信息资产风险评估报告
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4.各部门信息资产风险评估结果21
4.1.信息技术部风险评估结果21
风险评估结果统计21
主要风险列表21
文档说明
信息资产风险评估是××信息安全咨询项目的第二阶段的主要工作,××有限公司和××公司信息安全咨询项目相关人员通过信息资产分类分组、信息资产登记、信息资产组威胁和脆弱性识别、风险分析和风险评价等过程,进行了详细的信息资产安全风险评估,评估范围为总部17个部门、山东分公司和广东分公司。
缩略语
××
××有限公司
××
××有限公司
风险评估
信息资产风险评估
信息技术部
××信息技术部
信息资产风险评估方法、范围与过程
风险评估方法
根据ISMS项目组为××所设计的风险评估方法,并结合风险评估量化参数标准,实施了详细了风险评估,具体方法请参见文档:
1)《××信息资产风险评估方法》
2)《××信息资产风险评估量化参数标准》
序号
风险管理过程
过程内容
说明
1
信息资产识别、分组与登记
根据资产分类表,对评估范围内的资产进行识别、分组和登记;信息资产分组一般分为系统、信息、人员、环境设施、外购服务和无形资产6种。
在风险评估阶段已完成
2
资产和资产组赋值
从保密性、完整性和可用性三个方面对信息资产进行赋值。根据组内资产价值的最高值确定整个资产组的价值。
1.文档说明4
1.1.文档结构4
1.2.适用范围4
1.3.定义、缩略语、缩写4
定义4
缩略语5
2.信息资产风险评估方法、范围与过程6
2.1.风险评估方法6
2.2.风险评估范围6
2.3.风险评估过程7
3.信息资产风险评估综述9
3.1.××信息资产组识别与登记9
3.2.××风险评估结果综述15
3.3.主要信息资产风险和处置措施建议16
文档信息
项目名称:
项目经理:
文档版本号:
1.3
项目阶段:
文档版本日期:
2008/07/06
质量复审方法:
起草人:
起草日期:
2008/07/01
复审人:
复审日期:
2008/07/03
分发列表
自
日期
电话/传真
2008/07/03
到
行动*
截止日期
电话/传真
复审
2008/07/07
复审
2008/07/07
*行动类别:批准、复审、通知、存档、需要采取行动、参加会议、其他(请指明)
版本历史
版本号
版本日期
修改人
说明
draft
2008/07/01
文档创建
V1.0
2008/07/03
修订
V1.3
2008/07/07
修订
产权说明
本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属××有限公司咨询事业部和××有限公司所有,受到有关产权及版权法保护。任何个人、机构未经××有限公司咨询事业部和××有限公司的书面授权许可,不得复制或引用本文档的任何片断,无论通过电子形式或非电子形式。
总部IT部门
信息技术部
总部支撑部门
计划财务部、投资部、人力资源部、审计部、办公室、党委办公室
分公司
广东分公司、山东分公司
定义、缩略语、缩写
定义
名词
定义Biblioteka Baidu
风险管理
Riskmanagement
风险管理是以可接受成本识别、评估、控制、降低可能影响信息系统风险的过程,通过风险评估识别风险,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降低到一个可以被接受的水平,同时考虑控制费用与风险之间的平衡;风险管理包括风险评估和风险处置两部分.
