Q/GDW 596-2011 国家电网公司信息安全风险评估实施细则
国家电网公司信息安全等级保护工作交流
信息安全等级保护安全建设整改工作培训材料之二 全面规划狠抓落实 信息安全工作再上新台阶 ----国家电网公司信息安全等级保护工作交流 国家电网公司是国有特大型企业,是关系国家能源安全和国民经济命脉的国有重要骨干企业,核心业务为电网的建设和运营,承担着为经济社会发展提供安全、经济、清洁、可持续的电力供应的基本使命。国家电网公司经营区域覆盖26个省(自治区、直辖市),占国土面积的88%,为超过10亿人口提供电力服务,管理员工153.7万人,公司名列2009年《财富》全球企业500强第15位,是全球最大的公用事业企业。 作为关系国家能源安全和国民经济命脉的重要骨干企业,国家电网公司内部运转和对外服务依托大量业务信息系统,信息化依赖程度很高。公司历来高度重视信息化工作,大力推进信息化企业建设,自2006年开始实施SG186工程,构筑横向集成、纵向贯通的一体化企业级信息集成平台,建设八大业务应用系统,健全完善六个保障体系,提出“十一五”末初步建成信息化企业和数字化电网的目标,即在国际先进管理理念指导下,以信息技术为依托,构建电网企业生产、经营、管理和决策的信息管理系统,实现公司人、财、物三大基本要素和业务处理的全过程信息化,促进公司各项业务流程的规范化、标准化,达到工作流、资金流、物资流、信息流的高度整合和共享,实现公司生产自动化、管理现代化、决策科学化。SG186工程至今年年底将提前一年全部完成建设目标,为公司人财物集约化管理和智能电网建设提供了坚强支撑。通过国家信息化测评机构测算,信息化对公司主营业务的销售收入贡献率达到1%以上,SG186工程取得每年数十亿元的明显效益。在国资委公布的2007年度中央企业信息化水平评价结果中,被评为十家A级企
信息安全风险评估管理规定
信息安全风险评估管理规 定 This manuscript was revised on November 28, 2020
信息安全风险评估管理办法 第一章总则 第一条为规范信息安全风险评估(以下简称“风险评估”)及其管理活动,保障信息系统安全,依据国家有关规定,结合本省实际,制定本办法。 第二条本省行政区域内信息系统风险评估及其管理活动,适用本办法。 第三条本办法所称信息系统,是指由计算机、信息网络及其配套的设施、设备构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。 本办法所称重要信息系统,是指履行经济调节、市场监管、社会管理和公共服务职能的信息系统。 本办法所称风险评估,是指依据有关信息安全技术与管理标准,对信息网络和信息系统及由其存储、传输、处理的信息的保密性、完整性和可用性等安全属性进行评价的活动。 第四条县以上信息化主管部门负责本行政区域内风险评估的组织、指导和监督、检查。 跨省或者全国统一联网运行的重要信息系统的风险评估,可以由其行业管理部门统一组织实施。 涉密信息系统的风险评估,由国家保密部门按照有关法律、法规规定实施。
第五条风险评估分为自评估和检查评估两种形式。 自评估由信息系统的建设、运营或者使用单位自主开展。检查评估由县以上信息化主管部门在本行政区域内依法开展,也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行,双方实行互备案制度。 第二章组织与实施 第六条信息化主管部门应当定期发布本行政区域内重要信息系统目录,制定检查评估年度实施计划,并对重要信息系统管理技术人员开展相关培训。 第七条江苏省信息安全测评中心为本省从事信息安全测评的专门机构,受省信息化主管部门委托,具体负责对从事风险评估服务的社会机构进行条件审核、业务管理和人员培训,组织开展全省重要信息系统的外部安全测试。 第八条信息系统的建设、运营或者使用单位可以依托本单位技术力量,或者委托符合条件的风险评估服务机构进行自评估。 第九条重要信息系统新建、扩建或者改建的,在设计、验收、运行维护阶段,均应当进行自评估。重要信息系统废弃、发生重大变更或者安全状况发生重大变化的,应当及时进行自评估。
网络与信息安全风险评估管理实施细则V1.0
网络与信息安全风险评估管理实施细则 第一章编制说明 第一条为在确保(以下简称“”)网络安全前提下,高效、可控地推动网络与信息系统风险评估工作,依据《电信网和互联网安全防护管理指南》(YD/T 1728-2008)、《电信网和互联网安全风险评估实施指南》(YD/T 1730-2008)、《网络与信息安全风险评估管理办法》等国家政策、行业 标准和集团公司相关规定,特制定本实施细则。 第二条本实施细则所指的网络和信息系统安全风险评估(以下简称“风险评估”)是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威 胁、发生概率、安全事件影响等安全风险情况进行分析,找出安全风险, 有针对性的提出改进措施的活动。 第三条本实施细则适用于省公司、各市分公司根据行业监管要求或者自身安全要求,针对通信网、业务网、各支撑系统以及其它服务类信息系统,如电梯 控制系统、门禁系统等发起的各类风险评估。 第四条涉及的部门及单位包括:省公司网络部,各级通信网、业务网和各支撑系统维护部门,如省网管中心、业务支撑中心、发展计划部IT中心、行政 事务中心及各市分公司等等。 1
