信息系統(tǒng)安全風(fēng)險評估報告_第1頁
信息系統(tǒng)安全風(fēng)險評估報告_第2頁
信息系統(tǒng)安全風(fēng)險評估報告_第3頁
信息系統(tǒng)安全風(fēng)險評估報告_第4頁
信息系統(tǒng)安全風(fēng)險評估報告_第5頁
已閱讀5頁,還剩18頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

xx有限公司記錄編號005信息系統(tǒng)安全風(fēng)險評估報告創(chuàng)建日期2015年8月16日文檔密級更改記錄時間更改內(nèi)容更改人項目名稱:XXX風(fēng)險評估報告被評估公司單位:XXX有限公司參與評估部門:XXXX委員會一、風(fēng)險評估項目概述工程項目概況鳳險評估版本201X年8日5日更新的資產(chǎn)清單及評估項目完成時間201X年8月5日項目試運行時間2015年1-6月1.1.1建設(shè)項目基本信息xxx有限公司風(fēng)險評估實施單位基本情況xxx有限公司評估單位名稱二、風(fēng)險評估活動概述風(fēng)險評估工作組織管理描述本次風(fēng)險評估工作的組織體系(含評估人員構(gòu)成)、工作原則和采取的保密措施。風(fēng)險評估工作過程本次評估供耗時2天,采取抽樣的的方式結(jié)合現(xiàn)場的評估,涉及了公司所有部門及所有的產(chǎn)品,已經(jīng)包括了位于公司地址位置的相關(guān)產(chǎn)品。依據(jù)的技術(shù)標準及相關(guān)法規(guī)文件本次評估依據(jù)的法律法規(guī)條款有:序號法律、法規(guī)及其他要求名稱頒布時間實施時間頒布部門1全國人大常委會關(guān)于維護互聯(lián)網(wǎng)安全的決定2000.12.282000.12.28全國人大常委會2中華人民共和國計算機信息系統(tǒng)安全保護條例1994.02.181994.02.18國務(wù)院第147號令3中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定1996.02.011996.02.01國務(wù)院第195號令4中華人民共和國計算機軟件國務(wù)院第339號令

保護條例5中華人民共和國信息網(wǎng)絡(luò)傳播權(quán)保護條例國務(wù)院第468號令6中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法1998.03.061998.03.06國務(wù)院信息化工作領(lǐng)導(dǎo)小組7計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法1997.12.161997.12.30公安部第33號令8計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法1997.06.281997.12.12公安部第32號令9計算機病毒防治管理辦法2000.03.30公安部第51號令10惡意軟件定義2007.06.272007.06.27中國互聯(lián)網(wǎng)協(xié)會11抵制惡意軟件自律公約2007.06.272007.06.27中國互聯(lián)網(wǎng)協(xié)會12計算機信息系統(tǒng)保密管理暫行規(guī)定國家保密局13計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定國家保密局

14軟件產(chǎn)品管理辦法2000.10.082000.10.08中華人民共和國工業(yè)和信息化部15互聯(lián)網(wǎng)等信息系統(tǒng)網(wǎng)絡(luò)傳播視聽節(jié)目呂理辦法2004.06.152004.10.11國家廣播電影電視總局16互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定信息產(chǎn)業(yè)部17信息系統(tǒng)工程監(jiān)理工程師資格管理辦法2003年頒布2003.03.26信息產(chǎn)業(yè)部18信息系統(tǒng)工程監(jiān)理單位資質(zhì)管理辦法2003.03.26信息產(chǎn)業(yè)部19電子認證服務(wù)管理辦法2009.02.042009.03.31信息產(chǎn)業(yè)部20關(guān)于印發(fā)《國家電子信息產(chǎn)業(yè)基地和產(chǎn)業(yè)園認定管理辦法(試行)》的通知2008.03.042008.03.04中華人民共和國信息產(chǎn)業(yè)部21計算機軟件著作權(quán)登記收費項目和標準1992.03.161992.04.01機電部計算機軟件登記辦公室22中國互聯(lián)網(wǎng)絡(luò)域名管理辦法信息產(chǎn)業(yè)部23中華人民共和國專利法2010.01.092010.02.01全國人民代表大會常務(wù)委員24中華人民共和國技術(shù)合同法1987.06.231987.06.23國務(wù)院科學(xué)技術(shù)部

