信息安全风险评估调查表
信息安全风险评估记录表
10
4
3
7
70
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
Windows 2003
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
代码控制CVS配置软件
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
0ffice
5
运行错误,无法使用
未及时打补丁
4
4
3
3
6
24
开发人员
10
数据泄密
安全意识欠缺,安全技能欠缺
无杀毒软件
3
6
2
3
5
30
10
无日常维护,打补丁
无法使用
2
4
3
4
7
28
10
硬件以外损坏
无法使用
2
4
3
4
7
28
10
机房不规范
服务器损坏无法使用
5
10
3
1
4
40
10
盗窃
机房不规范
5
10
4
5
9
90
笔记本
10
公司开发软件代码泄密
无拷贝控制
3
6
4
4
8
48
10
人为破环
硬件损坏系统无法正常运行
2
4
3
5
8
32
10
盗窃
10
数据丢失\损坏\篡改
无访问控制
信息安全风险评估调查表
5.人员资产情况
.1、信息系统人员情况
岗位名称
岗位描述
人数
兼任人数
填写说明
岗位名称:1、数据录入员;2、软件开发员;3、桌面管理员;4、系统管理员;5、安全管理员;6、数据库管理员;7、网络管理员;8、质量管理员。
6.
文档资产情况
6.1.信息系统安全文档列表
文档类别
文档名称
填写说明
信息系统文档类别:信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档;系统开发程序文件、资料等。
2.2.安全设备情况
安全设备名称
型号(软件/硬件)
物理位置
所属网络区域
IP地址/掩码/网关
系统及运行平台
端口类型及数量
主要用途
是否热备
重要程度
2.3.服务器设备情况
设备名称
型号
物理位置
所属网络区域
IP地址/掩码/网关
操作系统版本/补丁
安装应用系统软件名称
主要业务应用
涉及数据
是否热备
2.4.终端设备情况
检查项
结果
备注
1
信息安全策略
□明确信息安全策略,包括总体目标、范围、原则和安全框架等内容。
□包括相关文件,但内容覆盖不全面。
终端设备名地址/掩码/网关
操作系统
安装应用系统软件名称
涉及数据
主要用途
填写说明
网络设备:路由器、网关、交换机等。
安全设备:防火墙、入侵检测系统、身份鉴别等。
服务器设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等。
终端设备:办公计算机、移动存储设备。
7.
信息系统情况
供应商信息安全风险评估检查表
All areas covered by the **** project must be
2
identified, including but not limited to sensitive raw
materials and equipment areas, storage areas and
warehouse areas, access and transportation routes,
s供ec应ur商ity须po建lic立ie人s, 员reg离ul职ati处on理s a流nd程ot,he至rs,少an要d 关the闭信
息系统帐号和权限,回收存储介质(包含电脑)
。
2.5
The suppliers must establish a process for employee
1
termination, at least to disable the information
access, such as implement data encryption or data
总得分
leakage prevention.
Subtotal 得分率
Percentage %
1
1 4
50.00%
4、物理与环境安全 4. Physical and environment security
总得分
system accounts and permissions, and return the
Subtotal 得分率
Percentage %
9 90.00%
3、数据和介质管理 3. Data and media management
序号# S/N 3.1
04信息安全风险评估汇总表
3
2
2
4
8
2
是
2
数据业务部
5.
人员
管理人员
部门经理
5
信息泄露泄露
人为泄露
未采取控制措施
4
5
4
4
16
4
否
行政部
6.
文档
合同
项目服务合同
5
数据丢失、泄露
未设置备份方案
未采取控制措施
4
5
4
4
16
4
否
行政部
7.
