信息安全风险评估服务

时间:2019-05-12 04:57:03下载本文作者:会员上传
简介:写写帮文库小编为你整理了多篇相关的《信息安全风险评估服务》,但愿对你工作学习有帮助,当然你在写写帮文库还可以找到更多《信息安全风险评估服务》。

第一篇:信息安全风险评估服务

1、风险评估概述

1.1风险评估概念

信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。

1.2风险评估相关

资产,任何对组织有价值的事物。

威胁,指可能对资产或组织造成损害的事故的潜在原因。例如,组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。

脆弱点,是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思,使用简短易被猜测的口令、操作系统本身有安全漏洞等。

风险,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害饿潜在可能性,即特定威胁事件发生的可能性与后果的结合。风险评估,对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。风险评估也称为风险分析,就是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的方法,去顶资产风险等级和优先控制顺序。

2、风险评估的发展现状

2.1信息安全风险评估在美国的发展

第一阶段(60-70年代)以计算机为对象的信息保密阶段

1067年11月到1970年2月,美国国防科学委员会委托兰德公司、迈特公司(MITIE)及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究,分析。作为第一次比较大规模的风险评估。特点:

仅重点针对了计算机系统的保密性问题提出要求,对安全的评估只限于保密性,且重点在于安全评估,对风险问题考虑不多。第二阶段(80-90年代)以计算机和网络为对象的信息系统安全保护阶段

评估对象多为产品,很少延拓至系统,婴儿在严格意义上扔不是全面的风险评估。

第三阶段(90年代末,21世纪初)以信息系统为对象的信息保障阶段

随着信息保障的研究的深入,保障对象明确为信息和信息系统;保障能力明确来源于技术、管理和人员三个方面;逐步形成了风险评估、自评估、认证认可的工作思路。2.2我国风险评估发展

● 2002年在863计划中首次规划了《系统安全风险分析和评估方法研究》课题

● 2003年8月至2010年在国信办直接指导下,组成了风险评估课题组

● 2004● 2005年,国家信息中心《风险评估指南》,《风险管理指南》 年全国风险评估试点

● 在试点和调研基础上,由国信办会同公安部,安全部,等起草了《关于开展信息安全风险评估工作的意见》征求意见稿

● 2006年,所有的部委和所有省市选择1-2单位开展本地风险评估试点工作

● 2015年,国家能源局根据《电力监控系统安全防护规定》(国家发展和改革委员会令2014年第14号)制定了《电力监控系统安全防护总体方案》(国能安全[2015]36号)等安全防护方案和评估方案,其中相关规定明确风险评估在电力系统中的需要

● 2017年7月,《中华人民共和国网络安全法》颁布,其中第二章第十七条“国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务”。明确了需要社会广泛参与服务。

3、风险评估要素关系模型

4、风险评估流程

● 确定资产评估范围 ● 资产的识别和影响 ● 威胁识别 ● 脆弱性评估 ● 威胁分析 ● 风险分析 ● 风险管理

5、风险评估原则

● 符合性原则 ● 标准性原则 ● 规范性原则

● 可控性原则 ● 保密性原则

● 整体性原则 ● 重点突出原则 ● 最小影响原则

6、评估依据的标准和规范

 GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》  《电力监控系统安全防护规定》(发改委14号令)

 《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》(国能安全[2015]36号)

 GB/T 18336-2001 《信息技术 安全技术 信息技术安全性评估准则》

 ISO/IEC 27001:2005《信息安全管理体系标准》

 GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》

 GB/T 22240-2008 《信息安全技术 信息系统安全等级保护定级指南》

 GB/T 25058-2010 《信息安全技术 信息系统安全等级保护实施指南》

 《电力行业信息安全等级保护基本要求》(电监信息[2012]62号) 《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息[2007]34号)

 《电力行业信息系统等级保护定级工作指导意见》(电监信息[2007]44号)

7、风险评估的发展方向

8.1风险评估行业发展方向

从2003年7月至今,我国信息安全风险评估工作大致经历了三个阶段,即调查研究阶段、标准编制阶段和试点工作阶段。

历时两年、经过调查研究、标准编制和试点工作三个阶段,目前,我国信息安全风险评估工作已取得阶段性的成果,此间也是《关于开展信息安全风险评估工作的意见》政策文件,以及《信息安全风险评估指南》和《信息安全风险管理指南》两项标准历经酝酿、形成到不断完善的三个时期。

信息安全风险是人为或自然的威胁利用系统存在的脆弱性引发的安全事件,并由于受损信息资产的重要性而对机构造成的影响。而信息安全风险评估,则是指依据国家风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。通过对信息及信息系统的重要性、面临的威胁、其自身的脆弱性以及已采取安全措施有效性的分析,判断脆弱性被威胁源利用后可能发生的安全事件以及其所造成的负面影响程度来识别信息安全的安全风险。

