ISO27001:2013信息资产识别表
ISO27001-2013重要信息资产清单
刘鹏/研发部 3
4
3
3
108
3
刘鹏/研发部 3
3
4
3
108
3
刘鹏/研发部 5
3
3
3
135
3
刘鹏/研发部 2
4
3
3
72
3
刘鹏/研发部 3
4
3
3
108
3
刘鹏/研发部 4
3
3
3
108
3
刘鹏/研发部 3
4
3
3
108
3
刘鹏/研发部 4
3
3
3
108
3
刘鹏/研发部 3
3
3
3
81
3
刘鹏/研发部 3
3
3
3
81
3
刘鹏/研发部 3
重要信息资产清单
序号 资产分类 资产名称
编号
1
人员
刘鹏
2
人员
白鹏飞
3
人员
贺雨阁
4
人员
黄劲军
5
人员
王雪
6
人员
宋勇鹏
7
硬件 办公笔记本
FM009
8
软件 数据资料
9
数据 系统文档
10
文档 用户手册
11
硬件 开发服务器
12 13 14 15
软件 文档 文档 文档
源代码
项目技术方 案 项目实施资 料 项目验收资 料
3
4
3
108
3
刘鹏/研发部 5
3
3
3
135
3
刘鹏/研发部 3
3
33813源自刘鹏/研发部 33
ISO27001重要资产威胁识别表汇编
重要资产威胁识别表
(ISO27001-2013)
表1-1:重要硬件资产威胁识别表
重要资产威胁识别表--硬件资产
资产名称资产描述威胁类部门
台式机网关/SVN服务器
Bugzilla/FTP/Web服务
器
Trac服务器操作失误
滥用权限
系统漏洞攻击
设备硬件故障
社会工程威胁
维护错误
未授权访问系统资源物理访问失控
电磁干扰
系统负载过载
机架式服务器Mail服务器操作失误
滥用权限
系统漏洞攻击
设备硬件故障
社会工程威胁
维护错误
未授权访问系统资源
物理访问失控
电磁干扰
系统负载过载
笔记本电脑木马后门攻击
设备硬件故障
网络病毒传播
未授权访问系统资源
社会工程威胁
台式机木马后门攻击
设备硬件故障
网络病毒传播
未授权访问系统资源
社会工程威胁
表1-2 重要应用系统资产威胁识别表
重要资产威胁识别表--应用系统
序号资产名称威胁类部门1 SVN业务系统篡改用户或业务数据信息
控制和破坏用户或业务数据
滥用权限泄漏秘密信息
数据篡改
探测窃密
未授权访问
未授权访问系统资源
用户或业务数据的窃取
2 Iptables防火墙
系统操作失误
访问控制策略管理不当维护错误
未授权访问资源
原发抵赖
表1-3 重要文档和数据资产威胁识别表
重要资产威胁识别表--文档和数据
序号资产名称威胁类部门1 DVB-J项目开发资料滥用权限开发部。
ISO27001-2013中文版
国际标准ISO/IEC 27001第二版2013-10-19信息技术-安全技术 -信息安全管理体系 -要求Information technology- Security techniques -Information securitymanagement systems-Requirements目录1 范围 (5)2 规范性引用文件 (5)3 术语和定义 (5)4 组织环境 (5)4.1 理解组织及其环境 (5)4.2 理解相关方的需求和期望 (5)4.3 确定信息安全管理体系的范围 (5)4.4 信息安全管理体系 (6)5 领导 (6)5.1 领导和承诺 (6)5.2 方针 (6)5.3 组织角色、职责和权限 (7)6 规划 (7)6.1 应对风险和机会的措施 (7)6.1.1总则 (7)6.1.2信息安全风险评估 (7)6.1.3信息安全风险处置 (8)6.2 信息安全目标和规划实现 (8)7 支持 (9)7.1 资源 (9)7.2 能力 (9)7.3 意识 (9)7.4 沟通 (10)7.5 文件记录信息 (10)7.5.1总则 (10)7.5.2创建和更新 (10)7.5.3文件记录信息的控制 (10)8 运行 (11)8.1 运行的规划和控制 (11)8.2 信息安全风险评估 (11)8.3 信息安全风险处置 (11)9 绩效评价 (11)9.1 监视、测量、分析和评价 (11)9.2 内部审核 (12)9.3 管理评审 (12)10 改进 (13)10.1 不符合和纠正措施 (13)10.2 持续改进 (14)附录A(规范性附录)参考控制目标和控制措施 (15)参考文献 (23)ISO(国际标准化组织)和 IEC(国际电工委员会)是为国际标准化制定专门体制的国际组织。