第二章职责与分工 第五条总体原则 (一)在“谁主管、谁负责”总体原则指导下,按照统一管理、分级负责原则,省公司及各市分公司负责所辖网络和系统的安全风险评估工作。 (二)“自评估为主、第三方评估为辅”原则。省公司应着力推动自有评估队伍的建设,逐步实现自主评估。第三方评估应侧重弥补尤其是在队伍建设初期, 由于对电信网络协议漏洞、编程漏洞了解较少、渗透测试技术水平不高等 方面的不足。 (三)原则上,安全评估服务与系统建设不能采用同一厂家。 第六条发起风险评估的责任主体包括省公司网络部、各级通信网、业务网和各支撑系统维护部门,如省网管中心、业务支撑中心、发展计划部IT中心及 各市分公司等等。 第七条省公司网络部应在网络与信息安全工作领导小组及上级主管部门领导下,组织开展公司层面安全评估工作: (一)落实上级安全风险评估工作总体安排,配合上级组织的风险评估工作。 在重大活动或敏感时期,应根据上级安排或者自身需要发起对特定网络 及信息系统的专项评估工作; (二)建立和完善风险评估工作考核指标和考核办法,组织考核评比。对风险评估相关文档的发布、保存、流转、更改、作废、销毁各环节进行严格 把控,确保风险评估资料的机密性、完整性和可用性; 2
信息安全风险评估报告
1111单位:1111系统安全项目信息安全风险评估报告 我们单位名 日期
报告编写人: 日期: 批准人:日期: 版本号:第一版本日期 第二版本日期 终板
目录 1概述 (5) 1.1项目背景 (5) 1.2工作方法 (5) 1.3评估范围 (5) 1.4基本信息 (5) 2业务系统分析 (6) 2.1业务系统职能 (6) 2.2网络拓扑结构 (6) 2.3边界数据流向 (6) 3资产分析 (6) 3.1信息资产分析 (6) 3.1.1信息资产识别概述 (6) 3.1.2信息资产识别 (7) 4威胁分析 (7) 4.1威胁分析概述 (7) 4.2威胁分类 (8) 4.3威胁主体 (8) 4.4威胁识别 (9) 5脆弱性分析 (9) 5.1脆弱性分析概述 (9) 5.2技术脆弱性分析 (10) 5.2.1网络平台脆弱性分析 (10) 5.2.2操作系统脆弱性分析 (10) 5.2.3脆弱性扫描结果分析 (10) 5.2.3.1扫描资产列表 (10) 5.2.3.2高危漏洞分析 (11) 5.2.3.3系统帐户分析 (11) 5.2.3.4应用帐户分析 (11)
5.3管理脆弱性分析 (11) 5.4脆弱性识别 (13) 6风险分析 (14) 6.1风险分析概述 (14) 6.2资产风险分布 (14) 6.3资产风险列表 (14) 7系统安全加固建议 (15) 7.1管理类建议 (15) 7.2技术类建议 (15) 7.2.1安全措施 (15) 7.2.2网络平台 (16) 7.2.3操作系统 (16) 8制定及确认................................................................................................................. 错误!未定义书签。9附录A:脆弱性编号规则.. (17)
信息安全风险评估服务
1、风险评估概述 风险评估概念 信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT 领域时,就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799 ISO17799国家标准《信息系统安全等级评测准则》等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/ 管理/ 运行等方面存在的脆弱性为诱因的 信息安全风险评估综合方法及操作模型。 风险评估相关 资产,任何对组织有价值的事物。 威胁,指可能对资产或组织造成损害的事故的潜在原因。例如,组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。 脆弱点,是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思,使用简短易被猜测的口令、操作系统本身有安全漏洞等。 风险,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害饿潜在可能性,即特定威胁事件发生的可能性与后果的结合。风险评估,对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。 风险评估也称为风险分析,就是确认安全风险及其大小的过程,即利用适 当的风险评估工具,包括定性和定量的方法,去顶资产风险等级和优先控制顺序。
