|  网站地图
您当前的位置:首页 > 通知公告

山西省审计厅网络安全风险评估采购公告

【时间:2018-11-08】   【来源:山西省审计厅】    【大】 【中】 【小】

山西省审计厅拟对厅外网和审计专网进行网络安全风险评估寻价采购。采购条件:

    一、具备信息安全服务资质认证的单位

二、风险评估工作要求

(一)风险评估准备阶段

1.确定目标 确定信息安全风险评估的目标

2.确定范围 评估对象的全部信息与信息处理相关的各类资 产、管理机构或某个独立的信息系统、关键业务流程等

3.组建团队 由项目经理、技术骨干、测评师、业务沟通人IT技术等人员组成

4.系统调研 调研内容包括:业务战略及管理制度,主要的业务功能和要求,网络结构与网络环境(包括连接和外部连接),系统边界等方面

5.确定依据  根据调研结果,确定评估依据和方法

6.制定方案  根据系统调研的结果,编制风险评估方案,并组织用户进行方案评审,验证方案的可执性。

 (二)资产识别阶段

1.资产分类

    资产分类方法:1)数据:保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等;2)软件:a系统软件,b应用软件,c源程序;3)硬件:a网络设备,b计算机设备,c存储设备,d传输线路,e保障设备,f安全设备,g其他;4)服务:a信息服务,b网络服务,c办公服务;5)人员:信息系统运维人员、信息系统管理人员;6)其他:企业形象、客户关系等

2.资产赋值

    资产赋值包括:1)保密性赋值:根据资产在保密性上的不同要求,将其分为五个不同的等级,从第一级到第五级分别为:很低、低、中等、高、很高,分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。(2)完整性赋值:根据资产在完整性上的不同要求,将其分为五个不同的等级,从第一级到第五级分别为:很低、低、中等、高、很高,分别对应资产在完整性上缺失时对整个组织的影响。(3)可用性赋值:根据资产在可用性上的不同要求,将其分为五个不同的等级,从第一级到第五级分别为:很低、低、中等、高、很高,分别对应资产在可用性上应达成的不同程度

3.资产重要性等级

    资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出。综合评定方法可以根据自身的特点,选择对资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果;也可以根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。加权方法可根据组织的业务特点确定。根据最终赋值将资产划分为五级,级别越高表示资产越重要,也可以根据组织的实际情况确定资产识别中的赋值依据和等级。资产等级划分表明了不同等级的重要性的综合描述,从第一级到第五级分别为:很低、低、中等、高、很高。

 (三)威胁识别阶段

1.威胁分类

   1)环境因素:断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害,以及软件、硬件、数据、通讯线路等方面的故障;2)人为因素包括:a恶意人员,b非恶意人员;3)基于表现形式的威胁分类方法:a软硬件故障,b物理环境影响,c无作为或操作失误,d管理不到位,e恶意代码,f越权或滥用,g网络攻击,h物理攻击,i泄密,j篡改,k抵赖。

2.威胁赋值

    威胁赋值从第一级到第五级分别为:很低、低、中等、高、很高;级别越高威胁发生的概率越大。

 (四)脆弱性识别阶段

    1.脆弱性识别内容 脆弱性识别内容包括:1)技术脆弱性:包括:a物理环境,b网络结构,c系统软件,d应用中间件,e应用系统;2)管理脆弱性:a技术管理,b从安全策略2.脆弱性赋值 脆弱性严重程度的赋值方法从第一级到第五级分别为:很低、低、中等、高、很高。级别越高脆弱性严重程度越高。

 (五)已有安全措施确认

    1.预防性安全措施

    预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,如入侵检测系统;我公司测评师针对已有安全措施进行措施有效性确认和验证,评价安全措施是否有效的降低了系统的脆弱性,抵御了威胁。

    2.保护性安全措施

    保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响

 (六)风险分析

    1.风险计算原理

    风险计算原理,以下面的范式形式化加以说明:

    风险值=R(A,T,V)= R(L(T,V),F(Ia,Va ))。其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性; Ia表示安全事件所作用的资产价值;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件的可能性;F表示安全事件发生后造成的损失。 

    2.风险结果判定

    风险评估的结果可以划分为五级,等级越高,风险越高。从第一级到第五级分别为:很低、低、中等、高、很高。

    3.风险处理计划

    风险处理计划是对不可接受的风险根据导致该风险的脆弱性而制定的。风险处理计划中应明确采取的弥补脆弱性的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应从管理与技术两个方面考虑,并参照信息安全的相关标准进行。

    4.残余风险评估

    对照安全措施实施前后的脆弱性状况后,再次计算风险值的大小。

(七)风险评估文档记录

   1.评估文档记录的要求

   a确保文档发布前是得到新系统运营使用单位的批准;b确保对文档进行标识化管理,标识包括更改和现行修订状态c确保文档的分发得到适当的控制,并确保在使用时可获得有关版本的适用文档;d作废文档需加盖作废印章,防止作废文档的非预期使用。

   2.风险评估文档

   需求调研文档、设计文档、结果记录文档、项目实施文档、风险评估报告等。

(八)风险评估形成文件

   1.风险评估方案 明确评估工作的组织体系、工作原则、过程、依据的技术标准和相关的法规文件,以及可能的限制条件

   2.资产识别清单 根据风险评估的相关标准,对资产进行分类,明确资产编号、名称、子系统、资产重要性等,形成资产识别清单

   3.重要资产清单 根据被评估系统的资产,形成对评估单位重要的资产列表,包括重要资产的编号、子系统名称、应用、资产重要程度权重等

   4.威胁列表 根据对威胁源、威胁行为、威胁能量的分析,形成威胁列表,包括威胁名称、威胁种类、威胁分值、威胁等级等

   5.脆弱性列表  根据检测对象、检测结果、脆弱性分析,形成脆弱性列表,包括常规脆弱性、专项脆弱性等;

   6.已有安全措施确认表  对已采取并明确有效的安全措施,形成已有安全措施确认表,包括管理、技术措施确认表等

   7.风险评估报告 根据风险评估的进本信息、整个过程记录和结果进行分析总结,编写详细的评估报告,包括评估对象,风险评估方法、步骤,资产及重要资产、威胁性、脆弱性,风险结果的统计、分析和结论等

   8.风险评估记录 根据风险评估计划和程序文件,对风险评估的重要资产、分析和结果进行记录的过程。

(九)风险评估实施遵循的技术标准

    1.《信息安全风险管理指南》 GB/Z 24364-2009

    2.《信息技术安全性评估准则》 GB/T 18336-2008

    3.《信息安全风险评估规范》 GB/T 20984-2007

    4.《信息技术安全管理指南》 GB/T 19715-2005

5.《计算机信息系统安全保护等级划分准则》  

   GB17859-1999

    6信息和通信技术安全管理 ISO/IEC TR 13335

    7信息安全管理体系系列标准 ISO/IEC 27000

8信息安全技术信息系统安全等级保护基本要求 

   GB/T22239-2008

    

三、采购价格:报价控制在40000元内。

    公告时间:2108年11月8日-11月12日。

    联系人:武先生

    联系方式:0351-3806120   13209826558  

联系地址:太原市滨河西路南段129号(焦煤双创基地

          B座2817房间)

【关闭】 【打印】