25關(guān)于電子專利申請的規(guī)疋2010.08.272010.10.01國家知識產(chǎn)權(quán)局26中華人民共和國著作權(quán)法2010.02.262010.02.26全國人大常委會27中華人民共和國著作權(quán)法實施條例國務(wù)院第359號令28科學(xué)技術(shù)保密規(guī)定國家科委、國家保密局29互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定2005.12.132006.03.01公安部發(fā)布30中華人民共和國認證認可條例2003.09.032003.11.1國務(wù)院第390號令31中華人民共和國保守國家秘密法2010.04.292010.10.01全國人大常委會32中華人民共和國國家安全法1993.02.221993.02.22全國人大常委會33中華人民共和國商用密碼管理條例1999.10.071999.10.07國務(wù)院第273號令34消防監(jiān)督檢杳規(guī)定2009.5.1公安部第107號35倉庫防火安全管理規(guī)則中華人民共和國公安部令第6號

36地質(zhì)災(zāi)害防治條例國務(wù)院394號37《電力安全生產(chǎn)監(jiān)管辦法》國家電力監(jiān)管委員會第2號38中華人民共和國勞動法2007.06.292008.1.1華人民共和國主席令第一十八號39失業(yè)保險條例國務(wù)院40失業(yè)保險金申領(lǐng)發(fā)放2001.10.26勞動和社會保障部41中華人民共和國企業(yè)勞動爭議處理條例國務(wù)院保障與限制條件需要被評估單位提供的文檔、工作條件和配合人員等必要條件,以及可能的限制條件。三、評估對象評估對象構(gòu)成與定級3.1.1網(wǎng)絡(luò)結(jié)構(gòu)根據(jù)提供的網(wǎng)絡(luò)拓撲圖,進行結(jié)構(gòu)化的審核3.1.2業(yè)務(wù)應(yīng)用本公司涉及的數(shù)據(jù)中心運營及服務(wù)活動。3.1.3子系統(tǒng)構(gòu)成及定級N/A評估對象等級保護措施按照工程項目安全域劃分和保護等級的定級情況,分別描述不同保護等級保護范圍內(nèi)的子系統(tǒng)各自所采取的安全保護措施,以及等級保護的測評結(jié)果。根據(jù)需要,以下子目錄按照子系統(tǒng)重復(fù)。3.2.1XX子系統(tǒng)的等級保護措施根據(jù)等級測評結(jié)果,XX子系統(tǒng)的等級保護管理措施情況見附表一。根據(jù)等級測評結(jié)果,XX子系統(tǒng)的等級保護技術(shù)措施情況見附表二。資產(chǎn)類型與賦4.1.1資產(chǎn)類型按照評估對象的構(gòu)成,分類描述評估對象的資產(chǎn)構(gòu)成。詳細的資產(chǎn)分類與賦值,以附件形式附在評估報告后面,見附件3《資產(chǎn)類型與賦值表》。4.1.2資產(chǎn)賦填寫《資產(chǎn)賦值表》。大類詳細分類舉例文檔和數(shù)據(jù)經(jīng)營規(guī)劃中長期規(guī)劃等

經(jīng)營計劃等組織情況組織變更方案等組織機構(gòu)圖等組織變更通知等組織手冊等規(guī)章制度各項規(guī)程、業(yè)務(wù)手冊等人事制度人事方案等人事待遇資料等錄用計劃等離職資料等中期人員計劃等人員構(gòu)成等人事變動通知等培訓(xùn)計劃等培訓(xùn)資料等財務(wù)信息預(yù)決算(各類投資預(yù)決算)等業(yè)績(財務(wù)報告)等中期財務(wù)狀況等資金計劃等成本等財務(wù)數(shù)據(jù)的處理方法(成本計算

