信息安全风险评估表
信息安全风险评估记录表
10
4
3
7
70
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
Windows 2003
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
代码控制CVS配置软件
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
0ffice
5
运行错误,无法使用
未及时打补丁
4
4
3
3
6
24
开发人员
10
数据泄密
安全意识欠缺,安全技能欠缺
无杀毒软件
3
6
2
3
5
30
10
无日常维护,打补丁
无法使用
2
4
3
4
7
28
10
硬件以外损坏
无法使用
2
4
3
4
7
28
10
机房不规范
服务器损坏无法使用
5
10
3
1
4
40
10
盗窃
机房不规范
5
10
4
5
9
90
笔记本
10
公司开发软件代码泄密
无拷贝控制
3
6
4
4
8
48
10
人为破环
硬件损坏系统无法正常运行
2
4
3
5
8
32
10
盗窃
10
数据丢失\损坏\篡改
无访问控制
信息安全风险评估调查表
5.人员资产情况
.1、信息系统人员情况
岗位名称
岗位描述
人数
兼任人数
填写说明
岗位名称:1、数据录入员;2、软件开发员;3、桌面管理员;4、系统管理员;5、安全管理员;6、数据库管理员;7、网络管理员;8、质量管理员。
6.
文档资产情况
6.1.信息系统安全文档列表
文档类别
文档名称
填写说明
信息系统文档类别:信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档;系统开发程序文件、资料等。
2.2.安全设备情况
安全设备名称
型号(软件/硬件)
物理位置
所属网络区域
IP地址/掩码/网关
系统及运行平台
端口类型及数量
主要用途
是否热备
重要程度
2.3.服务器设备情况
设备名称
型号
物理位置
所属网络区域
IP地址/掩码/网关
操作系统版本/补丁
安装应用系统软件名称
主要业务应用
涉及数据
是否热备
2.4.终端设备情况
检查项
结果
备注
1
信息安全策略
□明确信息安全策略,包括总体目标、范围、原则和安全框架等内容。
□包括相关文件,但内容覆盖不全面。
终端设备名地址/掩码/网关
操作系统
安装应用系统软件名称
涉及数据
主要用途
填写说明
网络设备:路由器、网关、交换机等。
安全设备:防火墙、入侵检测系统、身份鉴别等。
服务器设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等。
终端设备:办公计算机、移动存储设备。
7.
信息系统情况
供应商信息安全风险评估检查表
All areas covered by the **** project must be
2
identified, including but not limited to sensitive raw
materials and equipment areas, storage areas and
warehouse areas, access and transportation routes,
s供ec应ur商ity须po建lic立ie人s, 员reg离ul职ati处on理s a流nd程ot,he至rs,少an要d 关the闭信
息系统帐号和权限,回收存储介质(包含电脑)
。
2.5
The suppliers must establish a process for employee
1
termination, at least to disable the information
access, such as implement data encryption or data
总得分
leakage prevention.
