1.1信息系统安全服务
1.1.1 服务范围和服务内容
本次服务范围为 XXX 信息系统硬件及应用系统,主要包括计算机终端、打印
机、服务器、存储设备、网络(安全)设备以及应用系统。服务内容包括日常运
维服务(驻场服务)、专业安全服务、信息化建设咨询服务等。
1.1.2 服务目标
保障软硬件的稳定性和可靠性;
保障软硬件的安全性和可恢复性;
故障的及时响应与修复;
硬件设备的维修服务;
人员的技术培训服务;
信息化建设规划、方案制定等咨询服务。
1.1.3 服务内容
1.1.3.1 风险评估
风险评估的目的是了解和控制运行过程中的信息系统安全风险,运维阶段的
风险评估是一种较为全面的风险评估。评估内容包括对真实运行的信息系统、资
产、威胁、脆弱性等各方面。
(1)资产评估:对真实环境下较为细致的评估,包括实施阶段采购的软硬
件资产、系统运行过程中生成的信息资产、相关的人员与服务等。本阶段资产识
别是前期资产识别的补充与增加;
(2)威胁评估:真实环境中的威胁分析,应全面地评估威胁的可能性和影
响程度。对非故意威胁产生安全事件的评估可以参照事故发生率;对故意威胁主
要由评估人员就威胁的各个影响因素做出专业判断;同时考虑已有控制措施;
(3)脆弱性评估:全面的脆弱性评估。包括运行环境下物理、网络、系统、
应用、安全保障设备、管理的脆弱性。对于技术的脆弱性评估采取核查、扫描、
评论0
最新资源