版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、精选优质文档-倾情为你奉上For personal use only in study and research; not for commercial use蒄蕿荿xx有限公司螆记录编号节005羁信息系统安全风险评估报告蝿创建日期蒇2015年8月16日聿文档密级芈羃莄蒂蚇蚃膂薀肇更改记录蒄时间芃更改内容虿更改人蒆膄莄肁羆羅膂腿虿蚅项 目 名 称: XXX风险评估报告 膃被评估公司单位: XXX有限公司 薂参与评估部门:XXXX委员会 肈蒅羁蚀一、风险评估项目概述蒈1.1 工程项目概况膆1.1.1 建设项目基本信息肂螈风险评估版本袇201X年8日5日更新的资产清单及评估袆项目完成时间肃201X
2、年8月5日膁项目试运行时间莆2015年1-6月蚆袁1.2 风险评估实施单位基本情况艿评估单位名称螆XXX有限公司莇羂二、风险评估活动概述薂2.1 风险评估工作组织管理葿描述本次风险评估工作的组织体系(含评估人员构成)、工作原则和采取的保密措施。袃2.2 风险评估工作过程羃本次评估供耗时2天,采取抽样的的方式结合现场的评估,涉及了公司所有部门及所有的产品,已经包括了位于公司地址位置的相关产品。螀2.3 依据的技术标准及相关法规文件衿本次评估依据的法律法规条款有:薄序号螁法律、法规及其他要求名称袈颁布时间芈实施时间莄颁布部门袂1膁全国人大常委会关于维护互联网安全的决定螇2000.12.28肄200
3、0.12.28羄全国人大常委会艿2膇中华人民共和国计算机信息系统安全保护条例袅1994.02.18螁1994.02.18蚁国务院第147号令薆3薅中华人民共和国计算机信息网络国际联网管理暂行规定螂1996.02.01螀1996.02.01芀国务院第195号令莅4袄中华人民共和国计算机软件保护条例袈2001.12.20虿2002.01.01肆国务院第339号令蚁5芁中华人民共和国信息网络传播权保护条例膈2006.05.10袆2006.07.01蚂国务院第468号令荿6薈中华人民共和国计算机信息网络国际联网管理暂行规定实施办法薇1998.03.06螄1998.03.06螁国务院信息化工作领导小组羇
4、7芇计算机信息网络国际联网安全保护管理办法薁1997.12.16袀1997.12.30蒆公安部第33号令螃8薃计算机信息系统安全专用产品检测和销售许可证管理办法羈1997.06.28袆1997.12.12薄公安部第32号令蚄9莀计算机病毒防治管理办法蕿2000.03.30芄2000.04.26蒁公安部第51号令葿10罿恶意软件定义肄200706.27薃200706.27袁中国互联网协会莈11螅抵制恶意软件自律公约薄200706.27羀200706.27袇中国互联网协会蒅12莁计算机信息系统保密管理暂行规定莂1998.2.26芇1998.02.26芆国家保密局蒃13蒀计算机信息系统国际联网保密管
5、理规定蚆2000.01.01羆2000.01.01蒄国家保密局蕿14荿软件产品管理办法螆2000.10.08节2000.10.08羁中华人民共和国工业和信息化部蝿15蒇互联网等信息系统网络传播视听节目管理办法莃2004.06.15聿2004.10.11芈国家广播电影电视总局羃16莄互联网电子公告服务管理规定蒂2000.10.08蚇2000.10.08蚃信息产业部膂17薀信息系统工程监理工程师资格管理办法肇2003年颁布蒄2003.03.26芃信息产业部虿18蒆信息系统工程监理单位资质管理办法膄2003.03.26莄2003.04.01肁信息产业部羆19羅电子认证服务管理办法膂2009.02.0
6、4腿2009.03.31虿信息产业部蚅20膃关于印发国家电子信息产业基地和产业园认定管理办法(试行)的通知薂2008.03.04肈2008.03.04蒅中华人民共和国信息产业部羁21蚀计算机软件著作权登记收费项目和标准蒈1992.03.16膆1992.04.01肂机电部计算机软件登记办公室螈22袇中国互联网络域名管理办法袆2004.11.05肃2004.12.20膁信息产业部莆23蚆中华人民共和国专利法袁2010.01.09艿2010.02.01螆全国人民代表大会常务委员莇24羂中华人民共和国技术合同法薂1987.06.23葿1987.06.23袃国务院科学技术部羃25螀关于电子专利申请的规定
7、衿2010.08.27薄2010.10.01螁国家知识产权局袈26芈中华人民共和国著作权法莄2010.02.26袂2010.02.26膁全国人大常委会螇27肄中华人民共和国著作权法实施条例羄2002.08.02艿2002.9.15膇国务院第359号令袅28科学技术保密规定1995.01.061995.01.06国家科委、国家保密局29互联网安全保护技术措施规定2005.12.132006.03.01公安部发布30中华人民共和国认证认可条例2003.09.032003.11.1国务院第390号令31中华人民共和国保守国家秘密法2010.04.292010.10.01全国人大常委会32中华人民共和
8、国国家安全法1993.02.221993.02.22全国人大常委会33中华人民共和国商用密码管理条例1999.10.071999.10.07国务院第273号令34消防监督检查规定2009.4.302009.5.1公安部第107号35仓库防火安全管理规则1990.03.221994.04.10中华人民共和国公安部令第6号36地质灾害防治条例2003.11.242004.03.01国务院34号37电力安全生产监管办法2004.03.092004.03.09国家电力监管委员会第2号38中华人民共和国劳动法2007.06.292008.1.1华人民共和国主席令第二十八号39失业保险条例1998.12.