文档
项目数据
源代码
测试计划/方案
测试用例
测试报告
验收报告
接口开发设计文档
5
数据丢失、泄露
5
未建立台式机电脑口令安全策略
未采取控制措施
4
5
4
4
16
4
否
数据业务部
5
不足够的安全培训
定期对人员进行培训
3
2
2
4
8
2
是
3
行政部
5
防火墙未定期及时更新升级
员工自觉更新升级
3
2
2
4
8
2
是
2
数据业务部
5
操作系统变更未做记录,操作系统、应用软件未定期及时更新
负责人定期检查操作系统并及时更新
3
2
2
4
8
2
是
3
数据业务部
5
对移动代码的使用未监管
未采取控制措施
4
5
4
4
16
4
否
数据业务部
信息安全风险评估表
信息安全风险评估表
精心整理
表1:基本信息调查
1.硬件资产情况
1.1.网络设备情况
网络设备名称、型号、物理位置、所属网络区域、IP地
址/掩码/网关、系统软件及版本、端口类型及数量、主要用途、是否热备、重要程度。
1.2.安全设备情况
安全设备名称、型号、软件/硬件位置、所属网络区域、
IP地址/掩码/网关、操作系统版本/补丁、安装应用系统软件名称、主要业务应用、涉及数据、是否热备。
1.3.服务器设备情况
服务器设备型号、物理位置。
1.4.终端设备情况
终端设备名称、型号、物理位置、所属网络、设备数量、IP地址/掩码/网关、操作系统版本。
2.软件资产情况
2.1.系统软件情况
系统软件名称、版本、开发商、软件厂商、硬件/软件平台、C/S或B/S模式、B/S硬件平台、涉及数据、涉及应用系统、现有用户数量、主要用户角色。
2.2.应用软件情况
应用系统软件名称、涉及数据。
3.文档资产情况
3.1.信息系统安全文档列表
信息系统文档类别、文档名称。
4.信息系统情况
4.1、系统网络拓扑图
网络结构图要求:标识网络设备、服务器设备和主要终端设备及其名称;标识服务器设备的IP地址;标识网络区域划分等情况。
信息安全风险评估表
资产的类型、所处位置相同,但资产赋值不同时,若采取的控制措施相 同,威胁及脆弱性的赋值基本保持一致。 3.残余风险赋值原则
如果风险可接受,暂不采取除现有控制措施以外的控制措施时,残余风 险与风险值一致。
的参考说明。
附录2-威胁、脆弱性对照表 附录3-风险等级对照表
按照资产类别排序的威胁、脆弱性对照表,用于资产风险 识风别险。计算结果对应风险等级的参照表,用于确定风险级别 。
资产识别 资产赋值 风险评估
注意事项
信息系统包含的资产主要指与信息系统直接相关的资产,如 信息:信息系统上传输的数据、信息系统的设计开发文档 软件:信息系统正常运行所需的应用、中间件、数据库、操作系统等 硬件:信息系统正常运行所需的服务器、小型机、磁盘柜等 关键活动包含的资产主要指活动进行所必须的6类资产,如 硬件:各部门用于存储、处理、传输日常办公及客户信息的各种设备和介 质,例 如移动硬盘、台式机、计算机等。 软件:各种本部门安装使用的软件,包括操作系统、中间件、数据库、应用 软件、工具应用软件、终端安全软件等。 信息:括各种业务相关的电子类及纸质的文件资料,可按照部门现有文件明 细列举。 人员:本部门各种对信息资产进行使用、操作和支持的人员角色,含为部门 提供各种服务的外部人员(例如长期驻场外包人员)。 物理环境:承载硬件资产和信息资产的设施。非计算机硬件类的实体。 服务:各种本部门通过购买方式获取的,或者需要支持部门特别提供的,支 持或协助日常业务进行的服务。