信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制。没有准确及时的风险评估,将使得各个机构无法对其信息安全的状况做出准确的判断。所以,所谓安全的信息系统,实际是指信息系统在实施了风险评估并做出风险控制后,仍然存在可被接受的残余风险的信息系统。因此,需要运用信息安全风险评估的思想和规范,对信息系统展开全面、完整的信息安全风险评估。

信息安全风险评估在信息安全保障体系建设中具有不可替代的地位和重要作用。风险评估既是实施信息系统安全等级保护的前提,又是信息系统安全建设和安全管理的基础工作。通过风险评估,能及早发现和解决问题,防患于未然。当前,尤其迫切需要对我国信息化发展过程中形成的基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统进行持续的风险评估,随时掌握我国重要信息系统和基础信息网络的安全状态,及时采取有针对性的应对措施,为建立全方位的国家信息安全保障体系提供服务。通过风险评估可以有助于认清信息安全环境和信息安全状况,明确信息化建设中各级的责任,采取或完善更加经济有效的安全保障措施,保证信息安全策略的一致性和持续性,并进而服务于国家信息化发展,促进信息安全保障体系的建设,全面提高信息安全保障能力。其意义具体体现在于:风险评估是信息安全建设和管理的关键环节,它是需求主导和突出重点原则的具体体现,是分析确定风险的过程,加强风险评估工作是信息安全工作的客观需要。

国家信息安全风险评估政策文件和标准的即将出台与颁布将为我国信息安全风险评估工作的开展提供科学的政策和技术依据。相信在未来,我国信息安全风险评估的政策思路、标准规范、实践经验将会有进一步提升。

8.2公司自身的发展方向

就当前公司而言,最紧要的是对于信息安全风险评估资质的申请,和人员技术的培训。依托现有的省公司调度自动化处的合作,促进与新型能源企事业合作,大力开展光伏电站入网前的安全防护检查与检测,同时拓展到风电、水电和火电的并网后的定期检查。在这个方面,我司现在的业务水平尚有欠缺,技术方面还有不足。因此现在在面临这行业蓬勃发展的前提下,我们要在资质和技术上双管齐下。另外,在正式介入这个行业后,我们不能只局限于和电厂的合作,更应该面向整个社会,提高社会参与度。据河南同样类型的企业,其在2017年一月至2017年七月营业额同比增长200%。在当前情况下信息安全风险评估无疑是巨大的一块蛋糕。越来越多的企业都在信息化、网络化,意味着这块蛋糕的体积还在不断地增加。所以我们应该把握时机。充分利用已有的资源,抢占市场,占据优势地位。

第二篇:信息安全风险评估管理办法

信息安全风险评估管理办法

第一章 总 则

第一条 为规范信息安全风险评估(以下简称“风险评估”)及其管理活动,保障信息系统安全,依据国家有关规定,结合本省实际,制定本办法。

第二条 本省行政区域内信息系统风险评估及其管理活动,适用本办法。

第三条 本办法所称信息系统,是指由计算机、信息网络及其配套的设施、设备构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。

本办法所称重要信息系统,是指履行经济调节、市场监管、社会管理和公共服务职能的信息系统。

本办法所称风险评估,是指依据有关信息安全技术与管理标准,对信息网络和信息系统及由其存储、传输、处理的信息的保密性、完整性和可用性等安全属性进行评价的活动。第四条 县以上信息化主管部门负责本行政区域内风险评估的组织、指导和监督、检查。

跨省或者全国统一联网运行的重要信息系统的风险评估,可以由其行业管理部门统一组织实施。

涉密信息系统的风险评估,由国家保密部门按照有关法律、法规规定实施。第五条 风险评估分为自评估和检查评估两种形式。自评估由信息系统的建设、运营或者使用单位自主开展。检查评估由县以上信息化主管部门在本行政区域内依法开展,也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行,双方实行互备案制度。第二章 组织与实施

第六条 信息化主管部门应当定期发布本行政区域内重要信息系统目录,制定检查评估实施计划,并对重要信息系统管理技术人员开展相关培训。

第七条 江苏省信息安全测评中心为本省从事信息安全测评的专门机构,受省信息化主管部门委托,具体负责对从事风险评估服务的社会机构进行条件审核、业务管理和人员培训,组织开展全省重要信息系统的外部安全测试。第八条 信息系统的建设、运营或者使用单位可以依托本单位技术力量,或者委托符合条件的风险评估服务机构进行自评估。

第九条 重要信息系统新建、扩建或者改建的,在设计、验收、运行维护阶段,均应当进行自评估。重要信息系统废弃、发生重大变更或者安全状况发生重大变化的,应当及时进行自评估。

第十条 本省行政区域内信息系统应当定期开展风险评估,其中重要信息系统应当至少每三年进行一次自评估或检查评估。在规定期限内已进行检查评估的重要信息系统,可以不再进行自评估。

第十一条 县以上信息化主管部门委托符合条件的风险评估服务机构,对本行政区域内重要信息系统实施检查评估。第十二条信息系统的建设、运营或使用单位委托风险评估服务机构开展自评估,应当签订风险评估协议;信息化主管部门委托开展检查评估,受委托的风险评估服务机构应当与被评估单位签订风险评估协议。

