首页专业服务新闻中心成功案例标准法规互动下载关于我们
当前位置: 首页>>成功案例>>评估业务>>正文
 
陕西省住房保障信息系统信息安全风险评估服务项目
2014-08-18 14:14     (浏览次数:)

一、项目背景

授陕西省住房保障中心委托,测评中心于2014年6月-8月,开展全省住房保障信息平台风险评估工作。采用召开会议、查阅资料、发放问卷、工具扫描、实地测评等方式,对省级和市(区)级节点进行现场评估,对县(区)、街道(镇)、社区级节点进行全面终端设备扫描,同时,每市随机选取2个县(区)开展抽样评估。测评内容主要包括安全管理(安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理5个部分)和技术防范(物理安全、网络安全、主机及应用安全、终端安全4个部分)两方面的内容。 

通过本次信息系统安全测评,旨在查找全省住房保障信息系统和终端安全隐患,加强各信息系统的安全管理,有效防范核心业务系统,特别是保障房业务系统的风险,提高各部门人员信息安全意识,提升自身信息安全保障能力,确保核心业务系统顺利进行。 

二、安全需求

陕西省住房保障中心为保障全省核心业务信息化建设健康发展,全面落实信息安全要求, 陕西省住房保障中心在下述方面开展信息安全风险评估工作: 

(1)通过对陕西省住房保障中心全省核心网络设备、安全设备、主机、数据库等资产的风险评估,发现了其中潜在的信息安全隐患及信息化建设的不足。 

(2)通过风险评估,明确信息安全要求和信息安全水平的违规情况,针对性提出适用于陕西省住房保障中心发展及运维特点安全补足措施。 

(3)通过风险评估,为形成事前监控预警、事中防御控制、事后审查追溯的防护策略及持续改进的安全措施提供各阶段性风险评估辅助。 

三、方案设计

测评中心依据参考GB/T 20984-2007《信息安全技术信息安全风险评估规范》、ISO27001《信息安全风险评估指南》、GB/T 22239-2008《信息系统安全等级保护基本要求》等标准,通过专业工具和分析手段,从资产评估、脆弱性评估、安全措施有效性评估以及综合评估,识别出系统所存在的风险并提出针对性的风险控制规划措施,陕西省住房保障中心在如下方面完成风险评估: 

(1)网络安全技术架构评估针对陕西省住房保障中心核心网络进行评估,了解系统业务状况,分析网络架构设计中存在的问题,提出相应的改进建议。

(2)安全设备性能及策略评估根据陕西省住房保障中心网络结构、业务流程、安全策略等情况,评估安全策略配置与业务发展的符合性,发现安全设备配置问题,提出相应的改进建议。

(3)主机系统、数据库及终端安全策略评估针对陕西省住房保障中心各主机系统,检测和分析安全策略配置与业务发展的符合性,发现安全设备配置符合性,提出相应的改进建议。

(4)信息系统安全机制及策略评估针对陕西省住房保障中心核心业务系统和各地市核心业务系统,从身份鉴别、信息传输保密性完整性以及抵赖性方面分析系统安全防护能力,并提出可行的改进建议。

(5)安全管理制度评估针对陕西省住房保障中心信息安全管理制度,分析评估安全策略方针、安全管理制度是否符合其业务策略、安全记录文件完整性及落实情况,并提出改进建议。

四、项目意义

陕西省住房保障中心通过基于以上风险评估服务,为自身业务系统安全持续稳定运行、满足国家政策法规提供了额外的附加价值, 包括: 

(1)基于行业风险知识库,评估的风险更加充分并具有针对性。 

(2)基于核心业务风险评估,为陕西省住房保障中心全面识别IT组织规划、业务流程、信息系统及信息资产面的IT风险提供了参考。 

(3)结合IT运维管理与技术评估结果,使陕西省住房保障中心更加有效地识别安全隐患,通过建立针对于技术评估发现的技术风险的控制措施,真正将风险处理落到实处; 

(4)通过全面IT服务能力,帮助陕西省住房保障中心解决涵盖IT治理、IT服务管理及信息安全保护建设过程中各阶段性方面的问题。 

上一条:商洛市信息化基础资源综合服务平台风险评估项目
下一条:陕西省地税局信息系统安全测评项目
关闭窗口
 

 Copyright@2014 陕西省网络与信息安全测评中心版权所有   陕ICP备09018966号-1  地址:陕西省西安市高新区茶张路1号省信息化中心

 邮箱登陆   网站地图   电话:029-88319550   传真:029-88317698