一、方案背景
随着信息技术的发展和电子政务信息化的深化,教育行业信息网络的建设也正方兴未艾,电子政务、远程教育教学、CMIS数据的同步、校园安防监控系统、远程视频会议系统等工作的开展在教育行业同步全面实施。如此庞大而又复杂的教育行业信息系统给教育界带来便利的同时,安全隐患也亟待解决。为了确保教育行业信息系统安全、可靠、有效的运行,有必要通过对信息系统面临的威胁、本身具有的脆弱性等安全因素进行分析,识别信息系统所面临的风险,从而制定有效的安全保障体系。
同时,伴随着近年来国家在风险评估推动方面出台了一系列政策文件来规范、指导和推动风险评估工作的进行,教育行业也积极响应各种标准和政策,以保障电子政务信息系统安全。《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《国家电子政务工程建设项目管理暂行办法》(发改委第55号令)、《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)、《关于开展信息系统安全等级保护工作的通知》(教办厅函〔2009〕80号)等都强调了风险评估的重要性。
二、方案内容
BJCA将结合教育行业的具体行业特点和实际需求,对教育机构风险评估范围内的信息系统进行全面的资产评估、威胁评估、脆弱性评估、安全措施的有效性评估,最终得出安全风险评估。
BJCA针对教育行业进行风险评估的流程和内容如下。
1、准备阶段:BJCA将结合教育行业的业务特点以及系统面向对象的特殊性进行信息的收集,并成立项目组织机构进行项目初期交流。
2、识别阶段:此阶段BJCA将结合教育行业的业务特点和系统现状,通过调查问卷、IDS取样、日志分析等方式对评估范围内的资产、威胁、脆弱性以及安全措施进行全面识别,为后续的分析阶段提供支持。
3、分析阶段:结合教育行业的具体业务特点,对识别阶段的成果进行分析和量化,具体包括:资产的影响分析、威胁分析、脆弱性分析、安全措施有效性分析以及综合风险分析等。
4、风险控制规划阶段:此阶段主要根据分析阶段的结果,结合国家及教育行业有关的法律、法规,总结出教育机构当前的安全需求。根据安全需求的轻重缓急以及相关标准和电子政务保障框架,制定出适合教育行业的安全规划方案。
5、总结报告阶段:此阶段主要是BJCA在进行风险评估之后向教育机构汇报风险评估情况,详细介绍被评估系统所面临的风险,清晰的表达所面临的威胁状况、威胁所利用的脆弱性、产生的影响等状况以及被评估系统的合规情况,并在描述安全风险之后表述出采取何种对策防范威胁、减少脆弱性。
三、方案特点
1、丰富的教育行业风险评估实施经验,积累了丰富的行业经验,能够紧密结合教育行业的业务特点进行量身定做风险评估方案。
2、深刻理解国家及教育行业风险评估方面的标准、政策,能够帮助教育行业满足合规性要求。
3、融合了国家等级保护及国际信息安全管理体系建设的实践经验,能够帮助教育行业信息安全建设与国际、国内信息安全发展同步。
4、拥有专业的风险评估团队,能够帮助教育行业做深入、全面、有效的风险评估服务,为教育行业进行信息安全规划和建设提供依据和指导建议。
四、客户收益
1、通过全面的安全风险评估,间接提升教育行业的公众形象。
2、通过风险评估使得教育行业的信息安全做到防患于未然,间接降低信息安全投入成本。
3、可以帮助教育机构了解机构内部信息系统的安全现状及潜在安全隐患,便于为后期安全需求和解决方案提供原始依据。
4、能够帮助教育行业满足信息安全的合规性要求。
5、为信息系统的使用管理部门开展信息安全等级保护提供依据,为确立安全策略、制定安全规划、开展安全建设提供决策建议。