对于评估活动可能影响信息系统正常运行的,风险评估服务机构应当事先告知被评估单位,并协助其采取相应的预防措施。

第十三条 风险评估应当出具评估报告。评估报告应当包括评估范围、内容、依据、结论和整改建议等。

风险评估服务机构出具的自评估报告,应当经被评估单位认可,并经双方部门负责人签署后生效。

风险评估服务机构出具的检查评估报告,应当报委托其开展评估的主管部门审定;主管部门应当自收到评估报告之日起10个工作日内,将审定结果和整改意见告知被评估单位。第十四条 自评估单位应当根据自评估报告进行整改,并自报告生效之日起30日内,将自评估情况和整改方案报本级信息化主管部门备案。

接受检查评估的单位应当自收到检查评估报告之日起30日内,根据整改建议提出整改方案、明确整改时限,报本级信息化主管部门备案。

受委托进行风险评估的服务机构应当指导被评估单位开展整改,并对整改措施的有效性进行验证。第十五条 信息化主管部门应当定期公布已开展自评估、检查评估单位备案名单,督促未备案单位开展自评估。

第十六条 未发生重大变更的重要信息系统再次进行风险评估的,可以参考前次评估结果,重点评估以下内容:

(一)前次风险评估发现的主要问题及整改情况;

(二)核心网络设备、服务器、安全防护设施、应用软件等系统关键部位发生局部变更后,可能出现的安全隐患;

(三)新的信息技术可能对信息系统安全造成的影响;

(四)其他需要重点评估的内容。第三章 风险评估机构

第十七条 在本省行政区域内从事自评估服务的社会机构,应当具备下列条件,并报经其所在地省辖市信息化主管部门备案:

(一)依法在中国境内注册成立并在本省设有机构,由中国公民、法人投资或者由其它组织投资;

(二)从事信息安全检测、评估相关业务两年以上,无违法记录;

(三)专业评估人员不少于10人且均为中国公民,接受并通过相关培训考核,无违法记录;其中主要评估人员2人以上,具有由国家权威机构认定的或由其它机构认定的相当水平的信息安全服务资格,具备独立实施风险评估的技术能力;

(四)评估使用的技术装备、设施符合国家信息安全产品要求;

(五)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等内部管理制度;

(六)法律法规规定的其它条件。

第十八条 在本省从事检查评估的社会机构,除具备第十七条规定条件外,还应当同时具备下列条件,并经其所在地省辖市信息化主管部门审核后,报省信息化主管部门备案:

(一)具有国家权威机构认定的信息安全服务资质;

(二)评估人员不少于20人,其中主要评估人员4人以上,具有国家权威机构认定的或由其它机构认定的相当水平的信息安全服务资格。

第十九条 省辖市以上信息化主管部门应当自收到备案申请报告之日起10个工作日内,告知备案结果,并定期向社会公布本行政区域内风险评估服务机构备案名单,对其服务进行管理、监督。

第二十条 从事风险评估服务的机构,应当履行下列义务:

(一)遵守国家有关法律法规和技术标准,提供科学、安全、客观、公正的评估服务,保证评估的质量和效果;

(二)保守在评估活动中知悉的国家秘密、商业秘密和个人隐私,防范安全风险,不得私自占有、使用或向第三方泄露相关技术数据、业务资料等信息和资源;

(三)对服务人员进行安全保密教育,签订服务人员安全保密责任书,并负责检查落实。第四章 监督管理

第二十一条 违反本办法,有以下行为之一的,由信息化主管部门责令其限期改正,逾期不改正的,予以通报;对直接责任人员,由所在单位或上级主管部门视情给予行政处分:

(一)违反第九条、第十条规定,信息系统的建设、运营或者使用单位未按照规定开展自评估;重要信息系统的建设、运营或者使用单位不接受、不配合开展检查评估的;

(二)违反第十四条规定,自评估单位未按照规定将自评估情况和整改方案、接受检查评估单位未按照规定将整改方案报本级信息化主管部门备案的;

(三)违反第八条规定,信息系统的建设、运营或者使用单位委托不符合条件的机构进行风险评估,并造成不良后果的。第二十二条 违反本办法第十二条规定,风险评估服务机构未事先告知被评估单位、协助其采取预防措施的,由信息化主管部门责令限期改正,并给予警告;造成不良后果的,可视情暂停其备案1年,直至取消其备案。

第二十三条 违反本办法第二十条规定,风险评估服务机构未经许可向第三方提供被评估单位相关信息的,或者从事影响评估客观、公正的活动的,由信息化主管部门视情暂停其备案一年,直至取消其备案。造成被评估单位经济损失的,应予合理赔偿;从中不当获利的,应予退还;构成犯罪的,应依法追究其刑事责任。

