2019-2020年信息安全风险评估表汇总.doc

合集下载

信息安全风险评估记录表

5
10
4
3
7
70
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
Windows 2003
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
代码控制CVS配置软件
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
0ffice
5
运行错误,无法使用
未及时打补丁
4
4
3
3
6
24
开发人员
10
数据泄密
安全意识欠缺,安全技能欠缺
无杀毒软件
3
6
2
3
5
30
10
无日常维护,打补丁
无法使用
2
4
3
4
7
28
10
硬件以外损坏
无法使用
2
4
3
4
7
28
10
机房不规范
服务器损坏无法使用
5
10
3
1
4
40
10
盗窃
机房不规范
5
10
4
5
9
90
笔记本
10
公司开发软件代码泄密
无拷贝控制
3
6
4
4
8
48
10
人为破环
硬件损坏系统无法正常运行
2
4
3
5
8
32
10
盗窃
10
数据丢失\损坏\篡改
无访问控制

04信息安全风险评估汇总表

路由器、交换机端控制
3
2
2
4
8
2
是
2
数据业务部
5.
人员
管理人员
部门经理
5
信息泄露泄露
人为泄露
未采取控制措施
4
5
4
4
16
4
否
行政部
6.
文档
合同
项目服务合同
5
数据丢失、泄露
未设置备份方案
未采取控制措施
4
5
4
4
16
4
否
行政部
7.
文档
项目数据
源代码
测试计划/方案
测试用例
测试报告
验收报告
接口开发设计文档
5
数据丢失、泄露
5
未建立台式机电脑口令安全策略
未采取控制措施
4
5
4
4
16
4
否
数据业务部
5
不足够的安全培训
定期对人员进行培训
3
2
2
4
8
2
是
3
行政部
5
防火墙未定期及时更新升级
员工自觉更新升级
3
2
2
4
8
2
是
2
数据业务部
5
操作系统变更未做记录，操作系统、应用软件未定期及时更新
负责人定期检查操作系统并及时更新
3
2
2
4
8
2
是
3
数据业务部
5
对移动代码的使用未监管
未采取控制措施
4
5
4
4
16
4
否
数据业务部

信息安全风险评估表

资产的类型、赋值、所处位置相同时，可合在一起进行风险评估。 2.威胁、脆弱性统一赋值原则
资产的类型、所处位置相同，但资产赋值不同时，若采取的控制措施相同，威胁及脆弱性的赋值基本保持一致。 3.残余风险赋值原则
如果风险可接受，暂不采取除现有控制措施以外的控制措施时，残余风险与风险值一致。
的参考说明。
附录2-威胁、脆弱性对照表附录3-风险等级对照表
按照资产类别排序的威胁、脆弱性对照表，用于资产风险识风别险。计算结果对应风险等级的参照表，用于确定风险级别。
资产识别资产赋值风险评估
注意事项
信息系统包含的资产主要指与信息系统直接相关的资产，如信息：信息系统上传输的数据、信息系统的设计开发文档软件：信息系统正常运行所需的应用、中间件、数据库、操作系统等硬件：信息系统正常运行所需的服务器、小型机、磁盘柜等关键活动包含的资产主要指活动进行所必须的6类资产，如硬件：各部门用于存储、处理、传输日常办公及客户信息的各种设备和介质，例如移动硬盘、台式机、计算机等。软件：各种本部门安装使用的软件，包括操作系统、中间件、数据库、应用软件、工具应用软件、终端安全软件等。信息：括各种业务相关的电子类及纸质的文件资料，可按照部门现有文件明细列举。人员：本部门各种对信息资产进行使用、操作和支持的人员角色，含为部门提供各种服务的外部人员（例如长期驻场外包人员）。物理环境：承载硬件资产和信息资产的设施。非计算机硬件类的实体。服务：各种本部门通过购买方式获取的，或者需要支持部门特别提供的，支持或协助日常业务进行的服务。
信息安全风险评估清单
编号1 步骤1-业务影响分析
2 步骤2-资产清单 3 步骤3-风险清单 4 步骤4-风险处置计划
文档目录及说明