Subtotal 得分率
Percentage %
1
1 4
50.00%
4、物理与环境安全 4. Physical and environment security
总得分
system accounts and permissions, and return the
Subtotal 得分率
Percentage %
9 90.00%
3、数据和介质管理 3. Data and media management
序号# S/N 3.1
信息安全风险评估表
信息安全风险评估表
精心整理
表1:基本信息调查
1.硬件资产情况
1.1.网络设备情况
网络设备名称、型号、物理位置、所属网络区域、IP地
址/掩码/网关、系统软件及版本、端口类型及数量、主要用途、是否热备、重要程度。
1.2.安全设备情况
安全设备名称、型号、软件/硬件位置、所属网络区域、
IP地址/掩码/网关、操作系统版本/补丁、安装应用系统软件名称、主要业务应用、涉及数据、是否热备。
1.3.服务器设备情况
服务器设备型号、物理位置。
1.4.终端设备情况
终端设备名称、型号、物理位置、所属网络、设备数量、IP地址/掩码/网关、操作系统版本。
2.软件资产情况
2.1.系统软件情况
系统软件名称、版本、开发商、软件厂商、硬件/软件平台、C/S或B/S模式、B/S硬件平台、涉及数据、涉及应用系统、现有用户数量、主要用户角色。
2.2.应用软件情况
应用系统软件名称、涉及数据。
3.文档资产情况
3.1.信息系统安全文档列表
信息系统文档类别、文档名称。
4.信息系统情况
4.1、系统网络拓扑图
网络结构图要求:标识网络设备、服务器设备和主要终端设备及其名称;标识服务器设备的IP地址;标识网络区域划分等情况。
信息安全风险评估表
资产的类型、所处位置相同,但资产赋值不同时,若采取的控制措施相 同,威胁及脆弱性的赋值基本保持一致。 3.残余风险赋值原则
如果风险可接受,暂不采取除现有控制措施以外的控制措施时,残余风 险与风险值一致。
的参考说明。
附录2-威胁、脆弱性对照表 附录3-风险等级对照表
按照资产类别排序的威胁、脆弱性对照表,用于资产风险 识风别险。计算结果对应风险等级的参照表,用于确定风险级别 。
资产识别 资产赋值 风险评估
注意事项
信息系统包含的资产主要指与信息系统直接相关的资产,如 信息:信息系统上传输的数据、信息系统的设计开发文档 软件:信息系统正常运行所需的应用、中间件、数据库、操作系统等 硬件:信息系统正常运行所需的服务器、小型机、磁盘柜等 关键活动包含的资产主要指活动进行所必须的6类资产,如 硬件:各部门用于存储、处理、传输日常办公及客户信息的各种设备和介 质,例 如移动硬盘、台式机、计算机等。 软件:各种本部门安装使用的软件,包括操作系统、中间件、数据库、应用 软件、工具应用软件、终端安全软件等。 信息:括各种业务相关的电子类及纸质的文件资料,可按照部门现有文件明 细列举。 人员:本部门各种对信息资产进行使用、操作和支持的人员角色,含为部门 提供各种服务的外部人员(例如长期驻场外包人员)。 物理环境:承载硬件资产和信息资产的设施。非计算机硬件类的实体。 服务:各种本部门通过购买方式获取的,或者需要支持部门特别提供的,支 持或协助日常业务进行的服务。
信息安全风险评估清单
编 号1 步骤1-业务影响分析
2 步骤2-资产清单 3 步骤3-风险清单 4 步骤4-风险处置计划
文档目录及说明
信息安全风险评估记录表
