信息系统安全风险评估报告_第1页
信息系统安全风险评估报告_第2页
信息系统安全风险评估报告_第3页
信息系统安全风险评估报告_第4页
信息系统安全风险评估报告_第5页
已阅读5页,还剩51页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、WOR格式可编辑XX有限公司记录编号 005信息系统安全风险评估报告创建日期2015年8月16日文档密级更改记录时间更改内容更改人X项目名称:XXX风险评估报告被评估公司单位:XXX有限公司参与评估部门:XXXX委员会、风险评估项目概述1.1工程项目概况1.1.1建设项目基本信息风险评估版本201X年8日5日更新的资产清单及评估项目完成时间201X年8月5日项目试运行时间2015年1-6月1.2风险评估实施单位基本情况评估单位名称XX有限公司、风险评估活动概述2.1风险评估工作组织管理描述本次风险评估工作的组织体系(含评估人员构成)、工作原则和采取的保密措施。2.2风险评估工作过程本次评估供耗

2、时2天,采取抽样的的方式结合现场的评估,涉及了公司所有部门及所有的产品,已经包括了位于公司地址位置的相关产品。1.3依据的技术标准及相关法规文件本次评估依据的法律法规条款有:序号法律、法规及其他要求名称颁布时间实施时间颁布部门1200全国人大常委会关于维护互联0.12.282000.12.28全国人大常委会网安全的决定2199中4.(统华人民共和国02.181994.02.帝安全保护条例?计算机信息系18 国务院第147号令3199中6.(络02.C务国人民共和国111996.02.际联网管理?计算机信息网01国务院第195号E暂行规定令4200中仁护华人民共和国12.202002.01.行条

3、例9计算机软件保01 国务院第339号令5200中6.(权05.1艮保;人民共和国02006.07.护条例9信息网络传播01 国务院第468号令6199中8.(络办03.0务国h法人民共和国)61998.03.际联网管理9计算机信息网06E暂行规定实施国务院信息化工作领导小组7199计1:保t算机信息网络12.161997.12.H护管理办、法$国际联网安全30公安部第33号令48199 V、计7.(4算机信息系统安全专用产品06.281997.12.12公安部第32号令测和销售许可证管理办法T14JJ19计算机病毒防治管理办法2000.03.302000.04.26公安部第 51 号令中国互

4、联网协会10 恶意软件定义 2007.06.272007 . 06.27专业知识整理分享11抵制恶意软件自律公约 2007. 06.272007 . 06.27中国互联网协会121991320C中华人民共和国工业和14软件产品管理办法 2000.10.082000.10.0815200互联网等信息系统网络传播视4.06.152004.10.11 国家广播电影电视总局听节目管理办法16互联网电子公告服务管理规定2000.10.()82000.10.08信息产业部信息化部信息系统工程监理工程师资格172003年颁布2003.03.26信息产业部管理办法18200信息系统工程监理单位资质管3.03.

5、262003.04.01信息产业部理办法19电子认证服务管理办法2009.02.042009.03.31 信息产业部关于印发国家电子信息产业基中华人民共和国信息产202008.03.042008.03.04地和产业园认定管理办法(试业部行)的通知计算机信息系统保密管理暂行8.2.261998.02.26 国家保密局规定计算机信息系统国际联网保密0.01.012000.01.01国家保密局21计算机软件著作权登记收费项1992.03.161992.04.01=机电部计算机软件登记办管理规定目和标准公室22中国互联网络域名管理办法2004.11.052004.12.20信息产业部全国人民代表大会常

6、务委23中华人民共和国专利法 2010.01.092010.02.0124中华人民共和国技术合同法 1987.06.2325关于电子专利申请的规定2010.08.272026中华人民共和国著作权法2010.02.2620987.06.23国务院科学技术部0.10.01 国家知识产权局0.02.26 全国人-大常委会中华人民共和国著作权法实施272002.08.022002.9.15 国务院第 359 号令条例国家科委、国家保密局28科学技术保密规定 1995.01.061995.01.0629互联网安全保护技术措施规定2005.12.132006.03.01公安部发布30中华人民共和国认证认可

