ICP业务信息系统安全风险评估报告编制编写

　　根据中华人民共和国国务院令第291号《中华人民共和国电信条例》、第292号《互联网信息服务管理办法》（简称icp管理办法），国家对提供互联网信息服务的icp实行许可证制度。

　　icp，internetcontent provider，即向广大用户综合提供互联网信息业务和增值业务的电信运营商。

　　全国各地icp管理机构（一般为各地通信管理局）核发icp资质证书前，均要求icp提供自己网站和信息系统的信息安全保障措施说明，其中包括网站信息安全风险等级测评报告。

评估对象

　　本业务依据中华人民共和国工业和信息化部《通信网络安全防护管理办法[2010]第11号》、中华人民共和国工业和信息化部《关于加强电信和互联网行业网络安全工作的指导意见工信部保[2014]368号》、《电信业务经营许可管理办法（中华人民共和国工业和信息化部令[2009]第5号）》、《互联网网络安全信息通报实施办法（工信部保2009156号）》等多项法规或政策要求，为依托互联网开展电信增值及经营业务的企业，提供可用于icp、edi等相关资质的信息安全风险等级测评服务。

　　本业务面向所有icp，如网络游戏、互联网金融、网上购物、视频网站、在线教育或培训、互联网共享服务、团购代购、业务代理、数据中心等各类互联网信息业务和增值业务的电信增值服务运营商。

评估内容

　　根据相关评估标准及icp信息安全保障的要求，将网站信息安全评估内容整理为：

1 软硬件系统安全风险。

　　利用人工检测结合自动化扫描工具，对网站的软件系统（包括服务器操作系统、数据库系统、网络设备、安全防护设备、应用系统等）进行安全检测和扫描，找出其中存在的安全弱点及可能的风险（注：本项服务内容需要另行协商服务内容和价格等）；

2 网络层面的安全风险

　　针对网络架构、物理环境、逻辑环境、访问控制、安全防护等各方面的安全风险进行评估。

3 应用层面的安全风险

　　针对网站业务运行流程进行分析，对业务运行可能存在的信息安全风险进行揭示。

4 管理层面的安全风险

　　对icp的安全管理机构设置、安全管理制度体系建立、人员安全管理、系统安全建设管理、安全运维这五个方面进行评价。

评估流程

风险评估实施分为评估数据收集、风险分析、风险揭示三个大的阶段，并且融河矩媒须经客户确认终的风险评估报告。

客户收益

通过融河矩媒做风险评估，客户可以获得以下收益：

1 了解网站目前的技术性和管理性安全风险，为下一步采取安全控制措施提升信息安全水平提供指引；

2 获得针对员工实施信息安全教育的真切依据；

3 发现业务运行的安全风险，根据风险评估报告的改善建议，填补业务安全漏洞；

4 获得网站风险评估报告，为获取icp资质或维持此资质提供符合性证据，可提交相关管理部门。