9、261999.01.22国务院40失业保险金申领发放2001.10.262001.01.01劳动和社会保障部41中华人民共和国企业劳动争议处理条例1993.06.111993.08.01国务院2.4 保障与限制条件需要被评估单位提供的文档、工作条件和配合人员等必要条件,以及可能的限制条件。三、评估对象3.1 评估对象构成与定级3.1.1 网络结构根据提供的网络拓扑图,进行结构化的审核。3.1.2 业务应用本公司涉及的数据中心运营及服务活动。3.1.3 子系统构成及定级 N/A3.2 评估对象等级保护措施按照工程项目安全域划分和保护等级的定级情况,分别描述不同保护等级保护范围内的子系统各自所采取
10、的安全保护措施,以及等级保护的测评结果。根据需要,以下子目录按照子系统重复。3.2.1 XX子系统的等级保护措施根据等级测评结果,XX子系统的等级保护管理措施情况见附表一。根据等级测评结果,XX子系统的等级保护技术措施情况见附表二。四、资产识别与分析4.1 资产类型与赋值4.1.1资产类型按照评估对象的构成,分类描述评估对象的资产构成。详细的资产分类与赋值,以附件形式附在评估报告后面,见附件3资产类型与赋值表。4.1.2资产赋值填写资产赋值表。大类详细分类举例文档和数据经营规划中长期规划等经营计划等组织情况组织变更方案等组织机构图等组织变更通知等组织手册等规章制度各项规程、业务手册等人事制度人
11、事方案等人事待遇资料等录用计划等离职资料等中期人员计划等人员构成等人事变动通知等培训计划等培训资料等财务信息预决算(各类投资预决算)等业绩(财务报告)等中期财务状况等资金计划等成本等财务数据的处理方法(成本计算方法和系统,会计管理审查等经营分析系统,减税的方法、规程)等营业信息市场调查报告(市场动向,顾客需求,其它本公司动向及对这些情况的分析方法和结果)等商谈的内容、合同等报价等客户名单等营业战略(有关和其它本公司合作销售、销售途径的确定及变更,对代理商的政策等情报)等退货和投诉处理(退货的品名、数量、原因及对投诉的处理方法)等供应商信息等技术信息试验/分析数据(本公司或者委托其它单位进行的试
12、验/分析)等研究成果(本公司或者和其它单位合作研究开发的技术成果)等科技发明的内容(专利申请书以及有关的资料/试验数据)等开发计划书等新产品开发的体制、组织(新品开发人员的组成,业务分担,技术人员的配置等)技术协助的有关内容(协作方,协作内容,协作时间等)教育资料等技术备忘录等软件信息生产管理系统等技术解析系统等计划财务系统等设计书等流程等编码、密码系统等源程序表等其他诉讼或其他有争议案件的内容(民事、无形资产、工伤等纠纷内容)本公司基本设施情况(包括动力设施)等董事会资料(新的投资领域、设备投资计划等)本公司电话簿等本公司安全保卫实施情况及突发事件对策等软件操作系统Windows、 Linu
13、x 等应用软件/系统开发工具、办公软件、网站平台、 财务系统 等数据库MS SQL Server、MySQL 等硬件设备通讯工具传真等传输线路光纤、双绞线等存储媒体磁带、光盘、软盘、U 盘等存储设备光盘刻录机、磁带机等文印设备打印机、复印机、扫描仪服务器PC Server、小型机等桌面终端PC、工作站等网络通信设备路由器、交换机、集线器、无线路由器等网络安全设备防火墙、防水墙、IPS 等支撑设施UPS、机房空调、发电机等人力资源高层管理人员高层管理人员 本公司总/副总经理、总监等中层管理人员部门经理技术管理人员项目经理、项目组长、安全工程师普通技术人员软件工程师、程序员、测试工程师、界面工程师
14、等IT 服务人员系统管理员、网络管理员、维护工程师其它人事、行政、财务等人员服务通信ADSL、光纤等房租办公房屋租用托管服务器托管、虚拟主机、邮箱托管法律外聘律师、法律顾问供电照明电、动力电审计财务审计6.2. 资产赋值判断准则对资产的赋值不仅要考虑资产的经济价值,更重要的是要考虑资产的安全状况对于系统或组织的重要性,由资产在其三个安全属性上的达成程度决定。资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析,并在此基础上得出综合结果的过程。达成程度可由安全属性缺失时造成的影响来表示,这种影响可能造成某些资产的损害以至危及信息系统,还可能导致经济效益、市场份额、组织形象的损失
