《信息安全风险评估实施方案模版.docx》由会员分享,可在线阅读,更多相关《信息安全风险评估实施方案模版.docx(34页珍藏版)》请在三一办公上搜索。
1、上海观安信息技术股份有限公司信息安全风险评估实施方案模版TSC-RA-4-01本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属上海观安信息技术股份有限公司和客户公司所有,受到有关产权及版权法保护。任何个人、机构未经上海观安信息技术股份有限公司和客户公司的书面授权许可,不得以任I可方式复制或引用本文件的任何!片断。修订历史记录版本号拟制人/修改人拟制/修改日期审批人更改原因主要更改内容(写要点即可)V1.0陈芳2019-10-26李俊定稿V1.1陈芳2021-1-12李俊更新流程新增8.3目录1 概述51.1 项目背景51.2 项目目标51.3 项目范
2、围52 风险评估的礴53 风险评估的方法63.1 人员访谈63.2 文档审阅633基线检查63.4工具扫描64 风险评价原则74.1 保密原则74.2 互动原则74.3 最小影响原则74.4 规范场则74.5 质量保障原则85 风险ifiS工具86 准备阶段96.1 项目勤管理96.1.1 风险评估团队成员介绍.96.1.2 组织架构图.107 风险识别阶段107.1 客户信息资产识别IO7.1.1 客户信息资产分类及识别107.2 脆弱性识别137.2.1 客户安全管理体系评估137.2.2 物理豕第(机房)安全评估187.2.3 网络架构安全评估.227.2.4 客户基线安全评估247.2
3、.5 客户设备安全评估.257.2.6 客户应用系统安全评估2673 威胁谢U3074 4已有科措施确认308 风险分辎段308.1 风险分析模典立308.2 风的算方嫌定318.3 风险总体安全评价318.4 制定信息安全总体风险评估报告318.4.1 各评估方式的收集的斓处理、分析318.4.2 总结分析各个风险评估报告328.4.3 制定信息安全总体风险报告338.4.4 汇报会议.339 风险处置阶段349.1 风险处置原则349.2 安全整改建议349.3 组织评审会349.4 残余风险处置341概述1.1 项目背景XX1.2 项目目标XX13项目范围认证范围:认证对象:2风险评估的
4、依据 GB/T22080-2008/ISO/IEC27001:2005信息技术安全技术信息安全管理体系要求 GB/T22081-2008/ISO/IEC27002:2005信息技术安全技术信息安全管理实用规则GB/T20984-2007信息安全技术信息安全风险评估规范 ISOIEC27005:2008信息技术安全技术信息安全风险管理中的定义和缩写,其它定义和缩写可参考。3风险评估的方法3.1 人员访谈通过安全顾问的访谈调研工作,了解客户在信息安全方面所采取的措施,以及存在的安全问题。3.2 文档审阅通过针对客户现有的各类安全相关文档资料包括管理制度、法规通知、网络拓扑等进行收集分析,发现信息安
5、全问题。3.3 基线检查使用基线检查表单,对客户的设备进行安全基线配置检查,并对检查结果进行分析汇总。3.4 工具扫描使用扫描工具,对客户的主机系统进行漏洞扫描,并对扫描结果进行分析汇总。4风险评价原则4.1 保密原则上海观安在为信息系统进行风险评估的过程中,将严格遵循保密原则,服务过程中涉及到的任何用户信息均属保密信息,不得泄露给第三方单位或个人,不得利用这些信息损害用户利益。并与信息中心签订保密协议,承诺未经允许不向其他任何第三方泄露有关信息系统的信息。4.2 互动原则上海观安在整个信息安全风险评估过程之中,将强调客户的互动参与,不管是从准备阶段,还是识别阶段。每个阶段都能够及时根据客户的
