集团化企业信息化风险评估方案Word文档格式.docx
《集团化企业信息化风险评估方案Word文档格式.docx》由会员分享,可在线阅读,更多相关《集团化企业信息化风险评估方案Word文档格式.docx(83页珍藏版)》请在冰点文库上搜索。
3.7.2.3. 安全管理制度及策略评估项 22
3.7.3. 评估方式 22
3.7.4. 评估技术手段 23
3.7.4.1. 专家分析 23
3.7.4.2. 工具扫描 23
3.7.4.3. 人工评估 24
3.7.4.4. 渗透测试 25
3.7.5. 风险评估实施 26
3.7.5.1. 服务实施流程 26
3.7.5.2. 阶段一:
准备阶段 26
3.7.5.2.1. 项目组织 26
3.7.5.2.2. 项目准备 28
3.7.5.2.3. 项目启动 30
3.7.5.3. 阶段二:
识别阶段 30
3.7.5.3.1. 资产识别与梳理 30
3.7.5.3.2. 威胁识别 33
3.7.5.3.3. 脆弱性识别 36
3.7.5.3.4. 技术脆弱性识别 37
3.7.5.3.5. 安全管理脆弱性识别 41
系统建设管理 43
3.7.5.3.6. 安全措施识别 46
3.7.5.4. 阶段三:
分析阶段 48
3.7.5.4.1. 资产分析 48
3.7.5.4.2. 威胁分析 50
3.7.5.4.3. 脆弱性分析 52
3.7.5.4.4. 综合风险分析 54
3.7.5.4.5. 阶段四:
风险处置阶段 56
3.7.6. 最终交付物 58
第4章. 项目管理及人员组织 58
4.1. 项目服务承诺 58
4.2. 项目管理方法论 59
4.3. 实施人员组织 61
4.3.1. 项目组织架构 61
4.3.2. 组织架构说明 61
4.3.2.1. 项目经理 61
4.3.2.2. 质量监督组 62
4.3.2.3. 客户经理/客户配合人员 62
4.3.2.4. 项目实施组 63
4.4. 人员配置 64
4.4.1. 项目经理 64
4.4.2. 风险评估服务组 64
4.5. 人员简历 64
4.6. 人员资质 68
4.6.1. CISP证书人员(3人) 68
4.6.2. CISP人员社保证明 69
4.7. 人员稳定性和安全性承诺 71
4.8. 服务使用设备/工具清单 72
第5章. 项目验收方案 72
5.1. 项目验收 72
5.1.1. 验收方式 72
5.1.1.1. 验收方法确认 73
5.1.1.2. 验收方法的确认程序 73
5.1.1.3. 审视一般性原则 74
5.2. 风险规避措施 75
5.2.1. 项目保密工作 75
5.2.2. 安全评估风险规避措施 75
5.2.2.1. 系统备份与恢复措施 75
5.2.2.2. 风险应对措施 76
5.2.3. 渗透测试风险规避措施 76
第6章. 公司介绍及服务资质 76
单位简介 76
信息安全风险评估服务资质 84
国家信息安全测评信息安全服务资质证书(安全工程类二级) 85
国家信息安全测评信息安全服务资质证书(安全开发类一级) 86
网络安全应急服务支撑单位证书(国家级) 87
信息安全应急处理服务资质证书 88
国家信息安全测评授权培训机构资质证书 89
市信息安全服务能力等级证书 90
信息安全管理体系ISO27001证书 91
质量管理体系ISO9000认证证书 92
CMMI2证书 93
涉及国家秘密的计算机信息系统集成资质证书 94
计算机信息系统集成资质证书 96
6.1. 纳税信用等级证书 97
6.2. 银行信用等级证书 98
第7章. 项目实施计划 98
第8章. 项目报价 100
第1章.项目需求分析
1.1.行业信息化背景
近年来,我国卫生信息化建设步伐加快,按照卫生部制定的标准和规范,以医药企业管理为重点的医药信息化建设取得重要进展;
以提高公共卫生服务能力和卫生应急管理水平为主要目标的信息化建设取得长足进步。
但长期以来,卫生信息化建设缺乏顶层设计与规划,标准和规范应用滞后,导致信息不能互联互通,信息资源共享程度较低;
医药企业数据资源库建设滞后,难以适应当前深化医药卫生体制改革的需要,不能有效满足人民群众的健康保障需求。
同时,卫生信息化管理和专业人才缺乏,卫生信息化对卫生事业改革发展的技术支撑作用难以得到充分发挥。