方法和系統(tǒng),會計管理審查等經(jīng)營分析系統(tǒng),減稅的方法、規(guī)程)等營業(yè)信息市場調(diào)查報告(市場動向,顧客需求,其它本公司動向及對這些情況的分析方法和結(jié)果)等商談的內(nèi)容、合同等報價等客戶名單等呂業(yè)戰(zhàn)略(有關(guān)和其它本公司合作銷售、銷售途徑的確定及變更,對代理商的政策等情報)等退貨和投訴處理(退貨的品名、數(shù)量、原因及對投訴的處理方法)等供應(yīng)商信息等技術(shù)信息試驗/分析數(shù)據(jù)(本公司或者委托其它單位進行的試驗/分析)等研究成果(本公司或者和其它單

位合作研究開發(fā)的技術(shù)成果)等科技發(fā)明的內(nèi)谷(專利申請書以及有關(guān)的資料/試驗數(shù)據(jù))等開發(fā)計劃書等新產(chǎn)品開發(fā)的體制、組織(新品開發(fā)人員的組成,業(yè)務(wù)分擔(dān),技術(shù)人員的配置等)技術(shù)協(xié)助的有關(guān)內(nèi)容(協(xié)作方,協(xié)作內(nèi)容,協(xié)作時間等)教育資料等技術(shù)備忘錄等軟件信息生產(chǎn)管理系統(tǒng)等技術(shù)解析系統(tǒng)等計劃財務(wù)系統(tǒng)等設(shè)計書等流程等編碼、密碼系統(tǒng)等源程序表等其他訴訟或其他有爭議案件的內(nèi)容(民事、無形資產(chǎn)、工傷

等糾紛內(nèi)容)本公司基本設(shè)施情況(包括動力設(shè)施)等董事會資料(新的投資領(lǐng)域、設(shè)備投資計劃等)本公司電話簿等本公司安全保衛(wèi)實施情況及突發(fā)事件對策等軟件操作系統(tǒng)Windows、Linux等應(yīng)用軟件/系統(tǒng)開發(fā)工具、辦公軟件、網(wǎng)站平臺、財務(wù)系統(tǒng)等數(shù)據(jù)庫MSSQLServer、MySQL等硬件設(shè)備通訊工具傳真等傳輸線路光纖、雙絞線等存儲媒體磁帶、光盤、軟盤、U盤等存儲設(shè)備光盤刻錄機、磁帶機等文印設(shè)備打印機、復(fù)印機、掃描儀服務(wù)器PCServer、小型機等桌面終端PC、工作站等網(wǎng)絡(luò)通信設(shè)備路由器、交換機、集線器、無線路由器等網(wǎng)絡(luò)安全設(shè)備防火墻、防水墻、IPS等

支撐設(shè)施UPS、機房空調(diào)、發(fā)電機等人力資源高層管理人員高層管理人員本公司總/副總經(jīng)理、總監(jiān)等中層管理人員部門經(jīng)理技術(shù)管理人員項目經(jīng)理、項目組長、安全工程師普通技術(shù)人員師軟件工程師、程序員、測試工程〕、界面工程師等IT服務(wù)人員系統(tǒng)管理員、網(wǎng)絡(luò)管理員、維護工程師其它人事、行政、財務(wù)等人員服務(wù)通信ADSL、光纖等房租辦公房屋租用托管服務(wù)器托管、虛擬主機、郵箱托管法律夕卜聘律師、法律顧問供電照明電、動力電審計財務(wù)審計6.2.資產(chǎn)判斷準則對資產(chǎn)的賦值不僅要考慮資產(chǎn)的經(jīng)濟價值,更重要的是要考慮資產(chǎn)的安全狀況對于系統(tǒng)或組織的重要性,由資產(chǎn)在其三個安全屬性上的達成程度決定。資產(chǎn)賦值的過程也就是對資產(chǎn)在機密性、完整性和可用性上的達成程度進行分析,并在判斷準則此基礎(chǔ)上得出綜合結(jié)果的過程。達成程度可由安全屬性缺失時造成的影響來表示,這種影響可能造成某些資產(chǎn)的損害以至危及信息系統(tǒng),還可能導(dǎo)致經(jīng)濟效益、市場份額組織形象的損失。6.2.1.機密性賦根據(jù)資產(chǎn)在機密性上的不同要求,將其分為三個不同的等級,分別對應(yīng)資產(chǎn)在機密性上應(yīng)達成的不同程度或者機密性缺失時對整個組織的影響。賦值標識定義3高包含組織最重要的秘密,關(guān)系未來發(fā)展的刖途命運,對根本利益有著決定性的影響,如果泄露會造成災(zāi)難性的損害,例如直接損失超過100萬人民幣,或重大項目(合同)失敗,或失去重要客戶,或關(guān)鍵業(yè)務(wù)中斷3天。2中組織的一般性秘密,其泄露會使組織的安全和利益受到損害,例如直接損失超過10萬人民幣,或項目(合同)失敗,或失去客戶,

