信息安全风险评价控制程序

编制部门审核部门批准生效日期修订记录ChangesRecord版本/修订Rev./edit内容Description4HV.参考Referenee生效日期EffectiveDateAO首次发行信息安全评估的作用和目的明确企业信息系统的安全现状。进行信息安全评估后，可以让企业准确地了解自身的网络、各种应用系统以及 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 规范的安全现状，从而明晰企业的安全需求。确定企业信息系统的主要安全风险。在对网络和应用系统进行信息安全评估并进行风险分级后，可以确定企业信息系统的主要安全风险，并让企业选择避免、降低、接受等风险处置措施。指导企业信息系统安全技术体系与管理体系的建设。对企业进行信息安全评估后，可以制定企业网络和系统的安全策略及安全解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 ，从而指导企业信息系统安全技术体系（如部署防火墙、入侵检测与漏洞扫描系统、防病毒系统、数据备份系统、建立公钥基础设施PKI等）与管理体系（安全组织保证、安全管理 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 及安全培训机制等）的建设适用范围本制度适用于广州市拓璞电器发展有限公司信息安全风险评估的基本要素★使命：一个组织机构通过信息化形成的能力要来进行的工作任务。使命是信息化的目的，一个信息系统如果不能实现具体的工作任务是没有意义的。对企业来说，信息系统的使命是业务战略。★依赖度：一个组织机构的使命对信息系统和信息的依靠程度。依赖度越高，风险评估的任务就越重要。★资产：通过信息化建设积累起来的信息系统、信息以及业务流程改造实现的应用服务的成果、人员能力和赢得的信誉。★价值：资产的重要程度。★威胁：对一个组织机构信息资产安全的侵害。★脆弱性：信息资产及其防护措施在安全方面的不足和弱点。脆弱性也常常被称为弱点或漏洞。威胁是外因，脆弱性是内因，威胁只有通过利用脆弱性才能造成安全事件。★风险：某种威胁利用暴露的系统对组织机构的资产造成损失的潜在可能性。风险由意外事件发生的概率及发生后可能产生的影响两种指标来衡量。安全事件的后果和它发生的概率同时决定信息安全的投入和安全措施的强度。★残余风险：采取了安全保障措施，提高了防护能力后，仍然可能存在的风险。★安全需求：为保证组织机构的使命正常行使，在信息安全保障措施方面提岀的要求。★安全保障措施：对付威胁，减少脆弱性，保护资产而采取的预防和限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。信息系统的全过程的安全评估信息系统的&命周期系统废弃系统运维系统实施系统开发系统 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 系统启动系统变更」;1I匕;J———————-^=-■=■■^=~—■—■*--.■■™«启动阶段阶段特征：确定信息系统的需求，信息系统的目的和范围并形成文档。—风险评估的作用：通过风险评估对系统需求的开发提供支持，包括安全需求和安全战略主要工作：挖掘并评估需求，进行可行性分析和项目预算，对数据敏感性进行评估可形成的文档：《系统安全需求分析》、《数据分类安全》设计阶段阶段特征：确定信息系统项目计划，系统分析设计和详细设计。风险评估的作用：通过风险评估对信息系统的安全分析和设计提供支持，这些安全分析可作为信息系统的结构和设计的参考。主要工作：进行系统功能评估、技术特性需求评估，设计特定的安全控制，对人员背景的调查，编制测试计划和测试环境。可形成的文档：《系统设计阶段安全风险分析报告》、《系统安全体系设计方案》、《系统安全域划分方案》、《系统安全功能分配方案》、《系统信息流程安全性设计方案》、《系统等级保障建设方案》等。开发阶段阶段特征：信息系统通过购买、开发或其它形式建设完成。风险评估的作用：通过风险评估对系统开发过程提供支持，保证系统开发进度、质量和安全控制。