国家机构是 ISO或IEC的成员,他们通过各自的组织建立技术委员会参与国际标准的制定,来处理特定领域的技术活动。
ISO和IEC技术委员会在共同感兴趣的领域合作。
ISO27001:2013信息资产分类分级管理制度
信息资产分类分级管理程序目录1.目的和范围 (2)2.引用文件 (2)3.职责和权限 (3)4.信息资产的分类分级 (3)4.1信息资产的分类 (3)4.2信息资产的分级管理 (4)4.3信息资产分类指导 (5)5.信息分级标识 (5)5.1分级标识编号 (5)5.2公司绝密、机密信息定义 (6)5.3各密级知晓范围 (6)5.4分级标识编号可作为分级标识使用 (7)6.公司秘密信息使用管理 (8)6.1涉密信息的保管 (8)6.2涉密信息的访问限制 (9)6.3涉密信息的使用 (10)6.4涉密信息发送 (12)6.5涉密信息的废弃处置 (13)7.保密原则 (14)1.目的和范围为降低公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险,这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失,需要规范信息资产保护方法和管理要求,特制订本管理制度。
本规定适用于本公司信息资产的安全管理,适用对象为本公司员工和所有外来人员。
特殊岗位或特殊人员,另有规定的从其规定。
公司信息资产是指一切关系公司安全和利益,在保护期内只限一定范围内人员知悉、操作、维护的事物、文档、项目、数据等资源。
2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)《备份管理规定》5)《访问控制程序》6)《文件控制程序》3.职责和权限本管理规定作为全公司范围信息类资产的最低管理要求,各部门或各项目组,均可以根据客户要求,添加补充策略,并在本部门、本项目组内实施,与本规定一起,作为信息安全管理的工作指南。
ISO27001:2013信息资产分类分级管理制度
XXXXXX软件有限公司人性化科技提升业绩信息资产分类分级管理程序目录1.目的和范围 (2)2.引用文件 (2)3.职责和权限 (3)4.信息资产的分类分级 (3)4.1信息资产的分类 (3)4.2信息资产的分级管理 (4)4.3信息资产分类指导 (5)5.信息分级标识 (5)5.1分级标识编号 (5)5.2公司绝密、机密信息定义 (6)5.3各密级知晓范围 (6)5.4分级标识编号可作为分级标识使用 (7)6.公司秘密信息使用管理 (8)6.1涉密信息的保管 (8)6.2涉密信息的访问限制 (9)6.3涉密信息的使用 (10)6.4涉密信息发送 (12)6.5涉密信息的废弃处置 (13)7.保密原则 (14)1.目的和范围为降低公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险,这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失,需要规范信息资产保护方法和管理要求,特制订本管理制度。
本规定适用于本公司信息资产的安全管理,适用对象为本公司员工和所有外来人员。
特殊岗位或特殊人员,另有规定的从其规定。
公司信息资产是指一切关系公司安全和利益,在保护期内只限一定范围内人员知悉、操作、维护的事物、文档、项目、数据等资源。
2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)《备份管理规定》5)《访问控制程序》6)《文件控制程序》3.职责和权限本管理规定作为全公司范围信息类资产的最低管理要求,各部门或各项目组,均可以根据客户要求,添加补充策略,并在本部门、本项目组内实施,与本规定一起,作为信息安全管理的工作指南。
信息安全管理体系ISO27001-2013内审检查表
市场部
审核成员 李子叶 审核日期 2019/9/16
审核主题
8.2\8.3\A15
陪同人员
核查 要素/条款
核查事项
核查记录
符合项
8.2