2、风险评估的发展现状 信息安全风险评估在美国的发展 第一阶段(60-70 年代)以计算机为对象的信息保密阶段 1067年11月到1970年2月,美国国防科学委员会委托兰德公司、迈特公司(MITIE)及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究,分析。作为第一次比较大规模的风险评估。 特点: 仅重点针对了计算机系统的保密性问题提出要求,对安全的评估只限于保密性,且重点在于安全评估,对风险问题考虑不多。 第二阶段(80-90 年代)以计算机和网络为对象的信息系统安全保护阶段评估对象多为产品,很少延拓至系统,婴儿在严格意义上扔不是全面的风险评估。 第三阶段(90 年代末,21 世纪初)以信息系统为对象的信息保障阶段随着信息保障的研究的深入,保障对象明确为信息和信息系统;保障能力 明确来源于技术、管理和人员三个方面;逐步形成了风险评估、自评估、认证认可的工作思路。 我国风险评估发展 ?2002年在863计划中首次规划了《系统安全风险分析和评估方法研究》课题?2003年8月至2010年在国信办直接指导下,组成了风险评估课题组 ?2004年,国家信息中心《风险评估指南》,《风险管理指南》 ?2005年全国风险评估试点?在试点和调研基础上,由国信办会同公安部,安全部,等起草了《关于开展信息安全风险评估工作的意见》征求意见稿 ?2006 年,所有的部委和所有省市选择1-2 单位开展本地风险评估试点工作?2015 年,国家能源局根据《电力监控系统安全防护规定》(国家发展和改革委
《国家电网公司安全工作规定》题库 1资料
《国家电网公司安全工作规定》题库1 一、单选题 1.《国家电网公司安全工作规定》(国家电网企管〔2014〕1117号)自( C )起施行。(第一一一条) A. 2014年12月1日 B. 2014年11月1日 C. 2014年10月1日 D. 2014年9月1日 2. 公司各级单位实行以各级( A )为安全第一责任人的安全责任制,建立健全安全保证体系和安全监督体系,并充分发挥作用。(第三条) A. 行政正职 B. 主管安全领导 C. 安全部门主任 D. 分管安全领导 3. 公司各级单位的各部门、各岗位应有明确的安全管理职责,做到责任分担,并实行( B )的安全逐级负责制。(第十五条) A. 上级对下级 B. 下级对上级 C. 三级安全网络 D. 安全监督体系 4. 安全保证体系对业务范围内的安全工作负责,( D )负责安全工作的综合协调和监督管理。(第十五条) A. 安全保证体系 B. 安全生产思想政治工作保障体系 C. 安全生产民主监督、民主管理体系 D. 安全监督体系 5. 安全生产委员会办公室设在( C )。(第二十四条) A. 生产运维部门 B. 总经理办公室 C. 安全监督管理部门 D. 后勤保障部门 6. 新上岗生产人员运维、调控人员(含技术人员)、从事倒闸操作的检修人
员,应经过现场规程制度的学习、现场见习和至少( B )的跟班实习,并经考试合格后上岗。(第四十一条) A. 1个月 B. 2个月 C. 3个月 D. 6个月 7. 在岗生产人员每年再培训不得少于( A )。(第四十二条) A. 8学时 B. 16学时 C. 32学时 D. 40学时 8. 外来工作人员必须经过( D ),并经考试合格后方可上岗。(第四十三条) A. 业务培训 B. 现场作业注意事项培训 C. 紧急救护培训 D. 安全知识和安全规程的培训 9. 省公司级单位对所属地市公司级单位的领导、安全监督管理机构负责人,一般( C )进行一次有关安全法律法规和规章制度考试。(第四十五条) A. 毎半年 B. 毎年 C. 毎两年 D. 毎三年 10. 省公司级单位应( C )召开一次安全监督例会,地市公司级单位、县公司级单位应( C )召开一次安全网例会。(第五十四条) A. 毎半年毎半年 B. 毎半年每季度 C. 毎半年每月 D. 每季度每月 11.离开特种作业岗位( D )的作业人员,应重新进行实际操作考试,经确认合格后方可上岗作业。(第四十二条) A. 1个月 B. 2个月 C. 3个月 D. 6个月 12. 因承包方责任造成的发包方设备、电网事故,由( A )负责调查、统计上报,无论任何原因均对发包方进行考核。发包方根据安全协议对承包方进行处罚。(第九十六条) A. 发包方 B. 承包方 C. 监理方 D. 施工方 13. 公司各级单位应按照“全方位覆盖、全过程闭环”的原则,实施隐患
信息安全风险评估方法
从最开始接触风险评估理论到现在,已经有将近5个年头了,从最开始的膜拜捧为必杀技,然后是有一阵子怀疑甚至预弃之不用,到现在重拾之,尊之为做好安全的必备法宝,这么一段起起伏伏的心理历程。对风险的方法在一步步的加深,本文从风险评估工作最突出的问题:如何得到一致的、可比较的、可重复的风险评估结果,来加以分析讨论。 1. 风险评估的现状 风险理论也逐渐被广大信息安全专业人士所熟知,以风险驱动的方法去管理信息安全已经被大部分人所共知和接受,这几年国内等级保护的如火如荼的开展,风险评估工作是水涨船高,加之国内信息安全咨询和服务厂商和机构不遗余力的推动,风险评估实践也在不断的深入。当前的风险评估的方法主要参照两个标准,一个是国际标准《ISO13335信息安全风险管理指南》和国内标准《GB/T 20984-2007信息安全风险评估规范》,其本质上就是以信息资产为对象的定性的风险评估。