XXX公司信息安全风险评估
…
实施细则
}
二〇〇八年五月
编制说明
根据《XXX公司信息安全风险评估实施指南》和《XXX公司信息安全风险评估实施细则》(试行),近年来公司组织开展了风险评估常态化推广,通过多年对实施细则的应用、实践与总结,需要进一步对实施细则的内容进行调整和完善。
另一方面,随着国家对信息系统安全等级保护等相关政策、标准和基本要求,和公司信息化“SG186”工程安全防护总体方案和公司网络与信息系统安全隔离实施指导意见要求,也需要进一步对实施细则内容进行修订。
本细则主要修订了原有试行细则第四章脆弱性评估部分的具体内容。
主要包括:
1、在原有基础上,增加或修改了信息安全管理评估、信息安全运行维护评估、信息安全技术评估的具体要求。
为保持本实施细则的可操作性,针对新增的具体要求,按原细则格式添加了标准分值、评分标准和与资产的安全属性(C、I、A)的对应关系。
目前,调整后总分值从原先的3000分调整至5000分,其中,管理占1800分、运行维护占1400分、技术占1800分。
2、为了与公司等级保护评估相结合并对应,框架结构方面,将信息安全运行维护评估(第节)中的“物理环境安全”部分调整至信息安全技术评估(第4.3.1小节),在信息安全技术评估中新增了“数据安全及备份恢复”(第小节);具体内容方面,在每项具体要求新增了等级保护对应列。
目录
1.前言 (1)
2.资产评估 (2)
.资产识别 (2)
.资产赋值 (3)
3.威胁评估 (6)
4.脆弱性评估 (10)
.信息安全管理评估 (11)
安全方针 (11)
信息安全机构 (13)
人员安全管理 (17)
信息安全制度文件管理 (19)
信息化建设中的安全管理 (23)
信息安全等级保护 (29)
信息安全评估管理 (32)
信息安全的宣传与培训 (32)
信息安全监督与考核 (34)
符合性管理 (36)
.信息安全运行维护评估 (37)
信息系统运行管理 (37)
资产分类管理 (41)
配置与变更管理 (42)
业务连续性管理 (43)
设备与介质安全 (46)
.信息安全技术评估 (50)
物理安全 (50)
网络安全 (53)
操作系统安全 (60)
数据库安全 (72)
通用服务安全 (81)
应用系统安全 (85)
安全措施 (90)
数据安全及备份恢复 (94)
1.前言
1.1.为了规范、深化XXX公司信息安全风险评估工作,依据国家《信息系统安全等级保护基本要求》、《XXX公司信息化“SG186”工程安全防护总体方案》、《XXX公司网络与信息系统安全隔离实施指导意见》、《XXX公司信息安全风险评估管理暂行办法》、《XXX公司信息安全风险评估实施指南》(以下简称《实施指南》),组织对《XXX公司信息安全风险评估实施细则》进行了完善。
1.2.本细则是开展信息系统安全风险评估工作实施内容的主要依据,各单位在相关的信息安全检查、安全评价、信息系统安全等级保护评估工作中也可参考本细则的内容。
1.3.本细则结合公司当前信息化工作重点,针对《实施指南》中信息资产评估、威胁评估、脆弱性评估提出了具体的评估内容。
其中,资产评估内容主要针对公司一体化企业级信息系统展开;威胁评估包含非人为威胁和人为威胁等因素;脆弱性评估内容分为信息安全管理评估、信息安全运行维护评估、信息安全技术评估三部分。
1.4.公司的评估工作应在本细则的基础上,结合《实施指南》提出更详细的实施方案,并采用专业的评估工具对信息系统进行全面的评估和深层的统计分析,并进行风险计算,确保全面掌握信息系统的安全问题,并提供解决问题的安全建议。
1.5.本细则将随公司信息安全管理、技术、运维情况的发展而滚动修订与完善。
1.6.本标准由XXX公司信息化工作部组织制定、发布并负责解释。
2.资产评估
资产评估是确定资产的信息安全属性(机密性、完整性、可用性等)受到破坏而对信息系统造成的影响的过程。
在风险评估中,资产评估包含信息资产识别、资产赋值等内容。
2.1.资产识别
资产识别主要针对提供特定业务服务能力的应用系统展开,例如:网络系统提供基础网络服务、OA系统提供办公自动化服务。