信 息 安 全 有信息安全风险评估报告,记录了风险评估的时间、人员 √
风险评估 、资产数量、风险数量、优先级等。
8.3
信 息 安 全 有信息安全风险评处置计划,记录了风险评估的时间、人 √
决安全
A.15.1.3 信 息 与 通 查《相关方服务保密协议》,包括信息与通信技术服务以 √ 信 技 术 供 及产品供应链相关的信息安全风险处理要求。
应链
A.15.2.1 供 应 商 服 有相关方服务评审报告。评价供应商在服务过程中的安全 √ 务 的 监 视 情况。
和评审
A.15.2.2 供 应 商 服 目前供应商服务无变更。 务的变更
管理
观察项
不符合项
ቤተ መጻሕፍቲ ባይዱ
风险处置 员、资产数量、风险数量、优先级等。
A.15.1.1
供 应 商 关 有《相关方信息安全管理程序》,规定相关部门应协同行 √ 系 的 信 息 政部识别供应商对信息资产和信息处理设施造成的风险, 安全策略 并在批准供应商访问信息资产和信息处理设施前实施适当
A.15.1.2 在 供 应 商 的 查控 有制 《。 相关方服务保密协议》,所有与外部相关方合作而 √ 协 议 中 解 引起的安全需求或内部控制都应在协议中反映。
ISO27001:2013信息资产风险接受、残余风险审批表
信息资产风险接受、残余风险审批表
资产名称 失效模式
即时通 讯
资料泄漏
影响
资料的安 全性大大 降低
威胁
对该类软 件使用的 监控成本 过高或难 以监控
脆弱点
即时通讯 软件的特 性
RPN
使用QQ需申
请,购买网 3
6
4
72
管软件或在
单独的网段
申请风险 接受/残余 风险理由
资产责任部门:技术部 资产责任人: 申请时间: 同意把该风险做为残余风险并接受其风险
信息安全 管理委员 会审议意
见
管理者代表: 同意把该风险做为残余风险并接受其风险
批准时间:
批准
总经理: 备注
批准时间:
中使用
3
6
4
72
虽然公司对电脑的使用实行了防护制度,而且网管会定期对员工的电脑进行检查,但这仍未从本质 原因上解决安全隐患。目前比较有效的措施是购买高性能的网管软件或在单独的网段中使用来加以 控制,但这成本都比较高。根据目前公司的发展水平,仍未达到必须购买这的程度。因此经过风险 控制和实施成本的综合考虑,建议在现有控制措施的基础上,把此项风险作为残余风险。
ISO27001-2013信息安全管理体系内部审核检查表`
ISO27001-2013信息安全管理体系内部审核检查表`被审核部门:审核时间:2020.01.06 编写人:被审核部门代表确认:内审员:管理者代表:审核依据:ISO27001:2013 及法律法规要求条款标题审核问题审核对象审核方式审核结果审核记录4 组织环境4.1 4.1 理解组织及其环境1、组织管理者是否了解组织内部可能会影响信息安全目标实现的风险?2、组织管理者是否了解组织外部环境,包括行业状况、相关法律法规要求、利益相关方要求、风险管理过程风险等?3、组织管理者是否明确组织的风险管理过程和风险准则?4.2 4.2 理解相关方的需求和期望1、组织是否识别了与组织信息安全有关的相关方?2、组织是否明确了这些相关方与信息安全有关要求?(包括法律法规要求和合同要求)4.3 4.3 确定信息安全管理体系的范围1、组织的信息安全管理体系手册中是否有明确管理范围?2、组织的适用性声明,是否针对实际情况做合理删减?3、组织对信息安全管理范围和适用性是否定期评审?4、组织制定的信息安全管理体系是否已经涵盖安全管理活动中的各类管理内容?4.4 4.4 信息安全管理体系1、组织是否建立、实施、保持、持续改进信息安全管理体系制度?2、信息安全制度有安全策略、管理制度、操作规程等构成?5 领导5.1 5.1 领导和承诺1、组织是否制定了明确的信息安全方针和目标,并且这些方针和目标与组织的业务息息相关?2、组织的业务中是否整合了信息安全管理要求?3、组织为实施信息安全管理,是否投入了必要的资源?(人、财、物)4、组织管理者是否在范围内传达了信息安全管理的重要性?5.2 5.2 方针1、组织制定的信息安全方针是否与组织的业务目标相一致?2、组织制定的信息安全方针是否与信息安全目标相一致?3、组织制定的信息安全方针是否可以体现领导的承诺?4、组织制定的方针是否在信息安全管理手册中体现?5、组织制定的方针是否已经传达给全体员工?并且在适当的时候也传达给第三方。