或關(guān)鍵業(yè)務(wù)中斷超過1天。1低可在社會、組織內(nèi)部或在組織某一部門內(nèi)部公開的信息,向外擴散有可能對組織的利益造成輕微損害或不造成傷害。6.2.2.完整性賦值根據(jù)資產(chǎn)在完整性上的不同要求,將其分為三個不同的等級,分別對應(yīng)資產(chǎn)在完整性上缺失時對整個組織的影響。賦值標識定義3高完整性價值非常關(guān)鍵,未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法接受的影響,對業(yè)務(wù)沖擊重大,并可能造成嚴重的業(yè)務(wù)中斷,并且難以彌補。例如直接損失超過100萬人民幣,或重大項目(合同)失敗,或失去重要客戶。2中完整性價值中等,未經(jīng)授權(quán)的修改或破壞會對組織造成影響,對業(yè)務(wù)沖擊明顯,但可以彌補。例如直接損失超過10萬人民幣,或項目(合同)失敗,或失去客戶。1低完整性價值較低,未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影響,甚至可以忽略,對業(yè)務(wù)沖擊輕微,容易彌補。6.2.3.可用性賦根據(jù)資產(chǎn)在可用性上的不同要求,將其分為三個不同的等級,分別對應(yīng)資產(chǎn)在可用性上

的達成的不同程度。賦值標識定義3高可用性價值非常高,合法使用者對資產(chǎn)的可用度達到年度90%以上,或系統(tǒng)不允許中斷。2中可用性價值中等,合法使用者對資產(chǎn)的可用度在正常工作時間達到50%以上,或系統(tǒng)允許中斷時間小于8工作時。1低可用性價值較低或可被忽略,合法使用者對資產(chǎn)的可用度在正常工作時間達到50%以下,或系統(tǒng)允許中斷時間小于24工作時。6.2.4.資產(chǎn)重要性等級資產(chǎn)價值(V)二機密性價值(C)+完整性價值(1)+可用性價值(A)資產(chǎn)等級:

重要資產(chǎn)清單及說明在分析被評估系統(tǒng)的資產(chǎn)基礎(chǔ)上,列出對評估單位十分重要的資產(chǎn),作為風(fēng)險評估的重點對象,并以清單形式列出如下:重要資產(chǎn)列表序號資產(chǎn)編號子系統(tǒng)名稱應(yīng)用資產(chǎn)重要程度權(quán)重其他說明1.F001各類公司證件其他高2.F002財務(wù)賬務(wù)文件其他高3.F004發(fā)票其他高4.F006用友通財務(wù)軟件備份數(shù)據(jù)其他高5.ATSH1O-007PernodRicard業(yè)務(wù)持續(xù)服務(wù)合同客戶合同高6.ATSH-11/001/10-0O7天選備份軟件維護服務(wù)合同供應(yīng)商合同高7.ATSH10-008VantAsia業(yè)務(wù)持續(xù)服務(wù)合同客戶合同高8.ATSH11-001NAB業(yè)務(wù)持續(xù)服務(wù)合同客戶合同高9.HW-009服務(wù)器(運作技術(shù)部)服務(wù)器高10.HW-022精密空調(diào)(運作技術(shù)部)精密空調(diào)高11.HW-023UPS(運作技術(shù)部)UPS高12.HW-024PPDC(運作技術(shù)部)PPDC高13.HW-026AVAYA(運作技術(shù)部)通訊設(shè)備高14.HW-027Switch(運作技術(shù)部)網(wǎng)絡(luò)設(shè)備高15.HW-028Router(運作技術(shù)部)網(wǎng)絡(luò)設(shè)備高16.HW-029Firewall(運作技術(shù)部)網(wǎng)絡(luò)設(shè)備高17.HW-030DVR(運作技術(shù)部)監(jiān)控設(shè)備高18.HW-031客戶數(shù)據(jù)(硬盤)硬盤高19.HW-032柴油發(fā)電機組柴油發(fā)電機高20.F001etax網(wǎng)上報稅系統(tǒng)財務(wù)軟件-單機高21.F002用友通財務(wù)軟件財務(wù)軟件-單機高22.F003發(fā)票打印軟件財務(wù)軟件-單機高23.A-02-25-O3-201106-004Cowin監(jiān)控系統(tǒng)監(jiān)控系統(tǒng)高