7、条例2003.09.()32003.11.1国务院第390号令31201中华人民共和国保守国家秘密0.04.292010.10.01全国人大常委会32中华人民共和国国家安全法1993.02.22993.02.22全国人大常委会33199中华人民共和国商用密码管理9.10.071999.10.07 国务院第 273条例34消防监督检查规定 2009.4.302009.5.1公安部第107号中华人民共和国公安部04.1035仓库防火安全管理规则1990.03.221994.36地丿质灾害防治条例 2003.11.242004.03.0国务院3 9 4号令第6号国家电力监管委员会第 237电力安全生

8、产监管办法2004.03.092()04.03.09华人民共和国主席令第1.138中华人民共和国劳动法 2007.06.292008.八号39失业保险条例 1998.12.261999.01.22 国务院.01 劳动和社会40失业保险金申领发放 2001.10.262001.01中华人民共和国企业劳动争议411993.06.111993.08.01 国务院处理条例1.4保障与限制条件需要被评估单位提供的文档、工作条件和配合人员等必要条件,以及可能的限制条件。、评估对象1.1.2评估对象构成与定级2.3网络结构根据提供的网络拓扑图,进行结构化的审核。2.4业务应用本公司涉及的数据中心运营及服务活

9、动。1.5子系统构成及定级N/A1.1.3评估对象等级保护措施按照工程项目安全域划分和保护等级的定级情况,分别描述不同保护等级保护范围内的子系统各自所采取的安全保护措施,以及等级保护的测评结果。根据需要,以下子目录按照子系统重复。2.5XX子系统的等级保护措施根据等级测评结果,XX子系统的等级保护管理措施情况见附表根据等级测评结果,XX子系统的等级保护技术措施情况见附表二。四、资产识别与分析4.1资产类型与赋值4.1.1资产类型按照评估对象的构成,分类描述评估对象的资产构成。详细的资产分类与赋值,以附件形式附在评估报告后面,见附件3资产类型与赋值表。4.1.2资产赋值填写资产赋值表。WOR格式

10、可编辑专业知识整理分享大类详细分类举例文档和数据经营规划中长期规划等经营计划等组织情况组织变更方案等组织机构图等组织变更通知等组织手册等规章制度各项规程、业务手册等人事制度 人事方案等 人事待遇资料等 录用计划等 离职资料等 中期人员计划等 人员构成等 人事变动通知等 培训计划等 培训资料等财务信息预决算(各类投资预决算)等业绩(财务报告)等 中期财务状况等WOR格式可编辑专业知识整理分享资金计划等成本等财务数据的处理方法(成本计算方法和系统,会计管理审查等经营分析系统,减税的方法、规程)等营业信息市场调查报告(市场动向,顾客需求,其它本公司动向及对这些情况的分析方法和结果)商谈的内容、合同等

11、报价等客户名单等营业战略(有关和其它本公司合作销售、销售途径的确定及变更,对代理商的政策等情报)退货和投诉处理(退货的品名、数量、原因及对投诉的处理方法)等供应商信息等技术信息试验/分析数据(本公司或者委托其它单位进行的试软件信息生产管理系统等验/分析)等研究成果(本公司或者和其它单位合作研究开发的技术成果)等科技发明的内容(专利申请书以及有关的资料/试验数开发计划书等新产品开发的体制、组织(新品开发人员的组成,业务分担,技术人员的配置等)技术协助的有关内容(协作方,协作内容,协作时间等)教育资料等技术备忘录等技术解析系统等计划财务系统等设计书等流程等编码、密码系统等源程序表等WOR格式可编辑

12、专业知识整理分享其他诉讼或其他有争议案件的内容(民事、无形资产、工伤等纠纷内容)本公司基本设施情况(包括动力设施 )董事会资料(新的投资领域、设备投资计划等)本公司电话簿等本公司安全保卫实施情况及突发事件对策等软件操作系统Wincows、Linux等应用软件/系统开发工具、办公软件、网站平台、财务系统等硬件设备通讯工具传数据库 MSSQLServe、MySQL等真等传输线路光纤、双绞线等存储媒体磁带、光盘、软盘、U盘等存储设备光盘刻录机、磁带机等文印设备打印机、复印机、扫描仪服务器PCServer、小型机等桌面终端PC工作站等网络通信设备路由器、交换机、集线器、无线路由WOR格式可编辑专业知识