信息安全风险评估清单
编 号1 步骤1-业务影响分析
2 步骤2-资产清单 3 步骤3-风险清单 4 步骤4-风险处置计划
文档目录及说明
2019年最新的ISO27001-2018信息安全风险评估表(ISMS信息安全风险评估)
通过服务器备份数据
2
3
30
3
控制
增加专业数据备份系统,对数据进行实时备份
5
1
1
5
1
接受
瘟疫、火灾、爆炸、雷击、恐怖袭击等
缺乏应急机制
文件信息丢失,人事工作开展困难
5
对重要数据进行定期移动硬盘备份,设置放雷机制
1
2
10
1
接受
自然灾难:地震、洪水、台风
缺乏应急机制
文件信息丢失,人事工作开展困难
5
对重要数据进行定期移动硬盘备份
不正确的废弃
人员缺乏安全意识
文件信息外泄
5
进行员工信息安全意识培训,
1
2
10
1
接受
瘟疫、火灾、爆炸、雷击、恐怖袭击等
缺乏应急机制
文件信息丢失,人事工作开展困难
5
设置必要的放火,放雷机制
2
3
30
3
接受
自然灾难:地震、洪水、台风
缺乏应急机制
文件信息丢失,人事工作开展困难
5
对重要数据进行定期移动硬盘备份
1
公司销售信息被竞争对手获得,业务无法开展
5
通过域控,系统密码控制,严格控制访问权限
SL-DATA-022
供应商合作协议书
采购合同
代理合同
厂商报价
合同
未经授权使用、访问、复制
缺乏物理防护机制
供应商信息被客户或竞争对手获得,供应商投诉或业务无法开展
5
合同报价等资料放在上锁的文件柜中
1
2
10
1
接受
瘟疫、火灾、爆炸、雷击、恐怖袭击等
缺乏应急机制
信息安全风险评估表
功能描述
1 电脑终端
2 应用软件
3 系统软件 4 5 6 7 8 9 10 11 12 13 14
编制:
公司业务处理 公司业务处理 信息处理
所属部门 IT部 IT部 IT部
信息安全风险评估表
资产重要度等级
资产重要性
资产完整性
资产可用性
得 分
固有风险评估
4
3
3
10
1、非法使用 2、发生故障
4
3
3
10
应用软件出错而 中断使用
4
3
3
10
系统软件运行出 错而中断使用
影响等级
破坏程 度
得分 现场控制措施
发生可能性等级
控制措施 发生容易
有效性
度
得分
风险 等级
风险 等级
计划控制 责任部
措施
门
1、使用域进行管理权
100% 10 限、密码
2
2
4 40 中
IT部
2、定期维护
100% 10 1、购买优质应用软件
1
2
3 30 中
IT部
100% 100%
10 1、定期系统维护 0
1
2
3 30 中
IT部
1000% 0
100% 0
100% 0
100% 0
100% 0
100% 0
审核:
批准:
信息安全风险评估表格
信息安全风险评估表格
风险类型风险描述
影响程
度
发生概
率
风险级
别
建议控制措施
1 数据泄露高中高加强访问控制、加密敏感数
据
2 病毒感染中高高安装有效的防病毒软件、定
期更新
3 员工错误中中中提供培训、建立标准操作流
程
4 物理入侵高低中使用安全门禁系统、视频监
控
5 网络攻击高中高实施防火墙、入侵检测和预
防系统
6 不当使用
权限
中中中角色分离、最小权限原则... ... ... ... ... ...
