返回
信息安全风险评估控制程序

信息安全风险评估控制程序

ID:39614275

大小:474.00 KB

页数:6页

时间:2019-07-07

信息安全风险评估控制程序_第1页
信息安全风险评估控制程序_第2页
信息安全风险评估控制程序_第3页
信息安全风险评估控制程序_第4页
信息安全风险评估控制程序_第5页
资源描述:

《信息安全风险评估控制程序》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、拓璞集团文件编号DocNo.信息安全风险评估控制程序版本Rev页码Page6of2编制部门审核部门批准生效日期修订记录ChangesRecord版本/修订Rev./edit内容Description参考Reference生效日期EffectiveDateA0首次发行1、信息安全评估的作用和目的    明确企业信息系统的安全现状。进行信息安全评估后,可以让企业准确地了解自身的网络、各种应用系统以及管理制度规范的安全现状,从而明晰企业的安全需求。    确定企业信息系统的主要安全风险。在对网络和应用系统进行信息安全评估并进行风险分级后,可以确定企业信息系统的主要安全风险,并让企业选

2、择避免、降低、接受等风险处置措施。    指导企业信息系统安全技术体系与管理体系的建设。对企业进行信息安全评估后,可以制定企业网络和系统的安全策略及安全解决方案,从而指导企业信息系统安全技术体系(如部署防火墙、入侵检测与漏洞扫描系统、防病毒系统、数据备份系统、建立公钥基础设施PKI等)与管理体系(安全组织保证、安全管理制度及安全培训机制等)的建设2、适用范围2.1、本制度适用于广州市拓璞电器发展有限公司3、 信息安全风险评估的基本要素    ★使命:一个组织机构通过信息化形成的能力要来进行的工作任务。使命是信息化的目的,一个信息系统如果不能实现具体的工作任务是没有意义的。对企业

3、来说,信息系统的使命是业务战略。    ★依赖度:一个组织机构的使命对信息系统和信息的依靠程度。依赖度越高,风险评估的任务就越重要。    ★拓璞集团文件编号DocNo.信息安全风险评估控制程序版本Rev页码Page6of2资产:通过信息化建设积累起来的信息系统、信息以及业务流程改造实现的应用服务的成果、人员能力和赢得的信誉。    ★价值:资产的重要程度。    ★威胁:对一个组织机构信息资产安全的侵害。     ★脆弱性:信息资产及其防护措施在安全方面的不足和弱点。脆弱性也常常被称为弱点或漏洞。威胁是外因,脆弱性是内因,威胁只有通过利用脆弱性才能造成安全事件。    ★风险

4、:某种威胁利用暴露的系统对组织机构的资产造成损失的潜在可能性。风险由意外事件发生的概率及发生后可能产生的影响两种指标来衡量。安全事件的后果和它发生的概率同时决定信息安全的投入和安全措施的强度。    ★残余风险:采取了安全保障措施,提高了防护能力后,仍然可能存在的风险。    ★安全需求:为保证组织机构的使命正常行使,在信息安全保障措施方面提出的要求。    ★安全保障措施:对付威胁,减少脆弱性,保护资产而采取的预防和限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。1、信息系统的全过程的安全评估拓璞集团文件编号DocNo.信

5、息安全风险评估控制程序版本Rev页码Page6of2 4.1启动阶段    阶段特征:确定信息系统的需求,信息系统的目的和范围并形成文档。    风险评估的作用:通过风险评估对系统需求的开发提供支持,包括安全需求和安全战略。    主要工作:挖掘并评估需求,进行可行性分析和项目预算,对数据敏感性进行评估    可形成的文档:《系统安全需求分析》、《数据分类安全》   4.2设计阶段    阶段特征:确定信息系统项目计划,系统分析设计和详细设计。    风险评估的作用:通过风险评估对信息系统的安全分析和设计提供支持,这些安全分析可作为信息系统的结构和设计的参考。    主要工作:

6、进行系统功能评估、技术特性需求评估,设计特定的安全控制,对人员背景的调查,编制测试计划和测试环境。    可形成的文档:《系统设计阶段安全风险分析报告》、《系统安全体系设计方案》、《系统安全域划分方案》、《系统安全功能分配方案》、《系统信息流程安全性设计方案》、《系统等级保障建设方案》等。   4.3开发阶段    阶段特征:信息系统通过购买、开发或其它形式建设完成。    风险评估的作用:通过风险评估对系统开发过程提供支持,保证系统开发进度、质量和安全控制。    主要工作拓璞集团文件编号DocNo.信息安全风险评估控制程序版本Rev页码Page6of2:进行开发平台风险评估

7、、编程风险评估、配置变更风险评估、项目进度风险评估、人员权限评估    可形成的文档:《系统开发阶段安全风险分析报告》、《系统开发平台安全建议书》、《系统安全编程指南》、《系统程序分发和管理建议书》、《系统安全功能测试方案》    4.4实施阶段    阶段特征:信息系统的安全特性在此阶段被配置、使能、测试并核实。    风险评估的作用:风险评估可以为针对安全需求进行的信息系统实施的评估提供支持,该阶段发现的安全风险应该如何处理,必须在系统运行之前作出决定。    主要工作:物理环境设施安全

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。