信息安全风险评估记录表

信息安全风险评估记录表XXX信息安全风险评估记录表部门：XX部资产名称：1.台式计算机2.服务器3.笔记本4.网线5.INTEL网络服务6.路由器7.U盘8.WINDOWS XP9.源代码10.软件11.概要设计说明书12.产品数据库数据13.产品用户手册14.BUG报告15.用户培训记录重要度面临威胁脆弱性措施有效可能性风险1.台式计算机 6 10 3 3 5 302.服务器 10 10 5 3 7 703.笔记本 8 8 4 4 8 644.网线 8 8 4 4 8 645.INTEL网络服务 6 6 3 3 5 306.路由器 4 4 4 4 7 287.U盘 4 4 4 4 7 288.WINDOWS XP 10 1 1 1 4 49.源代码 10 5 5 5 9 4510.软件 6 4 4 4 8 3211.概要设计说明书 4 4 4 5 6 2412.产品数据库数据 4 4 4 4 8 3213.产品用户手册 4 4 4 4 7 2814.BUG报告 1 5 5 5 9 4515.用户培训记录 10 3 2 5 8 40存在的问题：1.台式计算机：无杀毒软件，无备份策略，无口令策略，配置被修改，无法使用。

2.服务器：无杀毒软件，服务器损坏无法使用。

3.笔记本：无法使用。

4.网线：无防护措施，数据泄密。

5.XXX网络服务：无管理制度。

6.路由器：操作系统存在漏洞，无访问控制，无安全备份。

7.U盘：无备份安全策略。

8.WINDOWS XP：暴露。

9.源代码：人为破环，盗窃。

10.软件：数据丢失/损坏/篡改，存储介质故障。

11.概要设计说明书：无拷贝控制，存储介质故障。

12.产品数据库数据：无备份安全策略，存储介质故障。

13.产品用户手册：无备份安全策略，存储介质故障。

14.BUG报告：存储介质故障。

15.用户培训记录：无访问控制。

措施：1.台式计算机：安装杀毒软件，制定备份策略，设置口令策略，修复配置，恢复使用。

2019年最新的ISO27001-2018信息安全风险评估表(ISMS信息安全风险评估)

5
通过服务器备份数据
2
3
30
3
控制
增加专业数据备份系统，对数据进行实时备份
5
1
1
5
1
接受
瘟疫、火灾、爆炸、雷击、恐怖袭击等
缺乏应急机制
文件信息丢失，人事工作开展困难
5
对重要数据进行定期移动硬盘备份，设置放雷机制
1
2
10
1
接受
自然灾难：地震、洪水、台风
缺乏应急机制
文件信息丢失，人事工作开展困难
5
对重要数据进行定期移动硬盘备份
不正确的废弃
人员缺乏安全意识
文件信息外泄
5
进行员工信息安全意识培训，
1
2
10
1
接受
瘟疫、火灾、爆炸、雷击、恐怖袭击等
缺乏应急机制
文件信息丢失，人事工作开展困难
5
设置必要的放火，放雷机制
2
3
30
3
接受
自然灾难：地震、洪水、台风
缺乏应急机制
文件信息丢失，人事工作开展困难
5
对重要数据进行定期移动硬盘备份
1
公司销售信息被竞争对手获得，业务无法开展
5
通过域控，系统密码控制，严格控制访问权限
SL-DATA-022
供应商合作协议书
采购合同
代理合同
厂商报价
合同
未经授权使用、访问、复制
缺乏物理防护机制
供应商信息被客户或竞争对手获得，供应商投诉或业务无法开展
5
合同报价等资料放在上锁的文件柜中
1
2
10
1
接受
瘟疫、火灾、爆炸、雷击、恐怖袭击等
缺乏应急机制