在表格中,每一行代表一个特定的风险。
各列的含义如下:
风险类型:对风险进行分类或编号,方便跟踪和识别。
风险描述:简要描述风险的具体情况,例如数据泄露、病毒感染等。
影响程度:评估风险发生后可能对组织造成的影响程度,如高、中、低等级。
发生概率:评估风险发生的概率,通常使用高、中、低等级或百分比表示。
风险级别:根据影响程度和发生概率综合评估的风险级别,可以通过计算得出或根据经验判断。
建议控制措施:提供针对该风险的建议控制措施,用于降低风险的发生和影响。
网络安全风险评估调查表
网络安全风险评估调查表一、引言网络安全风险评估是保障企业信息安全的重要手段之一。
本文档旨在通过调查表,对企业网络安全风险进行全面评估,以便及时采取预防措施或改进方案,确保网络系统的稳定和用户信息的安全。
二、背景信息请填写以下企业背景信息:- 企业名称:- 企业规模:- 网络系统类型:- 网络拓扑结构:- 系统管理员:三、风险评估请回答以下问题,并根据实际情况选择相应答案或提供详细说明。
1. 数据安全风险1.1 是否有明确的数据备份策略?- [ ] 是- [ ] 否1.2 是否进行定期的数据备份以及备份数据是否存放在安全地点?- [ ] 是- [ ] 否1.3 是否有防病毒软件及相关安全工具?- [ ] 是- [ ] 否1.4 是否对网络数据进行加密传输?- [ ] 是- [ ] 否2. 网络访问控制风险2.1 是否有网络访问权限控制策略?- [ ] 是- [ ] 否2.2 是否定期审计网络访问日志?- [ ] 是- [ ] 否2.3 是否限制员工对外部网络的访问权限?- [ ] 是- [ ] 否2.4 是否有强密码策略,并定期更换密码?- [ ] 是- [ ] 否3. 系统漏洞风险3.1 是否定期更新网络系统和应用软件?- [ ] 是- [ ] 否3.2 是否进行系统安全评估和漏洞扫描?- [ ] 是- [ ] 否4. 员工安全意识培训4.1 是否定期开展网络安全知识培训?- [ ] 是- [ ] 否4.2 是否对员工进行网络安全相关政策的宣传与教育?- [ ] 是- [ ] 否四、风险评估结果请根据各项问题的回答情况,对网络安全风险进行评估,并进行详细说明。
五、改进措施根据风险评估结果,提出相应的改进措施,并制定改进计划。
六、结论总结网络安全风险评估调查的结果,并对未来的安全工作提出建议。
---以上是网络安全风险评估调查表的样板,请根据实际情况进行填写并进行相应的分析和改进计划制定。
如有疑问或需要进一步支持,请随时联系网络安全团队。
信息安全风险评估表
利用域管理,关闭相关系统的管理权限,个人无权限进行 安装程序等; ⑴ 不要随意打开来历不明的邮件现在许多木马都是通过邮 件来传播的,当用户收到来历不明的邮件时请不要打开, 应尽快删除。同时要加强邮件监控系统,拒收垃圾邮件⑵ 不要随意下载来历不明的软件最好是在一些知名的网站下 载软件,不要下载和运行那些来历不明的软件。在安装软 件的之前最好用杀毒软件查看是否含有病毒,然后才进行 信息科 安装。 ⑶ 及时修补漏洞和关闭可疑的端口一些木马都是通过漏洞 在系统上打开端口留下后门,以便上传木马文件和执行代 码,在把漏洞修补上的同时,需要对端口进行检查,把可 疑的端口关闭。运行实时监控程序 在上网时最好运行反木 马实时监控程序和个人防火墙,并定时对系统进行病毒检 查。
规行为;内部员工使用网络文
件共享或者乱用笔记本电脑造 成数据泄露;内部员工的粗心
较大可能 较大影响
大意是到目前为止企业数据安
全的最大威胁
高
特定工作的员工是否访问了超出工作范围的数据。
2、使用个人访问控制工具,保证系统记录下每一个曾经访
问过重要信息的人。此外,保存客户和员工信息的数据库
更应当对访问加以严格限制。
2.软件集中管理,按照公司要求限定所有机器只能运行必需
的办公软件。
3.环境集中管理,利用AD可以统一客户端桌面,IE,TCP/IP等 设置
信息科
4.活动目录是企业基础架构的根本,为公司整体统一管理做 基础。其它isa,exchange, 防病毒 服务 器, 补丁 分发 服务 器,文件服务器等服务依赖于域服务器
权限
FX003
用户总想多安装一些Windows 应用程序,但是,如果管理员 真的给了用户这个本地管理权 限,那么网络有可能面临严重 较大可能 较大影响 的威胁,而且,由于用户安装 应用程序产生的危险越多,网 络安全工作就越复杂。
信息安全风险评估表汇总
表1:基本信息调查1- 2 -网络设备:路由器、网关、交换机等.安全设备:防火墙、入侵检测系统、身份鉴别等。