主要工作：进行开发平台风险评估、编程风险评估、配置变更风险评估、项目进度风险评估、人员权限评估可形成的文档：《系统开发阶段安全风险分析报告》、《系统开发平台安全建议书》、《系统安全编程指南》、《系统程序分发和管理建议书》、《系统安全功能测试方案》实施阶段阶段特征：信息系统的安全特性在此阶段被配置、使能、测试并核实。风险评估的作用：风险评估可以为针对安全需求进行的信息系统实施的评估提供支持，该阶段发现的安全风险应该如何处理，必须在系统运行之前作岀决定。主要工作：物理环境设施安全，实施人员岗位、职责和工作接口，实施操作程序，外部或内部资源协调，业务连续性计划，灾难恢复计划，文件与程序的设置与权限设定，测试与鉴定（包括测试数据、单元测试、系统测试），备份、恢复与重启程序和 手册 华为质量管理手册 下载焊接手册下载团建手册下载团建手册下载ld手册下载 ，备份实施可形成的文档：《系统实施阶段安全风险分析报告》、《系统安全集成方案》、《系统安全集成质量保证大纲》、《系统实施安全监理报告》、《系统业务连续性计划》运维阶段阶段特征：信息系统开始执行其功能，在此阶段信息系统往往不断得到修改，例如添加新的硬件和软件，改变组织的策略和程序等。风险评估的支持能力：在本阶段风险评估应定期进行，对信息系统的安全风险进行的评估可以帮助信息安全负责人跟踪系统安全状况，决定采用何种控制措施处理安全风险，将安全风险维持在一个可以接受的水平。当信息系统的运行环境做重大调整后，也必须重新执行安全评估。主要工作：备份与恢复参数，执行备份计划，安全培训内容，加密秘钥管理，用户管理与访问权限，日志审计，安全事件处理，物理安全保护，离线存储保护，输出分发控制，注册与销户，软硬件维保，运维安全控制措施（包括检查工作时间运行、检查技术控制、验证访问权限文档、检查系统互操作性、确认文档及时更新、确认正确的销户、确认文档控制）可形成的文档：《运维阶段安全风险分析报告》、《系统安全运维规范评估》、《系统安全控制措施评估》《系统安全事故处理流程》、《系统安全监控流程》I废弃阶段阶段特征：该阶段包括信息、硬件和软件的销毁。也包括信息的移动、备份和丢弃以及硬件和软件的清除等活动。I风险评估的支持能力：该阶段对将被丢弃和替换的系统组件（硬件、软件）的风险评估可以确保这些组件被合理地丢弃和替换，它们所包含的残余数据经过了正确的处理，不会增加信息系统的安全风险。风险评估还可以保证信息系统的移植在可控的安全情况下执行。主要工作：加密密钥存储，记录保存时间（法律法规要求），信息归档，介质处理可形成的文档：《信息记录处理规范》、《介质安全处理规范》信息系统主要阶段评估要点阶段设计阶段・开发阶段实超阶段运评估项用户数据保护标识与鉴别信息通信功能保护系统访问安全审计妄全管理可信路径通道.密础支持资癖悅生命周期支持开发配置管理测试交付指导,性文档脆弱性评估组织人员场地软件管理设备管理禺络和通信设备运行和维护事件防范和处理凤险管理安全控制核查生命周期认证〔授权利证书）系统左全计划人员安全物理和坏境安全输入输出扌密制意外计划软硬件维护数据完整性文档安全意识、教育和培训事件响应能力身粉识别和验证逻辑访问控制亩计跟鑑5、信息系统安全风险评估形式分为：自我评估自我评估：是指由集团指定信息系统安全管理人员在信息系统运行维护中使用相应的安全风险评估工具按照一定的规范进行的评估活动。从信息系统拥有者的角度来看是完全主动的行为。优点：可方便地进行经常性的评估，及时采取对策降低安全风险，是一种自查自纠”的方式。这种方式因为是在一个机构内部进行，因此一般不会引入评估带来的新的风险。缺点：是专业性和客观性稍较差。委托评估委托评估：是信息系统拥有者选择委托具有相应资质的评估单位按照一定的规范对信息系统进行的独立的评估活动。从信息系统拥有者的角度来看是完全自愿的，并具有一定的选择性。优点：是专业性、公证性和客观性较强。缺点：是对于评估可能引入新的风险，要加强控制。检查评估检查评估：是信息系统拥有者的上级机关或国家赋予信息安全管理职能的机关授权的评估单位根据一定的管理权限和程序，按照一定的规范对信息系统进行的独立的评估活动。此种评估带有检查的性质，从信息系统拥有者的角度来看具有某种被动性。优点：是专业性、公证性、客观性较强，一般也不会引入评估带来的新的风险。6附则本预案由拓璞集团信息管理部由负责起草、解释和修订。本制度由管理者代表批准后执行。本制度从2012年9月15日起施行，年月日颁发的《》、《》等制度、年月日下发的“□”号文件相应废止。