信息安全风险评估表

序号资产名称
功能描述
1 电脑终端
2 应用软件
3 系统软件 4 5 6 7 8 9 10 11 12 13 14
编制：
公司业务处理公司业务处理信息处理
所属部门 IT部 IT部 IT部
信息安全风险评估表
资产重要度等级
资产重要性
资产完整性
资产可用性
得分
固有风险评估
4
3
3
10
1、非法使用 2、发生故障
4
3
3
10
应用软件出错而中断使用
4
3
3
10
系统软件运行出错而中断使用
影响等级
破坏程度
得分现场控制措施
发生可能性等级
控制措施发生容易
有效性
度
得分
风险等级
风险等级
计划控制责任部
措施
门
1、使用域进行管理权
100% 10 限、密码
2
2
4 40 中
IT部
2、定期维护
100% 10 1、购买优质应用软件
1
2
3 30 中
IT部
100% 100%
10 1、定期系统维护 0
1
2
3 30 中
IT部
1000% 0
100% 0
100% 0
100% 0
100% 0
100% 0
审核：
批准：

信息安全风险评估-安全漏洞评估-操作系统安全漏洞表格

信息安全风险评估-安全漏洞评估-操作系统安全漏洞表格这份文档旨在详细记录操作系统中存在的安全漏洞，并对每个漏洞进行评估。

以下是操作系统安全漏洞表格的示例，帮助您更好地了解和管理系统的安全风险。

请根据您所使用的操作系统和已知的漏洞，将以上表格补充完整。

您可以根据实际情况添加或删除列，并填写相应的信息。

以下是对表格中各列所包含信息的解释：- 漏洞编号：每个漏洞都有一个唯一的标识符，通常使用CVE 编号。

漏洞编号：每个漏洞都有一个唯一的标识符，通常使用CVE编号。

- 漏洞描述：对该漏洞的详细描述，包括其可能导致的潜在风险和影响。

漏洞描述：对该漏洞的详细描述，包括其可能导致的潜在风险和影响。

- 漏洞类型：该漏洞属于哪个类型的安全漏洞，如身份验证漏洞、权限提升漏洞等。

漏洞类型：该漏洞属于哪个类型的安全漏洞，如身份验证漏洞、权限提升漏洞等。

- 影响程度：评估该漏洞对系统的影响程度，通常使用高、中、低等级别进行评定。

影响程度：评估该漏洞对系统的影响程度，通常使用高、中、低等级别进行评定。

- 风险级别：根据漏洞的影响程度和系统重要性，评定该漏洞的风险级别，通常使用高、中、低等级别进行评定。

风险级别：根据漏洞的影响程度和系统重要性，评定该漏洞的风险级别，通常使用高、中、低等级别进行评定。

- 建议措施：针对该漏洞的修复或缓解措施建议，包括补丁安装、修改配置等。

建议措施：针对该漏洞的修复或缓解措施建议，包括补丁安装、修改配置等。

通过进行操作系统安全漏洞评估，并填写这个表格，您可以更好地了解系统的安全状况，并制定相应的安全策略和措施来减少潜在的安全风险。

请根据您的具体需求和环境，使用以上表格进行操作系统安全漏洞评估，并及时更新和维护这个表格，以确保系统的安全性。

信息安全风险评估表格

信息安全风险评估表格
风险类型风险描述
影响程
度
发生概
率
风险级
别
建议控制措施
1 数据泄露高中高加强访问控制、加密敏感数
据
2 病毒感染中高高安装有效的防病毒软件、定
期更新
3 员工错误中中中提供培训、建立标准操作流
程
4 物理入侵高低中使用安全门禁系统、视频监
控
5 网络攻击高中高实施防火墙、入侵检测和预
防系统
6 不当使用
权限
中中中角色分离、最小权限原则... ... ... ... ... ...
在表格中，每一行代表一个特定的风险。

