您的位置:360文档中心› 信息系统资产评估分析实例

信息系统资产评估分析实例

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

密级:内部

文档编号:2007002-005

项目编号:2007002

XX市地税局信息系统

资产评估报告

目录

1概述 (3)

2信息资产分类和识别 (3)

2.1信息资产调查的过程 (3)

2.2调查范围及方法 (4)

2.3信息资料识别 (5)

2.3.1硬件资产 (5)

2.3.2软件资产 (10)

2.3.3数据资产 (12)

2.3.4文档资产 (12)

2.3.5人员资产 (16)

3资产赋值方法 (23)

3.1保密性赋值 (24)

3.2完整性赋值 (25)

3.3可用性赋值 (25)

3.4资产重要性等级 (26)

4XX市地税局资产赋值 (28)

4.1硬件资产赋值 (28)

4.1.1主机设备 (28)

4.1.2网络设备 (30)

4.1.3安全设备 (31)

4.1.4存储设备 (32)

4.1.5保障设备 (32)

4.1.6通讯线路 (34)

4.2软件资产赋值 (35)

4.2.1系统软件 (35)

4.2.2应用软件 (37)

4.3数据资产赋值 (37)

4.4文档资产赋值 (38)

4.5人员资产赋值 (41)

5地税信息资产统计分析 (43)

5.1资产价值分布 (43)

5.2分段价值分布 (43)

5.3资产分类对比 (44)

1概述

根据《XX省人民政府信息化工作办公室关于印发<信息安全风险评估试点工作实施方案>的通知》文件精神,XX省信息安全测评中心承担了XX市地税局“征管信息系统”的风险评估工作。我中心以建立符合我省情况的风险评估方法、积累风险评估工作经验、培养队伍、协助XX市地税局更深入地了解其信息系统安全现状为目标,通过文档分析、现场访谈、问卷调查、技术评估等方法,对XX市地税局“征管信息系统”进行了全面的信息安全风险评估。

在整个风险评估项目过程中,资产调查是其首要工作。资产调查过程主要包括资产识别和资产赋值。一方面,项目组根据资产识别的情况设计出XX市地税局保护对象框架,并在此基础上进行安全体系设计;另一方面,项目组将资产赋值结果用于风险计算,以便准确地表达安全调查的结果。

2信息资产分类和识别

2.1信息资产调查的过程

在本项目中,项目组首先定制了资产调查表,通过访谈方式,对安全管理人员、网络管理人员、主机系统管理人员、应用开发和维护人员等进行了访谈。逐步地识别XX市地税局信息资产并收集其信息。

随后,项目组通过对信息中心进行扫描,从第二条渠道获得了可扫描系统的系统信息,包括服务器主机、可网管的网络设备、数据库系统和PC机。

通过将上述访谈和扫描的结果进行人工对比,合并和除错,项目组获得所有

必要的资产信息。

最后,项目组对所有已识别的资产进行赋值,并编制本报告。

2.2调查范围及方法

2.3信息资料识别

XX市地税局的信息资产是指在XX市地税局信息系统范围内,具有价值并需要保护的对象。它可能是以多种形式存在,有无形的、有有形的,有硬件、有软件,有数据,也有服务等。它们分别具有不同的价值属性和存在特点,存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。

参照国家最新《信息安全风险评估规范》对信息资产的描述和定义,并结合XX市地税局的基本情况,我们将XX市地税局的信息资产分为5类,分别为:硬件资产、软件资产、数据资产、人员资产、文档资产,以下为本次调查的结果。

2.3.1硬件资产

国家《信息安全风险评估规范》把硬件资产分为以下7大类:

1.网络设备:路由器、网关、交换机等;

2.计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携计

算机等;

3.存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等;

4.传输线路:光纤、双绞线等;

5.保障设备:动力保障设备(UPS、变电设备等)、空调、保险柜、文件

柜、门禁、消防设施等;

6.安全保障设备:防火墙、入侵检测系统、身份鉴别等;

7.其他:打印机、复印机、扫描仪、传真机等。

根据XX市地税局实际情况并结合《信息安全风险评估规范》,我们把XX市地税局的硬件资产分为以下6大类进行分别的调查识别:

1.主机设备:大型机、小型机、服务器、工作站、台式计算机、便携计算

机等;

2.网络设备:路由器、网关、交换机等;

3.安全设备:和信息安全相关的设备;

4.存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等;

5.传输线路:光纤、双绞线等;

6.保障设备:动力保障设备(UPS、变电设备等)、空调、保险柜、文件

柜、门禁、消防设施等。

2.3.1.1主机设备

2.3.1.2网络设备

2.3.1.3安全设备

2.3.1.4存储设备

2.3.1.5保障设备

2.3.1.6通讯线路

2.3.2软件资产

国家《信息安全风险评估规范》把软件资产分为以下3大类:

1.系统软件:操作系统、语句包、工具软件、各种库等;

2.应用软件:外部购买的应用软件,外包开发的应用软件等;

3.源程序:各种共享源代码、自行或合作开发的各种代码等。

根据XX市地税局实际情况并结合《信息安全风险评估规范》,我们把XX市地税局的软件资产分为以下2大类进行分别的调查识别:

1.系统软件:操作系统、语句包、工具软件、各种库等;

2.应用软件:外部购买的应用软件,外包开发的应用软件等。

2.3.2.1系统软件

相关文档
最新文档