Q/GDW 1596-2015 国家电网公司信息安全风险评估实施细则.pdf
- word版文件下载:
-
特别提醒:word版是本站通过人工智能从pdf转换成的word版本,正确率只有90%左右(正在通过训练继续提高准确率),排版恢复的也并不完全准确,没有进行任何人工校对,VIP会员直接免费下载即可,普通会员无法通过点数下载,算是给VIP的活动。
特别提醒:word版是不完美的,错误较多,只能参考,有需要的可以少打一些字,别下载了找我们说word内容有问题,这是送给VIP会员的。
- 文档部分内容预览:
公司管理信息系统面临的威胁分为软硬件故障、 物理环境影响、无作为或操作失误、管理不到位 恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖11类,具体分类见GB/T20984一20 5.3.1条。
在威胁调查基础上,应按照GB/T31509一2015的5.2.3.4条要求进行威胁分析,分析威胁发生的概 率、威胁影响,给威胁赋值。威胁赋值按照GB/T20984一2007中5.3.2条要求,采用五级划分法,自高 而低分为“很大”、“大”、“中”、“小”、“很小”五级,分别用数字5、4、3、2、1表示。
按照GB/T20984一2007和GB/T31509一2015电力弱电施工组织设计,脆弱性应从技术和管理两方面识别。附录A给出 公司管理信息系统信息安全脆弱性评估的具体评估项目和要求,用于替代GB/T31509一2015的附录 和附录C。
脆弱性识别应遵循以下原则:
Q/GDW15962015
信息系统的脆弱性; 6 应根据信息系统运行方式,从技术和管理两方面识别信息系统的脆弱性。其中技术方面包括总 体防护体系、物理安全、边界安全、网络安全、应用安全、数据安全、主机安全、终端安全等 8方面的脆弱性;管理方面包括包括安全管理制度、安全管理机构、人员安全管理、信息系统 安全管理和安全工作机制等5方面的脆弱性: C 技术脆弱性的识别宣采用工具扫描和人工审计等方式进行,管理脆弱性的识别宣通过访谈和调 查问卷等方式进行,也可通过对以往安全事件的统计和分析来识别系统在技术、管理方面的脆 弱性
脆弱性赋值按照GB/T20984一2007中5.4.2条要求,采用五级划分法,自高而低分为很高”、“高 “中”、“低”、“很低”五级,分别用数字5、4、3、2、1表示。
8.4.1单项脆弱性评估与赋值
公司信息系统资产脆弱性评估采用基于脆弱性评估表的综合评估方法,具体方法为: )对照附录A给出的每一个脆弱性评估项,评估信息系统是否满足相关要求,按照评分细则进 打分; b)按照公式(1)分别计算出各评估项的得分率:
Ritem该评估项的得分率; Qla一一被评估系统在该评估项的实际得分; QIs一一该评估项全部符合要求的最高分值(即附录A各脆弱性评估表中的“分值”列数值)。 c)按照表1给出该评估项的脆弱性赋值
表1单项脆弱性评估项赋值标准
d 按照GB/T31509一2015给出的风险计算方法,根据识别出的资产、威胁和各单项脆弱性赋值 计算和分析各评估项的安全风险; 对评估项中包含多个评估要点的,可分别按评估要点进行评估与赋值,也可按评估项进行评估 与赋值。按评估项进行评估时,需要把各个评估要点的得分进行汇总后再计算
2层面脆弱性评估与赋价
在单项脆弱性评估基础上,对信息系统在管理(包括安全管理制度、安全管理机构、人员安全管理、 信息系统安全管理、安全工作机制)和技术(包括总体防护体系、物理安全、边界安全、网络 安全、应用安全、数据安全、主机安全、终端安全)两方面共13个层面的脆弱性进行评估与 赋值,具体方法如下:
a)如果该层面有基本项且有任一基本项未得分,则该层面脆弱性赋值为“很高”,否则按以下b)~ e)进行评估与赋值; 6 按照8.4.1a)条,给出各评估项实际得分后,分别统计其在安全管理制度、安全管理机构、人 员安全管理、信息系统安全管理、安全工作机制、总体防护体系、物理安全、边界安全、网络 安全、应用安全、数据安全、主机安全、终端安全各个层面的总得分; 按照公式(2)分别计算出各层面的得分率:
式中: Rlayer 各层面得分率; QLa一 被评估系统在该层面的实际得分; OLS 该层面全部符合要求的最高分值
Rlayer: QLa ×100% OLs
表2各层面标准分值及权重
表3总体防护体系层面脆弱性赋值标准
表4其它层面脆弱性赋值标准
)按照GB31509一一2015给出的风险计算方法,根据识别出的资产、威助和各层面胞弱性赋 计算和分析各层面的安全风险
8.4.3系统整体脆弱性评估与赋值
a) 如果附录A中任一基本项未得分,则系统整体脆弱性赋值为“很高”,否则按以下b)~c) 行评估与赋值 b) 利用8.4.2c)计算出的系统各层面得分率,按照公式(3)计算系统的整体得分率:
Rsystem=l (Rli x Wi)
式中: Rsystem 系统整体得分率: Rli 系统在安全管理制度、安全管理机构、人员安全管理、信息系统安全管理、安全工作 机制、总体防护体系、物理安全、边界安全、网络安全、应用安全、数据安全、主机 安全、终端安全等13个层面的得分率; Wi一一为各层面的权重(见表2“权重”列)。 c)对照表5给出系统的整体脆弱性赋值和安全性评价
表5系统整体脆弱性赋值和评价标准
Q/GDW15962015
O/GDW15962015
管理脆弱性评估(200分
A.1.1安全管理制度脆弱性评估(15分)
附录A (规范性附录) 公司信息系统脆弱性评估表
表A.1安全管理制度脆弱性评估
A.1.2安全管理机构脆弱性评估(15分)
表A.2安全管理机构脆弱性评估
Q/GDW15962015
Q/GDW15962015
A.1.5安全工作机制脆弱性评估(50分)
A.1.5安全工作机制脆弱性评估(50分)
表A.5安全工作机制脆弱性评估
Q/GDW15962015
Q/GDW15962015
A.2技术脆弱性评估(250分)
A.2.1总体防护体系脆弱性(30分)
工业标准表A.6总体防护体系脆弱性评估
A.7物理安全脆弱性评估
A.2.3边界安全脆弱性评估(25分)
表A.8边界安全脆弱性评估
A.2.4网络安全脆弱性评估(25分)
表A.9网络安全脆弱性评估
A.2.5应用安全脆弱性评估(50分)
表A.10应用安全脆弱性评估
排水管道标准规范范本表A.11数据安全脆弱性评估
....- 国家标准 家电标准
- 相关专题: 国家电网