ISO27001:2013信息安全风险评估表(含附属全套表单)
5 6 7
附录1-赋值说明
本文档使用过程中进行赋值的参考说明。
附录2-威胁、脆弱性对照表 附录3-风险等级对照表
按照资产类别排序的威胁、脆弱性对照表,用于资产风险 风识险别计。算结果对应风险等级的参照表,用于确定风险级别 。
资产的资产主要指与信息系统直接相关的资产,如 信息:信息系统上传输的数据、信息系统的设计开发文档 软件:信息系统正常运行所需的应用、中间件、数据库、操作系统等 硬件:信息系统正常运行所需的服务器、小型机、磁盘柜等 关键活动包含的资产主要指活动进行所必须的6类资产,如 硬件:各部门用于存储、处理、传输日常办公及客户信息的各种设备和介 质,例 如移动硬盘、台式机、计算机等。 软件:各种本部门安装使用的软件,包括操作系统、中间件、数据库、应 用软件、工具应用软件、终端安全软件等。 信息:括各种业务相关的电子类及纸质的文件资料,可按照部门现有文件 明细列举。 人员:本部门各种对信息资产进行使用、操作和支持的人员角色,含为部 门提供各种服务的外部人员(例如长期驻场外包人员)。 物理环境:承载硬件资产和信息资产的设施。非计算机硬件类的实体。 服务:各种本部门通过购买方式获取的,或者需要支持部门特别提供的, 支持或协助日常业务进行的服务。
资产的类型、赋值、所处位置相同时,可合在一起进行风险评估。 2.威胁、脆弱性统一赋值原则
资产的类型、所处位置相同,但资产赋值不同时,若采取的控制措施相 同,威胁及脆弱性的赋值基本保持一致。 3.残余风险赋值原则
如果风险可接受,暂不采取除现有控制措施以外的控制措施时,残余风 险与风险值一致。
信息安全风险评估清单
编 号1 步骤1-业务影响分析
2 步骤2-资产清单 3 步骤3-风险清单 4 步骤4-风险处置计划
信息安全管理标准(iso27001)资产分类方法
ISO27001信息安全管理标准是全球范围内被广泛认可的信息安全标准之一,它为组织提供了建立、实施、维护和持续改进信息安全管理体系的框架和方法。
资产分类是ISO27001标准中一个重要的环节,它有助于组织识别和管理信息资产,确保其安全性和完整性。
1. 什么是资产分类资产分类是指将组织内的信息资产按照一定的标准和原则进行划分和归类,以便更好地管理和保护这些资产。
在ISO27001标准中,对资产进行分类有助于组织确定其价值、优先级和安全要求,从而合理分配资源和采取措施来保护这些资产。
2. 资产分类的方法在ISO27001标准中,资产分类的方法通常包括以下几个步骤:- 需要识别和确定组织内的所有信息资产,包括数据、设备、软件等,无论其形式和存储方式。
- 根据信息资产的重要性、机密性、完整性和可用性等特征,对这些资产进行分类和分级。
通常可以采用“机密性、完整性和可用性(CIA)”三个维度进行分类,也可以根据具体情况结合其他因素进行综合分类。
- 根据不同级别的信息资产,制定相应的安全措施和管理规定。
对于高级别的资产,可能需要采取更严格的加密、访问控制、备份等措施,而对于低级别的资产,则可以适当降低安全要求和成本。
- 需要建立完善的资产管理制度和流程,包括对资产进行标识、登记、审查和更新,以确保资产分类的持续有效和准确性。
3. 个人观点和理解从我个人的观点来看,资产分类对于信息安全管理至关重要。
通过对信息资产进行科学合理的分类,组织可以更好地了解其拥有的资源和风险,有针对性地制定和实施安全措施,提高信息资产的保护水平。
资产分类也有助于优化资源配置和管理成本,避免对所有资产一刀切的安全策略,提高安全管理的效率和灵活性。
总结回顾在ISO27001信息安全管理标准中,资产分类是一个重要的环节,它有助于组织识别和管理信息资产,确保其安全性和完整性。
通过合理的资产分类方法,组织可以更好地了解自身的信息资产,有针对性地制定安全措施,并提高信息资产的保护水平。
ISO27001:2013个人电脑和存储设备分类分级管理规定
