信息安全测评计划.doc

信息安全测评计划 篇一：信息安全测评复习资料(word版,不喜勿喷)_图文 第二部分信息安全风险评估理论与方 法 2.1 评估策略风险评估依据： （1）政策法规 《国家信息化领导小组关于加强信息 安全保障工作的意见》 （中办发[2003]27 号） ； 《国家网络与信息安全协调小组关于 开展信息安全风险评估工作的意见》 （国信 办[2006]5 号） 。 （2）国际标准 BS 7799-1《信息安全管理实施细则》 ； BS 7799-2《信息安全管理体系规范》 ； ISO/IEC TR 13335《信息技术安全管理指 南》 ； SSE-CMM 《系统安全工程能力成熟模 型》 。 （3）国家标准 GB 17589-1999 《计算机信息系统安全保 护等级划分准则》 ； GB/T 18336：1-3：2001《信息技术性评 估准则》 ； GB/Z《信息安全风险评估指南》 （征求 意见稿） ； GB/Z《信息安全风险管理指南》 （征求 意见稿） 。 （4）行业通用标准 CVE 公共漏洞数据库； 信息安全应急响应机构公布的漏洞； 国家信息安全主管部门公布的漏洞。 （5）其他 风险评估原则： （1）可控性原则 人员可控性 —— 所有参与信息安全评 估的人员 工具可控性 —— 所使用的风险评估工 具 项目过程可控性 —— 依据项目管理方 法学 （2）完整性原则 严格按照委托单位评估要求和指定范 围进行全面评估服务 （3）最小影响原则 力求将评估对信息系统正常运行的影响降低到最低限度 （4）必威体育官网网址原则 与评估对象签署必威体育官网网址协议和非侵害性 协议2.2 评估实施流程 1、风险评估的准备重要性： 风险评估的准备是实施风险评估的前 提，其准备过程是组织进行风险评估的基 础，是整个风险评估过程有效性的保证。 只有有效地进行了信息安全风险评估 准备，才能更好地开展信息安全风险评估。 准备活动包括： ? 确定风险评估的目标； ? 确定风险评估的范围； ? 组 建评 估管 理团 队和 评估 实施 团 队； ? 进行系统调研； ? 确定评估依据和方法； ? 获得支持。 （1）确定风险评估的目标 通过分析组织必须符合的相关法律法 规、 组织在业务流程中对信息安全等的机密 性、可用性、完整性等方面的需求，来确定 风险评估的目标。 （2）确定风险评估的范围 风险评估的范围包括组织内部与信息 处理相关的各类软硬件资产、 相关的管理机 构和人员、所处理的信息等各方面。 （3）组建评估管理团队和评估实施团队 组建风险评估实施团队具体执行组织的风 险评估；除此以外，还需组织管理层、相关 业务骨干、信息安全运营管理人员等参与， 组建评估管理团队，以利于风险评估的实 施。 （4）进行系统调研 系统调研的目的是为了对此次风险评估的 目标、范围做出初步判断，为撰写风险评估 计划做必要的准备； 并根据系统调研结果决 定评估将采取的评估方法等技术手段。 可以采取问卷调查、 现场访谈等方式进 行。 （5）确定评估依据和方法评估依据包括现有国际或国家有关信息安 全标准、 组织的行业主管机关的业务系统的 要求和制度、 组织的信息系统互联单位的安 全要求、 组织的信息系统本身的实时性或性 能要求等。 根据系统调研所获得的用户的各种资 料，向用户提交一份《信息安风险评估计 划》 ，包括目标、范围、依据、技术路线、 时间安排、人员安排、保障条件、交付成果 等。 （6）获得支持 形成完整的风险评估实施方案， 并报组 织最高管理者批准， 以获得其对风险评估方 案的支持； 同时在组织范围就风险评估相关内容 对管理者和技术人员进行培训， 以明确有关 人员在风险评估中的任务。务内容 分类 示例数据保存在信息媒介上的各种数据资源， 包 括源代码、数据库数据、系统文档、运 行管理规程、计划、报告、用户手册、 各类纸质的文档等 系统软件：OS、DBMS、软件开发平台 等 应用软件：办公软件、数据库软件等 源程序：各种共享源代码、自行或合作 开发的各种代码等 网络设备：路由器、网关、交换机等 计算机设备： 大型机、 小型机、 服务器、 工作站、台式计算机、便携式计算机等 存储设备：磁带机、磁盘阵列、磁带、 光盘、软盘、移动硬盘等 传输介质：光纤、双绞线等 保障设备： UPS、变电设备、空调、保 险柜、文件柜、门禁、消防设备等 安全设备：防火墙、入侵检测设备、身 份鉴别设备等 其他：打印机、复印机、扫描仪、传真 机等 信息服务：该系统对外开展的各种服务 网络服务：各种网络设备、设施提供的 网络连接服务 办公服务：为提高效率而开发的管理信 息系统，包括各种内部配置管理、文件 流转管理等服务 掌握重要形象和核心业务的人员，如主 机维护主管、网络维护主管及应用项目 经理等 企业形象、客户关系等软件硬件2、资