人民银行信息安全风险评估
风险管理
热点探究
2003年至今,我国信息安全风险评估历经了调研、标准编写、试点和落地四个阶段。近年来,在我国政府有关部门的推动下,并由于企事业机构信息化建设的战略需求,信息安全风险评估逐步深入。首先,国务院原信息化工作办公室强力推动这项工作。2003年9月,中办发27号文强调“要重视信息安全风险评估工作”;2004年,制定了风险评估研究报告与标准草案(《信息安全风险评估指南》和《信息安全风险管理指南》);2005年,开展风险评估试点工作;2006年1月,出台《关于开展信息安全风险评估工作的意见》,提出开展信息安全风险评估工作的意见;2006年8月,开展对国有企业风险评估检查工作;从2007年起,对信息系统开始实行制度化的风险评估。其次,各部委各司其职,积极配合。公安部大力推动“信息系统等级保护”工作;国家保密局对涉密网络和信息系统提出相应风险管控要求;国家发改委、科技部、工业和信息化部等将在科研和产业化投入方面予以支持;金融监管部门在积极开展风险评估和管理方面的政策制定、技术研究和评估实践。一些信息安全厂商也及时跟进,为金融、石油、电信等行业用户提供高端、商业性的
风险评估服务。
所谓信息安全风险评估是依据有关信息安全技术与管理标准,运用科学的方法和手段,对信息系统及其处理、传输和存储的信息的机密性、完整性和可用性(以下简称“安全三性”)等安全属性进行评价的过程。首先,信息安全风险评估的目标是评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性。结合安全事件所涉及的资产价值来判断安全事件一旦发生对机构造
成的影响,并提出有针对性的防护措施,为防范和化解
人民银行信息安全风险评估
中国人民银行许昌市中心支行 安峰 张晓锋
风险管理热点探究
信息安全风险,将风险控制在可接受的水平,最大限度地保障网络和信息系统安全正常运行提供科学依据。通过风险评估确切掌握网络和信息系统的安全程度,分析安全威胁来自何方、安全风险有多大,加强信息安全保障工作应采取哪些措施,所要投入的人、财、物资源,确认已采取的信息安全措施是否有效,以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题。其次,信息安全风险评估的过程是在网络与信息系统的设计、验收及维护阶段均应当进行信息安全风险评估。在规划设计阶段,通过风险评估明确安全需求和安全目标;在验收阶段,通过信息安全风险评估验证已实施的安全措施能否实现安全目标;在运行维护阶段,通过定期风险评估工作,检验安全措施的有效性及对安全环境变化的适应性,以保障安全目标的实现。当安全形势发生重大变化或网络与信息系统有重大变更时,也要及时进行信息安全风险评估。没有准确及时的风险评估,将使得组织无法对其信息安全的状况做出准确的判断。再次,信息安全风险评估主要有以下一些作用。一是明确机构信息系统的安全现状;二是确定机构的网络和信息系统的主要安全风险;三是及早发现和解决问题,防患于未然;四是指导机构信息系统安全技术体系与管理体系的建设。
一、人民银行信息安全风险评估存在的问题
2007年6月下旬至8月底,为保障“十七大”期间的信息安全,适应信息化快速发展的客观需求,人民银行各分支机构按照总行的部署首次开展了信息安全风险自评估工作。自评估工作虽然取得了预期效果,但也存在一些问题,面临一些困难。
1.威胁识别途径单一
全面识别威胁有三种途径:一是搜集和分析系统相关入侵检测日志、防火墙日志、系统日志、防病毒日志和安全事件历史记录等,识别已发生和正在发生的威胁;二是对照已定义的威胁列表,对威胁相关要素进行适合性分析,识别系统可能面临的安全威胁;三是通过发现的弱点反推利用该弱点的威胁在当前安全控制措施下是否存在。从地市中心支行的自评估报告上看,大部分中心支行只采取了第三种途径。如果只根据弱点反推威胁,可能造成威胁的遗漏。如果采用的评估方法单一,也说明对评估方法还不够熟练。
2.脆弱性深度检测能力不足
我们在脆弱性检测评估方案中选用了“M+N”检测模式。其中,M表示常规检测,主要采用物理、网络、系统、应用、管理等常规检测手段,相当于健康检查中的普查;N表示深度检测,主要采用木马检测、渗透测试、密码安全性分析与检测等特殊手段,分析安全事件的严重程度,相当于健康检查中的特殊检查。目前的木马程序一般采用反向穿透技术,使防火墙、入侵检测系统等网络安全设备形同虚设,给网络中的服务器和工作站带来严重威胁。渗透测试是在弱点扫描的基础上,尽可能完整地模拟黑客使用的弱点发现技术和攻击手段,对目标进行深入探测,发现系统最脆弱的环节,并进行一定程度的验证。以数据加密和身份认证为代表的密码技术是网络安全防护的关键。脆弱性的深度检测在整个脆弱性检测中占有非常重要的地位,在一定程度上代表了评估工作的技术水平。由于技术能力和评估工具的缺泛,一些地市中心支行未做脆弱性深度检测。
3.风险要素赋值不准确,随意性大
评估中要完成信息资产的价值(安全三性)、威胁的可能性、弱点的严重程度等风险要素的赋值,这些值对风险的计算结果起决定作用。由于赋值标准是描述性的,赋值受评估人员的评估知识和技术水平、评估经验、看问题的角度等因素的影响很大。自评估工作中,各地市中心支行尽管采取了参与成员多样性、集体决策、集中赋值、多次修正等多种措施,但赋值结果还是差别较大。问题表现在两个方面:一是不同的地市中心支行对同一个系统的同一安全要素的赋值差别较大。按道理同一系统资产的安全三性各地市中心支行的赋值应是相同的,如作为人民银行基础支撑环境的Notes电子邮件系统安全三性的赋值应是很高的,但近三分之一的中
风险管理热点探究
心支行的赋值却在中等水平。二是同一中心支行内部的不同系统同一要素的赋值一致性不高。同时,不同系统同一要素的赋值应按照价值、重要程度、影响或可能性的大小一致的标准赋值,如有的地市中心支行出现了人事信息系统的可用性比电子邮件系统的大,与核心交换机相同的情况。赋值的不准确造成不同中心支行相同系统的评估结论无可比性。
4.由弱点直推风险,造成风险扩大化
当采用以弱点为中心的风险分析方法时,应从两个方面判定弱点能否带来风险:一方面是否存在利用该弱点的威胁;另一方面,现有安全控制措施是否能阻止那些利用该弱点的威胁。不考虑威胁是否存在,或是否被抑制,有弱点直接推导出风险,这是初评者风险分析时易犯的错误。只注重脆弱性评估,对威胁是否存在、威胁利用弱点的可能性及已有安全措施对威胁的抑制作用考虑不足,造成风险扩大化。如发现服务器开启了23端口,存在远程Telnet登录的弱点,但防火墙策略禁止了对23端口的访问,所以也不会存在外网用户远程Telnet登录的风险。从部分地市中心支行自评估报告中看不到对是否存在威胁、已有安全控制措施的分析,很难由弱点直接推出风险。
5.关联分析能力不足,缺乏经验
关联分析是风险评估的核心。现有系统越来越复杂,多种因素互相关联,风险越来越隐蔽。能不能从系统环境、系统日志、防火墙日志、病毒报警、入侵检测报警、网管系统等分散的蛛丝马迹中有效识别出弱点、威胁、安全事件,或者对一个漏洞不单是分析它的影响和解决办法,而要推断出相关的其他技术和管理漏洞,找出“病根”,开出有效的“处方”。只有具备过硬的专业知识技术、丰富的评估经验、敏锐的观察和分析能力,才能具有深入关联分析的能力。比如,发现Windows系统存在IPC$连接的弱点(IPC$连接可以实现远程登录及对默认共享的访问),由于IPC$连接需要139、445端口的支持,所以要拒绝IPC$连接可通过关闭139和445端口来实现。从地市中心支行自评估报告的风险分析中看不到关联分析的例子。