15、。6.2.1. 机密性赋值根据资产在机密性上的不同要求,将其分为三个不同的等级,分别对应资产在机密性上应达成的不同程度或者机密性缺失时对整个组织的影响。赋值标识定 义3高包含组织最重要的秘密,关系未来发展的前途命运,对根本利益有着决定性的影响,如果泄露会造成灾难性的损害,例如直接损失超过100 万人民币,或重大项目(合同)失败,或失去重要客户,或关键业务中断3天。2中组织的一般性秘密,其泄露会使组织的安全和利益受到损害,例如直接损失超过10 万人民币,或项目(合同)失败,或失去客户,或关键业务中断超过1 天。1低可在社会、组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻
16、微损害或不造成伤害。6.2.2. 完整性赋值根据资产在完整性上的不同要求,将其分为三个不同的等级,分别对应资产在完整性上缺失时对整个组织的影响。赋值标识定 义3高完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,并且难以弥补。例如直接损失超过100 万人民币,或重大项目(合同)失败,或失去重要客户。2中完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补。例如直接损失超过10 万人民币,或项目(合同)失败,或失去客户。1低完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,甚至可以忽略,对业务
17、冲击轻微,容易弥补。6.2.3. 可用性赋值根据资产在可用性上的不同要求,将其分为三个不同的等级,分别对应资产在可用性上的达成的不同程度。赋值标识定 义3高可用性价值非常高,合法使用者对资产的可用度达到年度90%以上,或系统不允许中断。2中可用性价值中等,合法使用者对资产的可用度在正常工作时间达到50%以上,或系统允许中断时间小于8 工作时。1低可用性价值较低或可被忽略,合法使用者对资产的可用度在正常工作时间达到50%以下,或系统允许中断时间小于24 工作时。6.2.4. 资产重要性等级资产价值(V) 机密性价值(C)完整性价值(I)可用性价值(A)资产等级:等级价值分类资产总价值1低3 42
18、中5 73高8 94.2 重要资产清单及说明在分析被评估系统的资产基础上,列出对评估单位十分重要的资产,作为风险评估的重点对象,并以清单形式列出如下:重要资产列表序号资产编号子系统名称应用资产重要程度权重其他说明1.F001各类公司证件其他高2.F002财务账务文件其他高3.F004发票其他高4.F006用友通财务软件备份数据其他高5.ATSH10-007Pernod Ricard业务持续服务合同客户合同高6.ATSH-11/001/10-007天选备份软件维护服务合同供应商合同高7.ATSH10-008VantAsia业务持续服务合同客户合同高8.ATSH11-001NAB业务持续服务合同客
19、户合同高9.HW-009服务器(运作技术部)服务器高10.HW-022精密空调(运作技术部)精密空调高11.HW-023UPS(运作技术部)UPS高12.HW-024PPDC(运作技术部)PPDC高13.HW-026AVAYA(运作技术部)通讯设备高14.HW-027Switch(运作技术部)网络设备高15.HW-028Router(运作技术部)网络设备高16.HW-029Fire wall(运作技术部)网络设备高17.HW-030DVR(运作技术部)监控设备高18.HW-031客户数据(硬盘)硬盘高19.HW-032柴油发电机组柴油发电机高20.F001etax网上报税系统财务软件单机高21
