信息安全运行体系流程审查标准 - 华润万家.docxVIP

信息安全评估与实施项目 – 应用要求 本文件内容范围 根据立项流程相关要求，本文件就《信息安全评估与实施项目》的应用要求进行详细说明 项目背景 从外部环境来看，近年来，信息安全各方面威胁不断增大；2014年2月27日，中央网络安全和信息化领导小组成立，并在北京召开了第一次会议，习近平亲自担任组长，李克强、刘云山任副组长，网络信息安全上升为国家战略。从内部安全环境来看，近年发生了如下的信息安全事件：1、电商部分会员收到诈骗短信事件；2、敏感岗位和敏感部门存在数据防泄密问题。根据公司要求，需要进一步健全信息安全体系，填补安全制度缺口和管理盲点，更好的满足企业信息安全策略和管理要求，希望借助外部专业机构协助公司启动信息安全体系建设工作。 项目阶段与具体应用要求 本此项目建设内容主要分为如下三个阶段：信息安全全面评估、信息安全体系规划与方案制定、信息安全措施，详细应用要求内容如下： 信息安全全面评估 应用收益概述 通过对信息安全的评估，根据所找到的风险点并结合华润万家的实际情况。可以得到华润万家综合性的安全评估报告。包括漏洞与风险类别、漏洞与风险名称、严重程度排名、潜在业务影响风险、潜在声誉影响风险、信息安全成熟度分析与国际国内相关企业的差距、整改优先级等。 应用实现要求 外包专业机构应当依据国家信息安全等级保护制度，遵循相关标准规范，对华润万家进行信息安全管控现状分析、风险评估，识别安全隐患，并提交风险评估报告。具体内容如下： 3.1.1．信息安全管理体系评估 关注点 信息安全管理体系 内容简介 通过访谈，了解受访者对信息安全的理解，并通过对相关管理体系的政策的审查，了解当前在信息安全管理体系中制度建设与人员信息安全管理方面的问题与风险。 具体步骤 根据第三方咨询公司的经验以及最佳实践标准进行访谈内容意见重点问题的提炼 对管理层进行访谈 对信息安全管理体系中重点岗位负责人进行访谈 从三个方面即组织结构中的决策、管理、执行以及监督策略(岗位、人员、授权、沟通、检查)、人员安全中的意识、技能、职称、培训、考核标准（录用、离岗、考核、教育）以及标准制度中的方针政策、制度规范、流程表单（制定、发布、评审、修订）三个角度对现阶段实行的信息安全管理体系政策、制度进行审查。 此项审查将根据一套全面的标准进行，包括相关法律法规如国家标准，最佳实践如ISO、ITIL，以及第三方咨询公司内部最佳实践 交付物 访谈报告及其分析结果 交付物内容 领导层以及关键岗位负责人对现阶段信息安全管理体系的期望以及关注重点 信息安全管理体系发现问题以及对应风险 信息安全管理体系问题以及风险分类 结合华润实际情况以及针对华润万家的业务影响程度，确认信息安全管理体系问题严重程度 信息安全管理体系整改方案 访谈对象列表 审查的信息管理体系相关政策、列表 3.1.2．关键以及高风险的系统以及应用全方位的渗透测试 关注点 信息安全技术体系 内容简介 从数据、网络、主机、应用、物理等五个维度，通过模拟黑客攻击的高强度渗透测试，发现信息安全技术体系中的风险点 具体步骤 根据华润万家的内部IT系统以及应用实施程度，并结合对华润万家业务的潜在威胁和影响，确认渗透测试的范围和方式 网页应用渗透测试： 该项工作将从该网页出发，对该系统进行应用层面的扫描。扫描器将主要通过注入非法字符并提交给服务器等手段，以判断网络购物系统是否存在常见的网络应用漏洞。 在应用层面扫描的基础上，需要进一步针对网络购物系统的校验和流程，进行手动的测试。测试内容主要参考The Open Web Application Security Project (OWASP)中十项最严重的网络应用程序安全风险（如注入、跨站脚本、未验证的复位向和转发、跨站请求伪造等）进行测试，并发现在重要应用逻辑上漏洞。 移动应用渗透测试： 此项工作应当首先安装移动客户端应用程序，并根据第三方咨询公司对于安卓手机以及苹果手机系统的了解，对移动客户客户端网络购物应用进行渗透测试。并且建立面向移动应用客户端的测试案例来针对性的寻找在关键流程以及账户管理上的潜在威胁。 在此基础上，应该进一步针对移动客户端网络购物应用程序的构造，对移动客户端本地密匙储存，日志文件，临时文件以及系统快照进行分析，并尝试从中获取敏感资料，可能包括用户个人信息，账户密码，以及信用卡资料等等。 内部网络渗透测试： 此项渗透测试将通过灰盒的方式进行，模拟普通内部员工接入内部网络以及使用有限的权限，结合对华润万家内部系统的部分认识，在通过使用一些黑客攻击手段，如针对重点服务器的配置缺陷攻破主机防御、针对共享文件夹权限的配置失误查看敏感信息、针对内部应用会话的保护缺失进行会话劫持、窃听攻击等方式。确认在内部网络中存在的风险，并确定对华润万家的业务影响 外部网络渗透测试： 此项渗