二、人民银行信息安全风险评估面临的困难
1.尚未建立正式的信息安全风险评估国家标准
目前我国信息安全评估标准还没有正式颁布,现在使用的《信息安全风险评估指南》还只是送审稿,科学性、完整性还没有最终确认。送审稿给出的评估原则、方法和流程操作性不强,也没有实施细则,找不到官方或民间的解读材料,对标准的理解和执行带来很大困难。
2.重要业务系统难以开展深度评估
大、小额支付系统等是人民银行的核心业务系统,实时性非常强,社会影响很大。由于评估过程本身也可能带来风险,对一些可能引起风险的评估步骤不允许实施,如漏洞扫描、渗透性测试等,甚至一些常规安全性检查也不便轻易进行,造成这些系统的评估难以深入开展。
3.在风险控制中,不好把握适度安全的标准
风险管理不追求零风险,不计成本的“绝对安全”或试图完全消灭风险、避免风险是严重浪费。风险管理要求在成本和风险损失之间寻求一个最佳的平衡点,倡导一种适度安全。这种平衡对于刚刚开展风险评估的人民银行分支机构来说实在难以把握。
4.有些风险控制措施难以实施
对一些重要业务系统的弱点加固操作,由于无法在实际环境下测试,对停止某些服务、关闭某些端口、安装补丁,出于不影响生产的考虑,在没有充分把握的情况下不敢轻易实施。此外,有些受时间、资金的限制,也难以实施。
5.缺乏专业化评估工具
缺乏专业化评估工具,制约了评估质量和效率的提高。目前人民银行只有副省级以上的分支机构配发一套单机版脆弱性扫描工具,没有配备其他专业化的评估管理、渗透测试、安全审计、拓扑发现、资产收集等评估辅助工具,也没有向评估人员提供帮助的资产分类库、
风险管理热点探究
威胁参考库、脆弱性参考库、可能性定义库、后果定义库、算法库、控制措施库等评估辅助专家系统。评估工作主要靠手工操作,工作量大,效率较低,质量不能有效保障。
6.人民银行安全管理人员匮乏
现有人员既缺乏信息安全知识的系统培训,更缺乏信息安全风险评估的相关学习培训,甚至缺乏信息安全风险评估的专业基础知识,加之总行的风险评估文件可操作性不强,导致各省市、各地市人民银行的安全评估人员在理解上存在偏差,赋值全靠个人的经验来确定,直接导致了评估结果的不科学。
三、关于对提升人民银行
信息安全风险评估水平的建议
为了更好地开展以后的风险评估工作,解决前面提到的问题和困难,提升分支机构信息安全风险自评估能力,除了树立信息安全风险管理意识之外,我们提出如下建议。
1.在分支机构中推行信息安全风险管理制度或者建立定期风险评估制度
信息安全风险管理是发达国家信息安全保障工作的通行做法,我国《信息安全风险管理指南》也即将颁布。人民银行开展信息安全保障工作多年,取得了显著效果,在分支机构推行信息安全风险管理制度有很好的条件和基础。按照风险管理制度,适时开展风险评估工作,或建立风险评估的长效机制,定期进行风险评估,将风险评估工作与信息系统的生命周期和安全建设联系起来,让风险评估成为信息安全保障工作运行机制的基石。
2.结合人民银行业务特点,探索自己的风险评估模型或定义自己的风险计算函数
目前的各种风险评估标准均未给出明确的风险判断方法,只提供了几种风险判断的指导意见,以及风险与各风险要素之间存在某种趋势的函数关系,函数关系具体是什么没有给定。《信息安全风险评估指南》给出的风险判断方法有:风险矩阵测量法、威胁分级计算法、风险综合评价法、安全属性矩阵法、风险计算相乘法等,给出的是每种判断方法的框架和思路。若直接按照标准中给出的判断方法的例子进行风险判定,由于算法过于简单,得出的结论可信度不高。不同的行业有不同的技术规范,有不同的特点,因此许多行业或组织在实施风险评估的过程中,开发出了适合自己特点的风险评估模型或定义了自己的风险计算函数。人民银行作为一个大型组织,为了信息安全保障工作长期需要,很有必要在评估实践中探索构造自己的经验函数,或开发自己的风险评估模型。
3.编制人民银行信息安全风险评估实施细则
由于所有的信息安全风险评估标准给出的都是指导性文件,并没有给出具体实施过程、风险要素识别方法、风险分析方法、风险计算方法、风险定级方法等,评估人员只能根据评估的目标、行业特点和自己的理解,选择与机构相适应的具体评估方法。建议在国标《信息安全风险评估指南》的框架下,编制适合人民银行业务特色的实施细则,根据选用或自定义风险计算方法,编写评估案例教材,制作各种模板,以在人民银行系统实现评估过程和方法的统一。例如统一各种调查表、查检表、赋值标准、分析方法、计算方法、定级标准、评估工具等,使人民银行各级机构风险评估按同样的标准和方法进行,实现评估结论横向、纵向的可比性,使各分支机构之间的评估结论具有可比性,同一分支机构实施风险控制措施前后的风险变化具有可比性。
4.注重评估队伍建设,培育自评估能力
风险评估是个系统工程,由于其技术和程序的复杂性,培养一支技术全面、管理有方的评估队伍要有长远规划。评估人员除掌握系统的评估理论外,要重点培养综合运用风险评估工具的能力,综合运用入侵检测系统、防火墙、防病毒系统、系统日志等安全产品的能力,以及深度关联分析的能力。加强评估技术、经验的交流和沟通,鼓励研究。通过分级培养、定期培训、树立重点评估示范单位等形式加强队伍建设,形成各层次、各层面评估人才梯队,培育自评估能力,建设人民银行风险评估的队伍。 (下转第41页)
栏目编辑:李勇 liyong@https://www.360docs.net/doc/b55809990.html,
活动层出不穷,越来越多的直销团队出现的大型商场、闹市,甚至直接在大型企业内对员工开展一对一营销。但是,由于缺乏有效的营销工具,并且考虑到安全,现金收付等因素,现在的上门营销基本局限于业务宣传、填写服务申请表的范围内,无法直接办理电子银行签约,更不用说现场为客户开办存折和银行卡。电子银行移动营销的推出,创新了客户服务方式,通过开发基于无线POS的业务系统,可以实现在营销现场为客户办理电子银行签约,并发放安全工具(由于安全和监管需要,安全工具的费用或者服务费通过系统自动扣收的方式实现,营销现场不办理现金业务)。这样,客户无需再到网点,在营销现场就能及时开通电子银行,实现了营销与办理业务的一体化。
总之,充分利用网点转型后的空间规划,发挥各功能区的优势,通过客户关系管理深入挖掘客户需求,采取上门营销与即时开通的营销方式,积极开展电子银行业务营销宣传,推动电子银行业务快速发展。在让客户在体验“金融超市”的同时,把电子银行这一“金融分店”带回家,满足客户的多样化需求,并可提高客户的满意度、忠诚度和依赖度。
(注:本文作者系中国建设银行股份有限公司山东省分行电子银行部工作人员,现在中国海洋大学项目管理硕士学位班学习)
(上接第32页)
5.加强风险评估基础设施建设,统一选配风险评估工具
风险评估工具是保障风险评估结果可信度的重要因素,也可提高评估效率,规范评估流程。人民银行应根据选用的评估标准和评估方法,选择配套的专业风险评估工具,向分支机构配发或推荐。如评估管理、漏洞扫描、渗透测试、安全审计、拓扑发现、资产收集等评估辅助工具,以及向评估人员提供帮助的资产分类库、威胁参考库、脆弱性参考库、可能性定义库、后果定义库、算法库、控制措施库等评估辅助专家系统。
6.资金类等核心业务系统的评估由总行统一组织实施
