ISO27002013信息安全连续性和影响分析报告

1、信息安全连续性和影响分析报告目录 TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document 概述1 HYPERLINK l bookmark4 o Current Document 级别划分定义 1 HYPERLINK l bookmark14 o Current Document 关键信息安全活动影响分析 2 HYPERLINK l bookmark16 o Current Document 关键功能与恢复时间目标 3 HYPERLINK l bookmark18 o Current Document 影响关键信息安全的风险分析 3 HYP

2、ERLINK l bookmark20 o Current Document 处理方案4 HYPERLINK l bookmark22 o Current Document 关键信息安全恢复所需资源 5 HYPERLINK l bookmark24 o Current Document 研发部批准决议 61.概述信息安全影响分析目标通过信息安全影响分析，识别出研发部的关键信息安全以及这些关键信息安全所面临的 风险，确认客户可接受的最大停顿时间。当风险发生时，为了使信息安全活动能够持续 运作，明确恢复信息安全所依赖的重要组件，笄针对各类风险制定相应的处理方案。适用范围公司研发部.级别划分定义D信

3、息安全关键性级别的划分级别取值描述高1此信息安全/功能对公司极其重要，关键性级别极高，一旦此信息安全/功能中断将会给公司极大的冲击与影响。中2此信息安全/功能对公司比较重要，关键性级别中，一旦此信息安全/功能中断将会给公司一定的冲击与影响。低3此信息安全/功能对公司的重要性一般，关键性级别低，一旦此信息安全/功能中断给公司带来的冲击与影响一般。2）信息安全影响程度级别（B）的划分:级别取值描述高5资产的安全性遭破坏后，可能导致公司关键信息安全长时间（二天以上）的中 断，相关的活动均受到影响，公司信誉、经济受到严重的损失。中3资产的安全性遭破坏后，可能导致公司关键信息安全短时间中断（一天之内），

4、造成一定的损失。低1资产的安全性遭破坏后，可能导致公司信息安全的不正常运作，相关损失较少。3）威胁发生可能性（P）的级别划分:级别取值标准描述级别取值标准描述高5? 从威胁的驱动因素来看，该风险很有可能会发生；或? 以前曾经发生过多次；或? 以前发生数次，并且该安全事件呈上升趋势。中3? 过去曾发生过该风险；或? 虽然没有发生，但没有控制措施到位；低1? 过去很少发生；或? 已经有控制措施到位4）信息安全影响的总体评价公式：U = P * B.关键信息安全活动影响分析项目关键信息安全/功能所属部门信息安全影响分析1.yyy系统研发部此信息安全/功能对公司重要，关键性 级别高，一旦此信息安全/功

5、能中断将 会给公司比较大的冲击与影响：无法 支持内部审计工作的信息化处理2.OA研发部此信息安全/功能对公司重要，关键性级别高，一旦此信息安全/功能中断将会给公司比较大的冲击与影响3.邮件系统研发部此信息安全/功能对公司比较重要，美 键性级别中，一旦此信息安全 /功能中 断将会给公司一定的冲击与影响。4.网络研发部此信息安全/功能对公司比较重要，美键性级别极高，一旦此信息安全 /功能 中断将会给公司一定的冲击与影响。.关键功能与恢复时间目标项目功能描述级别可接受的最大停顿时间/恢复时间目标1.网络总部内部、总部与办事处网122工作日络互联，信息共享2.系统系统功能简述225工作日3.OA系统O

6、A225工作日4.邮件系统接收邮件325工作日.影响关键信息安全的风险分析项目风险威胁发生可能性（P）信息安全影响程度级别（B）总体评价（U）1.火灾35152.水灾1553.爆炸1554.5.地震突发公共卫生事件（如 SARS1353596.电力中断（2天以 上）1557.恶劣天气（如沙尘 暴）3138.病毒大规模爆发133项目风险威胁发生可能性（P）信息安全影响程度级别（B）总体评价（U）9.外包人员集体辞职13310.拒绝服务攻击13311.网站被黑（数据不 可用或被篡改）33912.关键服务器宕机15513.公司机密/绝密级 信息泄密15514.其它重大自然灾难155.处理方案项目风险

7、总体评价（U）处理方案1.火灾15参照信息安全连续性计划2.水灾5参照信息安全连续性计划3.爆炸5参照信息安全连续性计划4.地震5参照信息安全连续性计划5.突发公共卫生事件9总部机房实行24小时值班制度，人员无法进入现（如 SARS场时，可通过VPN实现控制6.总部机房UPS在正常使用情况下，可坚持至少 4电力中断5个小时；如电力仍未恢复，将由运维组联系，尽 快租赁一台发电车。总部机房实行24小时值班制度，人员无法进入现7.恶劣天气（如沙尘暴）38.场时，可通过VPN实现控制公司各服务器及客户端安装统一的防病毒软件，病毒大规模爆发3并时时更新，一旦出现病毒爆发的情况，立即将项目风险总体评价（U

8、）处理方案该类设备断网，对病毒进行清除后再接入网。9.外包人员集体辞职3整理完备的操作手册及应急手册，在选取供应商 时保留12个作为候选。10.拒绝服务攻击3通过安全漏洞扫描，目前尚未发现此类风险。11.网站被黑（数据不口 用或被篡改）9参照门户网站应急手册12.关键设备宕机5参照主机系统应急手册、网络系统应急手册、 应用系统应急手册13.公司机密/绝密级信 息泄密5发现此类问题后，立即上报安全质量管理组14.如果工作现场被破坏，参考信息安全连续，住计其它重大自然灾难5划；如果工作人员不能进入现场，由于总部机房实行24小时值班制度，可通过 VPN实现控制.关键信息安全恢复所需资源项目功能资源其它1.系统关键运维人员、应 用开发人员及相关 部门协调人员系统备份数据电脑、电话、供 应商联系方式2.OA关键运维人员、应 用开发人员及相关 部门协调人员系统备份数据电脑、电话、供 应商联系方式3.邮件系统关键运维人员及相 关部门协调人员系统备份数据电脑、电话、供 应商联系方式4.网络关键运维人员及相 关部门协调人员电脑、电话、供 应商联系方式.研发部批准决议此信息安全影响分析结果经与客户确认，研发部做出以下决议:项目批准决议备注1.系统、OA、邮件系统等都可暂时停止运作