信息安全评估表

tisax isa自评估表摘要：1.引言：简要介绍TISAX（国际安全评估体系）和ISA（信息安全架构）自评估表的意义和目的2.TISAX简介：阐述TISAX的发展背景、在我国的应用场景和重要性3.ISA自评估表概述：介绍ISA自评估表的结构、内容和评估过程4.实施ISA自评估表的步骤：详细说明如何开展ISA自评估，包括筹备阶段、问卷填写、审核和整改等环节5.评估结果与应用：分析ISA自评估表的结果如何指导企业改进信息安全架构，提高安全防护能力6.总结：强调ISA自评估表在提升企业信息安全水平中的重要作用，呼吁更多企业积极参与正文：【引言】在信息化时代，信息安全对企业的重要性不言而喻。

为了确保信息资产的安全，许多企业纷纷采用国际先进的安全评估体系，其中TISAX（国际安全评估体系）和ISA（信息安全架构）自评估表备受瞩目。

本文将简要介绍这两者，并重点阐述如何实施ISA自评估，以帮助企业提升信息安全水平。

【TISAX简介】TISAX（Transport Industry Security Assurance Scheme）是针对交通运输行业的信息安全评估体系，由我国交通运输部提出。

它借鉴了国际先进的安全评估方法，结合我国交通运输行业的实际情况制定而成。

TISAX旨在提升交通运输行业信息系统的安全防护能力，保障国家信息安全。

在我国，许多交通运输企业已开始采用TISAX进行信息安全评估。

【ISA自评估表概述】ISA（Information Security Architecture）自评估表是一种针对企业信息安全架构的评估工具。

它通过对企业的信息安全策略、组织架构、技术措施、管理流程等方面进行全面评估，为企业提供了一套量化的评价体系。

ISA自评估表分为五个等级，分别为：不满足、部分满足、基本满足、满足和优秀。

企业可以根据评估结果，明确自身信息安全架构的薄弱环节，有针对性地进行改进。

【实施ISA自评估表的步骤】1.筹备阶段：企业应成立ISA评估小组，明确评估目标和范围，并制定详细的评估计划。

信息安全风险评估表
精心整理
表1：基本信息调查
1.硬件资产情况
1.1.网络设备情况
网络设备名称、型号、物理位置、所属网络区域、IP地
址/掩码/网关、系统软件及版本、端口类型及数量、主要用途、是否热备、重要程度。

1.2.安全设备情况
安全设备名称、型号、软件/硬件位置、所属网络区域、
IP地址/掩码/网关、操作系统版本/补丁、安装应用系统软件名称、主要业务应用、涉及数据、是否热备。

1.3.服务器设备情况
服务器设备型号、物理位置。

1.4.终端设备情况
终端设备名称、型号、物理位置、所属网络、设备数量、IP地址/掩码/网关、操作系统版本。

2.软件资产情况
2.1.系统软件情况
系统软件名称、版本、开发商、软件厂商、硬件/软件平台、C/S或B/S模式、B/S硬件平台、涉及数据、涉及应用系统、现有用户数量、主要用户角色。

2.2.应用软件情况
应用系统软件名称、涉及数据。

3.文档资产情况
3.1.信息系统安全文档列表
信息系统文档类别、文档名称。

4.信息系统情况
4.1、系统网络拓扑图
网络结构图要求：标识网络设备、服务器设备和主要终端设备及其名称；标识服务器设备的IP地址；标识网络区域划分等情况。

信息安全风险评估表格
风险类型风险描述
影响程
度
发生概
率
风险级
别
建议控制措施
1 数据泄露高中高加强访问控制、加密敏感数
据
2 病毒感染中高高安装有效的防病毒软件、定
期更新
3 员工错误中中中提供培训、建立标准操作流
程
4 物理入侵高低中使用安全门禁系统、视频监
控
5 网络攻击高中高实施防火墙、入侵检测和预
防系统
6 不当使用
权限
中中中角色分离、最小权限原则... ... ... ... ... ...
在表格中，每一行代表一个特定的风险。

各列的含义如下：
风险类型：对风险进行分类或编号，方便跟踪和识别。

风险描述：简要描述风险的具体情况，例如数据泄露、病毒感染等。

影响程度：评估风险发生后可能对组织造成的影响程度，如高、中、低等级。

发生概率：评估风险发生的概率，通常使用高、中、低等级或百分比表示。

风险级别：根据影响程度和发生概率综合评估的风险级别，可以通过计算得出或根据经验判断。

建议控制措施：提供针对该风险的建议控制措施，用于降低风险的发生和影响。

表1：基本信息调查1.单位基本情况精选文档2.硬件资产情况精选文档网络设备：路由器、网关、交换机等。

安全设备：防火墙、入侵检测系统、身份鉴别等。

服务器设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等。

终端设备：办公计算机、移动存储设备。

重要程度：依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。

精选文档3.软件资产情况填写说明系统软件：操作系统、系统服务、中间件、数据库管理系统、开发系统等。

应用软件：项目管理软件、网管软件、办公软件等。

精选文档4.服务资产情况服务类型包括：1.网络服务；2.安全工程；3.灾难恢复；4.安全运维服务；5.安全应急响应；6.安全培训；7.安全咨询；8.安全风险评估；9.安全审计；10.安全研发。

5.人员资产情况岗位名称：1、数据录入员；2、软件开发员；3、桌面管理员；4、系统管理员；5、安全管理员；6、数据库管理员；7、网络管理员；8、质量管理员。

精选文档6.文档资产情况填写说明信息系统文档类别：信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档；系统开发程序文件、资料等。

精选文档7.信息系统情况精选文档1、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写：a) 国家秘密信息；b) 非密敏感信息(机构或公民的专有信息) ；c) 可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评，请填写时间和测评机构名称。

1、网络区域主要包括：服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等；2、重要程度填写非常重要、重要、一般。

精选文档精选文档注：安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》精选文档表2：安全状况调查1. 安全管理机构安全组织体系是否健全，管理职责是否明确，安全管理机构岗位设置、人员配备是否充分合理。

ISMS信息安全风险评估
ISMS建设过程中，信息安全风险评估是其最主要的技术路线和ISMS建设效果评估的依据。

在信息安全领域，信息安全风险评估也形成了诸多国际标准和国内标准。

本文所涉及的内容主要是《信息安全风险评估规范》等国家标准。

以下就相关内容做一个简要描述。

信息安全风险评估包括四个主要方面的内容，即资产识别、威胁识别、脆弱性识别和风险评估。

它们之间的关系如图2.3所示：
在图2.3中，风险评估的最主要环节是资产识别、威胁识别和脆弱性识别。

下面就其含义作一个简介：
①资产识别
安全的目的始终都是保障组织业务的正常运行。

因此，资产识别的过程就是将组织的业务工作这个抽象的概念逐步分解成定性、定量的资产安全性分析，或者说将组织的业务安全映射成资产的安全，使得我们能够科学的把握组织的业务安全需求及其变化。

资产识别包括资产分类和资产赋值两个环节。

②威胁识别
与资产识别相类似，威胁识别分为威胁分类和威胁赋值两个环节。

威胁识别的方法形象地讲就是“植树、剪枝、统计”，见图2.4：
③脆弱性识别
与资产识别和威胁识别略有不同，脆弱性识别分为脆弱性发现、脆弱性分类、脆弱性验证和脆弱性赋值等四个环节。

表2.1是脆弱性分类表。