由于评估过程本身的风险性,对于重要的实时性强、社会影响大的核心业务系统的评估,由总行统一制定评估方案,在非营业时间统一组织实施。加固整改也要在总行的指导下统一进行。
7.以自评估为主,自评估和检查评估相结合
自评估和检查评估各有优缺点,要发挥各自优势,配合实施,使评估的过程、方法和风险控制措施更科学合理。分支机构的自评估可能由于专业性不够及容易受
到干扰等因素,评估结果可能损失一定的客观性,从而降低评估结果的置信程度。检查评估是由主管机关实施,通过对自评估的实施过程、风险要素识别、风险分析、风险计算方法、评估结果、风险控制措施等重要环节的科学性、合理性进行分析,得出自己的风险判断。检查评估要具有一定的权威性。
8.风险评估与信息系统等级保护应结合起来
目前,人民银行正在推行信息系统等级保护,若与风险评估结合起来,则可相互促进,相互依托。等级保护体系中的分类、分级的思想和风险评估中对信息资产的重要性分级基本一致,不同的是等级保护的级别应依据系统的重要程度和安全三性来定义,而风险评估中的风险等级则是综合考虑了信息的重要性、安全三性、现有安全控制措施的有效性及运行现状后的综合结果。通过风险评估为信息系统确定安全等级提供依据。确定安全等级后,根据风险评估的结果作为实施等级保护、安全等级建设的出发点和参考,检验网络与信息系统的防护水平是否符合等级保护的要求。
FCC
FCC
栏目编辑:李勇 liyong@https://www.360docs.net/doc/b55809990.html,
新巴塞尔协议---银行信息安全风险管理教程文件
银行信息安全风险管理 -----新巴塞尔协议导读:新巴塞尔协议强调在进行风险管理的时候,不仅仅要重视传统的信用风险,而且要将操作风险放在一个重要的地位。以前对操作风险的定义非常简单,是除了市场风险和信贷风险之外的其他风险。这种消极的定义方式对操作风险管理造成了障碍。新巴塞尔协议中给出的新的操作风险定义如下:操作风险就是指由于内部流程、人员、系统不充足或者运行失当、以及因为外部事件的冲击等导致直接或者间接损失的可能性的风险。 1 新巴塞尔协议和操作风险 2004年6月26日,《巴塞尔新资本协议》(简称新巴塞尔协议)的终稿正式通过。新巴塞尔协议虽然不具有强制性,但是在国际上具有很大的影响力。新巴塞尔协议的核心内容为三个支柱,即最低资本要求、监管检查和市场约束。虽然中国银监会曾经表态,受到客观条件限制,我国在未来几年内仍将继续执行1988年的老协议,但是当中国的银行进入国际银行业市场开拓业务时,巴塞尔协议可能会使中国商业银行在竞争中处于不利的地位,尤其是国际上业务较活跃的银行,势必会受到很大影响。所以,对于中国银行业来讲,研究和符合新巴塞尔协议是提高国际竞争力的重要战略决策。 新巴塞尔协议强调在进行风险管理的时候,不仅仅要重视传统的信用风险,而且要将操作风险放在一个重要的地位。以前对操作风险的定义非常简单,是除了市场风险和信贷风险之外的其他风险。这种消极的定义方式对操作风险管理造成了障碍。新巴塞尔协议中给出的新的操作风险定义如下:操作风险就是指由于内部流程、人员、系统不充足或者运行失当、以及因为外部事件的冲击等导致直接或者间接损失的可能性的风险。 2 操作风险管理 操作风险作为银行面临的多种风险之一,具有其独特性。简单来讲,操作风险就是“没有采用正确的方法做事情”而带来的风险。操作风险和其他风险之间的关系如图所示。战略风险主要关心管理层是否选择的正确的业务方向和战略目标,业务相关的风险和具体的业务特点有关,而操作风险则主要指落实到具体执行层面的时候能否正确执行规范,以及有没有相关的规范可以参照执行。在风险管理领域中,战略是指导,而操作则贯穿整个业务活动的始终。因此,操作风险管理必须贯穿到整个公司管理过程之中去。
信息安全风险评估服务
1、风险评估概述 风险评估概念 信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT 领域时,就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799 ISO17799国家标准《信息系统安全等级评测准则》等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/ 管理/ 运行等方面存在的脆弱性为诱因的 信息安全风险评估综合方法及操作模型。 风险评估相关 资产,任何对组织有价值的事物。 威胁,指可能对资产或组织造成损害的事故的潜在原因。例如,组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。 脆弱点,是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思,使用简短易被猜测的口令、操作系统本身有安全漏洞等。 风险,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害饿潜在可能性,即特定威胁事件发生的可能性与后果的结合。风险评估,对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。 风险评估也称为风险分析,就是确认安全风险及其大小的过程,即利用适 当的风险评估工具,包括定性和定量的方法,去顶资产风险等级和优先控制顺序。
2、风险评估的发展现状 信息安全风险评估在美国的发展 第一阶段(60-70 年代)以计算机为对象的信息保密阶段 1067年11月到1970年2月,美国国防科学委员会委托兰德公司、迈特公司(MITIE)及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究,分析。作为第一次比较大规模的风险评估。 特点: 仅重点针对了计算机系统的保密性问题提出要求,对安全的评估只限于保密性,且重点在于安全评估,对风险问题考虑不多。 第二阶段(80-90 年代)以计算机和网络为对象的信息系统安全保护阶段评估对象多为产品,很少延拓至系统,婴儿在严格意义上扔不是全面的风险评估。 第三阶段(90 年代末,21 世纪初)以信息系统为对象的信息保障阶段随着信息保障的研究的深入,保障对象明确为信息和信息系统;保障能力 明确来源于技术、管理和人员三个方面;逐步形成了风险评估、自评估、认证认可的工作思路。 我国风险评估发展 ?2002年在863计划中首次规划了《系统安全风险分析和评估方法研究》课题?2003年8月至2010年在国信办直接指导下,组成了风险评估课题组 ?2004年,国家信息中心《风险评估指南》,《风险管理指南》 ?2005年全国风险评估试点?在试点和调研基础上,由国信办会同公安部,安全部,等起草了《关于开展信息安全风险评估工作的意见》征求意见稿 ?2006 年,所有的部委和所有省市选择1-2 单位开展本地风险评估试点工作?2015 年,国家能源局根据《电力监控系统安全防护规定》(国家发展和改革委
2016年科技信息风险评估方案报告
