天津市财政局信息安全风险评估需求方案.pdf
《天津市财政局信息安全风险评估需求方案.pdf》由会员分享,可在线阅读,更多相关《天津市财政局信息安全风险评估需求方案.pdf(10页珍藏版)》请在三一文库上搜索。
1、精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- - - -精品文档 - 信息安全风险评估需求方案 一、项目背景 多年来,天津市财政局(地方税务局)在加快信息化建设和 信息系统开发应用的同时,高度重视信息安全工作,采取了很多 防范措施,取得了较好的工作效果,但同新形势、新任务的要求 相比,还存在有许多不相适应的地方。2009 年,国家税务总局 和市政府分别对我局信息系统安全情况进行了抽查,在充分肯定 成绩的同时, 也指出了我局在信息安全方面存在的问题。通过抽 查所暴露的这些问题, 给我们敲响了警钟, 也对我局信息安全工 作提出了新的更高的要求。 因
2、此,天津市财政局(地方税务局)在对现有信息安全资源 进行整合、整改的同时,按照国家税务总局信息安全管理规定, 结合本单位实际情况确定实施信息安全评估、安全加固、 应急响 应、安全咨询、 安全事件通告、 安全巡检、 安全值守、 安全培训、 应急演练服务等工作内容(以下简称“安全风险评估”),形成 安全规划、实施、检查、处置四位一体的长效机制。 二、项目目标 通过开展信息“安全风险评估”, 完善安全管理机制;通过 安全服务的引入, 进一步建立健全财税系统安全管理策略,实现 精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- - - -精品文档 - 安全风
3、险的可知、 可控和可管理; 通过建立财税系统信息安全风 险评估机制, 实现财税系统信息安全风险的动态跟踪分析,为财 税系统信息安全整体规划提供科学的决策依据,进一步加强财税 内部网络的整体安全防护能力,全面提升我局信息系统整体安全 防范能力, 极大提高财税系统网络与信息安全管理水平;通过深 入挖掘网络与信息系统存在的脆弱点,并以业务系统为关键要 素,对现有的信息安全管理制度和技术措施的有效性进行评估, 不断增强系统的网络和信息系统抵御风险安全风险能力,促进我 局安全管理水平的提高,增强信息安全风险管理意识,培养信息 安全专业人才,为财税系统各项业务提供安全可靠的支撑平台。 三、项目需求 (一)
4、服务要求 1 基本要求 “安全风险评估服务”全过程要求有据可依,并在产品使用 有据可查, 并保持项目之后的持续改进。针对用户单位网络中的 IT 设备及应用软件,需要有软件产品识别所有设备及其安全配 置,或以其他方式收集、保存设备明细及安全配置,进行资产收 集作为建立信息安全体系的基础。安全评估的过程及结果要求通 过软件或其他形式进行展示。对于风险的处理包括:协助用户制 精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- - - -精品文档 - 定安全加固方案、 在工程建设及日常运维中提供安全值守、咨询 及支持服务, 通过安全产品解决已知的安全风险。在
5、日常安全管 理方面提供安全支持服务,并根据国家及行业标准制定信息安全 管理体系, 针对安全管理员提供安全培训,遇有可能的安全事件 发生时,提供应急的安全分析、紧急响应服务。 2 安全评估 评估的范围应全面, 涉及到网络信息系统的各个方面,包括 物理环境、网络结构、应用系统、数据库、服务器及网络安全设 备的安全性、 安全产品和技术的应用状况以及管理体系是否完善 等等;同时对管理风险、 综合安全风险以及应用系统安全性进行 评估; 评估采用专业工具扫描 (漏洞扫描、 数据库扫描采用产品必 须为商业化产品) 、人工评估、渗透测试三种相结合的方式,对 各种操作系统进行评估, 包括:帐户与口令安全、 网络
6、服务安全、 内核参数安全、文件系统安全、日志安全等;从应用系统相关硬 件、软件和数据等方面来审核应用所处环境下存在哪些威胁,根 据应用系统所存在的威胁,来确定需要达到哪些系统安全目标才 精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- - - -精品文档 - 能保证应用系统能够抵挡预期的安全威胁。其他评估内容应至少 包括以下几方面: 信息探测类网络设备与防火墙 RPC 服务Web 服务 CGI 问题文件服务 域名服务Mail 服务 Windows远程访问数据库问题 SQL 注入跨站脚本攻击 后门程序其他服务 网络拒绝服务(DOS) 其他问题 安全评
7、估服务范围应包括但不只限于协助用户完成2010 年 度信息安全专项检查工作。 3 安全加固 每次对用户单位网络信息系统进行全面评估后应立即制定 安全加固方案, 另外如用户单位有紧急需求时可随时安排制定安 全加固方案。安全加固方案应覆盖用户单位IT 系统中所有服务 器和网络设备,以及不同类别的操作系统、数据库和应用系统。 安全加固方案不能影响用户单位各项业务的正常进行,如果 精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- - - -精品文档 - 加固过程需要暂时中断业务,须设计具体的解决方案。 同时,随着信息技术的发展,当新的漏洞出现时,评估单位
8、有责任和义务告知用户, 并配合用户判定是否进行相应的加固工 作; 4 紧急响应 当用户单位信息系统出现安全事件后,用户可立即启动紧急 响应服务, 服务应包括远程紧急响应和现场紧急响应;紧急响应 均要求 7 24 小时提供。 紧急响应要求在响应请求发出2 小时内由工程师到达事故 现场,协助用户进行处理; 响应服务完成后评估单位需整理详细的事故处理报告,内容 至少包括事故原因分析、已造成的影响、处理办法、处理结果、 预防和改进建议; 5 安全咨询 评估单位应根据ISO17799等多个标准的相关要求对安全 策略、安全制度、安全流程进行审计,提供改进建议,建立信息 安全的“统一”策略管理机制,并对用户
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 天津市 财政局 信息 安全 风险 评估 需求 方案
链接地址:https://www.31doc.com/p-4680527.html