信息安全风险评估记录表XXX信息安全风险评估记录表部门:XX部资产名称:1.台式计算机2.服务器3.笔记本4.网线5.INTEL网络服务6.路由器7.U盘8.WINDOWS XP9.源代码10.软件11.概要设计说明书12.产品数据库数据13.产品用户手册14.BUG报告15.用户培训记录重要度面临威胁脆弱性措施有效可能性风险1.台式计算机 6 10 3 3 5 302.服务器 10 10 5 3 7 703.笔记本 8 8 4 4 8 644.网线 8 8 4 4 8 645.INTEL网络服务 6 6 3 3 5 306.路由器 4 4 4 4 7 287.U盘 4 4 4 4 7 288.WINDOWS XP 10 1 1 1 4 49.源代码 10 5 5 5 9 4510.软件 6 4 4 4 8 3211.概要设计说明书 4 4 4 5 6 2412.产品数据库数据 4 4 4 4 8 3213.产品用户手册 4 4 4 4 7 2814.BUG报告 1 5 5 5 9 4515.用户培训记录 10 3 2 5 8 40存在的问题:1.台式计算机:无杀毒软件,无备份策略,无口令策略,配置被修改,无法使用。
2.服务器:无杀毒软件,服务器损坏无法使用。
3.笔记本:无法使用。
4.网线:无防护措施,数据泄密。
5.XXX网络服务:无管理制度。
6.路由器:操作系统存在漏洞,无访问控制,无安全备份。
7.U盘:无备份安全策略。
8.WINDOWS XP:暴露。
9.源代码:人为破环,盗窃。
10.软件:数据丢失/损坏/篡改,存储介质故障。
11.概要设计说明书:无拷贝控制,存储介质故障。
12.产品数据库数据:无备份安全策略,存储介质故障。
13.产品用户手册:无备份安全策略,存储介质故障。
14.BUG报告:存储介质故障。
15.用户培训记录:无访问控制。
措施:1.台式计算机:安装杀毒软件,制定备份策略,设置口令策略,修复配置,恢复使用。
信息安全风险评估脆弱性识别操作系统脆弱性表格《T》
d 对操作系统中处理的数据,应按回退的要求设计相应的 SSOOS 安全功能模块,进行异常情况
的操作序列回退,以确保用户数据的完整性;系统应保证在处理过程中不降低数据完整性的级别;
用户数据保密性
a应确保动态分配与管理的资源,在保持信息安全的情况下被再利用,主要包括:
——自动检查文件与磁盘表面是否完好;
——将磁盘表面的问题自动记录下来;
——随时检查、诊断和修复磁盘上的错误;
——修复扇区交错和扇区流失;
——将数据移到好的扇区;
——可增加硬盘数据备份和修复程序,将硬盘中的数据压缩、备份,并在必要时恢复;
c 在操作系统内部传输的用户数据,如进程间的通信,应提供保证用户数据完整性的功能;完
开发者应针对发现的漏洞及时发布补丁;操作系统的管理者应及时获取、统一管理并及时运
用补丁对操作系统的漏洞进行修补;
SSF数据安全保护
a 实现对输出 SSF 数据可用性、保密性、和完整性保护;
b 实现 SSOOS 内 SSF 数据传输的基本保护、数据分离传输、数据完整性保护;
c 实现 SSF 间的 SSF 数据的一致性和 SSOOS 内 SSF 数据复制的一致性保护;
d 提供设置和升级配置参数的安装机制;在初始化和对与安全有关的数据结构进行保护之前,
应对用户和管理员的安全策略属性应进行定义;
e 应区分普通操作模式和系统维护模式;
f 应防止一个普通用户从未经允许的系统进入维护模式,并应防止一个普通用户与系统内维护
模式交互;从而保证在普通用户访问系统之前,系统能以一个安全的方式进行安装和配置;
改或替换系统提供的实用程序;
信息安全风险评估表格
信息安全风险评估表格
风险类型风险描述
影响程
度
发生概
率
风险级
别
建议控制措施
1 数据泄露高中高加强访问控制、加密敏感数
据
2 病毒感染中高高安装有效的防病毒软件、定
期更新
3 员工错误中中中提供培训、建立标准操作流
程
4 物理入侵高低中使用安全门禁系统、视频监
控
5 网络攻击高中高实施防火墙、入侵检测和预
防系统
6 不当使用
权限
中中中角色分离、最小权限原则... ... ... ... ... ...
