- 1、本文档共10页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
信息安全风险评估计划
目 录
1. 工作目标 3
2. 工作依据 3
3. 风险评估范围 5
4. 工作任务 5
5. 实施人员 6
6. 工作进度安排 9
6.1. 自评估工作启动 9
6.2. 资产识别 9
6.3. 脆弱性识别 9
6.4. 威胁识别 10
6.5. 风险分析和处理计划 10
6.6. 评估总结 10
6.7. 管理体系建设 11
7. 日程安排 11
工作目标
根据《华润集团信息安全标准》文件要求,组织本单位开展信息安全风险自评估工作,并掌握信息安全风险评估方法,摸清自身安全风险状况,增强信息安全意识,加强信息安全建设,提高信息安全防范水平。
工作依据
1)国家信息化领导小组《关于加强信息安全保障工作的意见》(中办发〔2003〕27 号)
2)国家网络与信息安全协调小组《关于开展信息安全风险评估工作的意见》(国 信办〔2006〕5 号)
3)深圳市关于开展信息安全风险评估工作的实施意见(深科信〔2006〕268 号)
4)信息安全技术信息安全风险评估规范(GB/T20984-2007)
5)电子计算机场地通用规范(GB/T2887-2000)
6)计算机场地安全要求(GB/T 9361-2011 )
7)信息技术安全技术信息技术安全性评估准则(GB/T 18336-2008)
8)信息技术安全管理指南(GB/T 19715.1-2005)
9)信息技术信息安全管理实用规则(GB/T 19716-2005)
10)信息安全技术操作系统安全评估准则(GB/T 20008-2005)
11)国家信息化领导小组《关于加强信息安全保障工作的意见》(中办发〔2003〕27号)
12)信息安全技术数据库管理系统安全评估准则(GB/T 20009-2005)
13)信息安全技术包过滤防火墙评估准则(GB/T 20010-2005)
14)信息安全技术路由器安全评估准则(GB/T 20011-2005)
15)信息安全技术信息系统安全管理要求(GB/T 20269-2006)
16)信息安全技术网络基础安全技术要求(GB/T 20270-2006)
17)信息安全技术信息系统通用安全技术要求(GB/T 20271-2006)
18)信息安全技术操作系统安全技术要求(GB/T 20272-2006)
19)信息安全技术数据库管理系统安全技术要求(GB/T 20273-2006)
20)信息安全技术网络和终端设备隔离部件测试评价方法(GB/T 20277-2006)
21)信息安全技术网络和终端设备隔离部件安全技术要求(GB/T 20279-2006)
22)信息安全技术防火墙技术要求和测试评价方法(GB/T 20281-2006)
23)信息安全技术信息系统安全工程管理要求(GB/T 20282-2006)
24)信息安全技术路由器安全技术要求(GB/T 18018-2007)
25)信息安全技术信息系统安全审计产品技术要求和评价方法GB/T20945-2007)
26)信息技术安全技术信息安全事件管理指南(GB/Z 20985-2007)
27)信息安全技术信息安全事件分类分级指南(GB/Z 20986-2007)
28)信息安全技术服务器安全技术要求(GB/T 21028-2007)
29)信息安全技术网络交换机安全技术要求(GB/T 21050-2007)
30)信息技术——信息安全管理实施规范(ISO/IEC 27002:2005)
31)深圳市信息安全风险评估实施指南
32)各种检查机构运作的一般规则(ISO-IEC 17020-2004)
风险评估范围
本次评估范围为的核心网络、安全设备、服务器等基础设施、门户网站等。
工作任务
本次风险评估工作将进行资产识别、威胁识别、脆弱性识别三个要素的识别,并进行风险分析,具体工作任务如下:
资产识别:保密性、完整性和可用性是评价资产的三个安全属性,通过资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来判定资产的重要性。
威胁识别:通过分析信息系统存在的威胁,定义信息安全威胁级别。威胁可以通过威胁主体、资源、动机、途径等多种属性进行描述。
脆弱性识别:脆弱性识别可以以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估。
风险分析:在完成资产识别、威胁识别、脆弱性识别,以及已有安全措施确认后,采用适当的方法和工具确定威胁利用脆弱性导致安全事件发生的可能性,并对风险评估的结果进行等级化处理。
安全管理体系建设:根据对现有安全管理体系评估的结果,按照国家相关标准、政策和法规,建立适用于国有资产监督管理局的安全管理体系,包括制订一系列的安全管理制度、安全策略、规程。
实施人员
本次评估小组组织结构如下图所示:
评
您可能关注的文档
- 石油石化企业动火安全知识培训PPT课件教学.ppt
- 时间管理与工作计划.ppt
- 实施方案设计与决策型问题 中考数学PPT课件资料.ppt
- 市场营销和市场营销学PPT课件.ppt
- 市场营销和市场营销学PPT课件资料.ppt
- 市场营销环境PPT课件资料.ppt
- 市场营销通论 导论PPT课件资料.ppt
- 市科学技术专项资金拨付使用培训PPT课件教学.ppt
- 试乘试驾活动实施方案.doc
- 收入分配和社会公平教学PPT课件.ppt
- 2023年台州市黄岩区定向培养基层农技人员招考考前自测高频考点模拟试题(共500题)含答案详解.docx
- 2023年吉林省德惠市住房和城乡建设局招聘10人考前自测高频考点模拟试题(共500题)含答案详解.docx
- 2023年吉林四平市事业单位招聘工作人员暨专项招聘毕业生274人考前自测高频考点模拟试题(共500题)含答案详解.docx
- 2023年北京市质量技术监督局事业单位招聘104人考前自测高频考点模拟试题(共500题)含答案详解.docx
- 2023年北京市文化和旅游局系统事业单位招聘101人考前自测高频考点模拟试题(共500题)含答案详解.docx
- 2023年厦门市海沧区招商服务中心招考非在编工作人员考前自测高频考点模拟试题(共500题)含答案详解.docx
- 2023年吉林省通化市事业单位招聘84人考前自测高频考点模拟试题(共500题)含答案详解.docx
- 2023年吉林松原市事业单位招考考试(1号)考前自测高频考点模拟试题(共500题)含答案详解.docx
- 2023年厦门集美区后溪镇政府土地巡查员招考(15人)考前自测高频考点模拟试题(共500题)含答案详解.docx
- 2023年内蒙古政协办公厅所属事业单位公开招聘工作人员8人考前自测高频考点模拟试题(共500题)含答案详解.docx
1亿VIP精品文档
相关文档
最近下载
- 中华中医药学会护理分会项中医护理技术评分标准.doc VIP
- (部编版)语文二年级上册寒假课外阅读“天天练”30篇,附参考答案.doc
- 利用人工智能和机器学习的高内涵化学品肺毒性筛查方法.pdf VIP
- 优秀数学教研组的申报材料.docx
- 智能科技产业复光复瞻消毒机器人品牌及营销战略.pdf
- 【英语字帖】外研社英语四年级下册单词表衡水体描红练习字帖(三年级起点含音标).pdf
- 大疆 DJI 带屏遥控器 - 用户手册 1.8.pdf
- 滇18JS5-1 装配式塑料排水检查井图集.pdf
- 云南红河蒙自市芷村镇中学招考聘用劳务派遣制工作人员笔试历年高频考点-难、易错点荟萃附答案带详解.docx VIP
- 二年级100以内竖式计算题-可直接打印.doc VIP
文档评论(0)