家有關(guān)法律法規(guī)和技術(shù)標準，提供科學、安全、客觀、公正的評估服務，保證評估的質(zhì)量和效果；

（二）保守在評估活動中知悉的國家秘密、商業(yè)秘密和個人隱私，防范安全風險，不得私自占有、使用或向第三方泄露相關(guān)技術(shù)數(shù)據(jù)、業(yè)務資料等信息和資源；

（三）對服務人員進行安全保密教育，簽訂服務人員安全保密責任書，并負責檢查落實。第四章 監(jiān)督管理

第二十一條 違反本辦法，有以下行為之一的，由信息化主管部門責令其限期改正，逾期不改正的，予以通報；對直接責任人員，由所在單位或上級主管部門視情給予行政處分：

（一）違反第九條、第十條規(guī)定，信息系統(tǒng)的建設(shè)、運營或者使用單位未按照規(guī)定開展自評估；重要信息系統(tǒng)的建設(shè)、運營或者使用單位不接受、不配合開展檢查評估的；

（二）違反第十四條規(guī)定，自評估單位未按照規(guī)定將自評估情況和整改方案、接受檢查評估單位未按照規(guī)定將整改方案報本級信息化主管部門備案的；

（三）違反第八條規(guī)定，信息系統(tǒng)的建設(shè)、運營或者使用單位委托不符合條件的機構(gòu)進行風險評估，并造成不良后果的。第二十二條 違反本辦法第十二條規(guī)定，風險評估服務機構(gòu)未事先告知被評估單位、協(xié)助其采取預防措施的，由信息化主管部門責令限期改正，并給予警告；造成不良后果的，可視情暫停其備案1年，直至取消其備案。

第二十三條 違反本辦法第二十條規(guī)定，風險評估服務機構(gòu)未經(jīng)許可向第三方提供被評估單位相關(guān)信息的，或者從事影響評估客觀、公正的活動的，由信息化主管部門視情暫停其備案一年，直至取消其備案。造成被評估單位經(jīng)濟損失的，應予合理賠償；從中不當獲利的，應予退還；構(gòu)成犯罪的，應依法追究其刑事責任。

第二十四條 信息化主管部門或其他有關(guān)部門工作人員有下列行為之一的，由其監(jiān)察部門或上級主管部門視情對相關(guān)責任人員給予行政處分；構(gòu)成犯罪的，依法追究刑事責任：

（一）利用職權(quán)索取、收受賄賂，或者玩忽職守、濫用職權(quán)的；

（二）泄露信息系統(tǒng)的運營、使用單位或者個人的有關(guān)信息、資料及數(shù)據(jù)文件的。第五章 附 則

第二十五條 本辦法自發(fā)布之日起施行，由省信息化主管部門負責解釋。

第四篇：信息安全風險評估項目流程

信息安全風險評估項目流程

一、售前方案階段

1.1、工作說明

技術(shù)部配合項目銷售經(jīng)理（以下簡稱銷售）根據(jù)客戶需求制定項目解決方案，客戶認可后，銷售與客戶簽訂合同協(xié)議，同時向技術(shù)部派發(fā)項目工單（項目實施使用）1.2、輸出文檔

《XXX項目XXX解決方案》

輸出文檔（電子版、紙質(zhì)版）交付銷售助理保管，電子版抄送技術(shù)部助理。1.3、注意事項

? 銷售需派發(fā)內(nèi)部工單（售前技術(shù)支持）? 輸出文檔均一式三份（下同）

二、派發(fā)項目工單

2.1、工作說明

銷售談下項目后向技術(shù)部派發(fā)項目工單，技術(shù)部成立項目小組，指定項目實施經(jīng)理和實施人員。

三、項目啟動會議

3.1、工作說明

? 銷售和項目經(jīng)理與甲方召開項目啟動會議，確定各自接口負責人。

? 要求甲方按合同范圍提供《資產(chǎn)表》，確定掃描評估范圍、人工評估范圍和滲透測試范圍。

? 請甲方給所有資產(chǎn)賦值（雙方確認資產(chǎn)賦值）? 請甲方指定安全評估調(diào)查（訪談）人員 3.2、輸出文檔

《XXX項目啟動會議記要》

客戶提交《信息資產(chǎn)表》、《網(wǎng)絡拓撲圖》，由項目小組暫時保管，以供項目實施使用 3.3、注意事項

? 資產(chǎn)數(shù)量正負不超過15%；給資產(chǎn)編排序號，以方便事后檢查。

? 給人工評估資產(chǎn)做標記，以方便事后檢查。? 資產(chǎn)值是評估報告的重要數(shù)據(jù)。? 銷售跟客戶溝通，為項目小組提供信息資產(chǎn)表及拓撲圖，以便項目小組分析制定項目計劃使用。