基本方法是识别并评价组织/企业内部所要关注的信息系统、数据、人员、服务等保护对象,在参照当前流行的国际国内标准如ISO2700 2,COBIT,信息系统等级保护,识别出这些保护对象面临的威胁以及自身所存在的能被威胁利用的弱点,最后从可能性和影响程度这两个方面来评价信息资产的风险,综合后得到企业所面临的信息安全风险。这是大多数组织在做风险评估时使用的方法。当然也有少数的组织/企业开始在资产风险评估的基础上,在实践中摸索和开发出类似与流程风险评估等方法,补充完善了资产风险评估。 2. 风险评估的突出问题 信息安全领域的风险评估甚至风险管理的方法是借鉴了银行业成熟的风险管理方法,银行业业务风险管理的方法已经发展到相当成熟的地步,并且银行业也有非常丰富的基础数据支撑着风险分析方法的运用。但是,风险评估作为信息安全领域的新生事物,或者说舶来之物,尽管信息安全本身在国内开展也不过是10来年,风险评估作为先进思想也存在着类似“马列主义要与中国的实际国情结合走中国特色社会主义道路”的问题。风险评估的定量评估方法缺少必要的土壤,没有基础的、统计数据做支撑,定量风险评估寸步难移;而定性的风险评估其方法的本质是定性,所谓定性,则意味着估计、大概,不准确,其本质的缺陷给实践带来无穷的问题,重要问题之一就是投资回报问题,由于不能从财务的角度去评价一个/组风险所带来的可能损失,因此,也就没有办法得到投资回报率,尽管这是个问题,但是实践当中,一般大的企业都会有个基本的年度预算,IT/安全占企业年度预算的百分之多少,然后就是反正就这么些钱,按照风险从高到低或者再结合其他比如企业现有管理和技术水平,项目实施的难易度等情况综合考虑得到风险处理优先级,从高到低依次排序,钱到哪花完,风险处理今年就处理到哪。这方法到也比较具有实际价值,操作起来也容易,预算多的企业也不怕钱花不完,预算少的企业也有其对付办法,你领导就给这么些钱,哪些不能处理的风险反正我已经告诉你啦,要是万一出了事情你也怪不得我,没有出事情,等明年有钱了再接着处理。
国家电网公司安全工作规定测试试题
国家电网公司安全工作规定试题
————————————————————————————————作者:————————————————————————————————日期: 2
《国家电网公司安全工作规定》试题 单位:姓名:成绩: 一、单选题(共10题,每题3分,共30分) 1. 《国家电网公司安全工作规定》(国家电网企管〔2014〕1117号)自()起施行。 A. 2014年12月1日 B. 2014年11月1日 C. 2014年10月1日 D. 2014年9月1日 2. 安全保证体系对业务范围内的安全工作负责,()负责安全工作的综合协调和监督管理。 A. 安全保证体系 B.安全生产思想政治工作保障体系 C. 安全生产民主监督、民主管理体系 D.安全监督体系 3. 新上岗生产人员运维、调控人员(含技术人员)、从事倒闸操作的检修人员,应经过现场规程制度的学习、现场见习和至少()的跟班实习,并经考试合格后上岗。 A. 1个月 B. 2个月 C. 3个月 D. 6个月 4. 外来工作人员必须经过(),并经考试合格后方可上岗。 A. 业务培训 B. 现场作业注意事项培训 C. 紧急救护培训 D. 安全知识和安全规程的培训 5. 离开特种作业岗位()的作业人员,应重新进行实际操作考试,经确认合格后方可上岗作业。 A. 1个月 B. 2个月 C. 3个月 D. 6个月 6. 因故间断电气工作连续()以上者,应重新学习《电力安全工作规程》,并经考试合格后,方可再上岗工作。
A. 1个月 B. 2个月 C. 3个月 D. 6个月 7. 公司所属各级单位应与电力用户签订供用电合同,在合同中明确()。 A. 供电范围 B. 设备分界点 C. 电费电价 D. 双方应承担的安全责任 8. 公司各级单位应按照“平战结合、一专多能、装备精良、训练有素、快速反应、战斗力强”的原则,建立应急救援基干队伍。加强()建设,提高协同应对突发事件的能力。 A . 应急培训机制 B. 应急演练机制 C. 应急联动机制 D. 应急评估机制 9. 公司各级单位应设立(),主任由单位行政正职担任,副主任由党组(委)书记和分管副职担任,成员由各职能部门负责人组成。 A. 安全监督管理机构 B. 安全生产委员会 C. 安全风险管理体系 D. 事故调查体系 10. 建立安全指标控制和考核体系,形成()机制,是公司各级单位行政正职安全工作的基本职责之一。 A. 考核 B. 奖励 C. 监督考核 D. 激励约束 二、多选题(共5题,每题4分,共20分) 1. 公司各级单位应建立和完善(),构建事前预防、事中控制、事后查处的工作机制,形成科学有效并持续改进的工作体系。 A. 安全风险管理体系 B. 应急管理体系 C. 安全三级网络体系 D. 事故调查体系 2.公司各级单位应全面实施安全风险管理,对各类安全风险进行超前分析和流程化控制,形成( )的安全风险管理长效机制。 A. 管理规范 B. 责任明确 C. 闭环落实 D. 持续改进 3. 地市公司级单位、县公司级单位每年应对()进行培训,经考试合格后,书面公布有资格担任的人员名单。
信息安全风险评估报告DOC
XXXXX公司 信息安全风险评估报告 历史版本编制、审核、批准、发布实施、分发信息记录表