XX农商银行关于科技信息 业务风险评估报告 根据《XXX农村信用社联合社关于印发XX农村信用社2015-2017年规划的通知》)及《XX银行2016年控合规工作实施细则》的要求,风险合规部对我行科技信息部2016年度的相关业务进行了风险评估,现将评估情况情况报告如下: 一、总体情况 风险合规部于2016年12月1日至2016年12月5日对我行科技信息业务的风险状况进行了评估,主要从组织领导、制度管理、岗位管理、员工培训、安全设施等业务开展情况进行了检查,结合检查结果进行风险评估。 二、工作开展情况 (一)科技信息组织领导 通过查阅科技信息部考核办法和相关责任状,我行董事会设置了科技信息管理委员会,经营班子设置了计算机信息安全管理工作领导小组和信息系统重大突发事件应急管理领导小组等领导组织,组织机构组建齐全。 (二)信息科技制度建设 通过查阅出台的信息科技制度、流程及办法,信息科技部组织制定了各项规章制度,并结合部控制评价工作对相关
的科技管理制度和操作规程进行梳理和归类,及时修改相关制度办法,使其具有系统性、可操作性和全新性。 (三)信息科技管理部门及岗位 我行现已设立独立的科技管理工作部门并配有符合条件的科技人员,结合自身实际设立科技管理岗、主机系统维护岗、设备维护岗、设备保管岗、档案管理岗、风险控制及安全岗等必要的岗位,每个岗位配备2人以上操作维护人员,重要系统均配备A\B角,并定期轮换,制定相应的岗位职责。 (四)员工学习培训 通过查阅培训计划及资料、员工岗位轮换表、强制休假安排及审计报告,科技信息部年组织开展了计算机知识的普及和应用轮训培训工作,严格落实上岗资格考试、岗位轮换和强制休假制度。 (五)设备管理和维护 通过查阅登记簿和检查记录,科技人员能够按照规定对计算机进行必要的设备日常监测、检查、记录,并及时掌握设备的运行状况。通过查阅运维综合管理平台,部门能够及时受理各网点提交的系统运行故障、业务处理差错、业务需求申请等业务工单,并对其认真审核后,及时提交相关部门处理;对营业网点上报的网络故障信息及时给予或现场指导。 (六)机房网络安全及消防设施
信息安全风险评估管理规定
信息安全风险评估管理规 定 This manuscript was revised on November 28, 2020
信息安全风险评估管理办法 第一章总则 第一条为规范信息安全风险评估(以下简称“风险评估”)及其管理活动,保障信息系统安全,依据国家有关规定,结合本省实际,制定本办法。 第二条本省行政区域内信息系统风险评估及其管理活动,适用本办法。 第三条本办法所称信息系统,是指由计算机、信息网络及其配套的设施、设备构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。 本办法所称重要信息系统,是指履行经济调节、市场监管、社会管理和公共服务职能的信息系统。 本办法所称风险评估,是指依据有关信息安全技术与管理标准,对信息网络和信息系统及由其存储、传输、处理的信息的保密性、完整性和可用性等安全属性进行评价的活动。 第四条县以上信息化主管部门负责本行政区域内风险评估的组织、指导和监督、检查。 跨省或者全国统一联网运行的重要信息系统的风险评估,可以由其行业管理部门统一组织实施。 涉密信息系统的风险评估,由国家保密部门按照有关法律、法规规定实施。
第五条风险评估分为自评估和检查评估两种形式。 自评估由信息系统的建设、运营或者使用单位自主开展。检查评估由县以上信息化主管部门在本行政区域内依法开展,也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行,双方实行互备案制度。 第二章组织与实施 第六条信息化主管部门应当定期发布本行政区域内重要信息系统目录,制定检查评估年度实施计划,并对重要信息系统管理技术人员开展相关培训。 第七条江苏省信息安全测评中心为本省从事信息安全测评的专门机构,受省信息化主管部门委托,具体负责对从事风险评估服务的社会机构进行条件审核、业务管理和人员培训,组织开展全省重要信息系统的外部安全测试。 第八条信息系统的建设、运营或者使用单位可以依托本单位技术力量,或者委托符合条件的风险评估服务机构进行自评估。 第九条重要信息系统新建、扩建或者改建的,在设计、验收、运行维护阶段,均应当进行自评估。重要信息系统废弃、发生重大变更或者安全状况发生重大变化的,应当及时进行自评估。
信息安全风险评估报告DOC
XXXXX公司 信息安全风险评估报告 历史版本编制、审核、批准、发布实施、分发信息记录表
一. 风险项目综述 1.企业名称: XXXXX公司 2.企业概况:XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持与服
务的企业。 3.ISMS方针:预防为主,共筑信息安全;完善管理,赢得顾客信赖。 4.ISMS范围:计算机应用软件开发,网络安全产品设计/开发,系统集成及服务的信息安全管理。 二. 风险评估目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,进行本次风险评估。 三. 风险评估日期: 2017-9-10至2017-9-15 四. 评估小组成员 XXXXXXX。 五. 评估方法综述 1、首先由信息安全管理小组牵头组建风险评估小组; 2、通过咨询公司对风险评估小组进行相关培训; 3、根据我们的信息安全方针、范围制定信息安全风险管理程序,以这个程序作为我们风险评估的依据和方 法; 4、各部门识别所有的业务流程,并根据这些业务流程进行资产识别,对识别的资产进行打分形成重要资产 清单; 5、对每个重要资产进行威胁、脆弱性识别并打分,并以此得到资产的风险等级; 6、根据风险接受准则得出不可接受风险,并根据标准ISO27001:2013的附录A制定相关的风险控制措施; 7、对于可接受的剩余风险向公司领导汇报并得到批准。 六. 风险评估概况 根据第一阶段审核结果,修订了信息安全风险管理程序,根据新修订程序文件,再次进行了风险评估工作
从2017年9月10日开始进入风险评估阶段,到2017年9月15日止基本工作告一段落。主要工作过程如下: 1.2017-9-10 ~ 2017-9-10,风险评估培训; 2.2017-9-11 ~ 2017-9-11,公司评估小组制定《信息安全风险管理程序》,制定系统化的风险评估方法; 3.2017-9-12 ~ 2017-9-12,本公司各部门识别本部门信息资产,并对信息资产进行等级评定,其中资产分为 物理资产、软件资产、数据资产、文档资产、无形资产,服务资产等共六大类; 4.2017-9-13 ~ 2017-9-13,本公司各部门编写风险评估表,识别信息资产的脆弱性和面临的威胁,评估潜在 风险,并在ISMS工作组内审核; 5.2017-9-14 ~ 2017-9-14,本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表; 6. 2017-9-15 ~ 2017-9-15,各部门修订风险评估表,识别重大风险,制定控制措施;ISMS工作 组组织审核,并最终汇总形成本报告。 . 七. 风险评估结果统计 本次风险评估情况详见各部门“风险评估表”,其中共识别出资产190个,重要资产115个,信息安全风险115个,不可接受风险42个. 表1 资产面临的威胁和脆弱性汇总表
银行信息安全