第二十四条 信息化主管部门或其他有关部门工作人员有下列行为之一的,由其监察部门或上级主管部门视情对相关责任人员给予行政处分;构成犯罪的,依法追究刑事责任:

(一)利用职权索取、收受贿赂,或者玩忽职守、滥用职权的;

(二)泄露信息系统的运营、使用单位或者个人的有关信息、资料及数据文件的。第五章 附 则

第二十五条 本办法自发布之日起施行,由省信息化主管部门负责解释。

第三篇:信息安全风险评估项目流程

信息安全风险评估项目流程

一、售前方案阶段

1.1、工作说明

技术部配合项目销售经理(以下简称销售)根据客户需求制定项目解决方案,客户认可后,销售与客户签订合同协议,同时向技术部派发项目工单(项目实施使用)1.2、输出文档

《XXX项目XXX解决方案》

输出文档(电子版、纸质版)交付销售助理保管,电子版抄送技术部助理。1.3、注意事项

 销售需派发内部工单(售前技术支持) 输出文档均一式三份(下同)

二、派发项目工单

2.1、工作说明

销售谈下项目后向技术部派发项目工单,技术部成立项目小组,指定项目实施经理和实施人员。

三、项目启动会议

3.1、工作说明

 销售和项目经理与甲方召开项目启动会议,确定各自接口负责人。

 要求甲方按合同范围提供《资产表》,确定扫描评估范围、人工评估范围和渗透测试范围。

 请甲方给所有资产赋值(双方确认资产赋值) 请甲方指定安全评估调查(访谈)人员 3.2、输出文档

《XXX项目启动会议记要》

客户提交《信息资产表》、《网络拓扑图》,由项目小组暂时保管,以供项目实施使用 3.3、注意事项

 资产数量正负不超过15%;给资产编排序号,以方便事后检查。

 给人工评估资产做标记,以方便事后检查。 资产值是评估报告的重要数据。 销售跟客户沟通,为项目小组提供信息资产表及拓扑图,以便项目小组分析制定项目计划使用。

四、项目前期准备

4.1、工作说明

 准备项目实施PPT,人工评估原始文档(对象评估文档),扫描工具、渗透测试工具、保密协议和授权书

 项目小组与销售根据项目内容和范围制定项目实施计划。4.2、输出文档

《XXX项目实施PPT》 《XXX项目人工访谈原始文档》 《XXX项目保密协议》 《XXX项目XXX授权书》 4.3、注意事项

 如无资产表和拓扑图需到现场调查后再制定项目实施计划和工作进度安排。

 项目实施小组与客户约定进场时间。

 保密协议和授权书均需双方负责人签字并加盖公章。 保密协议需项目双方参与人员签字

五、驻场实施会议

5.1、工作说明

项目小组进场与甲方召开项目实施会议(项目实施PPT),确定评估对象和范围(主机、设备、应用、管理等)、实施周期(工作进度安排),双方各自提出自身要求,项目小组要求甲方提供办公场地、打印机、接入网络等项目必备环境。与甲方签订评估保密协议、授权书(漏洞扫描、人工评估、渗透测试等)。实施过程中需甲方人员陪同。

5.2、输出文档

《XXX项目驻场实施会议记要》 5.3、注意事项

如前期未准备资产表与拓扑图,在此阶段项目小组进行调查(视情况是否另收费)。

六、现场实施阶段

6.1、工作说明

 按照工作计划和被评估对象安排实施进度。 主要工作内容  漏洞扫描(主机、应用、数据库等) 人工评估(主机、应用、数据库、设备等) 渗透测试(主机、应用等)

 项目实施经理做好会议记要和日报,项目实施成员保留所有原始文档并妥善存档。

 现场实施部分完成后,双方召开阶段性总结会议(如甲方有需求可对项目实施过程中发现的问题进行简要总结,输出简要总结报告)

6.2、输出文档

《XXX项目XXX人工评估过程文档》 《XXX项目XXX漏洞扫描过程文档》 《XXX项目XXX渗透测试过程文档》 《XXX项目工作日报》 《XXX项目会议记要》 6.3、注意事项

 若遇到协调问题,双方负责人协调解决

 实施过程中如出现计划外问题,以会议形式商讨解决  日报需项目双方负责人签字确认

七、静态评估阶段

7.1、工作说明

 与甲方商定评估报告输出周期和报告内容

 项目小组依据评估结果分工进行报告输出、整理汇总,准备项目总结PPT和整改建议(如客户要求则输出整体加固解决方案),完成后提交公司项目质量评审小组审核,审核通过后提交客户。经客户认可后输出纸质文档。