通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分,这四个部分在信息系统的实例中都显现为独立的资产实体,例如:典型的OA系统可分为客户端、Web服务器、Domino服务器、DB2数据库服务器四部分资产实体。
应用系统的功能模块(或子系统),可参照下表进行分解:
对于不具有多层结构的系统,可根据实际情况进行简化分解,例如:仅分解为服务器端与客户端。
典型的应用系统分解结构图如下:
:代表数据传输
本细则中对公司“SG186”工程应用系统按照上表进行信息资产的分解与识别,并在资产赋值部分按照这一分解进行赋值。
2.2.资产赋值
根据《实施指南》的定义,资产评估中对资产的赋值最终结果是对识别出的独立资产实体的赋值。
每项资产都要进行机密性要求、完整性要求、可用性要求的赋值,赋值定义为:安全性要求很高=5、安全性要求高=4、安全性要求中等=3、安全性要求低=2、安全性要求很低=1。
结合资产识别的情况,对公司“SG186”工程应用系统的各部分进行赋值,结果见下表。
说明:(1)C代表机密性赋值、I代表完整性赋值、A代表可用性赋值。
(2)系统安全等级作为业务系统资产权值与每项赋值相乘后参与风险计算过程。
(3)对各单位不包括在“SG186”工程中的应用系统,系统安全等级按照《XXX公司信息系统安全保护等级定级指南》定义方法计算出来,资产赋值按照《实施指南》定义的方法进行识别和赋值,同时可参考上的表赋值结果。
3.威胁评估
在信息安全风险评估中,威胁评估也分为威胁识别和威胁赋值两部分内容。
威胁识别通常依据威胁列表对历史事件进行分析和判断获得的。
由于信息系统运行环境千差万别,威胁可能性赋值无法给出统一定义,例如:海边城市受到台风威胁的可能性要大。
本细则中仅给出威胁对信息资产机密性、完整性和可用性破坏的严重程度赋值。
赋值定义为:破坏严重程度很大=5、破坏严重程度大=4、破坏严重程度中等=3、破坏严重程度小=2、破坏严重程度很小=1。
在评估实施时需要依据《实施指南》定义的方法,结合实际情况对威胁可能性进行判断。
下表是常见的威胁列表。
4.脆弱性评估
脆弱性评估内容包括管理、运维和技术三方面的内容。
脆弱性评估过程是对信息系统中存在的可被威胁利用的管理和运维缺陷、技术漏洞分析与发现,并确定脆弱性被利用威胁的难易程度(赋值)的过程。
在本实施细则中,列出了信息安全管理、运维和技术三方面的检查点,这些检查点都是对信息安全防护工作的具体要求,如果信息系统的管理、运维和技术条件不满足这些点的检查要求,则视为一个缺陷或漏洞。
脆弱性检查表中标记了每个检查点对机密性(C)、完整性(I)、可用性(A)的是否有影响存(√表示有影响)。
检查表结果参与《实施指南》中定义的风险计算和分析时,以每一检查点的实际得分情况和该检查点的标准分值的比率来确定赋值,并由公司内专业技术支撑队伍进行计算,方法如下:
首先,按(1-实际得分/标准分值)%,算出该检查点的不满足程度;
然后按下表对应赋值:
举例说明:某检查点标准分值10分,实际得分8分,则脆弱性赋值:首先取(1-8/10)%=20%,然后按照上表对应,赋值结果为2=“低”。
4.1.信息安全管理评估(总计:1800分)4.1.1.安全方针(小计:130分)
4.1.2.信息安全机构(小计:250分)
4.1.3.人员安全管理(小计:100分)
4.1.4.信息安全制度文件管理(小计:230)
4.1.
5.信息化建设中的安全管理(小计:520分)
4.1.6.信息安全等级保护(小计:220分)
4.1.7.信息安全评估管理(小计:80分)
4.1.8.信息安全的宣传与培训(小计:80分)
4.1.9.信息安全监督与考核(小计:90分)
4.1.10.符合性管理(小计:100分)
4.2.信息安全运行维护评估(总计:1400分)4.2.1.信息系统运行管理(小计:455分)
4.2.2.资产分类管理(小计:70分)
4.2.3.配置与变更管理(小计105分)
4.2.4.业务连续性管理(小计:460分)
4.2.
5.设备与介质安全(小计310分)。