XXXXXX软件有限公司人性化科技提升业绩个人电脑和存储设备分类分级管理规定目录目标 (2)适用范围 (2)一、设备分类 (2)二、设备分级 (2)1、笔记本电脑分类 (3)2、设备分级 (3)3、人个电脑和存储设备管理规定 (4)4、个人电脑的运行配置的更新 (5)6、数据保密和安全管理 (6)7、日常管理 (6)8、领取流程 (7)9、维护、维修与赔偿 (7)10、归还 (8)11、注意事项 (9)目标个人电脑和存储设备目前已经成为员工办公的主要设备,需要对这些设备进行分级,根据不同权限,规范各类设备的使用,以提高公司对这些设备使用的信息安全管理水平。
适用范围本规定适用于所有员工。
一、设备分类个人电脑和存储设备在硬件管理大类里同属于三级硬件包括台式机、笔记本、手机、移动存储等办公终端或存储设备,标记为H3(见《硬件资产分级管理制度》),按照其上存储的或操作的信息重要性和安全级别的不同,可以划分了一至五级,标记为M1~M5(当设备没有存放或操作任何信息资产时,标记为M5)。
为了便于识别不同设备的风险,将上述设备分为以下细类并给予相应的标记。
1、台式机和固定存储:指不可移动的个人电脑和存储设备。
标记为FX(固定)。
2、移动机:指笔记本、手机移动设备。
标记为MP(移动个人)。
3、可读写的移动存储:指所有可读写的移动存储,包括优盘、移动硬盘、可读写的光盘等。
标记为MW(移动可写)4、只读移动存储:一旦写入即不可擦除的移动设备,如只读光盘等。
标记为MR(移动只读)。
5、其他硬件设备:除H3类硬件设备外,其他固定设备包括服务器、网络交换机(H1、H2、H4)等,标记缺省为FX(即可以不作标记)。
二、设备分级1、笔记本电脑分类1) 自备笔记本电脑为了方便员工高效工作,公司允许员工自备笔记本电脑办公。
2) 公司配备笔记本电脑对于符合以下条件的员工可以向公司提出申请配备笔记本电脑:●经理级别以上管理人员。
●经常需要在公司办公地点以外使用电脑的员工。
ISMS-27001-2013信息技术安全技术信息安全管理体系要求标准解读
PART 03
标准正文
标准正文
4.组织环境
4.1 理解组织及其环境
• 组织应确定与其意图相关的并影响其实现信息安全管理体系预期结果的能力 的外部和内部事项。
•1) 应用信息安全风险评估过程来识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性 有关的风险;(CIA) •2) 识别风险责任人。(资产归属)
6.1 应对风险和机会的措施
• 6.1.2 信息安全风险评估 • d) 分析信息安全风险:
• 1) 评估6.1.2.c) 1) 中所识别的风险发生后将导致的潜在影响;(资产脆弱性被威胁利用后的严重 性)
标准正文
5.领导
5.1 领导和承诺
• 最高管理者应通过以下活动,证实对信息安全管理体系的领导和承诺:
• a) 确保建立了信息安全策略和信息安全目标,并与组织战略方向一致; • b) 确保将信息安全管理体系要求整合到组织的业务过程中; • c) 确保信息安全管理体系所需资源可用; • d) 沟通有效的信息安全管理及符合信息安全管理体系要求的重要性; • e) 确保信息安全管理体系达到预期结果; • f)指导并支持相关人员为信息安全管理体系的有效性做出贡献; • g) 促进持续改进; • h) 支持其他相关管理角色在其职责范围内展现他们的领导力。
完整性 准确和完备的特性。
术语
文件化信息 组织需要控制和维护的信息及其载体。
术语
外部环境
组织寻求实现其目标的外部环境。 注外部环境可以包括如下方面: 文化、社会、政治、法律、法规、金融、技术、经济、自然和竞争环境,无论是国际的、 国家的、地区的或地方的; 影响组织目标的关键驱动力和趋势; 与外部利益相关方的关系及其认知和价值观。
ISO IEC27001-2013信息安全管理体系内部审核检查表
现场观察
A.8.2.2
信息的标记
随机抽样5份电子文档以及纸质文件检查文件中是否明确标记了保密等级
现场观察
A.8.2.3
资产的处理
检查信息资产相关制度,制度中是否已明确制定了资产的处理措施;
现场观察
A.8.2.4
资产的归还
随机抽取本年度4份离职单,查看物品归还情况
A.6.1
内部组织
A.6.1.1
信息安全的角色和职责
是否所有的组织成员都明确自己的信息安全职责? 以及对自己信息安全职责的明确程度? 信息安全职责的分配是否与信息安全方针文件相一致?