一、银行信息安全威胁 随着银行信息建设的深入发展,银行全面进入了业务系统整合、数据大集中的新的发展阶段,经营的集约化和数据的集中化趋势一方面顺应了银行业务发展的要求,但是另一方面不可避免地导致了信息安全风险的集中。银行信息系统存在的信息安全威胁主要包括 来自互联网的风险、外部机构的风险、不信任网络的风险、机构内部的风险、灾难性风险等五部分。 二、信息安全建设的原则及等级划分 (一)信息安全原则 信息安全是一项结合规划、管理、技术等多种因素的系统工程,是一个持续、动态发展的过程。技术是安全的主体,管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证。 信息安全的原则:明确责任,共同保护;依照标准,自行保护;同步建设,动态调整;指导监督,重点保护。 (二)、信息安全等级介绍 信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息和公开信息,以及存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其
他组织的合法权益的危害程度,针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本安全保护水平等因素,信息系统的安全保护共分为五等级:第一级为自主保护级 第二级为指导保护级 第三级为监督保护级 第四级为强制保护级 第五级为专控保护级 (三)、信息安全等级评估 决定信息系统重要性等级时应考虑以下因素: 1、系统所属类型,即信息系统的安全利益主体。 2、信息系统主要处理的业务信息类别。 3、系统服务范围,包括服务对象和服务网络覆盖范围。 4、业务依赖程度,或以手工作业替代信息系统处理业务的程度。 三、信息安全规划内容 (一)、信息安全体系及其特点 信息安全体系包括安全管理体系和安全技术体系,两者是保障信息系统安全不可分割的两个部分,大多数情况下,技术和管理要求互相提供支撑以确保各自功能的正确实现。构建安全管理体系的主要目的是管理信息系统中各种角色的活动。通过文档化的管理体系,从政策、制度、规范、流程以及日志等方面监督、控制各类角色在系统日常运行维护工作中的各种活动。
银行信息安全管理办法
XX银行 信息安全管理办法 第一章总则 第一条为加强XX银行(下称“本行”)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。 第二条本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条本行信息安全工作实行统一领导和分级管理,由分管领导负责。按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全责任。第四条本办法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。 第二章组织保障 第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。 第六条各部室、各分支机构应指定至少一名信息安全员, 配合信息安全领导小组开展信息安全管理工作,具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。。第七条本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。 第八条本行应建立与外部信息安全专业机构、专家的联系,及时跟踪行业趋势,学习各类先进的标准和评估方法。 第三章人员管理 第九条本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。日常员工信息安全行为准则参见《XX银行员工信息安全手册》。 第一节信息安全管理人员
第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。 第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。第十二条信息安全管理人员每年至少参加一次信息安全相关培训。 第十三条安全工作小组在如下职责范围内开展信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导小组成员工作,监督检查信息安全管理工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设。 (三)定期监督网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。 (四)统计分析和协调处臵信息安全事件。 (五)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。 第十四条信息安全领导小组成员在如下职责范围内开展工作: (一)负责本行信息安全管理体系的落实。(二)负责提出本行信息安全保障需求。(三)负责组织开展本行信息安全检查工作。 第二节技术支持人员 第十五条本办法所称技术支持人员,是指参与本行网络、信息系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。 第十六条本行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务: (一)不得对外泄漏或引用工作中触及的任何敏感信息。 (二)严格权限访问,未经业务主管部室授权不得擅自改变系统设臵或修改系统生成的任何数据。 —4— (三)主动检查和监控生产系统安全运行状况,发现安全隐患或故障及时报告本部室主管领导,并及时响应、处臵。 (四)严格操作管理、测试管理、应急管理、配臵管理、变更管理、档案管理等工作制
企业网络与信息安全风险评估规范
企业网络与信息安全风险评估规范
目录 第一章总则 (3) 第二章风险评估原则 (5) 第三章风险评估模型 (5) 第四章风险评估策略 (9) 第五章风险评估过程框架 (11) 第六章风险评估手段 (15) 第七章文档要求 (16) 第八章项目管理 (17)
第一章总则 第一条网络与信息安全风险评估是网络与信息安全管理的基础性工作,是实现网络与信息系统安全水平持续改进的重要手段。为了指导、规范和促进各单位开展网络与信息安全风险评估工作,加强网络与信息安全的全过程动态管理,进一步提高网络与信息安全保障水平,特制定本规范。 第二条网络与信息安全风险评估是对企业现有的网络、信息系统、业务流程、安全策略等进行风险分析,并根据风险分析结论提出安全建议的过程。 第三条通过对网络与信息系统(以下简称信息系统)进行安全评估,至少应该达到以下目标: (一)掌握信息系统的安全现状和面临的安全风险; (二)明确信息系统面对的主要风险以及这些风险产生的原因; (三)为信息系统的建设、运行、维护、使用和改进提供安全性建议。 (四)改进与完善企业现有安全策略,实施有效的信息系统风险管理,加强重要信息系统的安全保障。 第四条本规范适用于国家电网公司系统各单位,用于指导各单位信息安全评估项目的开展和实施。 第五条名词解释
使命:一个组织通过信息化实现的工作任务。 信息资产:在信息化建设过程中积累起来的信息系统、信息数据、生产或服务能力、人员能力和应得的信誉。 价值:指信息资产对信息系统的重要程度,以及对信息系统为完成组织使命的重要程度。 威胁:信息资产可能受到的来自内部和来自外部的安全侵害。 脆弱性:信息资产及其防护措施在安全方面的不足,通常也称为漏洞。 风险:是指人为或自然的威胁利用信息系统存在的脆弱性,从而导致信息安全事件发生的可能性及其影响。 残余风险:采取了安全防护措施,提高了防护能力后,仍然可能存在的风险。 安全措施:为对付威胁,减少脆弱点,保护资产,限制意外事件的影响,检测和响应意外事件,促进灾难恢复和打击信息犯罪而采取的各种实践、规程和机制统称为安全措施。 安全防护需求:指为保证信息系统能够正常使用,在信息安全防护措施方面的要求。