在表格中,每一行代表一个特定的风险。
各列的含义如下:
风险类型:对风险进行分类或编号,方便跟踪和识别。
风险描述:简要描述风险的具体情况,例如数据泄露、病毒感染等。
影响程度:评估风险发生后可能对组织造成的影响程度,如高、中、低等级。
发生概率:评估风险发生的概率,通常使用高、中、低等级或百分比表示。
风险级别:根据影响程度和发生概率综合评估的风险级别,可以通过计算得出或根据经验判断。
建议控制措施:提供针对该风险的建议控制措施,用于降低风险的发生和影响。
《信息安全风险评估表》
《信息安全风险评估表》
信息安全风险评估表是用于评估一个组织或者系统中存在的信息安全风险的工具。
这份评估表帮助组织或个人识别和分析潜在的威胁和漏洞,并确定哪些风险对其业务最具威胁性以及需要优先处理。
以下是一个可能包含的信息安全风险评估表的一些示例条目:
1. 风险类型:列出不同类型的信息安全风险,例如网络安全风险、数据泄露风险、恶意软件风险、物理安全风险等。
2. 风险描述:对每种风险进行具体描述,包括其可能的原因、后果以及潜在的受影响范围。
3. 风险级别:根据风险的潜在严重性和可能性,对每个风险进行级别评估,例如高、中、低。
4. 风险影响:列出每种风险对业务的可能影响,如数据丢失、服务中断、声誉损害等。
5. 风险频率:评估每种风险发生的可能频率,例如每天、每周、每月等。
6. 风险控制措施:列出针对每种风险采取的措施,如加强网络安全防护、加密敏感数据、制定备份策略等。
7. 责任人:指定每种风险的责任人,确保风险得到及时、有效
地管理和缓解。
8. 优先级:根据风险的严重性和可能性,为每个风险确定优先级,以便在维护计划中制定相应的优先处理策略。
在填写信息安全风险评估表时,可以根据实际情况进行调整和定制,以确保最适合组织的需求和目标。
同时,定期更新和审查评估表是确保信息安全风险管理持续有效的重要步骤。
ISO20000-2018信息技术服务管理体系信息安全风险评估表
ISO20000-2018信息技术服务管理体系信息安全风险评估表类别编号资产编号资产名称功能描述威胁内容(威胁源、动机)脆弱性影响后果资产重要程度现行控制方式威胁发率脆弱被利用率风险值风险等级风险处理方式改善措施资产重要程度威胁发生的评率脆弱性被利用率残余风险值风险等级是否接受文档与数据SL-DATA-001解决方案针对客户需求提出的信息安全解决方案被竞争对手获取人员道德缺乏文件被竞争对手获取,影响业务开展5数据加密系统控制1 2 10 1 接受未经授权使用、访问、复制人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训,1 2 10 1 接受电子存储媒体故障设备损坏资料丢失,影响项目进度5使用数据备份系统,对数据实时备份1 2 10 1 接受手工误删操作不小心资料丢失,影响项目进度5使用数据备份系统,对数据实时备份1 2 10 1 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制2 3 30 3 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制客户信息丢失,业务开展产生困难5设置必要的放火,放雷机制1 2 10 1 接受自然灾难:地缺乏应急机客户信息丢失,业 5 对重要数据 1 2 10 1 接受震、洪水、台风制务开展产生困难进行定期移动硬盘备份SL-DATA-003SL-DATA-00 4SL-DATA-01 8 体系文件管理制度各项规章制度公司管理类文档未经授权使用、访问、复制人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训,1 2 10 1 接受电子存储媒体故障设备损坏资料丢失,影响项目进度5使用数据备份系统,对数据实时备份1 2 10 1 接受手工误删操作不小心资料丢失,影响项目进度5使用数据备份系统,对数据实时备份1 2 10 1 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,业务缺乏指导5设置必要的放火,放雷机制2 3 30 3 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,业务缺乏指导5对重要数据进行定期移动硬盘备份1 2 10 1 接受SL-DATA-00 8SL-DATA-01 0 在职员工个人信息员工劳动合同人事档案信息未经授权使用、访问、复制缺乏物理防护机制员工个人信息资料丢失或泄密4人事资料放在人事文件柜中1 4 162 避免员工档案资料文件柜应上锁,防止非授权的获取4 1 2 8 1 接受瘟疫、火灾、爆缺乏应急机文件信息丢失,人 5 设置必要的 2 3 30 3 接受炸、雷击、恐怖袭击等制事工作开展困难放火,放雷机制自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受SL-DATA-013SL-DATA-01 6SL-DATA-02 1SL-DATA-02 2 供应商合作协议书采购合同代理合同厂商报价合同未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得,供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,人事工作开展困难5设置必要的放火,放雷机制2 3 30 3 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制2 3 30 3 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失,影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中1 