现场观察
A.6.1.2
与监管机构的联系
检查体系制度中,是否明确指定了与监管机构联系的部门或负责人
现场观察
A.6.1.3
抽样
A.9.4.5
程序源码的访问控制
检查源程序访问控制制度和措施
抽查源程序控制措施,检查其是否符合制度要求
抽样
A.10
密码学
A.10.1
密码控制
A.10.1.1
密码使用控制政策
检查公司是否制定了加密策略,包括加密的对象、加密的方法、解密的方法等。
抽样
A.10.1.2
密钥管理
检查公司对密钥生命是否制定了控制措施。
检查内容同9.1 9.2
A.5
安全方针
A.5.1
信息安全管理方向
A.5.1.1
信息安全方针
组织是否制定了明确的信息安全方针和目标,这些方针和目标与公司的业务是否相关。
现场观察
A.5.1.2
信息安全方针的评审
获取组织管理评审相关记录,检查管理评审会议中,是否对信息安全方针的达成情况进行了评审。
【完整内容】ISO27001-2013信息安全管理体系信息安全风险评估表
99
1
增强员工法律、安全意识培训
3
2
66
1
3
2
66
4
1
YES
51
需求分析书
需求分析书
项目管理部
12
4
3
3
2
设备故障
4
缺乏定期更换计划
5
240
3
环境控制
4
3
144
2
2
1
24
4
1
YES
52
需求分析书
需求分析书
项目管理部
12
4
3
3
2
软件本身存在的漏洞
4
缺乏定期更换计划
4
192
2
设置自动更新补丁服务。
4
3
软件研发中心
12
4
3
3
2
遭盗用
3
被不法分子利用
4
144
2
专人保管设置权限
加强安全教育
3
3
108
2
1
3
36
4
1
YES
18
程序源代码
一般办公
软件研发中心
20
5
5
5
5
设备故障
4
缺乏定期更换计划
5
400
4
环境控制
4
3
240
3
2
1
40
4
1
YES
19
程序源代码
一般办公
软件研发中心
20
5
5
5
5
软件本身存在的漏洞
4
缺乏定期更换计划
ISO27001-2013信息安全管理体系风险评估报告
ISO27001-2013信息安全管理体系
风险评估报告
一、实施范围和时间
本公司ISMS所涉及的相关部门以及相关业务活动。
本此风险评估的实施时间为2019年3月16日至2019年3月20日。
二、风险评估方法
参照ISO/IEC27001和ISO/IEC27002标准,以及《GB/T 20984-2007信息安全技术信息安全风险评估规范》等,依据公司的《信息系统管理制度》确定的评估方法。
三、风险评估工作组
经信息中心批准,此次风险评估工作成员如下:
评估工作组组长:xxx
评估工作组成员:xxx、xxx 、xxx、xx
四、风险评估结果
4.1 信息资产清单
各部门的信息资产清单见部门信息资产清单。
4.2重要资产面临威胁和脆弱性汇总
重要资面临的威胁和脆弱性分别见附件一和附件二。
4.3风险结果统计
本次风险评估,共识别出信息安全风险9个,不可接受的风险2个,具体如下:
五、风险处理计划
风险处理计划见附件四
附件一:重要资产面临的威胁汇总表
表1-1:重要硬件资产威胁识别表
表1-2 重要应用系统资产威胁识别表
附件二:重要资产面临的脆弱性汇总表
表 2-1 重要资产脆弱性汇总表
附件三:风险评估问题列表
附件四:风险处理计划
根据本次风险评估结果,对不可接受的风险进行处理。
在选取控制措施和方法时,结合公司的财力、物力和资产的重要度等各种因素,制定如下风险处理计划。
该计划已经信息安全领导办公室审核批准。
ISO27001:2013数据资产分级管理制度
XXXXXX软件有限公司人性化科技提升业绩数据资产分级管理制度目录一、数据资产等级分类及责任部门 (2)二、管理部门职责: (4)三、数据资产使用监管单位: (6)数据资产分级管理制度一、数据资产等级分类及责任部门1、一级:重要敏感数据,包括公司数据资产,主要用于公司直接营收的数据,如提交给客户的客探结果数据,泄露会造成直接经济损失。
公司核心数据,经过加工的数据,有全方面的数据信息,需要严格管理,如客户肖像库,信息库,客户方提供的需要通过业务外包平台操作的数据,泄露后对公司可能造成全面损失。
这些数据被非法复制传播后,可造成经济上的重大损失和引发重大安全事故及涉诉事件。
由所涉及到的部门人员:服务部、如涉及财务数据由财务部共同承担安全管理责任。
标记为D1。