一. 风险项目综述 1.企业名称: XXXXX公司 2.企业概况:XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持与服
务的企业。 3.ISMS方针:预防为主,共筑信息安全;完善管理,赢得顾客信赖。 4.ISMS范围:计算机应用软件开发,网络安全产品设计/开发,系统集成及服务的信息安全管理。 二. 风险评估目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,进行本次风险评估。 三. 风险评估日期: 2017-9-10至2017-9-15 四. 评估小组成员 XXXXXXX。 五. 评估方法综述 1、首先由信息安全管理小组牵头组建风险评估小组; 2、通过咨询公司对风险评估小组进行相关培训; 3、根据我们的信息安全方针、范围制定信息安全风险管理程序,以这个程序作为我们风险评估的依据和方 法; 4、各部门识别所有的业务流程,并根据这些业务流程进行资产识别,对识别的资产进行打分形成重要资产 清单; 5、对每个重要资产进行威胁、脆弱性识别并打分,并以此得到资产的风险等级; 6、根据风险接受准则得出不可接受风险,并根据标准ISO27001:2013的附录A制定相关的风险控制措施; 7、对于可接受的剩余风险向公司领导汇报并得到批准。 六. 风险评估概况 根据第一阶段审核结果,修订了信息安全风险管理程序,根据新修订程序文件,再次进行了风险评估工作
从2017年9月10日开始进入风险评估阶段,到2017年9月15日止基本工作告一段落。主要工作过程如下: 1.2017-9-10 ~ 2017-9-10,风险评估培训; 2.2017-9-11 ~ 2017-9-11,公司评估小组制定《信息安全风险管理程序》,制定系统化的风险评估方法; 3.2017-9-12 ~ 2017-9-12,本公司各部门识别本部门信息资产,并对信息资产进行等级评定,其中资产分为 物理资产、软件资产、数据资产、文档资产、无形资产,服务资产等共六大类; 4.2017-9-13 ~ 2017-9-13,本公司各部门编写风险评估表,识别信息资产的脆弱性和面临的威胁,评估潜在 风险,并在ISMS工作组内审核; 5.2017-9-14 ~ 2017-9-14,本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表; 6. 2017-9-15 ~ 2017-9-15,各部门修订风险评估表,识别重大风险,制定控制措施;ISMS工作 组组织审核,并最终汇总形成本报告。 . 七. 风险评估结果统计 本次风险评估情况详见各部门“风险评估表”,其中共识别出资产190个,重要资产115个,信息安全风险115个,不可接受风险42个. 表1 资产面临的威胁和脆弱性汇总表
国家电网公司办公计算机信息安全管理办法
规章制度编号:国网(信息/3)255-2014 国家电网公司办公计算机信息安全管理办法 第一章总则 第一条为加强国家电网公司(以下简称“公司”)办公计算机信息安全管理,依据《中华人民共和国保守国家秘密法》、《中华人民共和国保守国家秘密法实施条例》、《中华人民共和国计算机信息系统安全保护条例》、《信息系统安全等级保护基本要求》和《中央企业商业秘密信息系统安全技术指引》制定本办法。 第二条本办法是对公司信息内外网办公用台式机、笔记本和云终端等办公计算机及其外设信息安全管理的职责及管理要求做出的具体规定。 (一)信息内外网办公计算机分别运行于信息内网和信息外网; (二)信息内网定位为公司信息业务应用承载网络和内部办公网络; (三)信息外网定位为对外业务应用网络和访问互联网用户终端网络; (四)公司信息内外网执行等级防护、分区分域、逻辑强
隔离、双网双机策略。 第三条本办法适用于公司总(分)部、各单位及所属各级单位(含全资、控股、代管单位)(以下简称“公司各级单位”)。 第四条国家电网公司办公计算机信息安全管理遵循“涉密不上网、上网不涉密”的原则。 严禁将涉及国家秘密的计算机、存储设备与信息内外网和其他公共信息网络连接,严禁在信息内网办公计算机上处理、存储国家秘密信息,严禁在信息外网办公计算机上处理、存储涉及国家秘密和企业秘密信息,严禁信息内网和信息外网办公计算机交叉使用。 第二章职责分工 第五条公司办公计算机信息安全工作按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”原则,公司各级单位负责人为本部门和本单位办公计算机信息安全工作主要责任人。 第六条公司各级单位信息通信管理部门负责办公计算机的信息安全工作,按照公司要求做好办公计算机信息安全技术措施指导、落实与检查工作。 第七条办公计算机使用人员为办公计算机的第一安全责任人,未经本单位运行维护人员同意并授权,不允许私自卸载公司安装的安全防护与管理软件,确保本人办公计算机的信息安全和内容安全。
2014版国家电网公司安全工作规定要点