服务器设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等。
终端设备:办公计算机、移动存储设备。
重要程度:依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。
- 3 -系统软件:操作系统、系统服务、中间件、数据库管理系统、开发系统等。
应用软件:项目管理软件、网管软件、办公软件等。
- 4 -服务类型包括:1。
网络服务;2。
安全工程;3.灾难恢复;4.安全运维服务;5.安全应急响应;6.安全培训;7.安全咨询;8.安全风险评估;9。
安全审计;10.安全研发。
岗位名称: 1、数据录入员;2、软件开发员;3、桌面管理员;4、系统管理员;5、安全管理员;6、数据库管理员;7、网络管理员;8、质量管理员。
- 5 -信息系统文档类别:信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档;系统开发程序文件、资料等。
- 6 -1、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写:a) 国家秘密信息;b) 非密敏感信息(机构或公民的专有信息) ;c) 可公开信息3、重要程度栏填写非常重要、重要、一般- 7 -1、网络区域主要包括:服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等;- 8 -- 9 -信息安全风险评估表表2:安全状况调查1. 安全管理机构安全组织体系是否健全,管理职责是否明确,安全管理机构岗位设- 10 -安全策略及管理规章制度的完善性、可行性和科学性的有关规章人员的安全和保密意识教育、安全技能培训情况,重点、敏感岗关键资产采购时是否进行了安全性测评,对服务机构和人员的保密约束情况如何,在服务提供过程中是否采取了管控措施。
信息系统设备、系统的操作和维护记录,变更管理,安全事件分析和报告;运行环境与开发环境的分离情况;安全审计、补丁升级管理、安全漏洞检测、网管、权限管理及密码管理等情况,重点检查系统性能的监7.网络安全安全域划分、边界防护、内网防护、外部设备接入控制等情况。
信息安全风险评估表汇总
表1:基本信息调查1.单位基本情况2.硬件资产情况网络设备:路由器、网关、交换机等。
安全设备:防火墙、入侵检测系统、身份鉴别等。
服务器设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等。
终端设备:办公计算机、移动存储设备。
重要程度:依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。
3.软件资产情况填写说明系统软件:操作系统、系统服务、中间件、数据库管理系统、开发系统等。
应用软件:项目管理软件、网管软件、办公软件等。
4.服务资产情况服务类型包括:1.网络服务;2.安全工程;3.灾难恢复;4.安全运维服务;5.安全应急响应;6.安全培训;7.安全咨询;8.安全风险评估;9.安全审计;10.安全研发。
5.人员资产情况岗位名称:1、数据录入员;2、软件开发员;3、桌面管理员;4、系统管理员;5、安全管理员;6、数据库管理员;7、网络管理员;8、质量管理员。
6.文档资产情况填写说明信息系统文档类别:信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档;系统开发程序文件、资料等。
7.信息系统情况1、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写:a) 国家秘密信息;b) 非密敏感信息(机构或公民的专有信息) ;c) 可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评,请填写时间和测评机构名称。
1、网络区域主要包括:服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等;2、重要程度填写非常重要、重要、一般。
注:安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》表2:安全状况调查1. 安全管理机构安全组织体系是否健全,管理职责是否明确,安全管理机构岗位设置、人员配备是否充分合理。
安全策略及管理规章制度的完善性、可行性和科学性的有关规章制度的制定、发布、修订及执行情况。
信息安全风险评估表汇总