24.A-02-25-03-201106-005監(jiān)控系統(tǒng)高25.H0001梁文略高層管理人員高26.S0002楊英高層管理人員高27.S0001李海寧中層管理人員高28.S0006趙紅銷售人員高29.S0003張光輝中層管理人員高30.S0004劉子明IT服務(wù)人員高31.S0005胡捷IT服務(wù)人員高32.S0008張力IT服務(wù)人員高33.S0007唐海英其它高34.S0026劉影其它高35.server02網(wǎng)絡(luò)通信中國聯(lián)通高36.server03供電物管-德必創(chuàng)意高37.server04房屋物管-德必創(chuàng)意高五、威脅識別與分析對威脅來源(內(nèi)部/外部;主觀/不可抗力等)、威脅方式、發(fā)生的可能性,威脅主體的能力水平等進行列表分析。下面是典型的威脅范本:編號威脅硬件和設(shè)施軟件和系統(tǒng)文檔和數(shù)據(jù)人力資源服務(wù)1故障★★2廢弁★★★3服務(wù)失效/中斷★4惡意軟件★5抵賴★

6通信監(jiān)聽★7操作失誤★★8未經(jīng)授權(quán)更改★★★9未經(jīng)授權(quán)訪問,使用或復(fù)制★★★10被利用傳送敏感信息★★11盜竊★★★12供電故障★★13惡意破壞★★★14電子存儲媒體故障★★15違背知識產(chǎn)權(quán)相關(guān)法律、法規(guī)★★16溫度、濕度、灰塵超限★17靜電★18黑客攻擊★★19容量超載★★★20系統(tǒng)管理員權(quán)限濫用★★21密鑰泄露、篡改★★22密鑰濫用★

23個體傷害(車禍、疾病等)★24不公正待遇★25社會工程★26人為災(zāi)難:瘟疫、火災(zāi)、爆炸、恐怖襲擊等★★★★27自然災(zāi)難:地震、洪水、臺風(fēng)、雷+舉★★★★28服務(wù)供應(yīng)商泄密★威脅數(shù)據(jù)采集威脅描述與分析依據(jù)《威脅賦值表》,對資產(chǎn)進行威脅源和威脅行為分析5.2.1威脅源分析填寫《威脅源分析表》。5.2.2威脅行為分析填寫《威脅行為分析表》。5.2.3威脅能量分析威脅賦值威脅發(fā)生可能性等級對照表等級說明發(fā)生可能性1低非等級2與等級3的定義2中每半年至少發(fā)生一次但不及等級33高每月至少發(fā)生兩次說明:判斷威脅出現(xiàn)的頻率是威脅識別的重要工作,評估者應(yīng)根據(jù)經(jīng)驗和(或)有關(guān)的統(tǒng)計數(shù)據(jù)來進行判斷。在風(fēng)險評估過程中,還需要綜合考慮以下三個方面,以形成在某種評估環(huán)境中各種威脅出現(xiàn)的頻率:以往安全事件報告中出現(xiàn)過的威脅及其頻率的統(tǒng)計;實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計;近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論