7.2、输出文档

《XXX项目XXX人工评估报告》 《XXX项目XXX漏洞扫描报告》 《XXX项目XXX渗透测试报告》 《XXX项目安全评估综合报告》

《XXX项目整改建议书(整体加固解决方案)》 《XXX项目总结》(PPT)7.3、注意事项

 依据公司文档标准化体系输出文档(电子版输出PDF格式) 统计数据要求完整、准确无误;  解决方案与销售讨论后输出文档。

 项目实施人员对每份输出文档签字,预留甲方接口人员签字位。

八、评估阶段验收

8.1、工作说明

项目实施经理和销售与甲方召开项目验收会议,讲解项目实施中发现的风险、隐患和威胁,与客户讨论解决方法(视项目情况而定),双方验收项目成果(输出的报告),对输出报告签字确认,并签订项目验收成果书。客户如有需求,则对评估中发现的风险、隐患进行加固实施。8.2、输出文档

《XXX项目验收成果书》 《XXX项目会议记要》

九、安全加固实施

9.1、工作说明

安全加固参考安全加固项目流程 9.2、输出文档

《XXX项目整体安全加固方案》 《XXX项目XXX安全加固方案》 《会议记要》 《工作日报》 9.3、注意事项

项目实施双方对加固过程文档(纸质)签字确认

十、安全加固验收

10.1、工作说明

针对已加固对象进行再次风险评估,输出评估结果报告。10.2、输出文档

《XXX项目安全加固验收报告》 10.3、注意事项

项目双方对验收成果签字确认

十一、项目总结会议

对本次风险评估、安全加固过程中遇到的问题进行总结,并对遗留问题进行建议。

输出文档:《会议记要》

第四篇:安全风险评估

公路桥梁和隧道工程施工风险

来源:交通运输部

作者:

日期:11-05-17

各省、自治区、直辖市、新疆生产建设兵团交通运输厅(局、委),天津市市政公路管理局,天津市、上海市交通运输和港口管理局:

为加强公路桥梁和隧道工程施工安全管理,优化施工组织方案,提高施工现场安全预控有效性,经研究,决定在施工阶段实行公路桥梁和隧道工程安全风险评估制度。现将有关事项通知如下:

一、目的与适用范围

(一)公路桥梁和隧道工程施工环境条件复杂,施工组织实施困难,作业安全风险居高不下,一直以来是行业安全监管的重点环节。在施工阶段建立安全风险评估制度符合国际通行做法。在工程实施前,开展定性或定量的施工安全风险估测,能够增强安全风险意识,改进施工措施,规范预案预警预控管理,有效降低施工风险,严防重特大事故发生。这项工作也是公路桥梁和隧道工程设计风险评估结果在施工阶段的落实和深化。

(二)列入国家和地方基本建设计划的新建、改建、扩建以及拆除、加固等高等级公路桥梁和隧道工程项目,在施工阶段,应按本通知要求,进行施工安全风险评估。其他公路工程项目,可参照执行。

二、评估范围

公路桥梁和隧道工程施工安全风险评估范围,可由各地根据工程建设条件、技术复杂程度和施工管理模式,以及当地工程建设经验,并参考以下标准确定。

(一)桥梁工程。

1.多跨或跨径大于40m的石拱桥,跨径大于或等于150m的钢筋混凝土拱桥,跨径大于或等于350m的钢箱拱桥,钢桁架、钢管混凝土拱桥;

2.跨径大于或等于140m的梁式桥,跨径大于400m的斜拉桥,跨径大于1000m的悬索桥;

3.墩高或净空大于100m的桥梁工程;

4.采用新材料、新结构、新工艺、新技术的特大桥、大桥工程;

5.特殊桥型或特殊结构桥梁的拆除或加固工程;

6.施工环境复杂、施工工艺复杂的其他桥梁工程。

(二)隧道工程。

1.穿越高地应力区、岩溶发育区、区域地质构造、煤系地层、采空区等工程地质或水文地质条件复杂的隧道,黄土地区、水下或海底隧道工程;

2.浅埋、偏压、大跨度、变化断面等结构受力复杂的隧道工程;

3.长度3000m及以上的隧道工程,VI、V级围岩连续长度超过50m或合计长度占隧道全长的30%及以上的隧道工程;

4.连拱隧道和小净距隧道工程;

5.采用新技术、新材料、新设备、新工艺的隧道工程;

6.隧道改扩建工程;

7.施工环境复杂、施工工艺复杂的其他隧道工程。

三、评估方法

(一)公路桥梁和隧道工程施工安全风险评估分为总体风险评估和专项风险评估。

1.总体风险评估。桥梁或隧道工程开工前,根据桥梁或隧道工程的地质环境条件、建设规模、结构特点等孕险环境与致险因子,估测桥梁或隧道工程施工期间的整体安全风险大小,确定其静态条件下的安全风险等级。

2.专项风险评估。当桥梁或隧道工程总体风险评估等级达到Ⅲ级(高度风险)及以上时,将其中高风险的施工作业活动(或施工区段)作为评估对象,根据其作业风险特点以及类似工程事故情况,进行风险源普查,并针对其中的重大风险源进行量化估测,提出相应的风险控制措施。

(二)评估方法应根据被评估项目的工程特点,选择相应的定性或定量的风险评估方法。具体评估方法的选择,可参照《公路桥梁和隧道工程施工安全风险评估指南(试行)》(见附件)。