2 10 1 接受SL-DATA-01 4SL-DATA-01 5SL-DATA-02 3SL-DATA-02报价、合同样本销售合同客户报价客户合同报价单合同未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得,供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训,1 2 10 1 接受4SL-DATA-03 3 瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,人事工作开展困难5设置必要的放火,放雷机制2 3 30 3 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失,影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中SL-DATA-02 6 客户资料供开票及联系未经授权使用、访问、复制缺乏物理防护机制客户信息被客户或竞争对手获得,供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,人事工作开展困难5设置必要的放火,放雷机制2 3 30 3 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制2 3 30 3 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失,影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中1 2 10 1 接受SL-DATA-02 7 CRME和快普数据库ERP系统数据未经授权使用、访问、复制访问权限没有控制数据被删除,修改或泄密5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受未经授权更改访问权限没有控制公司业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受电子存储媒体故障存放缺乏保护数据丢失业务无法开展5通过服务器备份数据2 3 30 3 控制增加专门数据备份系统,对数据进行实时备份5 1 1 5 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份,设置放雷机制1 2 10 1 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受SL-DATA-02 8 公司办公租赁合同合同未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得,供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,人事工作开展困难5设置必要的放火,放雷机制2 3 30 3 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制2 3 30 3 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失,影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中1 2 10 1 接受SL-DATA-03 0SL-DATA-03 2 公司各类财务数据及报表公司经营相关数据及资料财务数据未经授权使用、访问、复制访问权限没有控制数据被删除,修改或泄密5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受未经授权更改访问权限没有控制公司业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受电子存储媒体故障存放缺乏保护数据丢失业务无法开展5通过服务器备份数据2 3 30 3 控制增加专业数据备份系统,对数据进行实时备份5 1 1 5 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份,设置放雷机制1 2 10 1 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受SL-DATA-03 1 公司资质文件及认资质资料未经授权使用、访问、复制人员缺乏安全意识文件信息外泄 5进行员工信息安全意识1 2 10 1 接受证证书培训不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训,1 2 10 1 接受SL-DATA-036SL-DATA-042 报价(给渠道)渠道合同合同,报价信息未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得,供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训,1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,人事工作开展困难5设置必要的放火,放雷机制2 3 30 3 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失,影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中SL-DATA-037 报价(厂家供货价)合同,报价信息未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得,供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训,1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,人事工作开展困难5设置必要的放火,放雷机制2 