四、項目前期準備

4.1、工作說明

? 準備項目實施PPT，人工評估原始文檔（對象評估文檔），掃描工具、滲透測試工具、保密協(xié)議和授權(quán)書

? 項目小組與銷售根據(jù)項目內(nèi)容和范圍制定項目實施計劃。4.2、輸出文檔

《XXX項目實施PPT》 《XXX項目人工訪談原始文檔》 《XXX項目保密協(xié)議》 《XXX項目XXX授權(quán)書》 4.3、注意事項

? 如無資產(chǎn)表和拓撲圖需到現(xiàn)場調(diào)查后再制定項目實施計劃和工作進度安排。

? 項目實施小組與客戶約定進場時間。

? 保密協(xié)議和授權(quán)書均需雙方負責人簽字并加蓋公章。? 保密協(xié)議需項目雙方參與人員簽字

五、駐場實施會議

5.1、工作說明

項目小組進場與甲方召開項目實施會議（項目實施PPT），確定評估對象和范圍（主機、設(shè)備、應用、管理等）、實施周期（工作進度安排），雙方各自提出自身要求，項目小組要求甲方提供辦公場地、打印機、接入網(wǎng)絡等項目必備環(huán)境。與甲方簽訂評估保密協(xié)議、授權(quán)書（漏洞掃描、人工評估、滲透測試等）。實施過程中需甲方人員陪同。

5.2、輸出文檔

《XXX項目駐場實施會議記要》 5.3、注意事項

如前期未準備資產(chǎn)表與拓撲圖，在此階段項目小組進行調(diào)查（視情況是否另收費）。

六、現(xiàn)場實施階段

6.1、工作說明

? 按照工作計劃和被評估對象安排實施進度。? 主要工作內(nèi)容 ? 漏洞掃描（主機、應用、數(shù)據(jù)庫等）? 人工評估（主機、應用、數(shù)據(jù)庫、設(shè)備等）? 滲透測試（主機、應用等）

? 項目實施經(jīng)理做好會議記要和日報，項目實施成員保留所有原始文檔并妥善存檔。

? 現(xiàn)場實施部分完成后，雙方召開階段性總結(jié)會議（如甲方有需求可對項目實施過程中發(fā)現(xiàn)的問題進行簡要總結(jié)，輸出簡要總結(jié)報告）

6.2、輸出文檔

《XXX項目XXX人工評估過程文檔》 《XXX項目XXX漏洞掃描過程文檔》 《XXX項目XXX滲透測試過程文檔》 《XXX項目工作日報》 《XXX項目會議記要》 6.3、注意事項

? 若遇到協(xié)調(diào)問題，雙方負責人協(xié)調(diào)解決

? 實施過程中如出現(xiàn)計劃外問題，以會議形式商討解決 ? 日報需項目雙方負責人簽字確認

七、靜態(tài)評估階段

7.1、工作說明

? 與甲方商定評估報告輸出周期和報告內(nèi)容

? 項目小組依據(jù)評估結(jié)果分工進行報告輸出、整理匯總，準備項目總結(jié)PPT和整改建議（如客戶要求則輸出整體加固解決方案），完成后提交公司項目質(zhì)量評審小組審核，審核通過后提交客戶。經(jīng)客戶認可后輸出紙質(zhì)文檔。

7.2、輸出文檔

《XXX項目XXX人工評估報告》 《XXX項目XXX漏洞掃描報告》 《XXX項目XXX滲透測試報告》 《XXX項目安全評估綜合報告》

《XXX項目整改建議書（整體加固解決方案）》 《XXX項目總結(jié)》（PPT）7.3、注意事項

? 依據(jù)公司文檔標準化體系輸出文檔（電子版輸出PDF格式）? 統(tǒng)計數(shù)據(jù)要求完整、準確無誤； ? 解決方案與銷售討論后輸出文檔。

