如何做好风险评估工作涉及方面众多,计划采取资料分析、人员访谈、现场查看三种主要的调研方式,以下为需了解的主要内容纲要: 1、数据中心系统所涉及到的局域网网络结构。 希望了解数据中心应用系统所依托的机房、网络拓扑等信息,最主要是希望了解完整、真实、准确的网络拓扑图,其中包括主要的网络、主机、安全等设备部署信息,以及少数的网络配置信息(如链路保护方面)。 2、数据中心系统的局域网安全设备部署情况。 希望了解数据中心在信息安全方面所采取的安全措施,包括网络安全设备、主机安全等方面的使用情况,最好能结合网络拓扑图对设备位置予以标注。 3、数据中心应用系统的部署情况。 希望了解数据中心应用系统的物理部署信息,如服务器、存储、终端等部署信息,最好能提供应用系统逻辑连接图,如服务器之间的连接方式、连接对象等信息。 4、数据中心应用系统的相关方信息。 希望了解数据中心应用系统所涉及到的所有相关方的情况,如用户、关联系统、对外服务系统、管理员等信息。 5、数据中心应用系统的业务需求、业务活动情况。 希望了解数据中心应用系统的业务背景和主要的业务活动情况,便于理解数据中心应用系统是如何为相关方提供服务的,以及这些业务活动的重要性。一般采用业务用例或业务流程图的方式来描述。 6、数据中心应用系统业务数据定义和处理情况。 希望了解数据中心应用系统所产生、处理、传输和存储的业务数据情况,包括数据的性质、类别、介质等信息,最好能结合业务活动予以标注,便于理解业务数据内涵的安全需求。 7、数据中心应用系统敏感信息定义原则与数据对象。 希望了解数据中心应用系统内的哪些数据属于敏感信息,在数据中心应用系统范畴内的划分原则,以及被划分为敏感信息的数据对象情况。 8、数据中心应用系统业务数据的属性与安全需求。 希望了解数据中心应用系统内的业务数据的业务目标以及它们的信息安全需求情况,尤其是属于敏感信息的业务数据面临信息泄露的损失情况。 9、数据中心应用系统需求规格与软件安全设计情况。 希望了解数据中心应用系统的软件开发需求,尤为重要的是涉及到信息安全方面的设计情况,如身份认证、授权、审计、传输保护、密码密钥管理等关键设计信息。 10、数据中心应用系统安全保护措施情况。 希望了解数据中心应用系统各个方面已经采取的信息安全保护措施,如操作系统安全、数据库安全、网络访问控制等具体措施的部署情况。 11、数据中心应用系统运行管理规范与运行情况。 希望数据中心应用系统运行管理的相关制度、规范,以及日常运行维护的情况。 12、数据部的组织结构、职责与管理制度。 希望了解数据部的组织结构、岗位职责,以及相关的基础管理制度,便于理解试点应用系统安全管理各个环节相应的情况。
|