信息安全风险评估需求方案人力资源创业_人力资源-信息管理.pdf

信息安全风险评估需求方案 一、项目背景 多年来，天津市财政局（地方税务局）在加快信息化建设和信息系统开发应用的 同时，高度重视信息安全工作,釆取了很多防范措施，取得了较好的工作效果,但同新 形势、新任务的要求相比，还存在有许多不相适应的地方。2009 年，国家税务总局 和市政府分别对我局信息系统安全情况进行了抽查，在充分肯定成绩的同时，也指出 了我局在信息安全方面存在的问题。通过抽查所暴露的这些问题，给我们敲响了警 钟,也对我局信息安全工作提出了新的更高的要求。因此,天津市财政局（地方税务局）在对现有信息安全资源进行整合、整改的同 时，按照国家税务总局信息安全管理规定,结合本单位实际情况确定实施信息安全评 估、安全加固、应急响应、安全咨询、安全事件通告、安全巡检、安全值守、安全 培训、应急演练服务等工作内容（以下简称“安全风险评估”），形成安全规划、实 施、检查、处置四位一体的长效机制。二、项目目标 通过开展信息“安全风险评佔”，完善安全管理机制;通过安全服务的引入，进一步建立健全财税系统安全管理策略，实现安全风险的可知、可控和可管理;通过 建立财税系统信息安全风 险评佔机制，实现财税系统信息安全风险的动态跟踪分析，为财税系统信息安 全整体规划提供科学的决策依据，进一步加强财税内部网络的整体安全防护能力，全 面提升我局信息系统整体安全防范能力,极大提高财税系统网络与信息安全管理水 平;通过深入挖掘网络与信息系统存在的脆弱点，并以业务系统为关键要素，对现有 的信息安全管理制度和技术措施的有效性进行评估，不断增强系统的网络和信息系 统抵御风险安全风险能力，促进我局安全管理水平的提高，增强信息安全风险管理意 识，培养信息安全专业人才,为财税系统各项业务提供安全可靠的支撑平台。三、项目需求（一）服务要求 1 基本要求“安全风险评佔服务”全过程要求有据可依，并在产品使用有据可查,并保持 项LI 之后的持续改进。针对用户单位网络中的 IT 设备及应用软件，需要有软件产品 识别所有设备及其安全配置，或以其他方式收集、保存设备明细及安全配置,进行资 产收集作为建立信息安全体系的基础。安全评估的过程及结果要求通过软件或其他 形式进行展示。对于风险的处理包括:协助用户制定安全加固方案、在工程建设及 日常运维中提供安全值守、咨询及支持服务，通过安全产品解决已知的安全风险。在日常安全管理方面提供安全支持服务，并根据国家及行业标准制定信息安全管理 体系，针对安全管理员提供安全培训,遇有可能的安全事件 发生时，提供应急的安全分析、紧急响应服务。2安全评估 评佔的范围应全面，涉及到网络信息系统的各个方面，包括物理环境、网络结 构、应用系统、数据库、服务器及网络安全设备的安全性、安全产品和技术的应用 状况以及管理体系是否完善等等；同时对管理风险、综合安全风险以及应用系统安 全性进行评估；评佔采用专业工具扫描（漏洞扫描、数据库扫描采用产品必须为商业化产 品）、人工评估、渗透测试三种相结合的方式，对各种操作系统进行评估，包括:帐户 与口令安全、网络服务安全、内核参数安全、文件系统安全、日志安全等;从应用 系统相关硬件、软件和数据等方面来审核应用所处环境下存在哪些威胁，根据应用 系统所存在的威胁，来确定需要达到哪些系统安全 LI 标才能保证应用系统能够抵挡 预期的安全威胁。其他评估内容应至少包括以下儿方面：同时高度重视信息安全工作釆取了很多防范措施取得了较好的工作效果但同新形势新任务的要求相比还存在有许多不相适应的地方年国家税务总局和市政府分别对我局信息系统安全情况进行了抽查在充分肯定成绩的同时也指出了我高的要求因此天津市财政局地方税务局在对现有信息安全资进行整合整改的同时按照国家税务总局信息安全管理规定结合本单位实际情况确定实施信息安全评估安全加固应急响应安全咨询安全事件通告安全巡检安全值守安全培训应展信息安全风险评佔完善安全管理机制通过安全服务的引入进一步建立健全财税系统安全管理策略实现安全风险的可知可控和可管理通过建立财税系统信息安全风险评佔机制实现财税系统信息安全风险的动态跟踪分析为财税系统信安全评佔服务范圉应包括但不只限于协助用户完成 2010 年度信息安全专项检 查工作。