? 項目實施人員對每份輸出文檔簽字，預留甲方接口人員簽字位。

八、評估階段驗收

8.1、工作說明

項目實施經(jīng)理和銷售與甲方召開項目驗收會議，講解項目實施中發(fā)現(xiàn)的風險、隱患和威脅，與客戶討論解決方法（視項目情況而定），雙方驗收項目成果（輸出的報告），對輸出報告簽字確認，并簽訂項目驗收成果書。客戶如有需求，則對評估中發(fā)現(xiàn)的風險、隱患進行加固實施。8.2、輸出文檔

《XXX項目驗收成果書》 《XXX項目會議記要》

九、安全加固實施

9.1、工作說明

安全加固參考安全加固項目流程 9.2、輸出文檔

《XXX項目整體安全加固方案》 《XXX項目XXX安全加固方案》 《會議記要》 《工作日報》 9.3、注意事項

項目實施雙方對加固過程文檔（紙質(zhì)）簽字確認

十、安全加固驗收

10.1、工作說明

針對已加固對象進行再次風險評估，輸出評估結(jié)果報告。10.2、輸出文檔

《XXX項目安全加固驗收報告》 10.3、注意事項

項目雙方對驗收成果簽字確認

十一、項目總結(jié)會議

對本次風險評估、安全加固過程中遇到的問題進行總結(jié)，并對遺留問題進行建議。

輸出文檔：《會議記要》

第五篇：信息安全等級保護與風險評估

信息安全等級保護與風險評估

一、什么是信息安全?

目前常說的所謂信息主要是指在信息系統(tǒng)中存儲、傳輸、處理的數(shù)字化信息。信息安全通常是指保證信息數(shù)據(jù)不受偶然的或者惡意的原因遭到破壞、更改、泄露，保證信息系統(tǒng)能夠連續(xù)可靠正常地運行，信息服務不中斷。信息安全涉及到信息的保密性、完整性、可用性、可控性。保密性是保證信息不泄漏給未經(jīng)授權(quán)的人;完整性是防止信息被未經(jīng)授權(quán)的篡改;可用性是保證信息及信息系統(tǒng)確實為授權(quán)使用者所用;可控性就是對信息及信息系統(tǒng)實施安全監(jiān)控。

信息安全面臨的主要威脅來源有環(huán)境因素和人為因素，而威脅最大的并不是惡意的外部人員，恰恰是缺乏責任心或?qū)I(yè)技能不足的內(nèi)部人員，由于沒有遵循規(guī)章制度和操作流程或不具備崗位技能而導致信息系統(tǒng)故障或被攻擊。

信息安全涉及到物理環(huán)境、網(wǎng)絡、主機、應用等不同的信息領(lǐng)域，每個領(lǐng)域都有其相關(guān)的風險、威脅及解決方法。信息安全是一個動態(tài)發(fā)展的過程，僅僅依賴于安全產(chǎn)品的堆積來應對迅速發(fā)展變化的各種攻擊手段是不能持續(xù)有效的。

二、什么是等級保護?

信息安全等級保護是指對存儲、傳輸、處理信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級進行響應、處置。

等級保護是指導我國信息安全保障體系總體建設(shè)的基礎(chǔ)管理原則，是圍繞信息安全保障全過程的一項基礎(chǔ)性管理制度，其核心內(nèi)容是對信息安全分等級、按標準進行建設(shè)、管理和監(jiān)督。

按照《計算機信息系統(tǒng)安全保護等級劃分準則》規(guī)定的規(guī)定，我國實行五級信息安全等級保護。第一級：用戶自主保護級;第二級：系統(tǒng)審計保護級;第三級：安全標記保護級;第四級：結(jié)構(gòu)化保護級;第五級：訪問驗證保護級;

由公安部、國家保密局、國家密碼管理委員會辦公室、國務院信息化工作辦公室聯(lián)合發(fā)出的66號文《關(guān)于信息安全等級保護工作的實施意見的通知》將信息和信息系統(tǒng)的安全保護等級劃分為五級，即：第一級：自主保護級;第二級：指導保護級;第三級：監(jiān)督保護級;第四級：強制保護級;第五級：?？乇Ｗo級。

66號文中的分級主要是從信息和信息系統(tǒng)的業(yè)務重要性及遭受破壞后的影響出發(fā)的，是系統(tǒng)從應用需求出發(fā)必須納入的安全業(yè)務等級，而不是GB17859中定義的安全技術(shù)等級。

三、什么是風險評估?