各列的含义如下：
风险类型：对风险进行分类或编号，方便跟踪和识别。

风险描述：简要描述风险的具体情况，例如数据泄露、病毒感染等。

影响程度：评估风险发生后可能对组织造成的影响程度，如高、中、低等级。

发生概率：评估风险发生的概率，通常使用高、中、低等级或百分比表示。

风险级别：根据影响程度和发生概率综合评估的风险级别，可以通过计算得出或根据经验判断。

建议控制措施：提供针对该风险的建议控制措施，用于降低风险的发生和影响。

网络安全风险评估汇总表

网络安全风险评估汇总表1. 概述网络安全风险评估是指对一个网络系统进行全面分析和评估，以确定系统存在的潜在安全威胁和漏洞，并提供相应的风险评估结果。

本文档旨在对已完成的网络安全风险评估进行汇总，以便更好地了解系统的安全状况并采取相应的安全措施。

2. 评估结果2.1 评估对象在本次网络安全风险评估中，评估对象为公司内部的网络系统，包括以下方面：- 网络架构- 系统设备- 数据库- 应用程序- 用户权限管理2.2 风险评估根据评估结果，我们总结了以下风险评估结论：- 针对网络架构存在的风险包括：未加密的数据传输、没有合适的网络隔离、缺乏灾难恢复机制等。

- 在系统设备方面，发现的主要问题是缺乏及时的安全补丁更新和漏洞修复。

- 对于数据库，发现存在弱密码和访问控制不严格的风险。

- 在应用程序方面，存在代码注入和跨站脚本等常见安全漏洞。

- 用户权限管理方面，存在权限过高或过低的问题。

3. 建议措施为了解决以上发现的风险，我们提出了以下建议措施：- 对于网络架构，建议加密敏感数据的传输、加强网络隔离措施，并建立完善的灾难恢复机制。

- 对于系统设备，建议定期更新安全补丁和漏洞修复，并加强设备的访问控制。

- 对于数据库，建议加强密码管理和访问权限的控制。

- 对于应用程序，建议进行安全代码审查和漏洞修复，确保应用程序安全可靠。

- 对于用户权限管理，建议根据实际需要合理分配权限，并定期进行权限审查。

4. 总结网络安全风险评估汇总表对公司网络系统的安全状况进行了详细的评估和总结，同时提出了一系列解决风险的建议措施。

通过采取这些措施，可以有效地提高网络安全性，减少潜在的安全威胁和风险。

以上是本次网络安全风险评估汇总表的内容，请仔细阅读并根据建议措施进行相应的改进和完善。

04信息安全风险评估表

275 176 132 176 275 176 132 176
300 240 180 90 126
设置自动更新补丁服务。加强员工教育。专人保管设置权限加强安全教育
环境控制
设置自动更新补丁服务。加强员工教育。专人保管设置权限加强安全教育专人专有场所保管。专人保管设置权限加强安全教育环境控制环境控制专人专有场所保管。专人保管设置权限加强安全教育专人保管设置权限加强安全教育安装防杀毒软件
合同和合同复印件 LB3002 合同和合同复印件 LB3002 合同和合同复印件 LB3002 合同和合同复印件 LB3002 公司专用章 LB5001 公司专用章 LB5001 公司专用章 LB5001 总经理PC LB500 副总经理PC 2 备份PC（总 LB500 经理家） 3 总经理PC LB500 副总经理PC 2 备份PC（总 LB500 经理家） 3 总经理PC LB500 副总经理PC 2 备份PC（总 LB500 经理家） 3 总经理PC LB500 副总经理PC 2 备份PC（总 LB500 经理家） 3 总经理PC LB500 副总经理PC 2 备份PC（总 LB500 经理家） 3 总经理PC LB500 副总经理PC 2 备份PC（总 LB500 经理家） 3 总经理PC LB500 副总经理PC 2 备份PC（总 LB500 经理家） 3 总经理室钥 LB500 匙 5 总经理室钥匙保险柜保险柜摄像机摄像机摄像机综合部经理综合部经理培训协议培训协议培训协议培训协议财务发票扫描文档财务发票扫描文档财务发票扫描文档财务发票扫描文档员工信息档案员工信息档案员工信息档案员工信息档案劳动合同、保密协议劳动合同、保密协议劳动合同、保密协议劳动合同、保密协议财务报表财务凭证财务报告空白支票财务报表财务凭证财务报告空白支票财务报表财务凭证财务报告空白支票财务报表财务凭证财务报告空白支票电话传真一体机开水炉电视机音响功放投影仪电话传真一体机开水炉电视机音响功放投影仪电话传真一体机开水炉电视机音响功放投影仪大门钥匙，办公室钥匙大门钥匙，办公室钥匙大门钥匙，办公室钥匙综合部经理 PC 综合部经理 PC 综合部经理 PC 综合部经理 PC 综合部经理 PC 综合部经理 PC 综合部经理 PC 财务专用章财务专用章国税办税卡地税办税卡国税办税卡地税办税卡国税办税卡地税办税卡物业合同、保密协议电信服务技术部主管技术部主管场景资料文档角色资料文档后期资料文场景资料文档角色资料文档后期资料文场景资料文档角色资料文档后期资料文场景资料文档角色资料文档后期资料文技术部主管 PC 指导助理PC 动画组长PC 动画师PC 场景指导助理PC 场景组长PC 技术部主管 PC 指导助理PC 动画组长PC 动画师PC 场景指导助理PC 场景组长PC 技术部主管 PC 指导助理PC 动画组长PC 动画师PC 场景指导助理PC 场景组长PC 技术部主管 PC 指导助理PC 动画组长PC 动画师PC 场景指导助理PC 场景组长PC 技术部主管 PC 指导助理PC 动画组长PC 动画师PC 场景指导助理PC 场景组长PC 技术部主管 PC 指导助理PC 动画组长PC 动画师PC 场景指导助理PC 场景组长PC 技术部主管 PC 指导助理PC 动画组长PC 动画师PC 场景指导助理PC 场景组长PC 手写版手写版手写版信息安全管理员 LB500 5 LB500 6 LB500 6 LB500 7 LB500 7 LB500 7