规章制度编号:国网(安监/2)406-2014 国家电网公司安全工作规定 第一章总则 第一条为了贯彻“安全第一、预防为主、综合治理”的方针,加强安全监督管理,防范安全事故,保证员工人身安全,保证电网安全稳定运行和可靠供电,保证国家和投资者资产免遭损失,制定本规定。 第二条本规定依据《中华人民共和国安全生产法》、《中华人民共和国突发事件应对法》、《生产安全事故报告和调查处理条例》、《电力安全事故应急处置和调查处理条例》等有关法律、法规,结合电力行业特点和国家电网公司(以下简称“公司”)组织形式制定,用于规范公司系统安全工作基本要求。 第三条公司各级单位实行以各级行政正职为安全第一责任人的安全责任制,建立健全安全保证体系和安全监督体系,并充分发挥作用。 第四条公司各级单位应建立和完善安全风险管理体系、应急管理体系、事故调查体系,构建事前预防、事中控制、事后查处的工作机制,形成科学有效并持续改进的工作体系。 第五条公司各级单位应贯彻国家法律、法规和行业有关制度标准及其他规范性文件,补充完善安全管理规章制度和现场规程,使安全工作制度化、规范化、标准化。
第六条公司各级单位应贯彻“谁主管谁负责、管业务必须管安全”的原则,做到计划、布置、检查、总结、考核业务工作的同时,计划、布置、检查、总结、考核安全工作。 第七条本规定适用于公司总(分)部及所属各级单位(含全资、控股、代管单位)的安全管理和安全监督管理工作。 公司各级单位承包和管理的境外工程项目,以及公司系统其他相关单位的安全管理和安全监督管理工作参照执行。 第二章目标 第八条国家电网公司安全工作的总体目标是防止发生如下事故(事件): (一)人身死亡; (二)大面积停电; (三)大电网瓦解; (四)主设备严重损坏; (五)电厂垮坝、水淹厂房; (六)重大火灾; (七)煤矿透水、瓦斯爆炸; (八)其他对公司和社会造成重大影响、对资产造成重大损失的事故(事件)。 第九条省(直辖市、自治区)电力公司和公司直属单位(以下简称“省公司级单位”)的安全目标: (一)不发生人身死亡事故;
企业网络与信息安全风险评估规范
企业网络与信息安全风险评估规范
目录 第一章总则 (3) 第二章风险评估原则 (5) 第三章风险评估模型 (5) 第四章风险评估策略 (9) 第五章风险评估过程框架 (11) 第六章风险评估手段 (15) 第七章文档要求 (16) 第八章项目管理 (17)
第一章总则 第一条网络与信息安全风险评估是网络与信息安全管理的基础性工作,是实现网络与信息系统安全水平持续改进的重要手段。为了指导、规范和促进各单位开展网络与信息安全风险评估工作,加强网络与信息安全的全过程动态管理,进一步提高网络与信息安全保障水平,特制定本规范。 第二条网络与信息安全风险评估是对企业现有的网络、信息系统、业务流程、安全策略等进行风险分析,并根据风险分析结论提出安全建议的过程。 第三条通过对网络与信息系统(以下简称信息系统)进行安全评估,至少应该达到以下目标: (一)掌握信息系统的安全现状和面临的安全风险; (二)明确信息系统面对的主要风险以及这些风险产生的原因; (三)为信息系统的建设、运行、维护、使用和改进提供安全性建议。 (四)改进与完善企业现有安全策略,实施有效的信息系统风险管理,加强重要信息系统的安全保障。 第四条本规范适用于国家电网公司系统各单位,用于指导各单位信息安全评估项目的开展和实施。 第五条名词解释
使命:一个组织通过信息化实现的工作任务。 信息资产:在信息化建设过程中积累起来的信息系统、信息数据、生产或服务能力、人员能力和应得的信誉。 价值:指信息资产对信息系统的重要程度,以及对信息系统为完成组织使命的重要程度。 威胁:信息资产可能受到的来自内部和来自外部的安全侵害。 脆弱性:信息资产及其防护措施在安全方面的不足,通常也称为漏洞。 风险:是指人为或自然的威胁利用信息系统存在的脆弱性,从而导致信息安全事件发生的可能性及其影响。 残余风险:采取了安全防护措施,提高了防护能力后,仍然可能存在的风险。 安全措施:为对付威胁,减少脆弱点,保护资产,限制意外事件的影响,检测和响应意外事件,促进灾难恢复和打击信息犯罪而采取的各种实践、规程和机制统称为安全措施。 安全防护需求:指为保证信息系统能够正常使用,在信息安全防护措施方面的要求。
国家电网公司办公计算机信息安全管理办法
规章制度编号:国网(信息/3)255-201 4 国家电网公司办公计算机信息安全管理办法 第一章总则 第一条为加强国家电网公司(以下简称“公司”)办公计算机信息安全管理,依据《中华人民共和国保守国家秘密法》、《中华人民共和国保守国家秘密法实施条例》、《中华人民共和国计算机信息系统安全保护条例》、《信息系统安全等级保护基本要求》和《中央企业商业秘密信息系统安全技术指引》制定本办法。 第二条本办法是对公司信息内外网办公用台式机、笔记本和云终端等办公计算机及其外设信息安全管理的职责及管理要求做出的具体规定。 (一)信息内外网办公计算机分别运行于信息内网和信息外网; (二)信息内网定位为公司信息业务应用承载网络和内部办公网络; (三)信息外网定位为对外业务应用网络和访问互联网用户终端网络; (四)公司信息内外网执行等级防护、分区分域、逻辑强隔离、双网双机策略。 第三条本办法适用于公司总(分)部、各单位及所属各级单位(含全资、控股、代管单位)(以下简称“公司各级单位”)。