《中共中央国务院关于深化医药卫生体制改革的意见》要求把卫生信息化建设作为保障医药卫生体系有效规范运转的八项措施之一,建立实用共享的医药卫生信息系统,大力推进医药卫生信息化建设,以推进公共卫生、医疗、医保、药品、财务监管信息化建设为着力点,整合资源,加强信息标准化和公共服务信息平台建设,逐步实现统一高效、互联互通。
加快推进卫生信息化建设,对于有效落实医改措施,提高医疗卫生服务质量和效率,降低医药费用,促进人人享有基本医疗卫生服务目标的实现具有重要的战略意义。
1.2.项目背景
***公司集团公司将信息化建设作为企业战略的重要组成部分,围绕信息集成、资源共享和组织衔接式的集成化供应链管理模式的创新,以“信息化项目群”为载体,全面落实供应链资源一体化整合的战略目标。
重点实施了“药品质量安全追踪溯源管理系统”、以集成化供应链为特征的药事服务综合管理系统及应用示范项目、健康家园模式下的智能医护综合集成关键技术与平台项目等“两化”融合项目等。
通过信息化建设和技术创新,培育了企业的自主创新能力,形成自有知识产权,提升了公司的人力资源要素、设备要素、信息要素和组织要素等内生化知识存量,持续改善企业的价值创造功能,并不断提高和优化***公司和关联方之间在供应链体系上的运作效率。
1.3.安全风险与需求分析
对于***公司的应用系统,安全风险主要表现在以下几个方面:
Ø
主机系统安全风险:
信息系统采用的系统与网络存在的一些安全隐患,如操作系统漏洞、数据库系统不合理配置、病毒发作、网络安全控制措施缺陷、系统可用性缺陷等,这些系统与网络的风险可能极大地影响信息系统业务运行的稳定性,致使各项网站业务难以正常开展。
网络架构安全风险:
***公司计划将城区的信息中心和子公司的信息机房迁移到位于小行的新信息中心进行集中,小行信息中心机房的网络健壮性和安全性将影响到整个集团信息系统的平稳有效运行。
总部与外部节点之前WMS系统的访问也需要考虑各类安全风险,防止外部节点成为整个信息中心的安全薄弱点。
信息系统应用风险:
指设计与开发信息系统业务应用时,存在的应用缺陷,而导致业务出现中断或者非正常业务应用操作造成的损失,这类风险包括:
应用逻辑错误、输入输出控制缺失、验证失效、应用安全功能缺陷等。
内部管理控制风险:
指信息系统安全管理的基本框架、管理机制、策略方法和工作流程还不完善,一些制度策略得不到认真执行,导致内部人员违规操作,给信息系统安全运行造成的风险。
运维管理体系建设:
运维管理体系建设涉及到整个集团的信息化安全运行、安全管理。
如何建立起有效的运维管理体系不仅涉及到信息化部门,还涉及到各个和信息化相关的部门,同时也涉及到总部与分子公司的安全管理;
不权包括技术方面的安全建设,也包括安全管理策略、制度文档的建设,形成一套统一的安全管理措施。
第2章.整体方案设计
2.1.设计目标
本项目的设计目标为:
通过构建一套全面的风险评估体系,覆盖各类保障对象,管理和协调各类保障组织和队伍,实现安全保障工作的标准化、规范化,确保安全保障工作正常、有序、高效、协调地进行,提升***公司集团安全保障团队的信息化安全保障能力,保障***公司信息系统健康、高效运行。
安全保障服务体系由评估、渗透、加固、检查、监控、响应、保障服务以及保障对象几个部分组成,涉及制度、人、技术、对象四类因素。
在本项目中,将主要针对***公司集团指定的信息系统进行评估,并着重针对公司管理制度、管理职能方面等安全管理方面的内容进行评估。
管理制度是规范安全保障工作的基本保障,也是服务流程建立的基础。
安全保障服务组织中的相关人员遵照制度要求和标准化的服务流程,采用先进的安全保障管理手段对各类安全保障对象进行规范化的管理和监控。
2.2.设计原则
公司在服务整体方案和详细方案设计时,遵循以下一些原则:
n标准性原则
评估方案的设计和具体实施都依据国内和国外的相关标准进行及理论模型。
n规范性原则
信息安全服务及相关安全产品遵守严格的质量控制,通过ISO9001-2000的质量体系认证,同时还获得了国家、行业的多个信息安全资质,可以为用户提供规范的服务。
工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
n可控性原则
评估过程和所使用的工具具有可控性。
有着丰富的评估工程实践,承担过多项国内大规模的安全服务项目,对于项目管理有丰富的经验。
项目所采用的工具都经过多次安全服务项目考验,或者是根据具体要求和组织的具体网络特点定制的,具有很好的可控性。