信息安全风险评估报告
1111单位:1111系统安全项目信息安全风险评估报告 我们单位名 日期
报告编写人: 日期: 批准人:日期: 版本号:第一版本日期 第二版本日期 终板 目录 2.3边界数据流向 .......................................................................................................................... 5脆弱性分析 .......................................................................................................................................
6.1风险分析概述 .......................................................................................................................... 9附录A:脆弱性编号规则................................................................................................................
1概述 1.1项目背景 为了切实提高各系统的安全保障水平,更好地促进各系统的安全建设工作,提升奥运保障能力,需要增强对于网运中心各系统的安全风险控制,发现系统安全风险并及时纠正。根据网络与信息安全建设规划,为了提高各系统的安全保障和运营水平,现提出系统安全加固与服务项目。 1.2工作方法 在本次安全风险评测中将主要采用的评测方法包括: ●?人工评测; ●?工具评测; ●?调查问卷; ●?顾问访谈。 1.3评估范围 此次系统测评的范围主要针对该业务系统所涉及的服务器、应用、数据库、网络设备、安全设备、终端等资产。 主要涉及以下方面: 1)业务系统的应用环境,; 2)网络及其主要基础设施,例如路由器、交换机等; 3)安全保护措施和设备,例如防火墙、IDS等; 4)信息安全管理体系(ISMS) 1.4基本信息
企业信息安全风险评估方案
企业信息安全风险评估方案
知识域:信息安全风险评估 ?:?知识子域:风险评估流程和方法 ■掌握国家对开展风险评估工作的政策要求 ■理解风险评估、检查评估和等级保护测评之间的关系 掌握风险评估的实施流程:风险评估准备、资产识别、威胁评 估、脆弱性评估、已有安全措施确认、风险分析、风险评估文档 记录 -理解走量风险分析和定性风险分析的区别及优缺点理解自评估和检查评估的区别及优缺点 ■掌握典型风险计算方法:年度损失值(ALE)、矩阵法、相乘法掌握风险评估工具:风险评估与管理工具、系统基础平台风险评 估工具、风险评估辅助工具
1、《国家信息化领导小组关于加强信息安全保障工作的意见》仲办发[2003]27号)中明确提出 :”要重视信息安全风险评估工作”对网络与信息系统安全的潜在威胁.薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性.涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理〃
国家对开展风险评估工作的政 2、《国家网络与信息安全协调小组〈关于开展信息安全风险评估工作的意见〉》(国信办[2006 】5号文)中明确规定了风险评估工作的相关要求: 风险评估的基本内容和原则开展风险评估工作的有 关安排 风险评估工作的基本要求 K信息安全风险评估工作应当贯穿信息系统全生命周 期。在信息系统规划设计阶段,通过信息安全风险评 估工作,可以明确信息系统的安全需求及其安全目标,有针对性地制定和部署安全措施”从而避免产生欠保 护或过保护的情况。
2、在信息系统建设完成验收时,通过风险评估工作可以检验信息系统是否实现了所设计的安全功能, 是否满足了信息系统的安全需求并达到预期的安全目标。 3. 由于信息技术的发展.信息系统业务以及所处安全环境的变化,会不断出现新的信息安全风险,因此,在信息系统的运行阶段,应当定期逬行信息安全风险评估,以检验安全措施的有效性以及对安全环境的适应性。当安全形势发生重大变化或信息系统使命有重大变更时,应及时逬行信息安全风险评估。 4. 信息安全风险评估也是落实等级保护制度的重要 手段,应通过信息安全风险评估为信息系统确定安全
银行信息系统的安全问题分析
银行信息系统的安全问题分析 前言 银行信息系统的安全保障要以缜密的分析为前提,制定详细的对策,充分利用安全技术、安全产品来实现安全措施。本文以泰安农村信用社为例阐述银行信息安全问题。 1。信息安全分析 银行信息系统具有服务范围广泛,平台复杂多样,业务品种不断更新的特点。因此银行信息系统庞大而复杂,信息安全涉及方面众多,我们大体可以按照安全管理、信息资产与环境、主机系统、网络系统、日常运维五个方面进行分析。 1。1安全管理问题分析. 泰安农村信用社信息系统一贯重视系统安全,但对与系统安全的管理仍处于比较传统的模式,即一种静态的、局部的、少数人负责的、突击式的、事后纠正式的管理方式;安全管理偏重对业务的保障,在内部管理上相对比较松散;一些安全管理策略和制度规范比较宏观,在可操作性和实效性上还值得进一步探讨与改进。 1。2信息资产与环境问题分析. 泰安农信信息系统依照相关的规定进行建设。目前还需要改进的问题为包括物理环境的单点故障隐患及不可抗力因素导致的系统安全的风险;对信息资产的保护缺乏信息资产分类体系,无法实现对设备
的购置、维修、报废等环节的实时管理. 1.3主机系统问题分析信息中心的主机上存放大量的业务数据,对全辖提供数据服务及技术支持,保证辖内计算机系统全年365天、全天24小时不间断运行,因此主机采用高可用性和全冗余结构的主机系统,配置磁盘阵列存储数据. 目前面临维护错误和操作失误、未经授权访问和操作、权限滥用、硬件故障、数据库本身存在的安全漏洞等威胁. 1.4网络系统问题分析现行银行计算机网络是银行计算机信息系统中最易受攻击又最难以防范的薄弱环节,为了保障网络安全,目前采取的的措施有增加防火墙,对连接科技中心主机全部做了限制,安装了IDS入侵检测系统。还存在以下问题:主交换机虽然划分了VLAN,但划分VLAN数量少,无法满足业务高速发展需要;办公网现在没有逻辑划分;在省市和市县之间没有实施QOS策略,存在一定网络拥塞的风险. 1.5日常运维问题分析目前日常运维工作繁重,日常运维只是通过已有的书面的操作流程进行操作,无法记录操作结果,对日常运维缺乏审计性;机房主要依靠人工巡查等手段进行监控,存在不能及时发现问题的隐患。对于登陆信息系统的网点柜员身份验证停留在用户名+密码阶段,存在非法入侵的安全隐患. 2.信息安全风险识别 通过对泰安农村信用社进行信息资产识别,逐项进行风险评估,并制订风险控制措施.