信息安全风险评估报告(模板)

SCISTEC/STCJLMB-QP19-08安全风险评估报告系统名称：xxxxxxxxxxx评估单位：xxxxxxxxxxxxxxxxxxxx评估时间：年月日目录报告声明......................................... .............................................错误！未定义书签。

委托方信息..................................................................................错误！未定义书签。

受托方信息..................................................................................错误！未定义书签。

风险评估报告单..........................................................................错误！未定义书签。

1 .风险评估项目概述................................................................错误！未定义书签。

1.1.建设项目基本信息..........................................................错误！未定义书签。

1.2.风险评估实施单位基本情况..........................................错误！未定义书签。

1.3.风险评估活动概述..........................................................错误！未定义书签。

1.3.1.风险评估工作组织过程............................................错误！未定义书签。

信息安全风险评估调查表

00表 1：基本信息调查1.单位基本情况单位名称单位地址(公章)联系人联系电话Email 填表时间信息安全主管领导(签字)职务检查工作负责人(签字)职务12.硬件资产情况2.1. 网络设备情况网络设备名称型号2.2. 安全设备情况安全设备名称型号( 软件/ 物理位硬件) 置IP 地址/掩码/网关系统及运行平台端口类型及数量所属网络区域端口类型及数量所属网络区域系统软件及版本IP 地址/掩码/网关物理位置主2.3. 服务器设备情况设备名称型号物理位置所属网络 IP 地址/掩码/网关操作系统安装应用系统软主区域版本/补丁件名称用2.4. 终端设备情况终端设备名称型号填写说明网络设备：路由器、网关、交换机等。

安全设备：防火墙、入侵检测系统、身份鉴别等。

服务器设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等。

终端设备：办公计算机、挪移存储设备。

重要程度：依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、普通。

设备数量 IP 地址/掩码/网关所属网络区域安装件名操作系统物理位置3.软件资产情况3.1. 系统软件情况系统软件名称版本软件厂商硬件平台3.2. 应用软件情况应用系统软件名称开辟商硬件/软件平台C/S 或者B/S 模式涉及数据现填写说明系统软件：操作系统、系统服务、中间件、数据库管理系统、开辟系统等。

应用软件：项目管理软件、网管软件、办公软件等。

4.服务资产情况4.1.本年度信息安全服务情况服务类型填写说明服务类型包括： 1.网络服务； 2.安全工程； 3.灾难恢复； 4.安全运维服务； 5.安全应急响应； 6.安全培训； 7.安全咨 10.安全研发。

