信息安全风险评估计划.doc

信息安全风险评估计划 篇一：信息安全风险评估实施细则 XXX公司信息安全风险评估 实施细则 二〇〇八年五月 编制说明 根据《XXX公司信息安全风险评估实施指南》和《XXX公司信息安全风险评估实施细则》（试行），近年来公司组织开展了风险评估常态化推广，通过多年对实施细则的应用、实践与总结，需要进一步对实施细则的内容进行调整和完善。另一方面，随着国家对信息系统安全等级保护等相关政策、标准和基本要求，和公司信息化“SG186”工程安全防护总体方案和公司网络与信息系统安全隔离实施指导意见要求，也需要进一步对实施细则内容进行修订。 本细则主要修订了原有试行细则第四章脆弱性评估部分的具体内容。主要包括： 1、在原有基础上，增加或修改了信息安全管理评估、信息安全运行维护评估、信息安全技术评估的具体要求。为保持本实施细则的可操作性，针对新增的具体要求，按原细则格式添加了标准分值、评分标准和与资产的安全属性（C、I、A）的对应关系。目前，调整后总分值从原先的3000分调整至5000分，其中，管理占1800分、运行维护占1400分、技术占1800分。 2、为了与公司等级保护评估相结合并对应，框架结构方面，将信息安全运行维护评估（第4.2节）中的“物理环境安全”部分调整至信息安全技术评估（第4.3.1小节），在信息安全技术评估中新增了“数据安全及备份恢复”（第4.3.8小节）；具体内容方面，在每项具体要求新增了等级保护对应列。 目 录 1. 2. 前言 .................................................................................................................................. 1 资产评估 .......................................................................................................................... 2 2.1. 资产识别 ................................................................................................................... 2 2.2. 资产赋值 ................................................................................................................... 3 3. 威胁评估 .......................................................................................................................... 6 4. 脆弱性评估 .................................................................................................................... 10 4.1. 信息安全管理评估 ................................................................................................. 11 4.1.1. 安全方针 ......................................................................................................... 11 4.1.2. 信息安全机构 ................................................................................................. 13 4.1.3. 人员安全管理 ................................................................................................. 17 4.1.4. 信(本文来自：WWw.bDFQ 千 叶 帆文摘:信息安全风险评估计划)息安全制度文件管理 .............................................