風險評估就是量化評判安全事件帶來的影響或損失的可能程度。

從信息安全的角度來講，風險評估是對信息資產(chǎn)所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用所帶來風險的可能性的評估。作為風險管理的基礎(chǔ)，風險評估是組織確定信息安全需求的一個重要途徑，屬于組織信息安全管理體系策劃的過程。

風險評估的主要任務包括：1)識別組織面臨的各種風險;2)評估風險概率和可能帶來的負面影響;3)確定組織承受風險的能力;4)確定風險消減和控制的優(yōu)先等級;5)推薦風險消減對策。

在風險評估過程中需要考慮幾個關(guān)鍵問題：

第一，要確定保護的對象(資產(chǎn))是什么?它的直接和間接價值如何?

第二，資產(chǎn)面臨哪些潛在威脅?導致威脅的問題所在?威脅發(fā)生的可能性有多大?

第三，資產(chǎn)中存在哪里弱點可能會被威脅所利用?利用的容易程度又如何?

第四，一旦威脅事件發(fā)生，組織會遭受怎樣的損失或者面臨怎樣的負面影響?

第五，組織應該采取怎樣的安全措施才能將風險帶來的損失降低到最低程度?

解決以上這些問題的過程，就是風險評估的過程。

四、中科網(wǎng)威的風險評估案例

2010年，某市稅務局通過招標，對市屬稅務單位進行了一次風險評估。

在招標中，要求風險評估單位具有安全服務資質(zhì)、風險評估資質(zhì)、參與過國家信息安全評估產(chǎn)品標準的制訂，有具有自主知識產(chǎn)權(quán)的風險評估產(chǎn)品、有6名以上CISP等。北京中科網(wǎng)威信息技術(shù)有限公司因技術(shù)實力突出而一舉中標。

根據(jù)先期確定的風險評估實施方案，風險評估工作的對象為市局及其五個下屬的區(qū)縣級稅務分局的信息系統(tǒng)。評估范圍是市局的數(shù)據(jù)管理中心及五個下屬區(qū)縣局，涵蓋物理環(huán)境、網(wǎng)絡、應用、管理和終端等方面的評估;從20個分局中抽取了三個征管局和兩個縣區(qū)局，針對征管系統(tǒng)、OA系統(tǒng)、國地稅數(shù)據(jù)交換系統(tǒng)進行檢查評估。

經(jīng)過2個月的評估，北京中科網(wǎng)威信息技術(shù)有限公司出具了風險評估報告，指明該市局稅務系統(tǒng)的信息安全風險突出表現(xiàn)在以下五個方面：

1)安全管理體系不夠健全

2)管理執(zhí)行力度較差，缺乏監(jiān)管與獎懲機制

3)各類人員不同程度的缺乏安全意識

4)現(xiàn)有安全措施不足，總體安全策略沒有在技術(shù)上落實

5)安全風險過于集中，對于突發(fā)事件缺乏應急準備

針對發(fā)現(xiàn)的風險，北京中科網(wǎng)威信息技術(shù)有限公司協(xié)助市稅務局制訂了完整的整改方案，采取了一系列措施進行安全建設(shè)整改。經(jīng)過4個月的安全建設(shè)和整改，完善了安全體系，有效防范了大部分安全風險，取得了令人滿意的階段性成果，并通過了國稅總局進行的信息安全等級測評。

在總結(jié)會上，市局信息中心孫主任表示，在實行等級保護過程中，風險評估的作用至關(guān)重要，這次之所以順利通過等級測評，就是前期的風險評估工作扎實到位，使得信息安全建設(shè)有的放矢。

原文出自【比特網(wǎng)】，轉(zhuǎn)載請保留原文鏈接：http://sec.chinabyte.com/136/12125636.shtml