5.人员资产情况1、信息系统人员情况 .岗位名称填写说明岗位名称： 1、数据录入员； 2、软件开辟员； 3、桌面管理员； 4、系统管理员； 5、安全管理员； 6、数据库管理服务方单位名称服务内容岗位描述6.文档资产情况6.1.信息系统安全文档列表文档类别文档名称填写说明信息系统文档类别：信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档；系统开辟程叙文件、资7.信息系统情况7.1、系统网络拓扑图网络结构图要求：1、应该标识出网络设备、服务器设备和主要终端设备及其名称；2、应该标识出服务器设备的IP 地址；3、应该标识网络区域划分等情况；4、应该标识网络与外部的连接等情况；5、应该能够对照网络结构图说明所有业务流程和系统组成。

信息安全风险评估表汇总

表1：基本信息调查1- 2 -网络设备：路由器、网关、交换机等。

安全设备：防火墙、入侵检测系统、身份鉴别等。

服务器设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等。

终端设备：办公计算机、移动存储设备。

重要程度：依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。

- 3 -填写说明系统软件：操作系统、系统服务、中间件、数据库管理系统、开发系统等。

应用软件：项目管理软件、网管软件、办公软件等。

- 4 -服务类型包括：1.网络服务；2.安全工程；3.灾难恢复；4.安全运维服务；5.安全应急响应；6.安全培训；7.安全咨询；8.安全风险评估；9.安全审计；10.安全研发。

岗位名称：1、数据录入员；2、软件开发员；3、桌面管理员；4、系统管理员；5、安全管理员；6、数据库管理员；7、网络管理员；8、质量管理员。

- 5 -填写说明信息系统文档类别：信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档；系统开发程序文件、资料等。

- 6 -- 7 -1、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写：a) 国家秘密信息；b) 非密敏感信息(机构或公民的专有信息) ；c) 可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评，请填写时间和测评机构名称。

1、网络区域主要包括：服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等；2、重要程度填写非常重要、重要、一般。

- 8 -注：安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》- 9 -- 10 -表2：安全状况调查1. 安全管理机构安全组织体系是否健全，管理职责是否明确，安全管理机构岗位安全策略及管理规章制度的完善性、可行性和科学性的有关规章人员的安全和保密意识教育、安全技能培训情况，重点、敏感岗4. 系统建设管理关键资产采购时是否进行了安全性测评，对服务机构和人员的保密约束情况如何，在服务提供过程中是否采取了管控措施。

信息安全风险评估表汇总

表1：基本信息调查1.单位基本情况2.硬件资产情况网络设备：路由器、网关、交换机等。

安全设备：防火墙、入侵检测系统、身份鉴别等。

服务器设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等。

终端设备：办公计算机、移动存储设备。

重要程度：依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。

3.软件资产情况填写说明系统软件：操作系统、系统服务、中间件、数据库管理系统、开发系统等。

应用软件：项目管理软件、网管软件、办公软件等。

4.服务资产情况服务类型包括：1.网络服务；2.安全工程；3.灾难恢复；4.安全运维服务；5.安全应急响应；6.安全培训；7.安全咨询；8.安全风险评估；9.安全审计；10.安全研发。

5.人员资产情况岗位名称：1、数据录入员；2、软件开发员；3、桌面管理员；4、系统管理员；5、安全管理员；6、数据库管理员；7、网络管理员；8、质量管理员。

6.文档资产情况填写说明信息系统文档类别：信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档；系统开发程序文件、资料等。

7.信息系统情况1、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写：a) 国家秘密信息；b) 非密敏感信息(机构或公民的专有信息) ；c) 可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评，请填写时间和测评机构名称。

注：安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》表2：安全状况调查1. 安全管理机构安全组织体系是否健全，管理职责是否明确，安全管理机构岗位设置、人员配备是否充分合理。

