【0429】信息安全风险评估管理办法

信息安全风险评估管理办法目录1总则32组织与责任33信息安全风险评估规定33.1弱点分析33.1.1概述33.1.2弱点检查33.1.3弱点赋值53.2威胁分析53.2.1概述53.2.2威胁来源分析53.2.3威胁种类分析63.2.4威胁赋值73.3风险计算83.3.1概述83.3.2风险计算83.4风险处置93.4.1概述93.4.2风险处置方法93.4.3风险处置流程103.5IT需求评估决策流程164奖惩管理规定165附则166附录一：安全检查申请单177附录二：安全检查方案模版198附录三：风险处置计划表21信息安全风险评估管理办法总则为确保网络及信息系统安全、高效、可控的运行，提高业务系统安全运行能力，全面降低信息安全风险，特制定本管理办法。组织与责任信息安全管理组负责信息安全风险评估的具体实施。技术支撑部门协助信息安全管理执行组的信息安全风险评估工作，并且实施信息安全管理执行组通过风险评估后提供的解决方案与建议。其他部门协助信息安全管理执行组开展信息安全风险评估工作。信息安全风险评估规定弱点分析概述弱点评估是安全风险评估中最主要的内容。弱点是信息资产本身存在的，它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的弱点。弱点检查信息安全管理组应定期对集团IT系统进行全面的信息安全弱点检查，了解各IT系统的信息安全现状。IT系统安全检查的范围包括：主机系统、网络设备、安全设备、数据库系统、应用系统、邮件系统以及其它在用系统。IT系统安全检查的工具与方法如下：1.工具检查：针对IT设备建议采用专用的脆弱性评估工具进行检查，如Nessus、BurpSuite等工具，针对应用系统及代码安全检查，建议采用商业专用软件进行检查，如IBMAppScan。2.手工检查：由信息安全专员或技术支撑部门相关人员参照相关的指导文档上机进行手工检查。信息安全检查工作开展前，信息安全管理组需制定安全检查计划，对于部分可用性要求高的业务系统或设备，计划中要明确