表1:基本信息调查1.单位基本情况2.硬件资产情况网络设备:路由器、网关、交换机等。
安全设备:防火墙、入侵检测系统、身份鉴别等。
服务器设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等。
终端设备:办公计算机、移动存储设备。
重要程度:依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。
3.软件资产情况填写说明系统软件:操作系统、系统服务、中间件、数据库管理系统、开发系统等。
应用软件:项目管理软件、网管软件、办公软件等。
4.服务资产情况服务类型包括:1.网络服务;2.安全工程;3.灾难恢复;4.安全运维服务;5.安全应急响应;6.安全培训;7.安全咨询;8.安全风险评估;9.安全审计;10.安全研发。
5.人员资产情况岗位名称:1、数据录入员;2、软件开发员;3、桌面管理员;4、系统管理员;5、安全管理员;6、数据库管理员;7、网络管理员;8、质量管理员。
6.文档资产情况填写说明信息系统文档类别:信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档;系统开发程序文件、资料等。
7.信息系统情况1、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写:a) 国家秘密信息;b) 非密敏感信息(机构或公民的专有信息) ;c) 可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评,请填写时间和测评机构名称。
1、网络区域主要包括:服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等;2、重要程度填写非常重要、重要、一般。
注:安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》表2:安全状况调查1. 安全管理机构安全组织体系是否健全,管理职责是否明确,安全管理机构岗位设置、人员配备是否充分合理。
安全策略及管理规章制度的完善性、可行性和科学性的有关规章制度的制定、发布、修订及执行情况。
ISO27001:2013信息安全风险评估表(含附属全套表单)
资产的类型、所处位置相同,但资产赋值不同时,若采取的控制措施相 同,威胁及脆弱性的赋值基本保持一致。 3.残余风险赋值原则
如果风险可接受,暂不采取除现有控制措施以外的控制措施时,残余风 险与风险值一致。
在对资产进行CIA赋值时,需注意以下内容: 1.一般情况下,软件、硬件更多的是考虑可用性,保密性、完整性的赋值 可以为1。 2.如果有些数据无法细分,可按照就高原则给出总体评分。 3.一般情况下,人员、服务的保密性、完整性无法衡量,更多的是考虑可 用性,保密性、完整性赋值可以为1。 风险评估过程应遵从以下原则: 1.合并同类项原则
信息安全风险评估清单
编 号1 步骤1-业务影响分析
2 步骤2-资产清单 3 步骤3-风险清单 4 步骤4-风险处置计划
文档目的业务影响分析和排序 。各信息系统及关键活动所包含的资产清单及资产价值统计 。资产所面临的风险清单和风险计算结果,及相对应的残余 风险。 针对已决定进行处理的风险制定的详细的处理计划。
5 6 7
附录1-赋值说明
本文档使用过程中进行赋值的参考说明。
附录2-威胁、脆弱性对照表 附录3-风险等级对照表
按照资产类别排序的威胁、脆弱性对照表,用于资产风险 风识险别计。算结果对应风险等级的参照表,用于确定风险级别 。
资产识别 资产赋值 风险评估
注意事项
信息系统包含的资产主要指与信息系统直接相关的资产,如 信息:信息系统上传输的数据、信息系统的设计开发文档 软件:信息系统正常运行所需的应用、中间件、数据库、操作系统等 硬件:信息系统正常运行所需的服务器、小型机、磁盘柜等 关键活动包含的资产主要指活动进行所必须的6类资产,如 硬件:各部门用于存储、处理、传输日常办公及客户信息的各种设备和介 质,例 如移动硬盘、台式机、计算机等。 软件:各种本部门安装使用的软件,包括操作系统、中间件、数据库、应 用软件、工具应用软件、终端安全软件等。 信息:括各种业务相关的电子类及纸质的文件资料,可按照部门现有文件 明细列举。 人员:本部门各种对信息资产进行使用、操作和支持的人员角色,含为部 门提供各种服务的外部人员(例如长期驻场外包人员)。 物理环境:承载硬件资产和信息资产的设施。非计算机硬件类的实体。 服务:各种本部门通过购买方式获取的,或者需要支持部门特别提供的, 支持或协助日常业务进行的服务。