安全策略及管理规章制度的完善性、可行性和科学性的有关规章制度的制定、发布、修订及执行情况。

2019年最新的ISO27001-2018信息安全风险识别评价分析评估表(ISMS信息安全风险评估)

网络传输中被未使用密码技术文件信息外泄
窃取
使用加密系统控
5
2 3 30 3 接受
制
瘟疫、火灾、爆炸、雷击、恐怖缺乏应急机制袭击等
客户信息丢失，业务 5
开展产生困难
设置必要的放 1 2 10 1 接受
火，放雷机制
自然灾难：地缺乏应急机制
震、洪水、台风
客户信息丢失，业务 5
开展产生困难
对重要数据进行 1 2 10 1 接受
炸、雷击、恐怖缺乏应急机制
5
供开票及联袭击等
工作开展困难
系
网络传输中被
未使用密码技术文件信息外泄
5
窃取
自然灾难：地缺乏应急机制
震、洪水、台风
文件信息丢失，人事 5
工作开展困难
合同报价等资料放在上锁的文件柜中
合同报价等资料放在上锁的文件柜中
设置必要的放 2 3 30 3 接受
火，放雷机制
采购合同
合同
SL-DATA-021
代理合同
SL-DATA-022
厂商报价
SL-DATA-014 报价、合同样本
SL-DATA-015 销售合同 SL-DATA-023 客户报价
合同
SL-DATA-024 客户合同
瘟疫、火灾、爆炸、雷击、恐怖缺乏应急机制袭击等
文件信息丢失，人事 5
工作开展困难
自然灾难：地缺乏应急机制
使用加密系统控 2 3 30 3 接受
制对重要数据进行定期移动硬盘备 1 2 10 1 接受份
盗窃
存放缺乏保护
合同丢失，影响后续 5
服务或收款等内容
未经授权使用、访问权限没有控数据被删除，修改或

2019-2020年信息系统安全解决方案-风险评估与安全体系.doc

目录第一章信息安全的风险评估 (2)1.1 风险分析 (2)1.1.1 攻击的类型 (2)1.2 网络系统的脆弱性 (3)1.2.1 操作系统安全的脆弱性 (3)1.2.2 网络安全的脆弱性 (4)1.2.3 数据库系统安全的脆弱性 (5)1.2.4 防火墙的局限性 (5)1.2.5 其他方面的原因 (5)1.3 评估方法 (5)1.3.1 常用的评估软件 (6)第二章信息安全防范体系 (9)2.1 信息安全模型 (9)2.2 策略和组织框架 (12)2.2.1 策略框架 (12)2.2.1.1 安全策略的内容 (13)2.2.1.2 安全策略的制定 (13)2.2.1.3 安全策略的管理 (15)2.2.2 组织框架 (16)2.3 技术框架 (17)2.3.1 鉴别和认证 (18)2.3.2 访问控制 (19)2.3.3 审计和跟踪 (20)2.3.4 响应和恢复 (21)2.3.5 内容安全 (22)第一章信息安全的风险评估1.1风险分析随着网络的飞速发展，电子商务在今天的商业环境里的普遍应用，计算机系统的安全防护已经成为一项极其重要的工作。

除了保护服务器、工作站、网络设备以及数据等硬件资产以外，还需要保护公司的无形资产。

信息安全隐患会对公司的声誉、品牌以及发展规划造成不可估量的恶劣影响。

1.1.1攻击的类型在因特网上存在哪些攻击方式呢？主要可分为以下三类：拒绝服务、侵入攻击和信息盗窃。

1、拒绝服务拒绝服务攻击是一种以遭受攻击的资源目标不能继续正常提供服务的攻击形式。

换言之，拒绝服务攻击就是使你无法继续使用你的计算机资源，这些资源可能是邮件服务器、Web服务器或数据库服务器等。

拒绝服务攻击通常是针对某个特定的系统或网络而实施的恶意攻击行为。

2000年2月针对Amazon和CNN的分布式拒绝服务攻击就是典型的例子。

拒绝服务攻击通常是使用“信息洪水”的手法实现的，即向某个资源发送超出其处理能力的数据或TCP/IP报文。