13、整理分享1.6资产赋值判断准则对资产的赋值不仅要考虑资产的经济价值,更重要的是要考虑资产的安全状况对于系统或组织的重要性,由资产在其三个安全属性上的达成程度决定。资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析,并在 此基础上得出综合结果的过程。达成程度可由安全属性缺失时造成的影响来表示,这种影响 可能造成某些资产的损害以至危及信息系统,还可能导致经济效益、市场份额、组织形象的 损失。1.7机密性赋值根据资产在机密性上的不同要求,将其分为三个不同的等级,分别对应资产在机密性上应达成的不同程度或者机密性缺失时对整个组织的影响。赋值标识定义3高包含组织最重要的秘密,关系未来发

14、展的前途命运,对根本利益有着决定性的影响,如果泄露会造成灾难性的损害,例如直接损失超过100人民币,或重大项目(合同)失败,或失去重要客户,或关键业务中断3天。般性秘密,其泄露会使组织的安全和利益受到损害,例如直接损失超过10万人民币,或项目(合同)失败,或失去客户,或关键业务中断超过1天。1低可在社会、组织内部或在组织某一部门内部公开的信息,向外扩散有可 能对组织的利益造成轻微损害或不造成伤害。1.8完整性赋值根据资产在完整性上的不同要求,将其分为三个不同的等级,分别对应资产在完整性上赋值标识定义'值非常关键,未经授权的修改或破坏会对组织造成重大的缺失时对整个组织的影响。3高完整性价

15、或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,并且难以弥补。例如直接损失超过100万人民币,或重大项目(合2中完整性价同)失败,或失去重要客户。'值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补。例如直接损失超过10万人民币,或项 目(合同)失败,或失去客户。1低完整性价'值较低,未经授权的修改或破坏会对组织造成轻微影响,甚至可以忽略,对业务冲击轻微,容易弥补。1.9可用性赋值根据资产在可用性上的不同要求,将其分为三个不同的等级,分别对应资产在可用性上的达成的不同程度。赋值标识定义 + .3咼可用性价值非常高,合法使用者对资产的可用度达到年

16、度上,或系统不允许中断。90%以WOR格式可编辑2中可用性价、值中等,合法使用者对资产的可用度在正常工作时间达到50%以上,或系统允许中断时间小于8工作时1低可用性价、值较低或可被忽略,合法使用者对资产的可用度在正常工作时间达到50%以下,或系统允许中断时间小于24工作时。1.10资产重要性等级资产价值(V )=机密性价值(C) +完整性价值(I ) +可用性价值(A)资产等级:等级价值分类0资产总价值1低3412中57Jk3高89专业知识整理分享1.11重要资产清单及说明在分析被评估系统的资产基础上,列出对评估单位十分重要的资产,作为风险评估的重点对象,并以清单形式列出如下:重要资产列表序其

17、资产资产编号子系统名称应用要程度 说/权重明1.1.4 F001各类公司证件其他高1.1.5 F002财务账务文件其他高'1.1.6 F004发票其他高1.1.7 F006用友通财务软件备份数据其他高申1.1.8 ATSH10-007PernodRicard业务持续服务合同客户合同高 供应商合6.ATSH-11/001/10-007 天选备份软件维护服务合同2.6ATSI l10-008VantAsia业务持续服务合同客户合同 -27ATSH11-OO1NAB业务持续服务合同客户合同高 -78 HW-009服务器住作技术部)服务2.9HW-022精密空调(运作技术部T精密空调高2.10