四、评估步骤

公路桥梁和隧道工程施工安全风险评估工作包括制定评估计划、选择评估方法、开展风险分析、进行风险估测、确定风险等级、提出措施建议、编制评估报告等方面。评估步骤一般为:

(一)开展总体风险评估。根据设计阶段风险评估结果(若有),以及类似结构工程安全事故情况,用定性与定量相结合的方法初步分析本项目孕险环境与致险因子,估测施工中发生重大事故的可能性,确定项目总体风险等级。

(二)确定专项风险评估范围。总体风险评估等级达到Ⅲ级(高度风险)及以上桥梁或隧道工程,应进行专项风险评估。其他风险等级的桥梁或隧道工程可视情况开展专项风险评估。

(三)开展专项风险评估。通过对施工作业活动(施工区段)中的风险源普查,在分析物的不安全状态、人的不安全行为的基础上,确定重大风险源和一般风险源。宜采用指标体系法等定量评估方法,对重大风险源发生事故的概率及损失进行分析,评估其发生重大事故的可能性与严重程度,对照相关风险等级标准,确定专项风险等级。

(四)确定风险控制措施。根据风险接受准则的相关规定,对专项风险等级在Ⅲ级(高度风险)及以上的施工作业活动(施工区段),应明确重大风险源的监测、控制、预警措施以及应急预案。其他风险等级的桥梁、隧道工程可根据工程实际情况,按照成本效益原则确定相应的风险控制措施。

五、评估组织与评估报告

(一)公路桥梁和隧道工程施工安全风险评估工作原则上由项目施工单位具体负责。当被评估项目含多个合同段时,总体风险评估应由建设单位牵头组织,专项风险评估工作仍由合同施工单位具体实施。

当施工单位的施工经验或能力不足时,可委托行业内安全评估机构承担相关风险评估工作。

(二)评估工作负责人应当具有5年以上的工程管理经验,并有参与类似工程施工的经历。

(三)风险评估工作应形成评估报告。评估报告应反映风险评估过程的主要工作。报告内容应包括评估依据、工程概况、评估方法、评估步骤、评估内容、评估结论及对策建议等。评估结论应当明确风险等级、可能发生事故的关键部位、区域或节点、事故可能性等级、规避或者降低风险的建议措施等内容。

六、实施要求

(一)施工单位应根据风险评估结论,完善施工组织设计和危险性较大工程专项施工方案,制定相应的专项应急预案,对项目施工过程实施预警预控。专项风险等级在Ⅲ级(高度风险)及以上的施工作业活动(施工区段)的风险控制,还应符合下列规定:

1.重大风险源的监控与防治措施、应急预案经施工企业技术负责人和项目总监理工程师审批后,由建设单位组织论证或复评估。

2.施工单位应建立重大风险源的监测及验收、日常巡查、定期报告等工作制度,并组织实施。

3.施工项目经理或技术负责人在工程施工前应对施工人员进行安全技术教育与交底;施工现场应设立相应的危险告知牌。

4.适时组织对典型重大风险源的应急救援演练。

5.当专项风险等级为Ⅳ级(极高风险)且无法降低时,必须提高现场防护标准,落实应急处置措施,视情况开展第三方施工监测;未采取有效措施的,不得施工。

(二)监理单位在审查工程施工组织设计文件、危险性较大工程专项施工方案、应急预案时,应同时审查施工安全风险评估报告;无风险评估报告,不得签发开工令。

工程开工后,监理单位应督查施工单位安全风险控制措施的落实情况,并予以记录。对施工中存在的重大隐患应及时指出并督促整改,对施工单位拒不整改的,应及时向建设单位及公路工程安全生产监督管理部门报告。

(三)风险评估报告经监理单位审核后应向建设单位报备。建设单位应对极高风险(Ⅳ级)的施工作业,组织专家或安全评估机构进行论证或复评估,提出降低风险的措施建议;当风险无法降低时,应及时调整设计、施工方案,并向公路工程安全生产监督管理部门备案。

(四)各级交通运输主管部门在履行施工安全监督检查职责时,应将施工安全风险评估实施情况纳入检查范围。对极高风险(Ⅳ级)的施工作业应切实加强重点督查。

(五)公路桥梁和隧道工程施工安全风险评估应遵循动态管理的原则,当工程设计方案、施工方案、工程地质、水文地质、施工队伍等发生重大变化时,应重新进行风险评估。

(六)施工安全风险评估工作费用应在项目安全生产费用中列支。

(七)鉴于此项工作是施工安全预控管理的一项新措施,各地均无成熟经验和做法,部将专门组织对施工、监理、建设、咨询、质监等单位的人员开展培训工作,请各地组织有关人员参加。培训工作将另行通知。

(八)施工阶段公路桥梁和隧道工程安全风险评估制度及《公路桥梁和隧道工程施工安全风险评估指南(试行)》,自2011年8月1日起施行。

各省级交通运输主管部门要高度重视,加强领导,结合本地区和工程建设实际,认真组织开展公路桥梁和隧道工程施工安全风险评估,并将评估工作中发现的问题和建议及时函告部质监总站,以便对《指南》进行修订和完善。

