还剩2页未读,继续阅读
文本内容:
信息系统风险评估管理制度第一章总则第一条为指导学院信息系统安全风险评估,识别信息系统的安全弱点,消除潜在的安全风险,制定本制度第二条信息系统风险评估的对象包括服务器、网络和应用系统,以及管理和维护这些对象的流程第二章适用范E第三条本制度适用于学院各部门O第三章职责第四条安全管理员负责每半年根据上次评估结果,组织对信息系统进行有针对性的风险评估风险评估可以由第三方安全服务提供商执行,也可由信息系统运维部门执行第五条引入新的业务系统、网络或者业务系统发生重大改变时,需要安全管理员和应用系统管理员进行局部或者整体的风险评估第六条信息安全执行小组负责风险评估总体工作
1、确保相关部门知晓和理解并遵守本制度
2、要求相关部门在接收系统时对系统进行风险评估,并根据评估结果提出相应整改建议第四章风险评估第七条风险评估方法选定某项信息资产、分析其所属业务的重要性、评估资产价值、挖掘并评估资产面临的威胁、挖掘并评估资产存在的弱点、评估该资产的风险、进而得出整个评估目标的风险第八条风险评估内容
1、通过网络弱点检测手段,识别信息系统在技术层面存在的安全弱点
2、通过采集本地安全信息,获得目前操作系统安全、网络设备、各种安全管理、安全控制、人员、安全策略、应用系统、业务系统等方面的信息,并进行相应的分析
3、通过对组织的人员、制度等相关安全管理措施的分析,了解组织现有的信息安全管理状况通过对以上各种安全风险的分析和汇总,形成组织风险评估报告
4、根据风险评估报告,提出相应的安全建议,指导下一步的信息安全建设第九条风险评估流程
1、分析资产所属业务系统的重要性,判断资产对业务的关键程度
2、确定资产价值赋值:在确定的评估范围内识别要保护的资产,并对资产进行分类,根据资产的安全属性进行资产价值评估
3、评估对资产的威胁评估在当前环境中资产能够受到的所有威胁来源和威胁的可能性
4、评估资产威胁相关的弱点评估威胁可能利用的资产的弱点及其严重程度
5、评估风险并排列优先级根据威胁和弱点评估的结果,评估资产面临的风险,并对风险进行优先级排列第十条风险评估执行后,由风险评估的执行者编写并向信息安全执行小组提交《风险评估报告》第十一条信息安全执行小组根据风险评估结果,组织制定控制风险的实施计划第五章相关文件第十二条无第六章术语解释第十三条资产资产是企事业单位、机构、部门直接赋予了价值因而需要保护的东西它可能是以多种形式存在,有无形的、有有形的,有硬件、有软件,有文档、代码,也有服务、企业形象等它们分别具有不同的价值属性和存在特点,存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同第十四条弱点弱点和资产紧密相连,它可能被威胁利用、引起资产损失或伤害值得注意的是,弱点本身不会造成损失,它只是一种条件或环境、可能导致被威胁利用而造成资产损失弱点的出现有各种原因,例如可能是软件开发过程中的质量问题,也可能是系统管理员配置方面的,也可能是管理方面的但是,它们的共同特性就是给攻击者提供了机会第十五条威胁威胁是对系统和网络引起不期望事件而造成损害的潜在可能性威胁可能源于对XXXX内部信息直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性或可用性等方面造成损害威胁也可能源于偶发的、或蓄意的事件一般来说,威胁总是要利用企事业单位网络中的系统、应用或服务的弱点才可能成功地对资产造成伤害从宏观上讲,威胁按照产生的来源可以分为非授权蓄意行为、不可抗力、人为错误、以及设施/设备错误等第十六条风险风险是一种潜在可能性,是指某个威胁利用弱点引起某项资产或一组资产的损害,从而直接地或间接地引起企事业单位或机构的损害因此,风险和具体的资产、其价值、威胁等级以及相关的弱点直接相关第十七条风险评估风险评估是识别被保护的资产和评价资产风险的过程第七章附则第十八条本制度自发布之日起执行第十九条本制度的解释和修改权属于信息安全领导小组第二十条信息安全领导小组每年统一检查和评估本制度,并做出适当更新在业务环境和安全需求发生重大变化时,也将对本制度进行检查和更新。