某集团风险评估项目技术建议书.docx

《某集团风险评估项目技术建议书.docx》由会员分享，可在线阅读，更多相关《某集团风险评估项目技术建议书.docx（53页珍藏版）》请在优知文库上搜索。

1、XXXX集团风险评估相关项目技术建议书二。一四年八月目录第1章相关项目合适的方案设计1 I.设计目标11.2. 设计原则11.3. 设计依据21.3.1. 政策依据.21.3.2. 标准依据.31.4. 方法模型31.4.1. 风险关系模型.31.4.2. 风险分柝方法模型.51.5. 工具方法61.5.1. 风险评牯采网方法.61.5.2. 风险评估使用工具6第2章相关项目实施流程2.1. 阶段1：相关项目启动阶段82.1.1. 阶段目标.S2.1.2. 阶段步舞.82.1.3. 阶段输出.92.1. 阶段2：资产评估阶段92. 1.1.阶段目标.93. 1.2.阶段步殊.94. i.3,曲

2、段方法.IO5. 1.4.阶段检出t2.2. 阶段3：威防评估I1.2.2.1. 阶段目标.Ii2.2.2. 阶段步姿.H2.2.4. 阶段输出.122.3. 阶段*脆弱性评估122.3.1. 阶段月标.122.3.2. 1.i有安全拾舱演别.172.3.4. 阶段输出.172.4. 阶段5：风险徐合分析182.4.1. 阶段目标.292.4.2. 阶段步舞.302.4.3. 阶段够出.322.5. 阶段6；风险处置棚关计划332.6. 阶段7：相关项目交付332.6.1. 成装交沟.332.6.2. 相关项目脸收.34第3相关项目管理管控353.1. 组织管理管控3532一管理管控363.1

3、.1. 范围定义.363.1.2. 越憎变更控制.363.3. 进度管理管控383.4. 风险管理管控383.5. 质管理管控383.5.1. 相关项目实施负责人潢量控胭.383.5.2. 相关项日姓理顺斌控聘.393.5.3. 侦献管理途控质最控斛.393.6. 沟通管理管控393.6.1. 协调沟通网胱基本准弼.39也会议管理管控3.8.文档管理管控3.9.保密管理管控42第4章人员安排第5章相关项目相关计划错误!未定义书签。5.总体相关计划未定义书签.第6章客户收益彳寸*47第8章成功案例错误!未定义书签。8.1. 重点案例列表储慢!未定义书筌.8.2. 重点案例简介错谀!未定义书签.8

4、.2.1. 金融案例.IgifI：未定义书签.8.2.2. 电信案例.得氓:未定义书签.8.2.3. 能源窠倒.错误:未定义书筌.8.2.4. 政府案例.傅决未定义书蝮.第9章公司优势错误!未定义书签。9.1. 公司简介幡谀!未定义书签.9.2. 公司资质错误!未定义书签.IK第1章相关项目合适的方案设计1.1. 设计目标本次风险评估的安全服务相关项目主要目标是： 通过风险评估，得到XXXX集团的整体安全现状； 通过资产评估，得到XXXX集团的网络信息安全资产状况，并录入资产库，进行资产梳理： 通过威胁评估，得到XXXX集团存在的安全威胁情况：通过脆弱性评估，得到XXXX集团当前业务系统存在的

5、脆弱性：令对各个业务系统进行综合风险分析，得到风险情况，提出分系统的安全解决合适的方案：令提出各个系统的风险处置解决合适的方案。1.2. 设计原则1.标准性原则遵循国家、行业和组织相关标准开展风险评估工作。2 .可控性原则在相关项目建设与实施过程中，应保证参与实施的人员、使用的技术和工具、过程都是可控的.3 .完整性原则相关项目合适的方案要充分考虑相关项目所仃环节，做到统筹兼顾，细节清楚。4 .最小影响原则相关项目的所有阶段，保证相关项目实施过程工作对系统正常运行的可能影响降低到最低限度，不会对客户R前的业务系统运行造成明显的影响。5 .保密原则相关项目的所有阶段，将严格遵循保密原则，服务过程

6、中涉及到的任何用户缰号:信息均属保密信息，不得泄露给第三方单位或个人，不得利用这些信息损宙用户利益。并与XXXX集团签订保密协议，承诺未经允许不向其他任何第三方泄露有关信息系统的信息。1.3. 设计依据本合适的方案设讦主要参照以下政策和标准进行设计。1.3.1. 政策依据表格1相关策略时间相粉策文件2003年/t国家信息化领导小祖关于加强信息安全保障工作的懑见3（中办发27号文，提出“要重视信息安全风险评估工作，咐网络与信息系统安全的潜在威胁、薄弱环节、防护措脩等进行分析评估”.2004年/为打沏落实27号文件精神，原国信力组织有关单位和专家编写了财息安全风险评估指南乳2005年/国务院信息化

7、工作办公室关于印发信息安全风险评估试点工作合适的方案的通知3（国信办【2005】5号），加织在北京、上海、黑龙江、云南等地方以及银行、税分、电力等更要行业开展信,&安全风险评估试点工作。2006年/由国家网络与信息安全协调小组讨论通过的关于开展信息安全风险坪估工作的意见3（国信办20065号），文件要求三年内在国家基础信息网络和曲要行业信.&系统中普遍推行伯恩安全风险评估工作./中共中央办公厅国务院办公厅关于印发2006-2020年国家信息化发展战略的通知3（中办2006”号文）提出加强信息安全风险评估工作.2007年“为保障卜七大，在国家基础信息网络和重要信息系统范用内，全面展开了自评估工作