18、 HW-023UPS运作技术部)UPSi=r高乞11 HW-024PPDC运作技部 )PPDC高2.12 HW-026AVAYA运作技术部)通讯设备高2.13 HW-027Switch(运作技术部)网络设备高 乞14 HWP28Routert运作技术部)呦络设备高2.15 HW-029Fiewall(运作技术部)网络设备高2.16 HW-030DVR运作技术部)监控设备高'2.17HW-031客户数据(硬盘)硬盘高柴油发电19.HW-032柴油发电机组财务软件20.F001etax网上报税系统财务软件21.F002用友通财务软件财务软件22.F003发票打印软件4.2A-02-25-0

19、3-201106-004Cowin监控系统监控系统高咼机咼一单机高-单机高-单机4.3A-02-25-03-201106-005General PSS V4.01.0.R.091112监控系统高WOR格式可编辑1.12H0001梁文略高层管理26.S0002杨英rh曰嚳工中 0-7 onnnd 木加宀' !高层管理高人员- 高人员中层管理 27.S0001 李海宁1.1.9 S0006赵红销售人员高高人员1.1.10 S0003 张光辉d d 4 d cccc/ n P. 口口中层管理, 人员IT服务高、'I.I.1I SUUU4 刘子明人员IT服务咼1.1.12 S0005

20、胡捷IT服务3250008张力高人员2.18suuu7唐海英其它高咼人员219 SUU26刘影其它高Lh12:20erver0W络通信中国联通*物管-德36$0¥003 供电咼必创意物管-德37$0¥004 房屋咼必创意五、威胁识别与分析对威胁来源(内部/外部;主观/不可抗力等)、威胁方式、发生的可能性,威胁主体的能力水平等进行列表分析。下面是典型的威胁范本:编号威胁文档和数据人力资源服务硬件和设施软件和系统1故障2废弃、-耳3服务:失效/中断JL专业知识整理分享WOR格式可编辑专业知识整理分享4恶意软件5抵赖6通信监听8未经授权更改9未经授权访问,使用或复制10被利用传送

21、敏感信息11盗窃13恶意破坏14电子存储媒体故障15违背知识产权相关法律、法规16温度、湿度、灰尘超17静电19容量超载20系统管理员权限滥用21密钥泄露、篡改22密钥滥用23个体24不公伤害(车祸、疾,病等)正待遇J .LJ25社会;工程T26人为灾难:瘟疫、火灾、爆炸、恐127自然怖袭击等E灾难:地震、洪水、台风、雷击等28服务供应商泄密1.13威胁数据采集1.14威胁描述与分析依据威胁赋值表,对资产进行威胁源和威胁行为分析。1.1.13威胁源分析填写威胁源分析表。1.15威胁行为分析填写威胁行为分析表。1.16威胁能量分析1.1.14威胁赋值威胁发生可能性等级对照表等级说明发生. !1低

22、非等级2中每半年至三可能性2与等级3的定义1少发生一次但不及等F耳h斗'级33高每月至少、发生两次说明:判断威胁出现的频率是威胁识别的重要工作,评估者应根据经验和(或)有关的统计数据来 进行判断。在风险评估过程中,还需要综合考虑以下三个方面,以形成在某种评估环境中各 种威胁出现的频率: 1)以往安全事件报告中出现过的威胁及其频率的统计;2)实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;3)近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的 威胁预警。六、脆弱性识别与分析按照检测对象、检测结果、脆弱性分析分别描述以下各方面的脆弱性检测结果和结果分析

23、。1.17常规脆弱性描述编号大类编号小类及说明 1环境和基础设施1.1物理保护的缺乏1.1.15物理访问控制不充分或不仔细 1.1.16电力供应不稳 1.1.17处于易受到威胁的场所,例如洪水、地震1.1.18缺乏防火、防雷等保护性措施2硬件2.1缺乏周期性的设备更新方案2.21易受电压变化影响 2.22易受到温度、湿度、灰尘和污垢影响 2.23易受到电磁辐射 2.24媒体介质缺乏维护或错误安装 2.25缺乏有效的配置变更控制 2.26缺之设施安全控制机制2.27不当维护*2.28不当处置3软件3.1不清晰、不完整的开发规格说明书4.4没有、或不完备的软件测试 4.5复杂的用户界面 4.6缺乏

