(1)对资产、威胁、薄弱环节、已有安全措施进行综合分析,分析安全事件发生的可能性。
(2)分析安全事件发生后可能造成的后果及影响。
(3)分析网络与信息系统的整体风险状况,提出风险列表。
风险赋值方法见附表8。
5、研究提出整改措施。根据对网络与信息系统的风险状况,结合法律法规、国家和行业政策要求以及当前的重点任务,统筹考虑,研究提出风险应对措施。
三、信息安全检查工作的要求和安排
(一)各公司应建立信息安全检查领导机构,由分管信息安全的公司领导亲自抓,切实加强自查工作的组织实施,并将自查方案报中国保监会统计信息部备案。(2007年6月25日前完成)
(二)各公司应完成信息系统的自查工作,并将检查结果以及改进措施报中国保监会统计信息部。中国保监会将对部分公司进行抽查。(2007年7月31日前完成)
(三)中国保监会对此次检查情况、发现的问题进行分析汇总后,将向全行业通报。
中国保监会统计信息部联系人:李春亮、王晓鹏
联系电话:010-66286107、010-66286602
附表:
1、资产分类表
2、资产赋值方法
3、外国供应商提供产品和服务基本情况统计表
4、威胁分析表
5、威胁赋值方法
6、脆弱性分析表
7、脆弱性赋值方法
8、风险赋值方法
二○○七年六月六日
附表1:资产分类表
┌─────┬─────┬───────┬───────┬───────┬─────┐
│ 类别 │ 项目 │ 资产编号 │ 资产名称 │ 资产权重 │ 说明 │
├─────┼─────┼───────┼───────┼───────┼─────┤
│ 硬件 │ │ │ │ │ │
├─────┼─────┼───────┼───────┼───────┼─────┤
│ 软件 │ │ │ │ │ │
├─────┼─────┼───────┼───────┼───────┼─────┤
│ 服务 │ │ │ │ │ │
├─────┼─────┼───────┼───────┼───────┼─────┤
│ 信息 │ │ │ │ │ │
├─────┼─────┼───────┼───────┼───────┼─────┤
│ 人员 │ │ │ │ │ │
└─────┴─────┴───────┴───────┴───────┴─────┘
