云计算信息安全风险评估方案框架.pdfVIP

操千曲尔后晓声，观千剑尔后识器。——刘勰

云计算系统信息安全评估方案框架

1/27

操千曲尔后晓声，观千剑尔后识器。——刘勰

一.背景

对背景、意义进行简述

1.1.评估目标

总体目标是，通过风险评估，全面了解云计算系统安全防护情况，查找云计算系统在安全保障方面存在的不足，并提出整改加固建议，为系

统上线和运行提供决策依据。

1.2.评估范围

甲方乙方合同中指定的评估范围。

二.评估原则

为了确保此次安全评估项目成功实施，我们将遵循以下原则开展工作：

2.1.必威体育官网网址原则

签署相关的必威体育官网网址协议和非侵害性协议。

2/27

操千曲尔后晓声，观千剑尔后识器。——刘勰

2.2.标准性原则

依据国际、国内及行业标准开展评估，评估过程遵循标准化和规范化原则。

2.3.可控性原则

l人员可控性

l工具可控性

l服务可控性

l过程可控性

2.4.全面性原则

2.5.重点性原则

从被评估单位的业务期望出发，采用科学的安全风险评估方式对被评估单位提出的承载公开信息的重要业务、承载敏感信息的一般业务或重

要业务、关键性业务系统进行重点评估。

3/27

操千曲尔后晓声，观千剑尔后识器。——刘勰

2.6.最小影响原则

三.评估标准

3.1.信息安全国际、国内标准

3.2.信息安全法规、政策

3.3.信息安全行业管理规范

四.风险评估流程

参照GB/T20984

4/27

操千曲尔后晓声，观千剑尔后识器。——刘勰

五.资产识别与赋值

5.1.资产调查

5.1.1.调查对象

5.1.2.调查方式

问卷调查

访谈

现场勘查。

5.1.3.调查内容

调查内容将覆盖被评估系统的安全管理、物理、技术、操作等多方面的内容。

5/27

操千曲尔后晓声，观千剑尔后识器。——刘勰

5.2.资产分类

5.3.资产赋值

六.威胁评估

在信息安全风险评估中，威胁评估分为威胁识别和威胁赋值两部分内容。

6.1.1.威胁分类

6.1.2.威胁调查

6.1.2.1.威胁发生频率数据统计

6.1.2.2.威胁可能性分析

6/27

操千曲尔后晓声，观千剑尔后识器。——刘勰

6.1.3.威胁赋值

七.安全管理脆弱性评估

安全管理评估以《信息安全技术云计算服务安全能力要求》、《云计算服务安全指南》为基础，结合国家等级保护安全管理要求和《党政机关

信息系统安全评测规范》DB11T171—2002，评价被评估信息系统是否根据自身安全需求，建立必要的信息系统安全管理制度，对安全管理和执

行过程通过安全策略、管理制度、操作规范等文件方式加以固化。安全管理评估主要采取问卷调查、访谈、现场查验等方式进行。管理评估共有

495项。

7.1.1.政策、策略与计划

7.1.1.1.信息安全方针和政策

7.1.1.2.安全管理策略与