信息系统风险评估作业指导书样本

中科园智能网络系统有限责任公司信息系统风险评估作业指导书、作业目的1信息系统风险评估作业是我公司的主要服务内容之一，其目的是经过发现客户系统中的安全风险和威胁，对客户系统进行真实、可靠的安全评估，为客户信息系统的安全整改提供依据和建议，从而帮助客户切实改进自身信息系统，使客户系统顺利达到相关安全接入标准、作业范围2信息系统风险评估作业的范围主要包括信息系统用户访问

2.1针对信息系统的风险评估作业的主要依据和方法是对信息系统的用户访问，经过访问发现系统资产的重要性、操作方法、业务流程、依赖程度、受攻击情况、安全管理制度、人员管理制度、管理机构设置以及管理状况等等信息系统现场勘察

2.2针对信息系统的现场勘察作业，能够发现系统的物理安全环境、实际拓扑结构以及实际的管理状况，并可经过现场勘察验证资产信息和配置状况对于内网系统，现场勘察过程中也可进行必要测试和验证作业信息系统远程测试

2.3针对信息系统的远程测试主要目的是经过远程方式，在时间相对宽裕的条件下经过善意扫描和渗透，测试客户信息系统的安全状况和安全程度，并提出适当报告和相关建议但远程测试并非每个评估作业项目都必须的作业方式，除非经过用户许可或现实条件允许，否则不应采用远程测试方式进行评估作业信息系统威胁分析

2.4经过人员访问、现场勘察、远程测试等途径，从客户资产识别、脆弱性识别以及威胁性识别三个方面出发，基于信息系统的可用性、完整性、安全性三原则出发，根据资料对比、客户沟通结果进行分析和验证信息系统评估报告

3.5针对客户信息系统威胁分析结果生成评估报告并附加安全整改建议信息系统安全演练

4.6信息系统安全演练的主要目的是基于作业员工的评估素质出发，进行日常训练内容包括评估方法训练、测试技术训练、资料分析训练等等、职责划分3评估管理小组

3.1因为信息系统的风险评估工作本身带有一定的风险，因此加强作业管理、重视客户沟通就必然成为评估作业首要的保障手段评估管理小组的主要职责正是经过对作业人员、作业行为、作业工具、作业结果、历史档案以及客户资料的管理，保证整个评估项目的顺利进行和成功交付评估作业小组

3.2评估作业小组的主要职责包括:针对资产的依赖性识别、重要性识别等；针对系统脆弱性的用户访问、历史资料分析、拓扑结构分析、稳定性分析等；针对系统威胁的历史资料分析和用户访问以及经过分析历史资料、安全环境、用户习惯、测试结果、标准规范等形成风险评估报告和整改建议技术测试小组

5.3技术测试小组的主要职责包括在获得客户许可的前提下对客户信息系统进行现场技术测试和模拟攻击，在远程经过善意扫描和渗透测试模仿非法行为等方式更好的确定系统存在的漏洞和风险，为评估作业分析提供详实、可靠的技术依据风险控制小组

3.4风险控制小组的主要职责包括根据系统的重要程度和用户对系统的业务依赖程度，确定整个系统的测试方法，并对测试方法进行认真审核和控制以防止对用户系统产生破坏作用影响客户正常的业务使用并在测试之前形成风险控制计划和应急响应计划及相应措施、作业流程4管理作业流程

4.1首先同客户进行接触，了解客户自身信息以及客户对于信息安全风险评估的和目的，形成《客户档案》其次明确风险评估的范围，并向客户说明风险评估的过程和可能产生的意外情况形成《风险评估范围说明书》及《客户意见表》并根据所了解情况撰写客户《评估方案书》再次与客户签订风险评估服务合同和信息系统资料保密协议争取获得客户对于信息系统进行现场测试和远程测试的授权书再次审查、保管由测试组、评估组、风控组提交的《测试方案》、《评估方案》、《风控方案》若发现所接收方案存在问题,应及时填写《方案审查结果》并通知方案提供者，进行修正或变更再次在接到测试组、评估组、风控组递交的《沟通请求报告》后和客户进行及时沟通，解决随机发生的各种矛盾，形成《客户沟通记录表》再次审查、保管由测试组、评估组、风控组提交的《测试报告》、《评估报告》、《整改建议》、《评估过程监督报告》若发现所接收方案存在问题，应及时填写《报告审查结果》并通知方案提供者，进行修正或变更最后向用户出具《评估报告》和《整改建议》，并进行解释、说明测试作业流程

4.2首先根据管理组撰写的《范围说明》、《客户意见表》、《评估方案》以及《测试授权书》制定《测试方案》其次进行现场或远程测试生成《测试报告》在需要与客户配合时，向管理组递交《沟通请求报告》再次根据分析《测试报告》，生成包含有可接受风险、不可接受风险统计信息的《风险说明书》以及包含不可接受风险防范措施的《整改建议》最后将《测试报告》、《风险说明书》、《整改建议》交付评估作业组，并进行必要的解释和说明评估作业流程

6.3首先根据管理组提供的《客户档案》、《范围说明》、《客户意见表》、《评估方案书》制定《信息系统安全评估方案》其次准备《客户访谈记录表》，该表应包括《客户资产访谈记录表》、《目标系统调查表》、《客户系统安全配置记录表》、《客户系统管理措施记录表》、《历史威胁访谈记录表》、《客户所在行业所面临安全风险历史记录表》、《信息系统安全风险形式分析表》以及国家有关于信息系统安全评估的法律、法规、政策、标准再次进入评估现场访谈客户，填写《客户访谈记录表》再次根据《客户访谈记录》和测试组递交的《测试报告》、《风险说明书》和历史资料库，对客户系统所存在的安全风险进行分析对比，生成《客户信息系统安全风险评估报告》经过整理分析测试组递交的《整改建议》和《客户信息系统安全风险评估报告》生成《客户信息系统安全风险整改建议书》，并提交管理组交付客户风控作业流程

4.4首先接受管理组提交的《评估范围说明书》、《客户意见》、《评估方案书》和评估组提交的《目标系统调查表》、《客户所在行业所面临安全风险历史记录表》，经过分析产生《潜在评估风险记录表》其次根据《潜在评估风险记录表》，进行现场勘察和客户访谈,产生《风险控制现场调查记录》，经过分析产生《潜在评估风险控制方案》再次将《潜在评估风险控制方案》提交管理组和评估组、测试组进行方案修订再次审查评估组和测试组的相关方案，控制其中的潜在风险当需与客户沟通时，填写《沟通请求报告》，交由管理组同客户沟通协调最后对测试组的测试过程进行监督，生成《评估过程监督报告》,并提交管理组审查、成果约束5过程文档

5.1管理组《评估方案书》、《方案审查结果》、《报告审查结果》测试组《沟通请求报告》评估组《沟通请求报告》、《客户访谈记录表》风控组《沟通请求报告》分析文档

5.2管理组《客户意见表》测试组《风险说明书》评估组《目标系统调查表》、《客户系统安全配置记录表》、《客户系统管理措施记录表》、《历史威胁访谈记录表》、《客户所在行业所面临安全风险历史记录表》、《信息系统安全风险形式分析表》以及国家有关于信息系统安全评估的法律、法规、政策、标准风控组《潜在评估风险记录表》最终文档

7.3管理组《风险评估服务合同》、《评估测试授权书》、《客户档案》、《评估范围说明书》、《风险评估报告三》、《整改建议三》测试组《测试方案》、《测试报告一》、《风险说明书》、《整改建议一》评估组《评估方案》、《评估报告二》、《整改建议二》风控组《风控方案》、《评估作业监督报告》、。