信息系统风险评估作业指导书.doc

中科园智能网络系统有限责任公司 信息系统风险评估作业指导书 作业目的 信息系统风险评估作业是我公司的主要服务内容之一，其目的是通过发现客户系统中的安全风险和威胁，对客户系统进行真实、可靠的安全评估，为客户信息系统的安全整改提供依据和建议，从而帮助客户切实改进自身信息系统，使客户系统顺利达到相关安全接入标准。 作业范围 信息系统风险评估作业的范围主要包括： 2.1 信息系统用户访问 针对信息系统的风险评估作业的主要依据和方法是对信息系统的用户访问，通过访问发现系统资产的重要性、操作方法、业务流程、依赖程度、受攻击情况、安全管理制度、人员管理制度、管理机构设置以及管理状况等等。 2.2 信息系统现场勘察 针对信息系统的现场勘察作业，可以发现系统的物理安全环境、实际拓扑结构以及实际的管理状况，并可通过现场勘察验证资产信息和配置状况。对于内网系统，现场勘察过程中也可进行必要测试和验证作业。 2.3 信息系统远程测试 针对信息系统的远程测试主要目的是通过远程方式，在时间相对宽裕的条件下通过善意扫描和渗透，测试客户信息系统的安全状况和安全程度，并提出适当报告和相关建议。但远程测试并非每个评估作业项目都必需的作业方式，除非经过用户许可或现实条件允许，否则不应采用远程测试方式进行评估作业。 2.4 信息系统威胁分析 通过人员访问、现场勘察、远程测试等途径，从客户资产识别、脆弱性识别以及威胁性识别三个方面出发，基于信息系统的可用性、完整性、安全性三原则出发，根据资料对比、客户沟通结果进行分析和验证。 2.5 信息系统评估报告 针对客户信息系统威胁分析结果生成评估报告并附加安全整改建议。 2.6 信息系统安全演练 信息系统安全演练的主要目的是基于作业员工的评估素质出发，进行日常训练。内容包括评估方法训练、测试技术训练、资料分析训练等等。 职责划分 3.1 评估管理小组 因为信息系统的风险评估工作本身带有一定的风险，因此加强作业管理、重视客户沟通就必然成为评估作业首要的保障手段。评估管理小组的主要职责正是通过对作业人员、作业行为、作业工具、作业结果、历史档案以及客户资料的管理，保证整个评估项目的顺利进行和成功交付。 3.2 评估作业小组 评估作业小组的主要职责包括:针对资产的依赖性识别、重要性识别等；针对系统脆弱性的用户访问、历史资料分析、拓扑结构分析、稳定性分析等；针对系统威胁的历史资料分析和用户访问。以及通过分析历史资料、安全环境、用户习惯、测试结果、标准规范等形成风险评估报告和整改建议。 3.3 技术测试小组 技术测试小组的主要职责包括：在获得客户许可的前提下对客户信息系统进行现场技术测试和模拟攻击，在远程通过善意扫描和渗透测试模仿非法行为等方式更好的确定系统存在的漏洞和风险，为评估作业分析提供详实、可靠的技术依据。 3.4 风险控制小组 风险控制小组的主要职责包括：根据系统的重要程度和用户对系统的业务依赖程度，确定整个系统的测试方法，并对测试方法进行认真审核和控制以防止对用户系统产生破坏作用影响客户正常的业务使用。并在测试之前形成风险控制计划和应急响应计划及相应措施。 作业流程 4.1 管理作业流程 首先：同客户进行接触，了解客户自身信息以及客户对于信息安全风险评估的和目的，形成《客户档案》。 其次：明确风险评估的范围，并向客户说明风险评估的过程和可能产生的意外情况。形成《风险评估范围说明书》及《客户意见表》。并根据所了解情况撰写客户《评估方案书》。 再次：与客户签订风险评估服务合同和信息系统资料必威体育官网网址协议。争取获得客户对于信息系统进行现场测试和远程测试的授权书。 再次：审查、保管由测试组、评估组、风控组提交的《测试方案》、《评估方案》、《风控方案》。若发现所接收方案存在问题，应及时填写《方案审查结果》并通知方案提供者，进行修正或变更。 再次：在接到测试组、评估组、风控组递交的《沟通请求报告》后和客户进行及时沟通，解决随机发生的各种矛盾，形成《客户沟通记录表》。 再次：审查、保管由测试组、评估组、风控组提交的《测试报告》、《评估报告》、《整改建议》、《评估过程监督报告》。若发现所接收方案存在问题，应及时填写《报告审查结果》并通知方案提供者，进行修正或变更。 最后：向用户出具《评估报告》和《整改建议》，并进行解释、说明。 4.2 测试作业流程 首先：根据管理组撰写的《范围说明》、《客户意见表》、《评估方案》以及《测试授权书》制定《测试方案》。 其次：进行现场或远程测试。生成《测试报告》。在需要与客户配合时，向管理组递交《沟通请求报告》。 再次：根据分析《测试报告》，生成包含有可接受风险、不可接受风险统计信息的《风险说明书》以及包含不可接受风险防范措施的《整改建议》。 最后：将《测试报告》、《风险说明书》、《整改建议》交付评估作业组，并进行必要