信息安全风险评估计划.docx

信息安全风险评估计划 目 录 1. 工作目标 3 2. 工作依据 3 3. 风险评估范围 5 4. 工作任务 5 5. 实施人员 6 6. 工作进度安排 9 6.1. 自评估工作启动 9 6.2. 资产识别 9 6.3. 脆弱性识别 9 6.4. 威胁识别 10 6.5. 风险分析和处理计划 10 6.6. 评估总结 10 6.7. 管理体系建设 11 7. 日程安排 11  工作目标 根据《华润集团信息安全标准》文件要求，组织本单位开展信息安全风险自评估工作，并掌握信息安全风险评估方法，摸清自身安全风险状况，增强信息安全意识，加强信息安全建设，提高信息安全防范水平。 工作依据 1)国家信息化领导小组《关于加强信息安全保障工作的意见》（中办发〔2003〕27 号） 2)国家网络与信息安全协调小组《关于开展信息安全风险评估工作的意见》（国 信办〔2006〕5 号） 3)深圳市关于开展信息安全风险评估工作的实施意见（深科信〔2006〕268 号） 4)信息安全技术信息安全风险评估规范（GB/T20984-2007） 5)电子计算机场地通用规范（GB/T2887-2000） 6)计算机场地安全要求（GB/T 9361-2011 ） 7)信息技术安全技术信息技术安全性评估准则（GB/T 18336-2008） 8)信息技术安全管理指南（GB/T 19715.1-2005） 9)信息技术信息安全管理实用规则（GB/T 19716-2005） 10)信息安全技术操作系统安全评估准则（GB/T 20008-2005） 11)国家信息化领导小组《关于加强信息安全保障工作的意见》（中办发〔2003〕27号） 12)信息安全技术数据库管理系统安全评估准则（GB/T 20009-2005） 13)信息安全技术包过滤防火墙评估准则（GB/T 20010-2005） 14)信息安全技术路由器安全评估准则（GB/T 20011-2005） 15)信息安全技术信息系统安全管理要求（GB/T 20269-2006） 16)信息安全技术网络基础安全技术要求（GB/T 20270-2006） 17)信息安全技术信息系统通用安全技术要求（GB/T 20271-2006） 18)信息安全技术操作系统安全技术要求（GB/T 20272-2006） 19)信息安全技术数据库管理系统安全技术要求（GB/T 20273-2006） 20)信息安全技术网络和终端设备隔离部件测试评价方法（GB/T 20277-2006） 21)信息安全技术网络和终端设备隔离部件安全技术要求（GB/T 20279-2006） 22)信息安全技术防火墙技术要求和测试评价方法（GB/T 20281-2006） 23)信息安全技术信息系统安全工程管理要求（GB/T 20282-2006） 24)信息安全技术路由器安全技术要求（GB/T 18018-2007） 25)信息安全技术信息系统安全审计产品技术要求和评价方法GB/T20945-2007） 26)信息技术安全技术信息安全事件管理指南（GB/Z 20985-2007） 27)信息安全技术信息安全事件分类分级指南（GB/Z 20986-2007） 28)信息安全技术服务器安全技术要求（GB/T 21028-2007） 29)信息安全技术网络交换机安全技术要求（GB/T 21050-2007） 30)信息技术——信息安全管理实施规范（ISO/IEC 27002:2005） 31)深圳市信息安全风险评估实施指南 32)各种检查机构运作的一般规则（ISO-IEC 17020-2004） 风险评估范围 本次评估范围为的核心网络、安全设备、服务器等基础设施、门户网站等。 工作任务 本次风险评估工作将进行资产识别、威胁识别、脆弱性识别三个要素的识别，并进行风险分析，具体工作任务如下： 资产识别：保密性、完整性和可用性是评价资产的三个安全属性，通过资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来判定资产的重要性。 威胁识别：通过分析信息系统存在的威胁，定义信息安全威胁级别。威胁可以通过威胁主体、资源、动机、途径等多种属性进行描述。 脆弱性识别：脆弱性识别可以以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估。 风险分析：在完成资产识别、威胁识别、脆弱性识别，以及已有安全措施确认后，采用适当的方法和工具确定威胁利用脆弱性导致安全事件发生的可能性，并对风险评估的结果进行等级化处理。 安全管理体系建设：根据对现有安全管理体系评估的结果，按照国家相关标准、政策和法规，建立适用于国有资产监督管理局的安全管理体系，包括制订一系列的安全管理制度、安全策略、规程。 实施人员 本次评估小组组织结构如下图所示： 评