9-1.风险评估项目实施方案【模板】.pdf

XXXXXX 公司 风险评估项目 实施方案 20XX 年 XX 月 XXXXXX 公司风险评估项目实施方案 一 文档信息 文档名称 XXXXXX 风险评估项目实施方案 必威体育官网网址级别 文档版本编号 V1.0 文档管理编号 制作日期 20XX-XX-XX 扩散范围 XXXXXX 信息安全工作相关的人员 二 撰写人员 姓名 职责 陈云 负责评估实施方案的整理 三 分发说明 鉴于本文档介绍了服务方实施信息系统风险评估服务的主要思路和方法，为 保障服务方的利益，建议委托方采取可信的渠道分发本文档，要求如下：  由负责信息安全的专职机构统一规定可获取本文档的授权人员。未经专 职机构允许，授权人员不得将本文档（包括复制件）传递给他人。  专职机构应规定获取本文档的途径，包括以纸面文本形式下发，以电子 版方式分发，以电子邮件的方式传递等。对各种分发途径应采取密封或 者加密的必威体育官网网址方式。  专职机构应及时将本文档的版本变更情况通知给授权人员。对变更内容 的分发也应遵循以上所有要求。 第 2 页 共 24 页 XXXXXX 公司风险评估项目实施方案 目 录 1． 项目概述 4 2． 项目的总体目标与原则 4 2.1 项目的总体目标 4 2.2 项目的总体原则 4 2.2.1 把握重点，分清主次4 2.2.2 结合实际，注重实效5 3． 项目的实施依据 5 4． 项目的实施内容 5 4.1 评估流程、评估方法及主要内容 5 4.2 风险评估范围确定 8 4.2.1 评估范围确认8 4.2.2 系统调研8 4.3 资产识别8 4.3.1 资产识别的内容8 4.3.2 资产赋值9 4.3.3 确定分析对象11 4.4 威胁识别 12 4.4.1 威胁定义12 4.4.2 威胁分类12 4.4.3 威胁赋值13 4.4.4 威胁的获取方法14 4.5 资产脆弱性识别14 4.5.1 脆弱性的内容及分类14 4.5.2 脆弱性识别的方法15 4.5.2.1 访问控制策略与措施16 4.5.2.2 网络设备策略与配置16 4.5.2.3 安全设备策略与配置17 4.5.2.4 主机操作系统及数据库系统17 4.5.2.5 网站安全性检查18 4.5.3 脆弱性赋值18 4.6 风险分析 19 4.6.1 风险19 4.6.2 威胁分析20 4.6.3 脆弱性分析20 4.6.4 风险分析计算20 4.6.5 风险处置21 4.7 安全风险评估报告 22 5． 项目的实施计划 22 6． 项目管理 24 第 3 页 共 24 页 XXXXXX 公司风险评估项目实施方案 1． 项目概述 为保证 XXXXXX 股份有限公司 （简称 XXXXXX）网络与信息系统的安全和持续可用，必 须先了解目前网络与信息系统的安全现状，了解存在的漏洞、面临的威胁和风险，了解 已有的信息安全措施是否已足够保证信息系统的安全运行，有针对性地完善相应的安全 措施，从而保障各项业务的正常开展。 2 ． 项目的总体目标与原则 2.1 项目的总体目标 基于这次安全风险