信息安全风险评估需求方案完整版
信息安全风险评估需求 方案 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
信息安全风险评估需求方案 一、项目背景 多年来,天津市财政局(地方税务局)在加快信息化建设和信息系统开发应用的同时,高度重视信息安全工作,采取了很多防范措施,取得了较好的工作效果,但同新形势、新任务的要求相比,还存在有许多不相适应的地方。2009年,国家税务总局和市政府分别对我局信息系统安全情况进行了抽查,在充分肯定成绩的同时,也指出了我局在信息安全方面存在的问题。通过抽查所暴露的这些问题,给我们敲响了警钟,也对我局信息安全工作提出了新的更高的要求。 因此,天津市财政局(地方税务局)在对现有信息安全资源进行整合、整改的同时,按照国家税务总局信息安全管理规定,结合本单位实际情况确定实施信息安全评估、安全加固、应急响应、安全咨询、安全事件通告、安全巡检、安全值守、安全培训、应急演练服务等工作内容(以下简称“安全风险评估”),形成安全规划、实施、检查、处置四位一体的长效机制。 二、项目目标 通过开展信息“安全风险评估”, 完善安全管理机制;通过安全服务的引入,进一步建立健全财税系统安全管理策略,实现安全风险的可知、可控和可管理;通过建立财税系统信息安全风险评估机制,实现财税系统信息安全风险的动态跟踪分析,为财税系统信息安全整体规划提供科学的决策依据,进一步加强财税内部网络的
整体安全防护能力,全面提升我局信息系统整体安全防范能力,极大提高财税系统网络与信息安全管理水平;通过深入挖掘网络与信息系统存在的脆弱点,并以业务系统为关键要素,对现有的信息安全管理制度和技术措施的有效性进行评估,不断增强系统的网络和信息系统抵御风险安全风险能力,促进我局安全管理水平的提高,增强信息安全风险管理意识,培养信息安全专业人才,为财税系统各项业务提供安全可靠的支撑平台。 三、项目需求 (一)服务要求 1基本要求 “安全风险评估服务”全过程要求有据可依,并在产品使用有据可查,并保持项目之后的持续改进。针对用户单位网络中的IT 设备及应用软件,需要有软件产品识别所有设备及其安全配置,或以其他方式收集、保存设备明细及安全配置,进行资产收集作为建立信息安全体系的基础。安全评估的过程及结果要求通过软件或其他形式进行展示。对于风险的处理包括:协助用户制定安全加固方案、在工程建设及日常运维中提供安全值守、咨询及支持服务,通过安全产品解决已知的安全风险。在日常安全管理方面提供安全支持服务,并根据国家及行业标准制定信息安全管理体系,针对安全管理员提供安全培训,遇有可能的安全事件发生时,提供应急的安全分析、紧急响应服务。
企业信息安全风险评估资料
【最新资料,WORD文档,可编辑修改】 目录 一、信息安全风险评估简介 .............................................................. 二、信息安全风险评估流程 .............................................................. 1.风险评估准备 ................................................................................... 2.资产识别............................................................................................ 3.威胁识别............................................................................................ 4.脆弱性识别........................................................................................ 5.风险分析............................................................................................ 三、信息安全风险评估策略方法 ...................................................... 1)定量分析方法 ................................................................................ 2)定性分析方法 ................................................................................ 3)综合分析方法 ................................................................................ 四、信息安全风险评估的注意事项 .................................................. 1、各级领导对评估工作的重视 ........................................................ 2、加强评估工作的组织和管理 ........................................................ 3、注意评估过程中的风险控制。 .................................................... 4、做好各方的协调配合工作。 ........................................................ 5、提供评估所必须的保障条件。 .................................................... 信息安全风险评估 一、信息安全风险评估简介 信息安全风险评估的概念涉及资产、威胁、脆弱性和风险4个主要因素。信息安全风险评估就是从管理的角度,运用科学的方法和手段,系统分析网络与信息系统所
信息安全风险评估报告
胜达集团 信息安全评估报告 (管理信息系统) 胜达集团 二零一六年一月
1目标 胜达集团信息安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。 2评估依据、范围和方法 2.1 评估依据 根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[2006]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48号)以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。 2.2 评估范围 本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等, 管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。2.3 评估方法 采用自评估方法。 3重要资产识别 对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,形成重要资产清单。 资产清单见附表1。 4安全事件 对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列表。安全事件列表见附表2。 5安全检查项目评估 5.1 规章制度与组织管理评估 5.1.1组织机构 5.1.1.1评估标准 信息安全组织机构包括领导机构、工作机构。 5.1.1.2现状描述 本局已成立了信息安全领导机构,但尚未成立信息安全工作机构。 5.1.1.3 评估结论