3 30 3 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失,影响后续服务等内容5合同报价等资料放在上锁的文件柜中SL-DATA-04 0 销售部管理周报未经授权使用、访问、复制访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 3 用友OA日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 4 快普ERP日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 5 豪创日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 6 管家婆日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 7 SSLvpn日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 8 广域网加速设备日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 9 准入系统日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 0 爱数备份日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 1 趋势防毒日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 2 守内安日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 3 上网行为管理日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 4 视屏监控日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 5 电话录音日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 6 考勤机日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受第11 页共36 页。
04信息安全风险评估表
275 176 132 176 275 176 132 176
300 240 180 90 126
设置自动更新补丁服务 。 加强员工教育。 专人保管设置权限 加强安全教育
环境控制
设置自动更新补丁服务 。 加强员工教育。 专人保管设置权限 加强安全教育 专人专有场所保管。 专人保管设置权限 加强安全教育 环境控制 环境控制 专人专有场所保管。 专人保管设置权限 加强安全教育 专人保管设置权限 加强安全教育 安装防杀毒软件
合同和合同复印件 LB3002 合同和合同复印件 LB3002 合同和合同复印件 LB3002 合同和合同复印件 LB3002 公司专用章 LB5001 公司专用章 LB5001 公司专用章 LB5001 总经理PC LB500 副总经理PC 2 备份PC(总 LB500 经理家) 3 总经理PC LB500 副总经理PC 2 备份PC(总 LB500 经理家) 3 总经理PC LB500 副总经理PC 2 备份PC(总 LB500 经理家) 3 总经理PC LB500 副总经理PC 2 备份PC(总 LB500 经理家) 3 总经理PC LB500 副总经理PC 2 备份PC(总 LB500 经理家) 3 总经理PC LB500 副总经理PC 2 备份PC(总 LB500 经理家) 3 总经理PC LB500 副总经理PC 2 备份PC(总 LB500 经理家) 3 总经理室钥 LB500 匙 5 总经理室钥 匙 保险柜 保险柜 摄像机 摄像机 摄像机 综合部经理 综合部经理 培训协议 培训协议 培训协议 培训协议 财务发票扫 描文档 财务发票扫 描文档 财务发票扫 描文档 财务发票扫 描文档 员工信息档 案 员工信息档 案 员工信息档 案 员工信息档 案 劳动合同、 保密协议 劳动合同、 保密协议 劳动合同、 保密协议 劳动合同、 保密协议 财务报表 财务凭证 财务报告 空白支票 财务报表 财务凭证 财务报告 空白支票 财务报表 财务凭证 财务报告 空白支票 财务报表 财务凭证 财务报告 空白支票 电话传真一 体机 开水炉 电视机 音响功放 投影仪 电话传真一 体机 开水炉 电视机 音响功放 投影仪 电话传真一 体机 开水炉 电视机 音响功放 投影仪 大门钥匙, 办公室钥匙 大门钥匙, 办公室钥匙 大门钥匙, 办公室钥匙 综合部经理 PC 综合部经理 PC 综合部经理 PC 综合部经理 PC 综合部经理 PC 综合部经理 PC 综合部经理 PC 财务专用章 财务专用章 国税办税卡 地税办税卡 国税办税卡 地税办税卡 国税办税卡 地税办税卡 物业合同、 保密协议 电信服务 技术部主管 技术部主管 场景资料文 档 角 色资料文档 后期资料文 场景资料文 档 角 色资料文档 后期资料文 场景资料文 档 角 色资料文档 后期资料文 场景资料文 档 角 色资料文档 后期资料文 技术部主管 PC 指导助理PC 动画组长PC 动画师PC 场景指导助 理PC 场景组长PC 技术部主管 PC 指导助理PC 动画组长PC 动画师PC 场景指导助 理PC 场景组长PC 技术部主管 PC 指导助理PC 动画组长PC 动画师PC 场景指导助 理PC 场景组长PC 技术部主管 PC 指导助理PC 动画组长PC 动画师PC 场景指导助 理PC 场景组长PC 技术部主管 PC 指导助理PC 动画组长PC 动画师PC 场景指导助 理PC 场景组长PC 技术部主管 PC 指导助理PC 动画组长PC 动画师PC 场景指导助 理PC 场景组长PC 技术部主管 PC 指导助理PC 动画组长PC 动画师PC 场景指导助 理PC 场景组长PC 手写版 手写版 手写版 信息安全管 理员 LB500 5 LB500 6 LB500 6 LB500 7 LB500 7 LB500 7