风险评估范围
本次信息资产风险评估是由各部门在××顾问指导下进行的自评估,风险评估组织由项目组成员和各部门的信息安全管理员和业务骨干组成。
参与本次风险评估工作的各部门(分公司)和人员如下:
序号
部门
人员
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
参与本次风险评估工作的项目组成员如下:
序号
公司
残余风险Residualrisk
采取了安全措施后,仍然可能存在的风险。
威胁Threat
可能导致对系统或组织造成危害的、不希望发生的事故的潜在原因。
脆弱性
Vulnerability
是指可能被威胁所利用的资产或若干资产的弱点,又称弱点。和资产本身的特别和性能有关。
资产组AssetTeam
是具有相同或相近的业务功能的资产的组合。
资产Asset
即信息资产,对组织具有价值的信息或资源,是安全策略保护的对象。
资产组
Assetgroup
又称资产组合,是指具有相同或相近的业务功能的资产组合,如由硬件、软件、配置信息等组成的应用系统资产组,由电子文件、纸质文档组成的信息资产组。
资产价值
Assetvalue
资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。
机密性Confidentiality
数据所具有的特性,即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。
完整性
Integrity
保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。
可用性
Availability
数据或资源的特性,被授权实体按要求能访问和使用数据或资源。
人员
1
××
2
××
风险评估过程
完整的风险管理过程包括风险评估和风险处置两个主要部分,在××信息资产风险评估过程中我们完成了风险评估所涵盖的以下过程:
信息资产识别、分组;
资产和资产资产组赋值;
风险识别与分析;
风险评估;
确定风险可接受标准;
风险控制控制措施建议;
鉴于完整的风险管理过程考虑,建议××在本项目的后续阶段和信息安全管理体系的试运行和正式运行阶段完成风险控制措施的实施、控制措施的有效性测量,并建议在信息安全管理体系试运行结束后进行一次风险评估更新,详见下表:
本文档是信息安全风险评估阶段的交付物,目的是描述××的信息资产中存在的风险,并提出了改善建议,为下一阶段具体风险处置措施的实施打好基础。
文档结构
第1章文档说明
对本文档的目的,结构,适用范围,术语等进行了定义和说明。
第2章信息安全风险评估过程
描述××信息资产风险评估的内容与步骤。
第3章信息资产风险评估结果综述
对××信息资产风险评估的结果进行分析,对重要风险提出处置建议。
第4章各部门信息资产风险评估结果
说明××总部各部门和山东、广东两个分公司的重要风险评估结果。
适用范围
本文档为内部文档,适用于××的信息安全工作相关部门的管理层以及信息安全工作人员:
总部业务部门
车险部、水险部、非水险部、再保部、战略管理部、产品精算部、综合开拓部、客户服务部、销售管理部、深圳联系中心
4.1.信息技术部风险评估结果21
风险评估结果统计21
主要风险列表21
文档说明
信息资产风险评估是××信息安全咨询项目的第二阶段的主要工作,××有限公司和××公司信息安全咨询项目相关人员通过信息资产分类分组、信息资产登记、信息资产组威胁和脆弱性识别、风险分析和风险评价等过程,进行了详细的信息资产安全风险评估,评估范围为总部17个部门、山东分公司和广东分公司。
缩略语
××
××有限公司
××
××有限公司
风险评估
信息资产风险评估
信息技术部
××信息技术部
信息资产风险评估方法、范围与过程
风险评估方法
根据ISMS项目组为××所设计的风险评估方法,并结合风险评估量化参数标准,实施了详细了风险评估,具体方法请参见文档:
1)《××信息资产风险评估方法》
2)《××信息资产风险评估量化参数标准》
序号
风险管理过程
过程内容
说明
1
信息资产识别、分组与登记
根据资产分类表,对评估范围内的资产进行识别、分组和登记;信息资产分组一般分为系统、信息、人员、环境设施、外购服务和无形资产6种。
在风险评估阶段已完成
2
资产和资产组赋值
从保密性、完整性和可用性三个方面对信息资产进行赋值。根据组内资产价值的最高值确定整个资产组的价值。
1.文档说明4
1.1.文档结构4
1.2.适用范围4
1.3.定义、缩略语、缩写4
定义4
缩略语5
2.信息资产风险评估方法、范围与过程6
2.1.风险评估方法6
2.2.风险评估范围6
2.3.风险评估过程7
3.信息资产风险评估综述9
3.1.××信息资产组识别与登记9
3.2.××风险评估结果综述15
3.3.主要信息资产风险和处置措施建议16
文档信息
项目名称:
项目经理:
文档版本号:
1.3
项目阶段:
文档版本日期:
2008/07/06
质量复审方法:
起草人:
起草日期:
2008/07/01
复审人:
复审日期:
2008/07/03
分发列表
自
日期
电话/传真
2008/07/03
到
行动*
截止日期
电话/传真
复审
2008/07/07
复审
2008/07/07
*行动类别:批准、复审、通知、存档、需要采取行动、参加会议、其他(请指明)
版本历史
版本号
版本日期
修改人
说明
draft
2008/07/01
文档创建
V1.0
2008/07/03
修订
V1.3
2008/07/07
修订
产权说明
本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属××有限公司咨询事业部和××有限公司所有,受到有关产权及版权法保护。任何个人、机构未经××有限公司咨询事业部和××有限公司的书面授权许可,不得复制或引用本文档的任何片断,无论通过电子形式或非电子形式。
总部IT部门
信息技术部
总部支撑部门
计划财务部、投资部、人力资源部、审计部、办公室、党委办公室
分公司
广东分公司、山东分公司
定义、缩略语、缩写
定义
名词
定义Biblioteka Baidu
风险管理
Riskmanagement
风险管理是以可接受成本识别、评估、控制、降低可能影响信息系统风险的过程,通过风险评估识别风险,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降低到一个可以被接受的水平,同时考虑控制费用与风险之间的平衡;风险管理包括风险评估和风险处置两部分.
风险评估范围
本次信息资产风险评估是由各部门在××顾问指导下进行的自评估,风险评估组织由项目组成员和各部门的信息安全管理员和业务骨干组成。
参与本次风险评估工作的各部门(分公司)和人员如下:
序号
部门
人员
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
参与本次风险评估工作的项目组成员如下:
序号
公司
残余风险Residualrisk
采取了安全措施后,仍然可能存在的风险。
威胁Threat
可能导致对系统或组织造成危害的、不希望发生的事故的潜在原因。
脆弱性
Vulnerability
是指可能被威胁所利用的资产或若干资产的弱点,又称弱点。和资产本身的特别和性能有关。
资产组AssetTeam
是具有相同或相近的业务功能的资产的组合。
资产Asset
即信息资产,对组织具有价值的信息或资源,是安全策略保护的对象。
资产组
Assetgroup
又称资产组合,是指具有相同或相近的业务功能的资产组合,如由硬件、软件、配置信息等组成的应用系统资产组,由电子文件、纸质文档组成的信息资产组。
资产价值
Assetvalue
资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。
机密性Confidentiality
数据所具有的特性,即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。
完整性
Integrity
保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。
可用性
Availability
数据或资源的特性,被授权实体按要求能访问和使用数据或资源。
人员
1
××
2
××
风险评估过程
完整的风险管理过程包括风险评估和风险处置两个主要部分,在××信息资产风险评估过程中我们完成了风险评估所涵盖的以下过程:
信息资产识别、分组;
资产和资产资产组赋值;
风险识别与分析;
风险评估;
确定风险可接受标准;
风险控制控制措施建议;
鉴于完整的风险管理过程考虑,建议××在本项目的后续阶段和信息安全管理体系的试运行和正式运行阶段完成风险控制措施的实施、控制措施的有效性测量,并建议在信息安全管理体系试运行结束后进行一次风险评估更新,详见下表:
本文档是信息安全风险评估阶段的交付物,目的是描述××的信息资产中存在的风险,并提出了改善建议,为下一阶段具体风险处置措施的实施打好基础。
文档结构
第1章文档说明
对本文档的目的,结构,适用范围,术语等进行了定义和说明。
第2章信息安全风险评估过程
描述××信息资产风险评估的内容与步骤。
第3章信息资产风险评估结果综述
对××信息资产风险评估的结果进行分析,对重要风险提出处置建议。
第4章各部门信息资产风险评估结果
说明××总部各部门和山东、广东两个分公司的重要风险评估结果。
适用范围
本文档为内部文档,适用于××的信息安全工作相关部门的管理层以及信息安全工作人员:
总部业务部门
车险部、水险部、非水险部、再保部、战略管理部、产品精算部、综合开拓部、客户服务部、销售管理部、深圳联系中心