主要包括:●业务结果数据●客户信息数据●系统或网络安全控制配置数据,防火墙数据●业务帐号安全配置数据●业务运行配置数据●敏感客户业务原始数据●录音记录数据●财务帐目数据●其他敏感信息数据2、二级:非敏感重要数据,包括公司系统数据,由各种公司系统产生出的原始数据,限制范围使用,泄露对公司有可能造成某方面损失。
如启通宝系统通话记录,客探系统记录,被非法复制传播或丢失、损坏后,可造成一定的经济损失或引发客户投诉事件。
由所涉及到的部门人员:服务部承担安全管理责任。
标记为D2。
主要包括:●业务过程数据●启通宝通话记录●客探系统数据●系统运行日志数据●其他重要数据3、三级:公司内部非敏感数据及第三方非敏感数据,不对外公开,但公开对公司无损失的信息,如话术列表、在项目施工中或开发测试中涉及到的客户方提供的测试数据或业务数据。
由所涉及到的部门人员:服务部、测试部,销售部,研发部共同承担安全管理责任。
标记为D3。
主要包括:●员工通讯录●话述信息数据●系统测试业务数据●项目施工测试数据●项目施工过程数据●销售业绩数据●其他非敏感数据4、四级:普通数据,除上述数据以外的其他数据,包括公司可公开数据,可对外发布的各类信息,所有部门均可公开使用,如电话号段记录,城市区号记录。
ISO27000-2013信息资产安全评估表
4
60
4
措施评价
控制措施有效
控制措施有效 控制措施有效 控制措施有效 控制措施有限 控制措施有限 控制措施有限 控制措施有限
措施有效 措施有效 措施有效
威胁发生 的频率
脆弱性严 重程度
风险度值
风险级别
1
2
10
2
3
2
30
3
3
2
30
2
2
1
10
2
4
5
100
5
4
5
100
5
4
4
80
5
4
4
80
5
2
2
20
3
3
2
30
2
3
老化 系统漏洞
易携带 网络 员工意志薄弱 员工能力有限 离职或突发事件
现有控制措施
对纸制文档专人保管,并保留电子文档
对纸制文档专人保管,并保留电子文档 对纸制文档专人保管,并保留电子文档 对纸制文档专人保管,并保留电子文档
定期保养维护 系统定期升级
专人专管 防病毒
保密培训、签员工保密协议 实行员工年度培训计划 责任分离、招聘新人
资产类别
资产名称
数据 硬件
数据资料 系统文档 用户手册
办公电脑
人员
研发部人员
重要等级
威胁列表
员工失误或人为恶意破坏
5
员工失误或人为恶意破坏
员工失误或人为恶意破坏
员工失误或人为恶意破坏
硬件故障
5
系统故障 偷盗丢失
病毒攻击
员工泄密
5
工作瓶颈
工作中断
脆弱性列表
人为撕毁或人为撕毁或不慎丢失
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
编号
D1
N
none
数据 资产
重要敏感数据: 非敏感重要数据 配置数据,防火墙数据 公司内部非敏感数据及第 三方非敏感数据 普通数据
数据 资产范围 资产
据
F
file
据 仅限业务人员访问,传 加密保存在服务器上 仅限业务相关业务人 落地,仅可保存在服 T2 如果发生安全事故, 会对公司运营活动造 成较大影响,并对公 司造成较大的经济损 失 仅限业务人访问,传 播过程不落地,加密 保存在服务器上 P2 采购人员:采购部 信息监管者:运营部 信息管理者:源代码 管理人员、各信息系 统管理人员 开发人员:平台开发 部,云计算与移动互 联网开发部,应用创 新部、大数据开发部 、云呼叫业务开发部 仅限人力资源管理人 员访问和总监访问, 其个人信息存放在保 仅限业务相关业务人员访 问,可通过移动介质传 播,可保存在任何介质中 T3 因其他可能的原因,使服 务中断,不会直接对公司 运营和经济造成影响的第 三方服务 仅限业务人访问,可使用 移动介质拷贝传播,使用 完后立即删除移动介质上 P3 P4 P5 公司内部可自由传播 、访问、拷贝、保存 在任何介质中
人力资源相关人员: 人力资源部 项目人员、金点部、战营 办 公 固 定 资 产 管 理 人 相关第三方:最终客户 部、客增部、服务运营委 员:行政部 、来自外单位的专业服 员会 其他相关人员:业务 务机构 流程部、市场部、总 裁办 仅限人力资源管理人员和 主管访问,其个人信息由 人力资源部保管 仅限人力资源管理人 员和主管访问,其个 人信息由人力资源部 由相关主管人员访问, 其个人信息由相关主管 人员保存。
D T
-
data team person
