信息安全风险评估需求方案_1.docx

《信息安全风险评估需求方案_1.docx》由会员分享，可在线阅读，更多相关《信息安全风险评估需求方案_1.docx（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全风险评估需求方案信息安全风险评估需求方案一、项目背景多年来,天津市财政局(地方税务局)在加快信息化建设和信息系统开发应用的同时,高度重视信息安全工作,采取了很多防备措施,获得了较好的工作效果,但同新形势、新任务的要求相比,还存在有很多不相适应的地方。,国家税务总局和市政府分别对我局信息系统安全情况进行了抽查,在充分肯定成绩的同时,也指出了我局在信息安全方面存在的问题。经过抽查所暴露的这些问题,给我们敲响了警钟,也对我局信息安全工作提出了新的更高的要求。因而,天津市财政局(地方税务局)在对现有信息安全资源进行整合、整改的同时,根据国家税务总局信息安全管理规定,结合本单位实际情况确定施行信

2、息安全评估、安全加固、应急响应、安全咨询、安全事件通告、安全巡检、安全值守、安全培训、应急演练服务等工作内容(下面简称安全风险评估),构成安全规划、施行、检查、处理四位一体的长效机制。二、项目目的经过开展信息安全风险评估,完善安全管理机制;经过安全服务的引入,进一步建立健全财税系统安全管理策略,实现安全风险的可知、可控和可管理;经过建立财税系统信息安全风险评2估机制,实现财税系统信息安全风险的动态跟踪分析,为财税系统信息安全整体规划提供科学的决策根据,进一步加强财税内部网络的整体安全防护能力,全面提升我局信息系统整体安全防备能力,极大提高财税系统网络与信息安全管理水平;经过深化挖掘网络与信息系

3、统存在的脆弱点,并以业务系统为关键要素,对现有的信息安全管理制度和技术措施的有效性进行评估,不断加强系统的网络和信息系统抵御风险安全风险能力,促进我局安全管理水平的提高,加强信息安全风险管理意识,培养信息安全专业人才,为财税系统各项业务提供安全可靠的支撑平台。三、项目需求(一)服务要求1基本要求安全风险评估服务全经过要求有据可依,并在产品使用有据可查,并保持项目之后的持续改良。针对用户单位网络中的IT设备及应用软件,需要有软件产品识别所有设备及其安全配置,或以其它方式采集、保存设备明细及安全配置,进行资产采集作为建立信息安全体系的基础。安全评估的经过及结果要求经过软件或其它形式进行展示。对于风

4、险的处理包括:协助用户制定安全加固方案、在工程建设及日常运维中提供安全值守、咨询及支持服务,经过安全产品解决已知的安全风险。在日常安全管理方面提供安全支持服务,并根据国家及行业标准制定信息安全管理体系,针3对安全管理员提供安全培训,遇有可能的安全事件发生时,提供给急的安全分析、紧急响应服务。2安全评估评估的范围应全面,涉及到网络信息系统的各个方面,包括物理环境、网络构造、应用系统、数据库、服务器及网络安全设备的安全性、安全产品和技术的应用状况以及管理体系能否完善等等;同时对管理风险、综合安全风险以及应用系统安全性进行评估;评估采用专业工具扫描(漏洞扫描、数据库扫描采用产品必须为商业化产品)、人

5、工评估、浸透测试三种相结合的方式,对各种操作系统进行评估,包括:帐户与口令安全、网络服务安全、内核参数安全、文件系统安全、日志安全等;从应用系统相关硬件、软件和数据等方面来审核应用所处环境下存在哪些威胁,根据应用系统所存在的威胁,来确定需要到达哪些系统安全目的才能保证应用系统能够抵挡预期的安全威胁。其它评估内容应至少包括下面几方面:4安全评估服务范围应包括但不只限于协助用户完成信息安全专项检查工作。3安全加固每次对用户单位网络信息系统进行全面评估后应立即制定安全加固方案,另外如用户单位有紧急需求时可随时安排制定安全加固方案。安全加固方案应覆盖用户单位IT系统中所有服务器和网络设备,以及不同类别的操作系统、数据库和应用系统。安全加固方案不能影响用户单位各项业务的正常进行,假如加固经过需要暂时中断业务,须设计详细的解决方案。同时,随着信息技术的发展,当新的漏洞出现时,评估单位有责任和义务告知用户,并配合用户断定能否进行相应的加固工作;4紧急响应当用户单位信息系统出现安全事件后,用户可立即启动紧急响应服务,服务应包括远程紧急响应和现场紧急响应;紧急响应均要求724小时提供。紧急响应要求在响应请求发出2小时内由工程师到达事故现场,协助用户进行处理;响应服务完成后评估单位需整理具体的事故处理报告,内容至少包括事故原因分析、已造成的影响、处理办法、处理结果、5