第四条国家电网公司办公计算机信息安全管理遵循“涉密不上网、上网不涉密”的原则。 严禁将涉及国家秘密的计算机、存储设备与信息内外网和其他公共信息网络连接,严禁在信息内网办公计算机上处理、存储国家秘密信息,严禁在信息外网办公计算机上处理、存储涉及国家秘密和企业秘密信息,严禁信息内网和信息外网办公计算机交叉使用。 第二章职责分工 第五条公司办公计算机信息安全工作按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”原则,公司各级单位负责人为本部门和本单位办公计算机信息安全工作主要责任人。 第六条公司各级单位信息通信管理部门负责办公计算机的信息安全工作,按照公司要求做好办公计算机信息安全技术措施指导、落实与检查工作。 第七条办公计算机使用人员为办公计算机的第一安全责任人,未经本单位运行维护人员同意并授权,不允许私自卸载公司安装的安全防护与管理软件,确保本人办公计算机的信息安全和内容安全。 第八条公司各级单位信息通信运行维护部门负责办公计算机信息安全措施的落实、检查实施与日常维护工作。 第三章办公计算机管理要求
信息安全风险评估方案学习资料
第一章网络安全现状与问题 1.1目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部和内部的攻击,只有将众多的攻击手法进行搜集、归类、分析、消化、综合,将其体系化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而
信息安全风险评估方案
第一章网络安全现状与问题 目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部和内部的攻击,只有将众多的攻击手法进行搜集、归类、分析、消化、综合,将其体系化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而
企业信息安全风险评估方案
企业信息安全风险评估方案
知识域:信息安全风险评估 ?:?知识子域:风险评估流程和方法 ■掌握国家对开展风险评估工作的政策要求 ■理解风险评估、检查评估和等级保护测评之间的关系 掌握风险评估的实施流程:风险评估准备、资产识别、威胁评 估、脆弱性评估、已有安全措施确认、风险分析、风险评估文档 记录 -理解走量风险分析和定性风险分析的区别及优缺点理解自评估和检查评估的区别及优缺点 ■掌握典型风险计算方法:年度损失值(ALE)、矩阵法、相乘法掌握风险评估工具:风险评估与管理工具、系统基础平台风险评 估工具、风险评估辅助工具
1、《国家信息化领导小组关于加强信息安全保障工作的意见》仲办发[2003]27号)中明确提出 :”要重视信息安全风险评估工作”对网络与信息系统安全的潜在威胁.薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性.涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理〃
国家对开展风险评估工作的政 2、《国家网络与信息安全协调小组〈关于开展信息安全风险评估工作的意见〉》(国信办[2006 】5号文)中明确规定了风险评估工作的相关要求: 风险评估的基本内容和原则开展风险评估工作的有 关安排 风险评估工作的基本要求 K信息安全风险评估工作应当贯穿信息系统全生命周 期。在信息系统规划设计阶段,通过信息安全风险评 估工作,可以明确信息系统的安全需求及其安全目标,有针对性地制定和部署安全措施”从而避免产生欠保 护或过保护的情况。
2、在信息系统建设完成验收时,通过风险评估工作可以检验信息系统是否实现了所设计的安全功能, 是否满足了信息系统的安全需求并达到预期的安全目标。 3. 由于信息技术的发展.信息系统业务以及所处安全环境的变化,会不断出现新的信息安全风险,因此,在信息系统的运行阶段,应当定期逬行信息安全风险评估,以检验安全措施的有效性以及对安全环境的适应性。当安全形势发生重大变化或信息系统使命有重大变更时,应及时逬行信息安全风险评估。 4. 信息安全风险评估也是落实等级保护制度的重要 手段,应通过信息安全风险评估为信息系统确定安全
信息安全风险评估报告
附件: 国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式 项目名称: 项目建设单位: 风险评估单位: 年月日
目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)
5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)
术公司信息安全风险评估管理办法