20、.F002用友通财务软件财务软件单机高22.F003发票打印软件财务软件单机高23.A-02-25-03-004Cowin 监控系统监控系统高24.A-02-25-03-005General_PSS_V4.01.0.R.监控系统高25.H0001梁文略高层管理人员高26.S0002杨英高层管理人员高27.S0001李海宁中层管理人员高28.S0006赵红销售人员高29.S0003张光辉中层管理人员高30.S0004刘子明IT 服务人员高31.S0005胡捷IT 服务人员高32.S0008张力IT 服务人员高33.S0007唐海英其它高34.S0026刘影其它高35.server02网络通信中国
21、联通高36.server03供电物管- 德必创意高37.server04房屋物管- 德必创意高五、威胁识别与分析对威胁来源(内部/外部;主观/不可抗力等)、威胁方式、发生的可能性,威胁主体的能力水平等进行列表分析。下面是典型的威胁范本:编号威胁硬件和设施软件和系统文档和数据人力资源服务1故障2废弃3服务失效/中断4恶意软件5抵赖6通信监听7操作失误8未经授权更改9未经授权访问,使用或复制10被利用传送敏感信息11盗窃12供电故障13恶意破坏14电子存储媒体故障15违背知识产权相关法律、法规16温度、湿度、灰尘超限17静电18黑客攻击19容量超载20系统管理员权限滥用21密钥泄露、篡改22密钥滥
22、用23个体伤害(车祸、疾病等)24不公正待遇25社会工程26人为灾难:瘟疫、火灾、爆炸、恐怖袭击等27自然灾难:地震、洪水、台风、雷击等28服务供应商泄密5.1 威胁数据采集5.2 威胁描述与分析依据威胁赋值表,对资产进行威胁源和威胁行为分析。5.2.1 威胁源分析填写威胁源分析表。5.2.2 威胁行为分析填写威胁行为分析表。5.2.3 威胁能量分析5.3 威胁赋值威胁发生可能性等级对照表等级说 明发生可能性1低非等级2 与等级3 的定义2中每半年至少发生一次但不及等级33高每月至少发生两次说明:判断威胁出现的频率是威胁识别的重要工作,评估者应根据经验和(或)有关的统计数据来进行判断。在风险评
23、估过程中,还需要综合考虑以下三个方面,以形成在某种评估环境中各种威胁出现的频率:1) 以往安全事件报告中出现过的威胁及其频率的统计;2) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;3) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警。六、脆弱性识别与分析按照检测对象、检测结果、脆弱性分析分别描述以下各方面的脆弱性检测结果和结果分析。6.1 常规脆弱性描述编号大类编号小类及说明1环境和基础设施1.1物理保护的缺乏:建筑物、门、窗等1.2物理访问控制不充分或不仔细1.3电力供应不稳1.4处于易受到威胁的场所,例如洪水、地震1.5缺乏防火、防雷
24、等保护性措施2硬件2.1缺乏周期性的设备更新方案2.2易受电压变化影响2.3易受到温度、湿度、灰尘和污垢影响2.4易受到电磁辐射2.5媒体介质缺乏维护或错误安装2.6缺乏有效的配置变更控制2.7缺乏设施安全控制机制2.8不当维护2.9不当处置3软件3.1不清晰、不完整的开发规格说明书3.2没有、或不完备的软件测试3.3复杂的用户界面3.4缺乏标示和授权机制,例如用户授权3.5缺乏审核踪迹3.6众所周知的软件缺陷,易受病毒等攻击3.7密码表未受到保护3.8密码强度太弱3.9访问权限的错误配置3.10未经控制的下载和使用软件3.11离开工作常所未注销(锁屏)3.12缺乏有效的变更控制3.13文档缺
25、乏3.14缺乏备份3.15处置或重用没有正确的擦除内容的存储介质3.16缺乏加解密使用策略3.17缺乏密钥管理3.18缺乏身份鉴别机制3.19缺乏补丁管理机制3.20安装、使用盗版软件3.21缺乏使用监控3.22未经授权复制或传播软件(许可)3.23缺乏(文件)共享安全策略3.24缺乏服务/端口安全策略3.25缺乏病毒库升级管理机制3.26不受控发布公共信息4网络与通信4.1通信线路缺乏保护4.2电缆连接不牢固4.3对发送和接收方缺乏识别与验证4.4明文传输口令4.5发送与接受消息时缺少证据4.6拨号线路4.7未保护的敏感信息传输4.8网络管理不恰当4.9未受保护的公网连接4.10缺乏身份鉴别