8、.（中国移动、电力、税务、证券2008年/关于加强国家电子政务工程建设相关项目信息安全风险评砧工作的通知？(发改高技(2008)20719),明确“加强和规范国家电子政务工程建设相关项目信息安全风险评砧工作工1.3.2. 标准依据表格2相关标准标准类型套考标准国际标准 ISO1.5-108信息技术安全评估准则 IS0IECTR13335信息和通信技术安全管理管控 IS0/TR13569银行和相关金融服务信息安全指南 1S0/IEC27000信息安全管理管控体系系列标准 SNZS4360风险管理管控 MSTSP80030IT系统风险管理管捽指南国内标准 GB17859计算机信息系统安全保护等级划

9、分准则 GBT209&1信息安全风险评估规范 GBT22239信息安全技术信息系统安全等级保护基本要求 GBZ20985信息技术安全技术信息安全力件管理管控指南 GBZ20986信息安全技术信息安全事件分类分级指南 GB/T22239-2008信息安全技术信息系统安全等级保护基本婆求 GB/T222402008倍思安全技术信息系统安全保护等级定级指南各忸做成行业内相关襄求1.4. 方法模型本合适的方案中提供的风险评估与管理管控模型参考了多个国际风险评估标准，建立安全风险关系模型和安全风险分析方法模型。1.4.1. 风险关系模型风险关系模型从安全风险的所有要素：资产、影响、威胁、弱点、安全控制、

10、缰号:安全需求、安全风险等方面形彖地描述的他们各自之间的关系和影响，风险关系模型如下图所示。S1风龄关系模型图在上述关系图中：资产指组织要保护的资产，是构成整个系统的各种元素的组合，它直接的表现了这个系统的业务或任务的重要性，这种重要性进而转化为资产应具有的保护价值.它包括计算机硬件、通信设备、物理线路、数据、软件、服务能力、人抗及知识等等。弱点是物理布局、组织、规程、人员、管理管控、硬件、软件或信息中存在的缺陷与不足，它们不直接对资产造成危害，但弱点可能被环境中的威胁所利用从而危害资产的安全。弱点也称为“脆弱性”或“漏洞”。成胁是引起不期望事件从而对资产造成损害的潜在可能性。威胁可能源于对组

11、织信息直接或间接的攻击，例如非授权的泄、篡改、删除等，在机密性、完挖性或可用性等方面造成损杏；威胁也可能源于偶发的、或蓄意的事件。一股来说，威胁总是要利用组织网络中的系统、应用或服务的弱点才可能成功地对资产造成伤害。从宏观上讲，威胁按照产生的来源可以分为非授权蓄意行为、不可抗力、人为错误、以及设施/设备错误等。缰号:安全风险是环境中的威胁利用弱点造成资产毁坏或损失的潜在可能性。风险的大小主要表现在两个方面：事故发生的可能性及事故造成影响的大小。资产、威胁、弱点及保护的任何变化都可能带来较大的风险，因此，为了降低安全风险，应对环境或系统的变化进行检测以便及时采取有效措施加以控制或防范。安防措施是

12、阻止威胁、降低风险、控制事故影响、检测事故及实施恢匆的一系列实践、程序或机制。安全措施主要体现在检测、阻止、防护、限制、修正、快更和监视等多方面。完整的安全保护体系应协调建立于物理环境、技术环境、人员和管理管控等四个领域。通常安防措施只是降低了安全风险而并未完全杜绝风险，而且风险降低得越多，所需的成本就越高.因此，在系统中就总是有残余风险RR）的存在，这样，系统安全需求的确定实际上也是对余留风险及其接受程度的确定。1.4.2. 风险分析方法模型在安全风险分析方法模型中提供了风险计兑的方法，通过两个因素：威胁级别、威胁发生的概率，通过风险评估矩阵得出安全风险。图2风险分析理图风险分析中要涉及资产

13、、或胁、脆弱性三个基本要索.每个耍素有各自的属性，资产的属性是资产价值：威胁的双性可以是威胁生体、影响对象、出现频率、动机等：脆弱性的属性是资产弱点的泮重程度，风险分析的主要合适的内容为:a）对资产进行识别，并对资产的价值进行赋值：缰号:b）对威胁进行识别，描述威胁的属性，并对喊胁出现的频率赋值：O对脆丽性进行识别,并对具体资产的脆弱性的严重程度赋值：d）根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性：O根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失：f）根据安全事件发生的可能性以及安全事件出现后的损失，计免安全事件旦发生对组织的影响，即风险值。工具方法1.

14、4.3. 风险评估采用方法风险评估常用方法如卜.： 调查访谈物理安全访谈表、人员安全访谈表、网络安全访谈表、系统安全访谈表等等： 工具扫描网络安全扫描、应用安全扫描、系统安全扫描等等：令人工检查操作系统check1.ists数据库ChCCk1.iS1.、网络设备check1.ist等等；Q渗透测试由专业渗透测试工程师模拟黑客攻击方式对网络与信息系统进行非破坏性漏涧验证性测试： 文档查阅管理管控制度查阅、管理管控策略查阅、安全指导方针查阅等等.1.4.4. 风险评估使用工具风险评估常用工具主要有以下几大类:缰号:资产发现类工具令端口服务检测类漏洞扫描检测类网络嗅探分析类安全审计分析类系统验证测试类合规遵循检查类各种定制脚本类各种专项检测类第2章相关项目实施流程我们将整个相关项目的实施合适的内容分为7个阶段。从相关项目启动阶段到相关项目验收整个相关项目实施过程，我们用WBS图中完整地描述了整个相关项目实施过程的重要工作任务。图3相关项目实