中科园智能网络系统有限责任公司
信息系统风险评估作业指导书
1、 作业目的
信息系统风险评估作业是我公司的主要服务内容之一,其目的是
通过发现客户系统中的安全风险和威胁,对客户系统进行真实、可靠的
安全评估,为客户信息系统的安全整改提供依据和建议,从而帮助客户
切实改进自身信息系统,使客户系统顺利达到相关安全接入标准。
2、 作业范围
信息系统风险评估作业的范围主要包括:
2.1 信息系统用户访问
针对信息系统的风险评估作业的主要依据和方法是对信息系统的用
户访问,通过访问发现系统资产的重要性、操作方法、业务流程、依赖
程度、受攻击情况、安全管理制度、人员管理制度、管理机构设置以及
管理状况等等。
2.2 信息系统现场勘察
针对信息系统的现场勘察作业,可以发现系统的物理安全环境、实
际拓扑结构以及实际的管理状况,并可通过现场勘察验证资产信息和配
置状况。对于内网系统,现场勘察过程中也可进行