26、机制4.11未配置或错误配置访问权限5文档5.1存放缺乏保护5.2不受控访问或复制5.3随意处置5.4缺乏备份机制6人员6.1员工缺编6.2安全训练不完备6.3缺乏安全意识6.4缺乏控制机制6.5缺乏员工关怀/申诉政策6.6不完备的招聘/离职程序6.7道德缺失7服务与一般应用弱点7.1单点故障7.2服务故障响应不及时7.3负载过高7.4缺乏安全控制机制7.5缺乏应急机制6.3 脆弱性综合列表威胁发生可能性等级对照表等级说 明发生可能性1低非等级2 与等级3 的定义2中每半年至少发生一次但不及等级33高每月至少发生两次说明:判断威胁出现的频率是威胁识别的重要工作,评估者应根据经验和(或)有关的统
27、计数据来进行判断。在风险评估过程中,还需要综合考虑以下三个方面,以形成在某种评估环境中各种威胁出现的频率:1) 以往安全事件报告中出现过的威胁及其频率的统计;2) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;3) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警。七、风险分析7.1 关键资产的风险计算结果信息安全风险矩阵计算表威胁发生可能性低1中2高3影响程度等级低1中2高3低1中2高3低1中2高3资产价值1123246369224648126121833696121891827说明:在完成了资产识别、威胁识别、弱点识别,以及对已有安全措施确
28、认后,将采用适当的方法确定威胁利用弱点导致安全事件发生的可能性,考虑安全事件一旦发生其所作用的资产的重要性及弱点的严重程度判断安全事件造成的损失对组织的影响,即安全风险。风险计算的方式如下,风险值 弱点被利用可能性等级X 威胁利用弱点影响程度等级X 资产价值信息安全风险接受准则等级划分标准说明A级18及以上不可接受的风险,必须采取控制措施B级6-12有条件接受的风险(需经评估小组评审,判断是否可以接受的风险)C级1-4不需要评审即可接受的风险7.2.4 风险结果分析等级数量说明A级18不可接受的风险,必须采取控制措施B级186有条件接受的风险(需经评估小组评审,判断是否可以接受的风险)C级17不需要评审即可接受的风险八、综合分析与评价通过综合的评估,公司现有的风险评估的结果是适宜的、充分的、有效的。九、整改意见1. 加强各部门对风险处理技巧的培训。2. 对A级风险公司的处理需对各部门进行公示。3. 对A级和B级风险采取适当的控制措施,编写入公司的三级文件进行控制。 附件1:管理措施表序号层面/方面安全控制/措施落实部分落实没有落实不适用安全管理制度管理制度制定和发布评审和修订安全管理机构岗位设置人员配备授权和审批沟通和合作审核和检查人员安全管理 人员录用人员离岗人员考核安全意识教育和培训外部人员访问管理系统建设管理系统定级安全
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 广东省汕尾市(2024年-2025年小学五年级语文)人教版综合练习((上下)学期)试卷及答案
- 2023年大容量注射剂资金申请报告
- 2023年高纯氧化铌、氧化钽资金筹措计划书
- 五年级数学(小数除法)计算题专项练习及答案
- 高二上册政治总复习教案
- 猪场分娩舍培训总结
- 《电气控制系统设计与装调》教案 任务一:M7140型磨床控制线路基本构造及工作原理
- 山东省济宁市金乡县多校2024-2025学年二年级上学期期中语文试卷
- 陕西省神木市2024~2025学年七年级上学期期中质量检测调生物学试题(含答案)
- 湖南省邵阳市邵东市创新高级中学有限公司2024-2025学年高一上学期期中考试地理试题(含答案)
- 大数据技术原理与应用 完整版课件
- 接地装置隐蔽工程验收记录
- (完整)舌尖上的中国ppt
- 5S培训题库及答案
- 创新创业路演PPT
- 决议、章程范本
- 第5课 耕牛-战马 课件 八年级上册
- 观看公安民警违纪警示教育片心得体会三篇
- 幼儿园中班健康教案《肠胃小闹钟》含反思
- 装配式建筑精装修装配施工方法
- 金融市场学课件(完整版)
评论
0/150
提交评论