24、标示和授权机制,例如用户授权WORD格式可编辑专业知识整理分享1.18缺乏审核踪迹1.19众所周知的软件缺陷,易受病毒等攻击1.20密码表未受到保护1.21密码强度太弱1.22访问权限的错误配置1.23未经控制的下载和使用软件1.24离开F工作常所未注销(锁屏)1.25缺乏有效的变更控制1.26文档缺乏1.27缺乏备份1.28处置或重用没有正确的擦除内容的存储介质1.29缺乏加解密使用策略1.30缺乏密钥管理1.31缺乏身份鉴别机制1.32缺乏补丁管理机制1.33安装、使用盗版软件1.34缺乏使用监控1.35未经授权复制或传播软件(许可)1.36缺乏(文件)共享安全策略1.37缺乏服务/端口安

25、全策略1.38缺乏病毒库升级管理机制1.39不受控发布公共信息WOR格式可编辑5文档5.1存放缺之保护4网络与通信4.1通信线路缺乏保护4.2电缆连接不牢固 4.3对发送和接收方缺乏识别与验证 4.4明文传输口令 4.5发送与接受消息时缺少证据 4.6拨号线路 4.7未保护的敏感信息传输 4.8网络管理不恰当 4.9未受保护的公网连接 4.10缺乏身份鉴别机制 4.11未配置或错误配置访问权限专业知识整理分享1.1.19不受控访问或复制 1.1.20随意处置1.1.21缺乏备份机制6人员6.1员工缺编2.29安全训练不完备 2.30缺乏安全意识 2.31缺乏控制机制 2.32缺乏员工关怀/申诉

26、政策 2.33不完备的招聘/离职程序 2.34道德缺失7服务与7.2服务故障响应不及时7.3负载过高7.4缺乏安1全控制机制7.5缺乏应急、机制般应用弱点7.1单点故障1.1.22脆弱性综合列表威胁发生可能性等级对照表等级说明发生三可能性1低非等级2与等级3的定义2中每半年至1少发生次但不及等、级33高每月至少、发生两次说明:判断威胁出现的频率是威胁识别的重要工作,评估者应根据经验和(或)有关的统计数据来 进行判断。在风险评估过程中,还需要综合考虑以下三个方面,以形成在某种评估环境中各 种威胁出现的频率: 1)以往安全事件报告中出现过的威胁及其频率的统计;2)实际环境中通过检测工具以及各种日志

27、发现的威胁及其频率的统计;3)近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的 威胁预警。七、风险分析1.40关键资产的风险计算结果信息安全风险矩阵计算表威胁发生可能性低1中2高3影响程度等级低中高低中咼,低中高112312!3123资产价值1123246369 1r-r'* 1224648126121833696121891827- 1r- 1H- 卜 -1说明:在完成了资产识别、威胁识别、弱点识别,以及对已有安全措施确认后,将采用适当的方法确定威胁利用弱点导致安全事件发生的可能性,考虑安全事件一旦发生其所作用的资产的重要性及弱点的严重程度判断安全事件造成

28、的损失对组织的影响,即安全风险。风险计算的方式如下,风险值=弱点被利用可能性等级X威胁利用弱点影响程度等级 X资产价值信息安全风险接受准则等级划分标准E说明A级18及以B级6-12有上不可接受的风险,'条件接受的风险(需必须采取控制措施:经评估小组评审,判断是否可以接受的风险)C级1-4不需幕要评审即可接受的丿风险1.41风险结果分析等级数量说A级18不B 级 186兑明1、可接受的风险,必须有条件接受的风险(rE采取控制措施需经评估小组评审,1判断是否可以接受的风险)C级17不:需要评审即可接受的风险八、综合分析与评价通过综合的评估,公司现有的风险评估的结果是适宜的、充分的、有效的。九、整改意见1.1.23加强各部门对风险处理技巧的培训。1.1.24对A级风险公司的处理需对各部门进行公示。1.1.25对A级和B级风险采取适当的控制措施,编写入公司的三级文

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论