信息安全风险评估表
利用域管理,关闭相关系统的管理权限,个人无权限进行 安装程序等; ⑴ 不要随意打开来历不明的邮件现在许多木马都是通过邮 件来传播的,当用户收到来历不明的邮件时请不要打开, 应尽快删除。同时要加强邮件监控系统,拒收垃圾邮件⑵ 不要随意下载来历不明的软件最好是在一些知名的网站下 载软件,不要下载和运行那些来历不明的软件。在安装软 件的之前最好用杀毒软件查看是否含有病毒,然后才进行 信息科 安装。 ⑶ 及时修补漏洞和关闭可疑的端口一些木马都是通过漏洞 在系统上打开端口留下后门,以便上传木马文件和执行代 码,在把漏洞修补上的同时,需要对端口进行检查,把可 疑的端口关闭。运行实时监控程序 在上网时最好运行反木 马实时监控程序和个人防火墙,并定时对系统进行病毒检 查。
规行为;内部员工使用网络文
件共享或者乱用笔记本电脑造 成数据泄露;内部员工的粗心
较大可能 较大影响
大意是到目前为止企业数据安
全的最大威胁
高
特定工作的员工是否访问了超出工作范围的数据。
2、使用个人访问控制工具,保证系统记录下每一个曾经访
问过重要信息的人。此外,保存客户和员工信息的数据库
更应当对访问加以严格限制。
2.软件集中管理,按照公司要求限定所有机器只能运行必需
的办公软件。
3.环境集中管理,利用AD可以统一客户端桌面,IE,TCP/IP等 设置
信息科
4.活动目录是企业基础架构的根本,为公司整体统一管理做 基础。其它isa,exchange, 防病毒 服务 器, 补丁 分发 服务 器,文件服务器等服务依赖于域服务器
权限
FX003
用户总想多安装一些Windows 应用程序,但是,如果管理员 真的给了用户这个本地管理权 限,那么网络有可能面临严重 较大可能 较大影响 的威胁,而且,由于用户安装 应用程序产生的危险越多,网 络安全工作就越复杂。
信息安全风险评估表汇总
表1:基本信息调查1.单位基本情况2.硬件资产情况网络设备:路由器、网关、交换机等。
安全设备:防火墙、入侵检测系统、身份鉴别等。
服务器设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等。
终端设备:办公计算机、移动存储设备。
重要程度:依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。
3.软件资产情况填写说明系统软件:操作系统、系统服务、中间件、数据库管理系统、开发系统等。
应用软件:项目管理软件、网管软件、办公软件等。
4.服务资产情况服务类型包括:1.网络服务;2.安全工程;3.灾难恢复;4.安全运维服务;5.安全应急响应;6.安全培训;7.安全咨询;8.安全风险评估;9.安全审计;10.安全研发。
5.人员资产情况岗位名称:1、数据录入员;2、软件开发员;3、桌面管理员;4、系统管理员;5、安全管理员;6、数据库管理员;7、网络管理员;8、质量管理员。
6.文档资产情况填写说明信息系统文档类别:信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档;系统开发程序文件、资料等。
7.信息系统情况1、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写:a) 国家秘密信息;b) 非密敏感信息(机构或公民的专有信息) ;c) 可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评,请填写时间和测评机构名称。
1、网络区域主要包括:服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等;2、重要程度填写非常重要、重要、一般。
注:安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》表2:安全状况调查1. 安全管理机构安全组织体系是否健全,管理职责是否明确,安全管理机构岗位设置、人员配备是否充分合理。
安全策略及管理规章制度的完善性、可行性和科学性的有关规章制度的制定、发布、修订及执行情况。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
功能描述
1 电脑终端
2 应用软件
3 系统软件 4 5 6 7 8 9 10 11 12 13 14
编制:
公司业务处理 公司业务处理 信息处理
所属部门 IT部 IT部 IT部
信息安全风险评估表
资产重要度等级
资产重要性
资产完整性
资产可用性
得 分
固有风险评估
4
3
3
10
1、非法使用 2、发生故障
4
3
3
10
应用软件出错而 中断使用
4
3
3
10
系统软件运行出 错而中断使用
影响等级
破坏程 度
得分 现场控制措施
发生可能性等级
控制措施 发生容易
有效性
度
得分
风险 等级
风险 等级
计划控制 责任部
措施
门
1、使用域进行管理权
100% 10 限、密码
2
2
4 40 中
IT部
2、定期维护
100% 10 1、购买优质应用软件
1
2
3 30 中
IT部
100% 100%
10 1、定期系统维护 0
1
2
3 30 中
IT部
1000% 0
100% 0
100% 0
100% 0
100% 0
100% 0
审核:
批准: