网络安全等保保护风险评估方案

XXXX

风险评估建议书

目 录

1. 项目背景................................................................................................................. 4 2. 风险评估概念......................................................................................................... 4 3. 风险评估的必要性................................................................................................. 4 3.1. 全面了解信息安全现状.................................................................................. 4 3.2. 提供安全项目建设依据.................................................................................. 5 3.3. 有效规避项目风险.......................................................................................... 6 3.3.1. 3.3.2.

避免盲目投资........................................................................................... 6 防止项目失控........................................................................................... 6

4. 评估范围和内容..................................................................................................... 7 4.1. 范围.................................................................................................................. 7 4.2. 涉及领域.......................................................................................................... 7 4.3. 涉及资产.......................................................................................................... 9 5. 风险评估的方式................................................................................................... 10 6. 风险评估理论模型............................................................................................... 10 6.1. 风险管理流程模型........................................................................................ 10 6.2. 风险关系模型................................................................................................ 13 6.3. 风险计算模型................................................................................................ 15 6.3.1. 6.3.2.

输入要素描述......................................................................................... 15 输出要素描述......................................................................................... 15

7. 评估过程............................................................................................................... 15 7.1. 阶段一 前期准备 .......................................................................................... 15 7.1.1. 7.1.2. 7.1.3.

制定计划................................................................................................. 16 培训沟通................................................................................................. 16 建立评估环境......................................................................................... 17

7.2. 阶段二 现场评估和调查 .............................................................................. 18

——————————————————————————————————————————————

7.2.1. 7.2.2. 7.2.3. 7.2.4. 7.2.5. 7.2.6.

资产调查................................................................................................. 18 问卷调查数据收集................................................................................. 19 工具协助和专家控制台分析................................................................. 19 网络扫描................................................................................................. 21 网络IDS嗅探 ........................................................................................ 23 渗透测试(可选) ...................................................................................... 24

7.3. 阶段三 风险评估 .......................................................................................... 24 7.3.1. 7.3.2. 7.3.3.

风险估计................................................................................................. 25 风险评价................................................................................................. 25 评估报告................................................................................................. 26

7.4. 阶段四 项目验收 .......................................................................................... 26 7.5. 阶段五 售后支持 .......................................................................................... 27 8. 结果文档............................................................................................................... 27 8.1. 过程文档........................................................................................................ 27 8.2. 评估报告........................................................................................................ 27 9. 项目风险控制....................................................................................................... 28 9.1. 原则要求........................................................................................................ 28 9.2. 风险控制........................................................................................................ 29 9.2.1. 9.2.2. 9.2.3. 10.

法律保障................................................................................................. 29 人力资源控制......................................................................................... 29 密级控制................................................................................................. 29

项目工作界面 ................................................................................................... 30

项目组织结构 ............................................................................................ 30 项目协调会 ................................................................................................ 32

10.1. 10.2. 11.

实施计划 ........................................................................................................... 33

任务分配 .................................................................................................... 33 项目进度 .................................................................................................... 36

11.1. 11.2.

——————————————————————————————————————————————

1. 项目背景

随着网络技术应用的推广普及，应用层次的不断深入，网络应用领域也正从传统的、小型业务系统向大型、关键业务系统扩展。网络所具有的开放性、国际性和自由性在增加应用自由度的同时，也为网络安全增加了更多的风险，网络安全正日益成为影响网络效能的重要因素。

在全球范围内看，中国的证券电子化工作属于世界领先水平。XXXX从创立之初就把交易无纸化作为发展目标并很快得到实现。随着信息技术的发展，涉及信息网络的安全问题日益突出，XXXX对网络安全的需求也越来越迫切。XXXX近几年对网络安全的防护工作展开过多次调研，并且得出了“XXXX需要全面加强网络安全框架建设”的初步结论。

参考国外的成熟标准和成功经验，我们逐渐达成了一个共识，即：XXXX要把信息安全建设好，必须首先进行一次针对网络安全的风险评估，并以该次风险评估的结果指导后续的信息安全建设工作。

2. 风险评估概念

风险评估，是对企业信息资产面临的威胁进行评估、对采取的安全措施的有效性进行评估、以及对系统漏洞被利用的可能性进行评估后的综合结果。作为信息安全建设中的重要一环，它是XXXX信息安全策略和解决方案的基础，评估结果也是下一步XXXX系统安全建设的指导。

3. 风险评估的必要性

3.1. 全面了解信息安全现状

XXXX目前已经拥有一个庞大的网络系统，每天运行在该系统上的信息资产

的价值同样是巨大的和难以估算的，但是我们对于目前整个网络系统存在哪些威

——————————————————————————————————————————————