《信息安全风险评估实施方案模版.docx》由会员分享,可在线阅读,更多相关《信息安全风险评估实施方案模版.docx(34页珍藏版)》请在优知文库上搜索。
1、上海观安信息技术股份有限公司信息安全风险评估实施方案模版TSC-RA-4-01本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属上海观安信息技术股份有限公司和客户公司所有,受到有关产权及版权法保护。任何个人、机构未经上海观安信息技术股份有限公司和客户公司的书面授权许可,不得以任I可方式复制或引用本文件的任何!片断。修订历史记录版本号拟制人/修改人拟制/修改日期审批人更改原因主要更改内容(写要点即可)V1.0陈芳2019-10-26李俊定稿V1.1陈芳2021-1-12李俊更新流程新增8.3目录1 概述51.1 项目背景51.2 项目目标51.3 项目范
2、围52 风险评估的礴53 风险评估的方法63.1 人员访谈63.2 文档审阅633基线检查63.4工具扫描64 风险评价原则74.1 保密原则74.2 互动原则74.3 最小影响原则74.4 规范场则74.5 质量保障原则85 风险ifiS工具86 准备阶段96.1 项目勤管理96.1.1 风险评估团队成员介绍.96.1.2 组织架构图.107 风险识别阶段107.1 客户信息资产识别IO7.1.1 客户信息资产分类及识别107.2 脆弱性识别137.2.1 客户安全管理体系评估137.2.2 物理豕第(机房)安全评估187.2.3 网络架构安全评估.227.2.4 客户基线安全评估247.2
3、.5 客户设备安全评估.257.2.6 客户应用系统安全评估2673 威胁谢U3074 4已有科措施确认308 风险分辎段308.1 风险分析模典立308.2 风的算方嫌定318.3 风险总体安全评价318.4 制定信息安全总体风险评估报告318.4.1 各评估方式的收集的斓处理、分析318.4.2 总结分析各个风险评估报告328.4.3 制定信息安全总体风险报告338.4.4 汇报会议.339 风险处置阶段349.1 风险处置原则349.2 安全整改建议349.3 组织评审会349.4 残余风险处置341概述1.1 项目背景XX1.2 项目目标XX13项目范围认证范围:认证对象:2风险评估的
4、依据 GB/T22080-2008/ISO/IEC27001:2005信息技术安全技术信息安全管理体系要求 GB/T22081-2008/ISO/IEC27002:2005信息技术安全技术信息安全管理实用规则GB/T20984-2007信息安全技术信息安全风险评估规范 ISOIEC27005:2008信息技术安全技术信息安全风险管理中的定义和缩写,其它定义和缩写可参考。3风险评估的方法3.1 人员访谈通过安全顾问的访谈调研工作,了解客户在信息安全方面所采取的措施,以及存在的安全问题。3.2 文档审阅通过针对客户现有的各类安全相关文档资料包括管理制度、法规通知、网络拓扑等进行收集分析,发现信息安
5、全问题。3.3 基线检查使用基线检查表单,对客户的设备进行安全基线配置检查,并对检查结果进行分析汇总。3.4 工具扫描使用扫描工具,对客户的主机系统进行漏洞扫描,并对扫描结果进行分析汇总。4风险评价原则4.1 保密原则上海观安在为信息系统进行风险评估的过程中,将严格遵循保密原则,服务过程中涉及到的任何用户信息均属保密信息,不得泄露给第三方单位或个人,不得利用这些信息损害用户利益。并与信息中心签订保密协议,承诺未经允许不向其他任何第三方泄露有关信息系统的信息。4.2 互动原则上海观安在整个信息安全风险评估过程之中,将强调客户的互动参与,不管是从准备阶段,还是识别阶段。每个阶段都能够及时根据客户的
6、要求和实际情况对评估的内容、方式作出相关调整,进而更好的进行风险评估工作。4.3 最小影响原则信息安全风睑评估工作应尽可能小的影响系统和网络的正常运行,不能对业务的正常运行产生显著影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应对风险进行说明。4.4 规范性原则信息安全风险评估服务的实施必须由专业的安全评估服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,提供完整的服务报告。4.5 质量保障原则上海观安在整个信息安全风险评估过程之中,将特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督、控制项目的进度和质量。5风险评估工