6、要求和实际情况对评估的内容、方式作出相关调整,进而更好的进行风险评估工作。4.3 最小影响原则信息安全风睑评估工作应尽可能小的影响系统和网络的正常运行,不能对业务的正常运行产生显著影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应对风险进行说明。4.4 规范性原则信息安全风险评估服务的实施必须由专业的安全评估服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,提供完整的服务报告。4.5 质量保障原则上海观安在整个信息安全风险评估过程之中,将特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督、控制项目的进度和质量。5风险评估工
7、具常用安全风险评估工具名称功能描述版本工具提供商或开发人员AppScanIBMRationalAppScan,RationalAppScan是专门面向Web应用安全检测的自动化工具,是对Web应用和WebServices进行自动化安全扫描的黑盒工具。它是自动化Web应用安全性测试的桌面解决方案,一种自动化Web应用安全性测试引擎,能够连续、自动地审Web应用程序、测试安全性问题,并生成包含修订建议的问题和修复任务报告,简化修复过程。V8.5IBM漏洞扫描器X-scan采用多线程方式对指定IP地址段(或独立IP地址)进行安全漏洞扫描,扫描内容包括:标准端口状态及端口banner信息、CGI漏洞、
8、RPC漏洞、SQL-SERVER默认帐户、FTP弱口令,NT主机共享信息、用户信息、组信息、NT主机弱口令用户等。3.3互联网X-scan开发人员AcunetixWebVulnerabilityScannerweb应用安全测试工具,对基于web的应用系统进行全面的漏洞检测V7.0AcunetixNessus系统网络层漏洞探测V4.0TENABLENetworkSecurity资产收集和风险评估表单对资产进行收集,并对资产进行风险评估Vl观安6准备阶段6.1项目组织管理6.1.1风险评估团队成员介绍6.L2组织架构图组织架构图如下图所示:【截图】7风险识别阶段7.1 信息资产识别7.1.1 信息
9、资产分类及识别XX7.1.1.1 确定信息资产分类范围.标准和方法实施目标和范围实施方法和流程XX需要客户配合的工作XXXXXX项目迎J时间XX7.1.1.2 信息资产分类分级教育培训实施目标和范围XX实施方法和流程XX需要客户配合的工作XX噩XX项目计划时间XX7.1.13辅助和指导用户进行资产识别实施目标和范围XX实施方法和流程XX需要客户配合的工作项目计划时间XX7.1.1.4结果整理分析端目标和范围实施方法和流程XX需要客户配合的工作XXXXXX项目计划时间XX7.2脆弱性识别7.2.1 V客户安全管理体系评估7.2.1.1 现有安全管理文档收集和阅读XX实施方京和流程需要客户配合的工
10、作XXXXN/A项目时间计划XX7.2.1.2 制定并确定访谈计划和访谈提纲实施目标和范围XX实施方法和流程XX需要客户配合的工作XXXX邈IXX项目计划时间实施目标和范围XX实施方法和流程XX需要客户配合的工作XXXXXX项目计划时间XX7.2,1.4各部门负责人及安全相关人员访谈实施目标和范围XX实施方法和流程XX需要客户配合的工作XXXX项目计划时间XX7.2.1.5 其他相关部门访谈实施目标和范围XX实施方法和流程XX需要客户配合的工作XXXX项目计划时间7.2.1.6 编写差距分析报告实施目标和范围XX实施方法和流程XX需要客户配合的工作XXXX噩XX项目计划时间XX7.2.1.7汇
11、报会议实施目标和范围XX实施方法和流程需要客户配合的工作XXXXXX项目计划时间XX722物理环境(机房)安全评估XX7.2.2.1 收集和阅读机房和物理安全管理规定实施目标和范围XX实施方法和流程XX需要客户配合的工作XX项目计划时间XX7.2.2.2 确定机房环境安全要求实施目标和范围XX实施方法和流程XX需要客户配合的工作XXXXXX项目讨丽时间7.2.23机房实地勘查实施目标和范围XX实施方法和流程XX需要V客户;配合的行XXXXXXXX7.2.2.4访谈机房安全相关管理人员实施目标和范围XX悭施方法和流程XX需要客户配合的工作XX阿XX项目时间计划XX7.2.2.5总结机房安全问题并