ISO27000-2013信息安全风险评估表
1
生效日期
2017/11/25
信息安全风险评估表
发行与变更说明
发布
一、信息资产清单
Hale Waihona Puke 编号 1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8 1.9
类别
办公设备 IT设备
人力资源
文档资料 电子数据 第三方服务 软件与系统 支持性设备 其他资产
二、风险评估表
编号 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9
类别
办公设备 IT设备
人力资源 文档资料 电子数据 第三方服务 软件与系统 支持性设备 其他资产
安全风险评估表
说明
发行/修订人员
宋文平
核准人员
孙彬
评估表
编号 3.1 3.2 3.3 3.4
三、 配 置 项
对应表单
资产价值设定表 威胁脆弱性列表 威胁、脆弱性系数表 风险级别定义表
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
表1:
基本信息调查
1
- 2 -
网络设备:路由器、网关、交换机等。
安全设备:防火墙、入侵检测系统、身份鉴别等。
服务器设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等。
终端设备:办公计算机、移动存储设备。
重要程度:依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。
- 3 -
填写说明
系统软件:操作系统、系统服务、中间件、数据库管理系统、开发系统等。
应用软件:项目管理软件、网管软件、办公软件等。
- 4 -
服务类型包括:1.网络服务;2.安全工程;3.灾难恢复;4.安全运维服务;5.安全应急响应;6.安全培训;7.安全咨询;8.安全风险评估;9.安全审计;10.安全研发。
岗位名称:1、数据录入员;2、软件开发员;3、桌面管理员;4、系统管理员;5、安全管理员;6、数据库管理员;7、网络管理员;8、质量管理员。
- 5 -
填写说明
信息系统文档类别:信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档;系统开发程序文件、资料等。
- 6 -
- 7 -
1、用户分布范围栏填写全国、全省、本地区、本单位
2、业务处理信息类别一栏填写:a) 国家秘密信息;b) 非密敏感信息(机构或公民的专有信息) ;c) 可公开信息
3、重要程度栏填写非常重要、重要、一般
4、如通过测评,请填写时间和测评机构名称。
1、网络区域主要包括:服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等;
2、重要程度填写非常重要、重要、一般。
- 8 -
注:安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》
- 9 -
- 10 -
表2:
安全状况调查
1. 安全管理机构
安全组织体系是否健全,管理职责是否明确,安全管理机构岗位
安全策略及管理规章制度的完善性、可行性和科学性的有关规章
人员的安全和保密意识教育、安全技能培训情况,重点、敏感岗
4. 系统建设管理
关键资产采购时是否进行了安全性测评,对服务机构和人员的保密约束情况如何,在服务提供过程中是否采取了管控措施。
信息系统开发过程中设计、开发和验收的管理情况。
5. 系统运维管理
设备、系统的操作和维护记录,变更管理,安全事件分析和报告;运行环境与开发环境的分离情况;安全审计、补丁升级管理、安全漏洞检测、网管、权限管理及密码管理等情况,重点检查系统性能的监控措施及运行状况。
6. 物理安全
7.网络安全
安全域划分、边界防护、内网防护、外部设备接入控制等情况。
8.设备和主机安全
网络交换设备、安全设备、主机和终端设备的安全性,操作系统的安全配置、病毒防护、恶意代码防范等。
9.应用安全
数据库、WEB网站、日常办公和业务系统等应用的安全设计、配置和管理情况;关键应用系统开发过程中的质量控制和安全性测试
10.数据安全
数据访问控制情况,服务器、用户终端、数据库等数据加密保护能力,磁盘、光盘、U盘和移动硬盘等存储介质管理情况,数据备份
11.应急响应与灾难恢复
应急响应体系(应急组织、应急预案、应急物资)建设情况,应急演练情况;系统与数据的灾难备份措施情况,重点是要通过应急演练。