n整体性原则
安全服务从组织的实际需求出发,从业务角度进行评估,而不是局限于网络、主机等单个的安全层面,涉及到安全管理和业务运营,保障整体性和全面性。
n最小影响原则
安全服务工作做到充分的计划性,不对现网的运行和业务的正常提供产生显著影响,尽可能小地影响系统和网络的正常运行。
n保密性原则
从公司、人员、过程三个方面进行保密控制:
l公司双方签署保密协议,不得利用安全服务中的任何数据进行其他有损甲方利益的用途;
l人员保密,公司内部签订保密协议;
l在安全服务过程中对相关数据严格保密;
2.3.项目范围
本项目建设范围主要包含但不限于以下:
1、应用系统安全评估:
总部7个应用系统(硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等);
2、管理评估:
总部管理职能与制度评估。
具体服务范围如下表所示:
序号
服务名称
服务范围
1.1
OA系统风险评估
OA应用系统相关的硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等安全性评估,并提出针对性安全建议。
2.2
邮件系统风险评估
邮件系统相关的硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等安全性评估,并提出针对性安全建议。
3.3
新、老用友应用系统评估
新、老用友应用相关的硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等安全性评估,并提出针对性安全建议。
4.4
财务系统风险评估
财务系统相关的硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等安全性评估,并提出针对性安全建议。
5.5
药事ERP应用风险评估
药事ERP应用系统相关的硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等安全性评估,并提出针对性安全建议。
6.
药业虚拟机ERP应用风险评估
ERP应用系统相关的硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等安全性评估,并提出针对性安全建议。
7.
国药ERP(奥博克)风险评估
远程ERP使用的安全性一般较弱,对于国药ERP系统则需要对各个远程接入点或访问点进行用户连接方式、连接技术、安全账号、数据保密等方面的安全评估。
8.
基础数据、数据仓库应用风险评估
基础数据、数据仓库应用相关的硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等安全性评估,并提出针对性安全建议。
9.
人力资源系统风险评估
人力资源系统系统相关的硬件架构、操作系统、数据库、用户连接方式、账号管理、数据安全、中间件等安全性评估,并提出针对性安全建议。
10.
公司信息化部门管理职能和管理制度
评估公司已有的安全管理策略、管理制度、角色分工、岗位职责、日常工作流程等内容的合规合理性,并提出有针对性的改进意见。
2.4.参考标准及资料
本方案在编制过程中,依据和参考了国内外信息安全方面的相关标准、法规、指南以及行业的相关标准规范,主要包括:
2.4.1.国家信息安全标准、指南
nGB/T20984—2007信息安全技术信息安全风险评估规范
nGB/T20274—2006信息系统安全保障评估框架
nGB/T19715.1—2005信息技术—信息技术安全管理指南第1部分:
信息技术安全概念和模型
nGB/T19715.2—2005信息技术—信息技术安全管理指南第2部分:
管理和规划信息技术安全
nGB/T19716—2005信息技术—信息安全管理实用规则
nGB/T18336—2001信息技术—安全技术—信息技术安全性评估准则
n电子政务信息安全等级保护实施指南(试行)(国信办[2005]25号)
nGB/T20988—2007信息系统灾难恢复规范
nGB/Z20986—2007信息安全事件分类分级指南
n《信息系统安全等级保护定级指南》(GB/T22240-2008)
n《信息系统安全等级保护基本要求》(GB/T22239-2008)
n《计算机信息系统安全保护等级划分准则》(GB17859-1999)
