信息安全风险评估表
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
资产的类型、赋值、所处位置相同时,可合在一起进行风险评估。 2.威胁、脆弱性统一赋值原则
资产的类型、所处位置相同,但资产赋值不同时,若采取的控制措施相 同,威胁及脆弱性的赋值基本保持一致。 3.残余风险赋值原则
如果风险可接受,暂不采取除现有控制措施以外的控制措施时,残余风 险与风险值一致。
5百度文库6 7
附录1-赋值说明
本文档使用过程中进行赋值的参考说明。
附录2-威胁、脆弱性对照表 附录3-风险等级对照表
按照资产类别排序的威胁、脆弱性对照表,用于资产风险 识风别险。计算结果对应风险等级的参照表,用于确定风险级别 。
资产识别 资产赋值 风险评估
注意事项
信息系统包含的资产主要指与信息系统直接相关的资产,如 信息:信息系统上传输的数据、信息系统的设计开发文档 软件:信息系统正常运行所需的应用、中间件、数据库、操作系统等 硬件:信息系统正常运行所需的服务器、小型机、磁盘柜等 关键活动包含的资产主要指活动进行所必须的6类资产,如 硬件:各部门用于存储、处理、传输日常办公及客户信息的各种设备和介 质,例 如移动硬盘、台式机、计算机等。 软件:各种本部门安装使用的软件,包括操作系统、中间件、数据库、应用 软件、工具应用软件、终端安全软件等。 信息:括各种业务相关的电子类及纸质的文件资料,可按照部门现有文件明 细列举。 人员:本部门各种对信息资产进行使用、操作和支持的人员角色,含为部门 提供各种服务的外部人员(例如长期驻场外包人员)。 物理环境:承载硬件资产和信息资产的设施。非计算机硬件类的实体。 服务:各种本部门通过购买方式获取的,或者需要支持部门特别提供的,支 持或协助日常业务进行的服务。
信息安全风险评估清单
编 号1 步骤1-业务影响分析
2 步骤2-资产清单 3 步骤3-风险清单 4 步骤4-风险处置计划
文档目录及说明
对评估范围内信息系统及关键活动的业务影响分析和排序 。各信息系统及关键活动所包含的资产清单及资产价值统计 。资产所面临的风险清单和风险计算结果,及相对应的残余 风险。 针对已决定进行处理的风险制定的详细的处理计划。
在对资产进行CIA赋值时,需注意以下内容: 1.一般情况下,软件、硬件更多的是考虑可用性,保密性、完整性的赋值可 以为1。 2.如果有些数据无法细分,可按照就高原则给出总体评分。 3.一般情况下,人员、服务的保密性、完整性无法衡量,更多的是考虑可用 性,保密性、完整性赋值可以为1。 风险评估过程应遵从以下原则: 1.合并同类项原则
资产的类型、所处位置相同,但资产赋值不同时,若采取的控制措施相 同,威胁及脆弱性的赋值基本保持一致。 3.残余风险赋值原则
如果风险可接受,暂不采取除现有控制措施以外的控制措施时,残余风 险与风险值一致。
5百度文库6 7
附录1-赋值说明
本文档使用过程中进行赋值的参考说明。
附录2-威胁、脆弱性对照表 附录3-风险等级对照表
按照资产类别排序的威胁、脆弱性对照表,用于资产风险 识风别险。计算结果对应风险等级的参照表,用于确定风险级别 。
资产识别 资产赋值 风险评估
注意事项
信息系统包含的资产主要指与信息系统直接相关的资产,如 信息:信息系统上传输的数据、信息系统的设计开发文档 软件:信息系统正常运行所需的应用、中间件、数据库、操作系统等 硬件:信息系统正常运行所需的服务器、小型机、磁盘柜等 关键活动包含的资产主要指活动进行所必须的6类资产,如 硬件:各部门用于存储、处理、传输日常办公及客户信息的各种设备和介 质,例 如移动硬盘、台式机、计算机等。 软件:各种本部门安装使用的软件,包括操作系统、中间件、数据库、应用 软件、工具应用软件、终端安全软件等。 信息:括各种业务相关的电子类及纸质的文件资料,可按照部门现有文件明 细列举。 人员:本部门各种对信息资产进行使用、操作和支持的人员角色,含为部门 提供各种服务的外部人员(例如长期驻场外包人员)。 物理环境:承载硬件资产和信息资产的设施。非计算机硬件类的实体。 服务:各种本部门通过购买方式获取的,或者需要支持部门特别提供的,支 持或协助日常业务进行的服务。
信息安全风险评估清单
编 号1 步骤1-业务影响分析
2 步骤2-资产清单 3 步骤3-风险清单 4 步骤4-风险处置计划
文档目录及说明
对评估范围内信息系统及关键活动的业务影响分析和排序 。各信息系统及关键活动所包含的资产清单及资产价值统计 。资产所面临的风险清单和风险计算结果,及相对应的残余 风险。 针对已决定进行处理的风险制定的详细的处理计划。
在对资产进行CIA赋值时,需注意以下内容: 1.一般情况下,软件、硬件更多的是考虑可用性,保密性、完整性的赋值可 以为1。 2.如果有些数据无法细分,可按照就高原则给出总体评分。 3.一般情况下,人员、服务的保密性、完整性无法衡量,更多的是考虑可用 性,保密性、完整性赋值可以为1。 风险评估过程应遵从以下原则: 1.合并同类项原则