银行信息安全检查总结报告
ⅩⅩ银行信息安全检查总结报告 人民银行: 按照中国人民银行办公室《关于XXXX通知》(XXXX〔ⅩⅩ〕1号)的要求,我行高度重视,积极开展自查工作,现将有关情况报告如下: 一、信息安全检查工作组织开展情况 为切实做好信息安全检查工作,我行成立了以主管信息科技的行领导任组长,综合部总经理、信息技术条线技术骨干为成员的分行信息安全自查工作小组。工作小组多次召开信息安全检查专题会议,认真学习和领会本次检查的要求,制定了符合分行实际情况的自查计划,并对照人民银行制定的《信息安全检查操作指南》的要求,对我行的系统运行、维护和信息安全等进行了逐条对比和梳理,做到检查不留死角,有序推进自查和风险整改工作。 二、信息安全主要工作情况 1、组织和制度建设方面 首先,为强化全行信息安全管理工作,分行成立了以行领导为组长,各部门负责人为成员的信息安全工作领导小组,组织、协调和指导全行信息安全管理工作,各部门各负其责,具体承担与本部门相关的信息安全管理任务。其次是加强制度的完善和落实,我行按照本次检查的要求,结合内
外部审计发现问题的整改,梳理修订了各项规章制度,同时,认真贯彻执行各项信息科技风险管理制度,重点对网络基础设施进行了加固改造,加强了互联网使用和防止敏感信息泄漏的安全管理工作。 2、人员安全管理 健全员工信息安全责任制度,员工对使用的行内计算机设备和应用系统涉及的敏感信息负责;加强员工离岗离职交接时的安全控制,员工离职时,必须终止系统访问权限;外部人员进入计算机机房及设备间等重要区域时,须先通过审批,在行内人员陪同下方可进入,对其活动有相应的记录。 3、网络系统安全方面 按照本次检查要求,重点检查了我行核心网络系统,涉及核心网络系统设备有路由器6台,交换机2台,防火墙6台。我行网络系统实施模块化、分区化的管理,核心网络的安全性和稳定性有较高的保证。根据业务性质和类型,对vlan 和 ip地址进行了分段划分。广域网接入采用了两家通讯运营商提供的双线路,通过双线路、双路由设备冗余有效保证了网络传输的可用性。 从自查总体情况来看,我行网络系统安全运营机制较完善,日常操作和管理较规范;我行骨干网络、外联等网络系统硬件工作正常、网络运行平稳,网络带宽、设备性能满足生产运行需求;我行网络系统模块化、分区化设计的架构较
信息安全风险评估服务产品V100R001C00说明书
信息安全风险评估服务产品V100R001C00 产品说明书 修订记录
说明: 1.服务说明书内容定位:面向客户技术层人员及公司拓展人员,较详细介绍产品特性、 功能、性能、软硬件架构、实现原理等内容 2.请服务开发人员删掉文章内容中可选或不涉及的相关内容,作为提交客户的终 稿。 3.本服务说明书不需要一线拓展人员进行内容修改,提交前请删除本页以上内容。 正式提交客户前,请一线拓展人员删除本页及以上页面!
信息安全风险评估服务产品V100R001C00 产品说明书 华为技术有限公司 版权所有侵权必究 2012年05月28日
目录 1服务概述 1.1 简介 1.2 服务范围 1.3 服务价值 2 服务内容 2.1 资产评估 2.2 威胁评估 2.3 脆弱性评估 2.4 已有控制措施的确认 2.5 风险分析 2.6 风险处置建议
1 服务概述 1.1 简介 信息技术的进步给信息化建设带来了长足的发展,当关键业务越来越依托在信息系统上时,随之而来的安全隐患也越来越多。如何在日益增多的安全威胁下保证关键核心业务的有效性、如何有条理地进行安全的建设并提高安全管理能力,如何评价信息安全建设水平,这些问题已经成为大中型企业/政府部门/机构的高级管理者、关键业务部门主管以及信息主管需要解决的迫切课题。 信息系统安全风险评估作为华为安全咨询服务的一项重要内容,是其它安全服务体系建立、安全规划、法规遵从等服务的基础,同时也是提升安全服务层次、深入了解用户系统现状、安全需求以及安全规划的有力手段。 信息安全风险评估就是从管理和技术的角度,运用科学的方法和手段,系统分析网络与信息系统所面临的威胁及存在的脆弱性。评估安全事件一旦发生可能造成的危害程度,提出有针对性地抵御安全威胁的防护措施,为防范和化解信息安全风险,将风险控制在可以接受的水平,最大限度地保障网络正常运行和信息安全提供科学依据。 风险评估服务中所涉及的要素有业务、信息资产、脆弱性、威胁和风险,对风险衡量的因素主要有两个:可能性和影响。 风险评估相关要素的关系如图1-1所示,是进行风险评估服务的基础,它比较清晰地说明了风险评估中所涉及的各个要素及相互关系。
信息安全风险评估报告
附件: 国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式 项目名称: 项目建设单位: 风险评估单位: 年月日
目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)
5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)
信息安全风险评估实施报告..
1111单位:1111系统安全项目 信息安全风险评估报告 我们单位名
日期
报告编写人:日期:批准人:日期: 版本号:第一版本 第二版本 终板日期日期
目录 1 概述 (5) 1.1 项目背景 (5) 1.2 工作法 (5) 1.3 评估围 (5) 1.4 基本信息 (6) 2 业务系统分析 (6) 2.1 业务系统职能 (6) 2.2 网络拓扑结构 (6) 2.3 边界数据流向 (6) 3 资产分析 (7) 3.1 信息资产分析 (7) 3.1.1 信息资产识别概述 (7)
3.1.2 信息资产识别 (7) 4 威胁分析 (8) 4.1 威胁分析概述 (8) 4.2 威胁分类 (10) 4.3 威胁主体 (10) 4.4 威胁识别 (11) 5 脆弱性分析 (12) 5.1 脆弱性分析概述 (12) 5.2 技术脆弱性分析 (13) 5.2.1 网络平台脆弱性分析 (13) 5.2.2 操作系统脆弱性分析 (13) 5.2.3 脆弱性扫描结果分析 (14) 5.2.3.1 扫描资产列表 (14) 5.2.3.2 高危漏洞分析 (15) 5.2.3.3 系统帐户分析 (15) 5.2.3.4 应用帐户分析 (15) 5.3 管理脆弱性分析 (15) 5.4 脆弱性识别 (17) 6 风险分析 (18) 6.1 风险分析概述 (18) 6.2 资产风险分布 (19) 6.3 资产风险列表 (19) 7 系统安全加固建议 (20) 7.1 管理类建议 (20) 7.2 技术类建议 (20) 7.2.1 安全措施 (20) 7.2.2 网络平台 (21) 7.2.3 操作系统 (22) 8 制定及确认.................................................. 错误!未定义书签。 9 附录A :脆弱性编号规则 (23)