n《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)
n《信息安全技术网络基础安全技术要求》(GB/T20270-2006)
n《信息安全技术操作系统安全技术要求》(GB/T20272-2006)
n《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)
n《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)
n《信息系统安全等级保护实施指南》(报批稿)
n《信息系统安全等级保护测评指南》(报批稿)
n【关于印发《信息安全技术 信息系统安全等级保护实施指南》国家标准报批稿的通知】
(信安字〔2007〕10号)
2.4.2.国际信息安全标准
nISO/IEC27001:
2005信息安全技术
信息系统安全管理要求
nISO/IEC13335—1:
2004信息技术信息技术安全管理指南第1部分:
nISO/IECTR15443—1:
2005信息技术安全保障框架第一部分概述和框架
nISO/IECTR15443—2:
2005信息技术安全保障框架第二部分保障方法
nISO/IECWD15443—3信息技术安全保障框架第三部分保障方法分析
nISO/IECPDTR19791:
2004信息技术安全技术运行系统安全评估
第3章.详细方案设计
3.1.安全建设目标
制定信息系统安全3年建设规划
根据公司5年规划和IT规划,行业、公司业务发展特点编写3年信息安全建设规划。
根据信息安全现状评估阶段的结果,科学地制定安全措施,有效地控制信息安全风险,保证生产运营环境的安全可靠。
信息安全体系规划将选择安全技术和管理措施,来解决发现的安全问题并分阶段地设计实施步骤。
安全措施的选择除将符合***公司短期内信息安全管理需求之外,还要兼顾中长期业务发展的要求,注重扩充性和应用平台的延展性。
结合等保要求建立信息系统安全保护体系
***公司信息系统等保建设的基本思路是:
以保护信息系统为核心,严格参考等级保护的思路和标准,从多个层面进行建设,满足***公司信息系统在物理层面、网络层面、系统层面、应用层面和管理层面的安全需求,建成后的保障体系能够符合国家标准,可以为***公司业务的开展提供有力保障。
信息安全管理体系建设应符合“突出应用、突出创新、突出解决实际问题”的总体要求,有效提升企业信息安全基础管理水平,满足行业相关制度要求。
同时制度体系建设可以结合国内、外先进管理经验,以等保、ISO27000、ITIL系列标准以及国际、国内最佳实践为指导,对***公司内部信息安全策略管理、信息安全体系建设、系统安全建设与管理、系统运行和信息保护等进行信息安全管理咨询,进一步理清和规范相关工作职责、目标和内容,明确开展相关工作的关键标准、管理办法以及技术手段,从而理顺信息安全各要素之间的内在关系,实现***公司信息安全管理水平的整体提升。
建立日常信息安全保护和事件应急服务体系
日常信息安全保护体系包括:
信息系统安全风险评估和安全加固,只有通过有效的风险评估,才能发掘真正的安全需求,降低安全风险。
确定信息安全基线,满足主机、网络、数据库、中间件、软件开发等方面对安全的需求,对新的应用系统进行上线前的安全验收和代码审计,确保新系统不仅仅在可用性上,在安全性上也要达到安全需求,定期进行安全巡检和安全审计,进行安全分析,对信息系统进行开展应急响应和应急演练,确保信息系统在紧急情况下可靠有效运行。
3.2.安全规划方法
根据多年来为各行各业客户进行安全需求分析和信息安全建设规划的经验,总结出一套企业使命驱动的EA(EnterpriseArchitecture,即“企业架构”或“业务体系架构”)分析规划方法。
如下图示,是&
企业使命驱动的EA分析、规划框架图。
企业使命驱动的EA分析、规划框架
企业使命驱动的EA分析规划方法,以企业使命为驱动,分析完成企业使命所对应的IT战略、架构等,从业务架构、信息架构、应用架构和技术架构四个方面,从上往下,深入分析企业的业务战略、组织结构、角色定义和重要的业务流程等,深入分析支撑企业业务的数据和信息以及对应的应用系统,深入分析支撑业务、数据、应用服务部署的基础设施(包括中间件、网络、通信等软硬件),全面透彻地分析企业IT架构在不同层面的脆弱性和所面临的各种威胁与风险,在此基础上,根据不同层面的安全防护需求和特点,为企业进行切合其实际要求的信息安全建设方案设计和规划。