中华人民共和国交通运输部(章)

二〇一一年五月五日

第五篇:浅谈基层税务机关信息安全风险评估工作

浅谈基层税务机关信息安全风险评估工作

夏林树

经过近几年来的发展,基层税务机关的信息安全风险评估工作取得了成效,初步解决了信息安全管理靠经验开展及盲目投资的问题,为信息安全等级管理提供了很好的支持。但当前的信息安全风险评估工作仍然存在一些不完善之处,制约其进一步的发展。如何正确认识信息安全风险评估工作,更好地发挥信息安全风险评估的作用。笔者根据多年基层信息工作的经历,对辖内基层税务机关开展信息安全风险评估工作的情况进行了调查,分析了目前存在的问题,并提出改进建议。

一、基层税务机关信息安全风险评估存在的主要问题

(一)对信息安全风险评估宣传不到位、认识不足、重视不够

一是开展信息安全风险评估的单位只是通过举办一些

风险评估讲座,进行风险评估理论、方法、技术和工具等专用知识的宣传,多数单位的信息安全风险评估宣传工作仍处于起步阶段。

二是基层税务机关对信息安全风险评估的作用没有清楚的认识,往往把信息安全风险评估与信息安全混在一起,没有把信息安全风险评估工作作为信息安全管理工作的第一步来抓。

三是基层税务机关受人力、物力、财力等限制,没有像重视信息安全工作一样,重视信息系统安全的前期工作——信息安全风险评估。四是没有把信息安全风险评估纳入信息安全系统的框架中。

(二)现有的信息安全风险评估指标分析体系和工作流程设计有欠缺

目前,基层税务机关信息安全风险评估制订的指标过

多,工作流程复杂且针对性不强。基层税务机关在开展风险评估时一般是根据上级机关的风险评估模板对应开展,由于上下级之间系统建设有部分不同,很多风险评估的指标难以对应。能对应上的指标由于基层税务机关的信息安全等级不同,也难以照搬照套上级行的风险评估指标和工作流程。基层税务机关在实际操作中往往采取变通或简化方式进行,信息安全风险评估失去了严肃性、科学性,造成评估的成果失真,效果差。

(三)信息安全风险评估缺少专业技术和管理人才

从基层单位的情况看,一是没有设置信息安全风险评估岗位,也没有专业评估人员。目前该岗位人员主要由信息人员担当,而绝大多数基层税务机关没有对信息人员很好地组织培训。信息安全风险评估是一项技术含量非常高的专业行为,信息人员难以担当从事信息安全风险评估专业人才的角色。二是信息安全风险评估基本上是由信息部门负责组织和

实施。但信息安全风险评估是一项综合性工作,不仅涉及到全行的业务信息系统,还涉及到全行各个方面的人力、物力、财力,仅靠信息部门进行组织协调,难以完成全面的信息安全风险评估工作。三是信息部门既是信息系统的建设者和管理者,又是安全风险的评估者,使得评估的结果不具备说服力。

(四)信息安全风险评估工具不足

一是基层行基本没有风险评估工具,只能借用上级机关的风险评估工具,而上级机关的风险评估工具也不多,多数只有漏洞扫描等简单的工具。二是针对基层税务机关的信息安全风险评估工具更是少之又少,发展滞后,很难对技术脆弱性这一块进行全面的评估或系统地分析网络与系统所面临的威胁及其存在的不足。

(五)难以聘请第三方公司进行信息安全风险评估

根据发达国家经验,税务机关一般采取聘请第三方评估公司的方式对本单位进行风险评估。但目前,基层税务机关还难以聘请第三方评估公司开展专业的信息安全风险评估。一是国内专业信息安全风险评估公司刚刚起步,规模较小,品牌意识弱,人员流动强,安全保密等问题又没有法律进行约束,基层税务机关担心聘请第三方信息安全风险评估若管理不好可能产生泄密风险。二是评估的价格过高,基层税务机关很难承担高昂的评估费用。

(六)创新项目信息安全风险评估不足

信息部门为配合业务的创新,充分利用科技为税收服务的理念,自主或外包开发了一些应用软件,为业务创新,减少工作人员的工作量做出了很大贡献。但在项目上马或验收时,往往缺少风险评估这一环节,对软件的风险没有一个完整的、系统的评估。

二、基层税务机关信息安全风险评估的建议

(一)加强宣传,提高对信息安全风险评估的认识。

随着税收信息化的发展,信息安全风险也随之提高,若仍采用传统的安全管理方式进行安全管理,势必造成很大的浪费,还难以提高风险管理的水平。因此,必须站在构建更高层次的风险管理角度,加大对风险管理体系建设宣传力度,使每一位员工充分认识到做好信息安全风险评估是防范税收风险的最基础性工作。没有正确的信息安全风险认识,就没有正确的信息安全风险管理。我们要把被动评估变成主动评估,使安全风险评估真正走到为风险管理提供决策支持的轨道上来。

