中科园智能网络系统有限责任公司
信息系统风险评估作业指导书
1、 作业目的
信息系统风险评估作业是我公司的主要服务内容之一,其目的
是通过发现客户系统中的安全风险和威胁, 对客户系统进行真实、 可
靠的安全评估, 为客户信息系统的安全整改提供依据和建议, 从而帮
助客户切实改进自身信息系统, 使客户系统顺利达到相关安全接入标
准。
2、 作业范围
信息系统风险评估作业的范围主要包括:
2.1 信息系统用户访问
针对信息系统的风险评估作业的主要依据和方法是对信息系统
的用户访问,通过访问发现系统资产的重要性、 操作方法、业务流程、
依赖程度、受攻击情况、安全管理制度、人员管理制度、管理机构设
置以及管理状况等等。
2.2 信息系统现场勘察
针对信息系统的现场勘察作业,可以发现系统的物理安全环境、
实际拓扑结构以及实际的管理状况, 并可通过现场勘察验证资产信息
和配置状况。对于内网系统, 现场