如下两图示,分别是&
基于EA的分析方法示意图和&
基于EA的分析、规划过程示意图。
基于EA的分析方法
基于EA的分析、规划过程
3.3.信息安全现状评估分析
安全评估的目标是全面地分析和了解目前***公司在信息安全方面的现状和问题,帮助***公司相关人员,特别是企业的领导层了解和理解目前业务所面临的风险,以及未来企业发展对安全工作的需求,为***公司制定安全体系总体发展规划打下基础。
以国家等级保护建设要求和国际安全标准为依据,结合***公司自身在信息安全服务方面的经验,根据安全评估发现的问题,为***公司提供改进建议,以提升整体信息安全水平。
3.4.制定***公司信息安全战略和总体策略
此项工作任务是确定***公司信息安全的远景目标、信息安全建设的原则和总体信息安全战略。
总结之前所作研究,根据风险评估和需求分析的结构,结合行业信息安全最佳实践,制定***公司信息安全规划的远景目标。
制定未来3-5年***公司信息安全建设的发展战略。
归纳总结***公司信息安全建设总体方案的设计原则。
制定总体信息安全政策,明确信息安全原则,目标和建设思路。
与***公司信息安全管理人员和主要业务人员举行研讨会,以便就信息安全建设工作的主要原则达成共识。
3.5.设计***公司信息安全总体架构
根据信息安全建设的远景目标和设计原则,制定***公司整体信息安全体系架构,使其能够满足***公司业务发展的战略,能够有效地规避信息安全风险。
设计***公司信息安全管理体系架构
信息安全管理体系架构的设计和规划将依据国家信息安全等级保护关于管理制度的内容要求和ISO27001标准,从11个方面规划***公司的信息安全组织,管理标准制度和日常运行机制,协助***公司安全管理制度的落地和执行,确保建立完善的信息安全管理运行机制。
信息安全管理体系规划将关注以下几个领域:
安全组织体系框架
安全策略、标准和流程体系框架
日常的安全运营机制
风险管理
安全监控
安全审计
安全响应
安全意识教育
用户管理
设计***公司信息安全技术体系架构
有效的信息安全体系架构离不开先进的安全工具和产品的支持,将根据信息安全防御,检测和响应的需求,进行***公司信息系统的安全技术体系规划。
目前***公司的安全防护技术主要依赖防火墙,缺乏纵深防御,对应用层安全缺乏检测技术、检测手段、防御措施,在信息系统中,随着攻击技术的发展和网络基础设施的日益完善,攻击理念从“技术炫耀”到谋取利益,针对网络层的攻击相对减少,针对应用层的攻击越来越多,从盗取用户帐号信息用户资料到窃取用户资金,获取经济利益,攻击的目的性和技术手段越来越明显。
信息安全技术涉及面非常广,根据&
的企业安全架构设计方法论以及&
在同类企业的经验,安全技术措施的选择和规划将会包括以下几个方面:
§
安全区域划分
边界安全(防火墙、VPN、无线网关、网络设备等)
身份认证
用户身份管理
访问控制
入侵检测
防病毒和恶意代码
加密解密
安全事件收集与分析
安全审计
制定***公司信息安全建设实施计划
分析***公司信息安全建设现状与远景目标的差距,科学合理的制定***公司未来3-5年信息安全建设项目并制定总体实施计划和投资计划。
根据***公司信息安全建设的远景目标,分析与信息安全现状之间存在的具体差距。
在保护***公司已有投资的前提下,综合考虑成本、风险、实施对组织的影响确定分阶段实施内容。
提出未来3-5年***公司信息安全建设项目的具体清单。
针对信息安全建设项目清单上的项目,制定***公司总体的项目实施计划。
针对信息安全建设项目清单上的项目,分析项目的总体经济投入和回报前景。
针对信息安全建设项目清单上的项目,分析项目的总体组织和人力资源投入需求。
3.6.安全服务体系框架
安全服务体系框架图
安全服务体系框架覆盖了安全事件事前、事中、事后的整个过程,形成一个完整、循环的安全服务体系,不断地完善信息系统的安全性,并不断地提升其安全保障能力。
各项安全服务覆盖了安全事件事前、事中、事后的整个过程,他们之间的关联关系如下:
1)事前阶段:
事前阶段是一个防微杜渐的阶段,这个阶段服务的目的是寻找技术和管理方面的脆弱性,检查安全制度和策略的执行情况,并根据检查、评估结果进行相应整改,减少安全事件发生的可能性,减轻安全事件发生造成的损失,同时也减少了事后阶段应急响应服务的频率。
事前阶段涉及的安全服务有:
安全检查服务、风险评
升级会员 