**信息安全风险评估管理办法 目录 总则 为确保**网络及信息系统安全、高效、可控的运行,提高业务系统安全运行能力,全面降低信息安全风险,特制定本管理办法。 组织与责任 信息安全管理组负责信息安全风险评估的具体实施。 技术支撑部门协助信息安全管理执行组的信息安全风险评估工作,并且实施信息安全管理执行组通过风险评估后提供的解决方案与建议。 其他部门协助信息安全管理执行组开展信息安全风险评估工作。 信息安全风险评估规定
弱点分析 概述 弱点评估是安全风险评估中最主要的内容。弱点是信息资产本身存在的,它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的弱点。 弱点检查 信息安全管理组应定期对集团IT系统进行全面的信息安全弱点检查,了解各IT系统的信息安全现状。 IT系统安全检查的范围包括:主机系统、网络设备、安全设备、数据库系统、应用系统、邮件系统以及其它在用系统。 IT系统安全检查的工具与方法如下: 1. 工具检查:针对IT设备建议采用专用的脆弱性评估工具进行检查,如Nessus、 BurpSuite等工具,针对应用系统及代码安全检查,建议采用商业专用软件进行检查, 如IBM AppScan。 2. 手工检查:由信息安全专员或技术支撑部门相关人员参照相关的指导文档上机进行手 工检查。 信息安全检查工作开展前,信息安全管理组需制定安全检查计划,对于部分可用性要求高的业务系统或设备,计划中要明确执行的时间,并且该计划要通知相关部门与系统维护人员,明确相关人员的及部门的职责与注意事项。 信息安全管理组与外服公司针对信息安全检查须制定《安全检查方案》,方案中,针对工具扫描部分需明确扫描策略,同时方案必须提供规避操作风险的措施与方法。并且该方案必须获得技术支撑部领导批准。 信息安全管理组应对IT系统安全检查的结果进行汇总,并进行详细分析,提供具体的安全解决建议,如安全加固、安全技术引进等。 当发生重大的信息安全事件,信息安全管理组应在事后进行一次全面的安全检查,并通过安全检查结果对重要的安全问题进行及时解决。 常见的弱点种类分为: 1. 技术性弱点:系统,程序,设备中存在的漏洞或缺陷,比如结构设计问题或编程 漏洞;
企业信息安全风险评估资料
【最新资料,WORD文档,可编辑修改】 目录 一、信息安全风险评估简介 .............................................................. 二、信息安全风险评估流程 .............................................................. 1.风险评估准备 ................................................................................... 2.资产识别............................................................................................ 3.威胁识别............................................................................................ 4.脆弱性识别........................................................................................ 5.风险分析............................................................................................ 三、信息安全风险评估策略方法 ...................................................... 1)定量分析方法 ................................................................................ 2)定性分析方法 ................................................................................ 3)综合分析方法 ................................................................................ 四、信息安全风险评估的注意事项 .................................................. 1、各级领导对评估工作的重视 ........................................................ 2、加强评估工作的组织和管理 ........................................................ 3、注意评估过程中的风险控制。 .................................................... 4、做好各方的协调配合工作。 ........................................................ 5、提供评估所必须的保障条件。 .................................................... 信息安全风险评估 一、信息安全风险评估简介 信息安全风险评估的概念涉及资产、威胁、脆弱性和风险4个主要因素。信息安全风险评估就是从管理的角度,运用科学的方法和手段,系统分析网络与信息系统所