7、具常用安全风险评估工具名称功能描述版本工具提供商或开发人员AppScanIBMRationalAppScan,RationalAppScan是专门面向Web应用安全检测的自动化工具,是对Web应用和WebServices进行自动化安全扫描的黑盒工具。它是自动化Web应用安全性测试的桌面解决方案,一种自动化Web应用安全性测试引擎,能够连续、自动地审Web应用程序、测试安全性问题,并生成包含修订建议的问题和修复任务报告,简化修复过程。V8.5IBM漏洞扫描器X-scan采用多线程方式对指定IP地址段(或独立IP地址)进行安全漏洞扫描,扫描内容包括:标准端口状态及端口banner信息、CGI漏洞、
8、RPC漏洞、SQL-SERVER默认帐户、FTP弱口令,NT主机共享信息、用户信息、组信息、NT主机弱口令用户等。3.3互联网X-scan开发人员AcunetixWebVulnerabilityScannerweb应用安全测试工具,对基于web的应用系统进行全面的漏洞检测V7.0AcunetixNessus系统网络层漏洞探测V4.0TENABLENetworkSecurity资产收集和风险评估表单对资产进行收集,并对资产进行风险评估Vl观安6准备阶段6.1项目组织管理6.1.1风险评估团队成员介绍6.L2组织架构图组织架构图如下图所示:【截图】7风险识别阶段7.1 信息资产识别7.1.1 信息
9、资产分类及识别XX7.1.1.1 确定信息资产分类范围.标准和方法实施目标和范围实施方法和流程XX需要客户配合的工作XXXXXX项目迎J时间XX7.1.1.2 信息资产分类分级教育培训实施目标和范围XX实施方法和流程XX需要客户配合的工作XX噩XX项目计划时间XX7.1.13辅助和指导用户进行资产识别实施目标和范围XX实施方法和流程XX需要客户配合的工作项目计划时间XX7.1.1.4结果整理分析端目标和范围实施方法和流程XX需要客户配合的工作XXXXXX项目计划时间XX7.2脆弱性识别7.2.1 V客户安全管理体系评估7.2.1.1 现有安全管理文档收集和阅读XX实施方京和流程需要客户配合的工
10、作XXXXN/A项目时间计划XX7.2.1.2 制定并确定访谈计划和访谈提纲实施目标和范围XX实施方法和流程XX需要客户配合的工作XXXX邈IXX项目计划时间实施目标和范围XX实施方法和流程XX需要客户配合的工作XXXXXX项目计划时间XX7.2,1.4各部门负责人及安全相关人员访谈实施目标和范围XX实施方法和流程XX需要客户配合的工作XXXX项目计划时间XX7.2.1.5 其他相关部门访谈实施目标和范围XX实施方法和流程XX需要客户配合的工作XXXX项目计划时间7.2.1.6 编写差距分析报告实施目标和范围XX实施方法和流程XX需要客户配合的工作XXXX噩XX项目计划时间XX7.2.1.7汇
11、报会议实施目标和范围XX实施方法和流程需要客户配合的工作XXXXXX项目计划时间XX722物理环境(机房)安全评估XX7.2.2.1 收集和阅读机房和物理安全管理规定实施目标和范围XX实施方法和流程XX需要客户配合的工作XX项目计划时间XX7.2.2.2 确定机房环境安全要求实施目标和范围XX实施方法和流程XX需要客户配合的工作XXXXXX项目讨丽时间7.2.23机房实地勘查实施目标和范围XX实施方法和流程XX需要V客户;配合的行XXXXXXXX7.2.2.4访谈机房安全相关管理人员实施目标和范围XX悭施方法和流程XX需要客户配合的工作XX阿XX项目时间计划XX7.2.2.5总结机房安全问题并
12、形成评估报告实施目标和范围XX实施方法和流程XX需要客户配合的工作XXXX迪XX项目时间计划XX7.23.1 了解客户业务目标和安全需求实施目标和范围XX爱施族和流程XX需要客户配合的工作XXXXXX项目时间计划XX7.23.2 了解基础网络及网络安全现状实施目标和范围XX实施方法和流程XX需要客户配合的工作项目时间计划XX7.2.33编写提交客户网络评估报告实施目标和范围XX赢蒜和流程XX需要客户配合的工作XXXXXX项目时间计划724V客户基线安全评估7.2.4.1基线安全评估实施目标和范围XX实施方法和流程XX需要客户配合的工作XXXX福XX项目计划时间XX7.2.4.2生成评估报告实施目标和范围XX实施方法和流程需要客户配合的工作XXXXXX项目时间计划XX725V客户IT设备安全评估XX7.2.5.1安全工具扫描实施目标和范围IXX实施方法和流程XX需要客户配合的工作XX项目计划时间XX7.2.5.2生成评估报告实施目标和范围XX实施方法和流程XX需要客户配合的工作XXXXXX项目时间计划XX7.2.6V客户应用系统安全评估7.2.6.1 应用系统抽样实施目标和范围XX实施方法和流程XX需要客户配合的工作XX逐XX噩XX嗔目时间计划XX7.2.6.2 应用评估准备实施目标和范围XX悭施方法和流程XX需要客史