3 安全加固 每次对用户单位网络信息系统进行全面评佔后应立即制定安全加固方案，另外 如用户单位有紧急需求时可随时安排制定安全加固方案。安全加固方案应覆盖用户 单位 IT系统中所有服务器和网络设备，以及不同类别的操作系统、数据库和应用系 统。安全加固方案不能影响用户单位各项业务的正常进行，如果加固过程需要暂时 中断业务，须设计具体的解决方案。同时,随着信息技术的发展，当新的漏洞出现时，评佔单位有责任和义务告知用 户，并配合用户判定是否进行相应的加固工作；4 紧急响应 当用户单位信息系统出现安全事件后，用户可立即启动紧急响应服务,服务应 包括远程紧急响应和现场紧急响应；紧急响应均要求 7X24 小时提供。同时高度重视信息安全工作釆取了很多防范措施取得了较好的工作效果但同新形势新任务的要求相比还存在有许多不相适应的地方年国家税务总局和市政府分别对我局信息系统安全情况进行了抽查在充分肯定成绩的同时也指出了我高的要求因此天津市财政局地方税务局在对现有信息安全资进行整合整改的同时按照国家税务总局信息安全管理规定结合本单位实际情况确定实施信息安全评估安全加固应急响应安全咨询安全事件通告安全巡检安全值守安全培训应展信息安全风险评佔完善安全管理机制通过安全服务的引入进一步建立健全财税系统安全管理策略实现安全风险的可知可控和可管理通过建立财税系统信息安全风险评佔机制实现财税系统信息安全风险的动态跟踪分析为财税系统信紧急响应要求在响应请求发出 2 小时内山工程师到达事故现场,协助用户进行 处理；响应服务完成后评估单位需整理详细的事故处理报告，内容至少包括事故原因 分析、已造成的影响、处理办法、处理结果、预防和改进建议；5 安全咨询 评佔单位应根据 IS017799 等多个标准的相关要求对安全策略、安全制度、安 全流程进行审讣,提供改进建议，建立信息安全的“统一”策略管理机制，并对用户 单位信息安全体系建设规划、信息安全管理体系、信息安全管理制度建设、安全域 划分等相关内容提出符合国家及行业标准的合理化建议，并制定完整的解决方案。对于新建信息化项 U 应从业务需求分析、系统设计、部署实施、测试验收等 全周期提供技术咨询支持。6 安全事件通告 评佔单位应具备专门的安全研究人员以跟踪最新安全技术发展、收集业界发 布的最新安全信息及时通告用户单位最新的安全动态、安全技术的发展趋势，以及 时效性很强的漏洞、攻击手法、病毒码的预先通知；评佔单位至少每月提供一次汇总的安全通告信息，当厂商或安全组织发布紧急 安全通告后评估单位应在三天之内提供给人保相关通告信息；及时提供最新的设备补丁，随时根据用户需求，提供相应安全漏洞与响应的安 全系统升级代码;及时向招标人提供国家颁发的最新安全制度与法规。同时高度重视信息安全工作釆取了很多防范措施取得了较好的工作效果但同新形势新任务的要求相比还存在有许多不相适应的地方年国家税务总局和市政府分别对我局信息系统安全情况进行了抽查在充分肯定成绩的同时也指出了我高的要求因此天津市财政局地方税务局在对现有信息安全资进行整合整改的同时按照国家税务总局信息安全管理规定结合本单位实际情况确定实施信息安全评估安全加固应急响应安全咨询安全事件通告安全巡检安全值守安全培训应展信息安全风险评佔完善安全管理机制通过安全服务的引入进一步建立健全财税系统安全管理策略实现安全风险的可知可控和可管理通过建立财税系统信息安全风险评佔机制实现财税系统信息安全风险的动态跟踪分析为财税系统信