12、形成评估报告实施目标和范围XX实施方法和流程XX需要客户配合的工作XXXX迪XX项目时间计划XX7.23.1 了解客户业务目标和安全需求实施目标和范围XX爱施族和流程XX需要客户配合的工作XXXXXX项目时间计划XX7.23.2 了解基础网络及网络安全现状实施目标和范围XX实施方法和流程XX需要客户配合的工作项目时间计划XX7.2.33编写提交客户网络评估报告实施目标和范围XX赢蒜和流程XX需要客户配合的工作XXXXXX项目时间计划724V客户基线安全评估7.2.4.1基线安全评估实施目标和范围XX实施方法和流程XX需要客户配合的工作XXXX福XX项目计划时间XX7.2.4.2生成评估报告实施
13、目标和范围XX实施方法和流程需要客户配合的工作XXXXXX项目时间计划XX725V客户IT设备安全评估XX7.2.5.1安全工具扫描实施目标和范围IXX实施方法和流程XX需要客户配合的工作XX项目计划时间XX7.2.5.2生成评估报告实施目标和范围XX实施方法和流程XX需要客户配合的工作XXXXXX项目时间计划XX7.2.6V客户应用系统安全评估7.2.6.1 应用系统抽样实施目标和范围XX实施方法和流程XX需要客户配合的工作XX逐XX噩XX嗔目时间计划XX7.2.6.2 应用评估准备实施目标和范围XX悭施方法和流程XX需要客史配合的邛XX阿XX哽目时间计划XX7.2.63应用系统安全评估7.
14、2.63.1 应用系统弱点扫描实施目标和范围XX实施方法和流程XX需要客户配合的工作XX瑟XX画XX项目时间计划XX7.2.63.2 威胁识别实施目标和范围实施方法和流程XX需要客户配合的工作XXXXXX项目时间计划XX7.2.6.33整体分析及生成报告实施目标和范围XX实施方法和流程XX需要客户配合的工作XXXXXX项目时间计划7.3 威胁识别a)应参考国家或国际标准,对威胁进行分类;b)应识别所评估信息资产存在的潜在威胁;c)应识别威胁利用脆弱性的可能性;d)应分析威胁利用脆弱性对组织可能造成的影响;e)采用多种方法进行威胁调查。7.4 已有安全措施确认a)应识别组织已采取的安全措施;b)
15、应评价已采取的安全措施的有效性。8风险分析阶段8.1 风险分析模型建立a)应构建风险分析模型。b)应根据风险分析模型对已识别的重要资产的威胁、脆弱性及安全措施进行分析。c)应根据分析模型确定的方法计算出风险值。8.2 风险计算方法确定8.3 风险总体安全评价应根据风险评价准则确定风险等级,对不同等级的安全风险进行统计、评价,形成最终的总体安全评价。8.4 制定信息安全总体风险评估报告报告应包括但不限于评估过程、评估方法、评估结果、处置建议等内容a)风险评估报告中应对本次评估建立的风险分析模型进行说明,并应阐明本次评估采用的风险计算方法及风险评价方法。b)风险评估报告中应对计算分析出的风险给予比
16、较详细的说明。8.4.1 各评估方式的收集的数据处理.分析实施目标和范围XX实施方法和流程XX建配碗三sXXXX项目计划时间XX8.4.2 总结分析各个风险评估报告实施目标和范围XX实施方法和流程XX需要客户配合的工作XXXXXX项目计划时间XX8.4.3 制定信息安全总体风险报告实施目标和范围XX实施方法和流程XX需要客户配合的工作XXXXXX项目计划时间XX8.4.4 汇报会议实施目标和范围XX实施方法和流程XX需要客户配合的工作XXXX项目计划时间XX9风险处置阶段9.1 风险处置原则9.2 安全整改建议9.3 组织评审会a)协助被评估组织召开评审会。b)依据最终的评审意见进行相应的整改,形成最终的整改材料。9.4 残余风险处置a)对组织提出完整的风险处置方案。b)必要时,对残余风险进行再评估。