资产范围 软件 资产
非脚本源代码
脚本源代码、可执行 程序、组件或库文件 仅限测试人员和开发 人员获取版本,仅限 开发人员增删改,不 落地传输。源代码人 员可备份 D2
P
仅限开发人员增删改, 可见代码明文,不落地 保护措施 传输。源代码人员可备 份
E
environmen
资产分类分级识别表
资产分 级 资产标记 资产范围
一级 H1 二级 H2 三级 H3 台式机(FX)、笔记本 (MP)、手机(MP)、移动存 储(MW,MR)等办公终端或 存储设备 四级 H4 五级
标记符号含义 H S hard soft
硬件 资产
服务器
网络设备
计算机外围设备
关注预期寿命到期时 间,每月一次对资产清 保护措施 单进行统计检查,执行 《讯鸟服务器安全管理 规范》 S1 资产标记
保护措施 在保险柜里,仅限人力
资源管理人员访问
资产标记
E1
E2 公司通用办公环境、 演示室、业务专用环 境、测试环境等,及 其配套设备 安装监控并上锁,由 行政部统一管理 N2 主营业务的其他专利 资产 电子版文件需加密, 纸质材料保存在保险 柜里。其存储介质存 放在保险柜里,由法 务人员管理。 F2 公司机密级文件
F5 公开信息 招聘信息; 网站/宣传等方面的信 息
资产范围 文档 文件 资产
规划、计划; 其它应列为公司绝密级 的资料
据,人力资源对员工的 绩效考核材料; 号,保险柜密码文 件,财务预/决算报告 及各类财务统计报 电子版文件需加密, 其存储介质存放在一 级环境下的加锁的文 件柜里,纸质材料标 记醒目机密字样,存 储在一级环境下加锁 的文件柜里,仅人力 资源管理人员和部门 主管、相关部门人员 可查询。其他人员不 TS2
电子版文件需加密,其 存储介质存放在保险柜 里,纸质材料标记醒目 保护措施 机密字样,存储在保险 柜里由法务人员管理, 行政人员监督使用
由法务人员保管
资产标记
F1 公司绝密级文件
F3 公司秘密文件 数据等; 计划书等;
F4 内部公开 公司总体发展规划、 经营战略; 员工通讯录; 公司管理体系文件 (如:信息安全管理 体系) 培训资料; 电子版文件可在公司 内部传播,其存储介 质可存放在二级以下 环境中,纸质材料, 存储在二级以下环境 中,内部员工可查询 。外部人员不可接触 。
电子版文件需加密,其 存储介质存放在一级环 境下的保险柜里,纸质 材料标记醒目绝密字 样,存储在一级环境下 保护措施 的保险柜里,由总裁亲 自保管。其他相关人员 仅在总裁授权下才可接 触。
划方案; 电子版文件需加密,其存 储介质存放在一级环境下 的加锁的文件柜里,纸质 材料,存储在一级环境下 加锁的文件柜里,仅人力 资源管理人员和部门主管 以及相关人员可查询。其 他无关人员不可接触。 TS3
关注预期寿命到期 时间,每季一次对 资产清单进行统计 检查。
S2
关注损坏丢失情 关注损坏丢失情况,每 况,每年一次对资 半年一次对资产清单进 产清单进行统计检 行统计检查清理。 查清理。
S3 由组件、库文件、可执行 程序、配置文件等通过特 定组合配置生成软件系统 、平台,授权使用的第三 方组件、程序、库及其他 限测试人员,自建服务人 员获取版本,可通过移动 介质传播,使用完成后立 即删除所有程序。源代码 人员可备份 D3 S4 无授权可使用的第三 方组件、库文件或其 他相关程序及代码, 其他软件 仅限测试人员、开发 人员自建服务人员获 取版本,可能过移动 介质传播。源代码人 员可备份 D4
保护措施 播过程加密且不落地, 员访问,传播过程不 资产标记 外包 责任人 服务 资产
T1 公司为客户提供的第三 方涉密数据服务,如涉 密外包业务 仅限业务人员访问,传
TS
third service
保护措施 播过程加密且不落地,
加密保存在服务器上
资产标记
P1
高层管理人员:总裁、 总经理、副总裁、副总 经理 中、基层管理人员:各 人员 资产范围 部门总监级、经理级、 资产 主管级的管理人员 账务相关人员:财务部 、法务 有关个人信息加密保存
E3 会议室、奖牌陈列室等, 及其配套设备
E4 会客厅,及其配套设 备
E5 公司外的场所,及其配 套设备 行政人员协助管理
总裁办、财务室、机房 记 资产范围 无形 资产
安装监控器,门禁,指 派专人管理 N1 主营业务的主要技术专 利资产
由使用人员自行管 需上锁,由行政部统一管 理,行政人员监督使 理 用。 N3 非主营业务的专利资产