(二)加强制度建设。

一是建立健全信息安全风险评估制度,保证风险评估工作开展有据可依。二是健全信息安全风险评估制度,明确评估者、建设者、使用者和管理者之间的关系及各自职责。三是细化信息安全风险评估制度,使信息系统安全风险评估在信息系统的规划、研发、建设、运行、维护、监控及退出的整个生命周期都能有效地开展。

(三)加强规划,科学制订评估标准。

基层税务机关应结合自身信息化建设的特点,将风险评估的工作流程、评估内容、评估方法和风险判断准则制订出统一的标准,为确立信息系统的安全等级提供判断标准。一是参照国家有关标准,对基层税务机关信息系统的信息资产、面临的威胁、自身的脆弱性和已有的安全措施进行分类和等级划分,并为这些要素各自不同的等级提供赋值方法。二是以可操作性和灵活性为原则,提供风险等级计算方法,让评估者将风险评估与等级保护工作有机地结合起来,完善等级安全保护。

(四)加强人员培训,提高评估人员的专业技能。

一是整合内部人力资源,加大培训力度,制订辖内统一的培训规划,编写培训教材,通过学习弥补知识缺陷,提高技术水平。二是实行互补型培训,将评估技术按专业进行分类,组织不同的技术人员分别进行培训,在较短的时间内培养出一支技术互补型的团队。三是合理使用社会资源,通过聘请富有经验的专家,学者,组成第三方评估机构。由第三方评估机构对一个基层单位进行评估,组织辖内的评估人员积极投身其中,通过学习和交流,不断积累评估工作经验,提高实际评估技术能力。四是对技术人员进行系统的认证培训,实行职业资格准入制度。

(五)加强创新,推动信息安全风险评估工作上一个新台阶。

税务机关面临的外来威胁大,种类多,手段多变,随着操作系统补丁日益频繁的发布,随着“零日攻击”的出现,最受黑客关注的税务行业如果仅采取常规的静态、风险评估,明显不能适应形势。一是扩大范围,将信息安全风险评估工作从运维阶段,推向信息工作的规划、研发、建设、运行、维护、监控及退出全程,全面真实地反映整个信息系统的安全。二是加大频度,在成熟的信息平台上,充分使用信息安全风险评估工具和计算机系统监控等自动化平台代替人工劳动,争取时时对信息系统进行风险监控,依托工具自动完成对数据的采集、整理、计算、分析和呈现。

下载信息安全风险评估服务word格式文档
下载信息安全风险评估服务.doc
将本文档下载到自己电脑,方便修改和收藏,请勿使用迅雷等下载。
点此处下载文档

文档为doc格式


声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:645879355@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。

相关范文推荐

    国家电网公司信息安全风险评估管理暂行办法

    国家电网公司信息安全风险评估 管理暂行办法 第一章 总 则 第一条 为加强和规范国家电网公司(以下简称公司)信息安全风险评估工作,加强公司信息安全的全过程动态管理,进一步提高......

    信息安全等级保护与风险评估5篇范文

    信息安全等级保护与风险评估 一、什么是信息安全? 目前常说的所谓信息主要是指在信息系统中存储、传输、处理的数字化信息。信息安全通常是指保证信息数据不受偶然的或者恶......

    运输安全风险评估★

    爱上绿茶【原创】 危险货物运输需要的各种安全制度 危险货物运输有关安全风险因素评价及控制措施 工作 2010-03-16 10:46:55 阅读230 评论0 字号:大中小 订阅 安全风险因素......

    6月份安全风险评估

    六月份部队安全工作提示 一、六月份安全工作预测 (一)部队管理工作存在不少问题。部分战士一日生活制度落实不严格,个人养成不够,请销假、晚点名、查铺查哨等制度落实不经常;人......

    安全风险评估报告(范文模版)

    安全风险评估报告 2017年8月 1 xx有限公司 XX有限公司文件 安(2017)19号 关于成立安全风险评估及应急资源调查小组的通知 公司各单位: 为了贯彻落实《中华人民共和国安全生产......

    安全风险评估报告

    凤翔县供电分公司 安全风险管理评价报告 一、风险控制效果评价范围及目的评审企业开展风险分析以来在生产、管理、服务、活动等所有过程中,危险源识别是否全面,是否有遗漏;风险......

    安全风险评估报告

    甘州区安阳乡王阜庄小学、幼儿园 2018春学期学校安全风险评估报告 一、评估对象 安阳乡王阜庄小学、王阜庄幼儿园全体师生人身安全,学校财产安全。 二、评估目的 1.本着对人民......

    安全风险评估报告(定稿)

    高新区安全风险评估报告 渭南臻诚科技有限责任公司 安全风险评估报告 2018年6月 前 言 2015年8月12日,天津港“8.12”瑞海公司危险品仓库特别重大火灾爆炸事故发生后,从国家层......