信息系统安全风险评估方案报告
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
项目名称:XXX风险评估报告被评估公司单位:XXX有限公司
参与评估部门:XXXX委员会
一、风险评估项目概述
1.1 工程项目概况
1.1.1 建设项目基本信息
1.2 风险评估实施单位基本情况
二、风险评估活动概述
2.1 风险评估工作组织管理
描述本次风险评估工作的组织体系(含评估人员构成)、工作原则和采取的保密措施。
2.2 风险评估工作过程
本次评估供耗时2天,采取抽样的的方式结合现场的评估,涉及了公司所有部门及所有的产品,已经包括了位于公司地址位置的相关产品。
2.3 依据的技术标准及相关法规文件
本次评估依据的法律法规条款有:
2.4 保障与限制条件
需要被评估单位提供的文档、工作条件和配合人员等必要条件,以及可能的
限制条件。
三、评估对象
3.1 评估对象构成与定级
3.1.1 网络结构
根据提供的网络拓扑图,进行结构化的审核。
3.1.2 业务应用
本公司涉及的数据中心运营及服务活动。
3.1.3 子系统构成及定级
N/A
3.2 评估对象等级保护措施
按照工程项目安全域划分和保护等级的定级情况,分别描述不同保护等级保护范围内的子系统各自所采取的安全保护措施,以及等级保护的测评结果。
根据需要,以下子目录按照子系统重复。
3.2.1XX子系统的等级保护措施
根据等级测评结果,XX子系统的等级保护管理措施情况见附表一。
根据等级测评结果,XX子系统的等级保护技术措施情况见附表二。
四、资产识别与分析
4.1 资产类型与赋值
4.1.1资产类型
按照评估对象的构成,分类描述评估对象的资产构成。详细的资产分类与赋值,以附件形式附在评估报告后面,见附件3《资产类型与赋值表》。
4.1.2资产赋值
填写《资产赋值表》。
6.2. 资产赋值判断准则
对资产的赋值不仅要考虑资产的经济价值,更重要的是要考虑资产的安全状况对于系统或组织的重要性,由资产在其三个安全属性上的达成程度决定。
资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析,并在
此基础上得出综合结果的过程。达成程度可由安全属性缺失时造成的影响来表示,这种影响可能造成某些资产的损害以至危及信息系统,还可能导致经济效益、市场份额、组织形象的损失。
6.2.1. 机密性赋值
根据资产在机密性上的不同要求,将其分为三个不同的等级,分别对应资产在机密性上
6.2.2. 完整性赋值
根据资产在完整性上的不同要求,将其分为三个不同的等级,分别对应资产在完整性上
6.2.3. 可用性赋值
根据资产在可用性上的不同要求,将其分为三个不同的等级,分别对应资产在可用性上
6.2.4. 资产重要性等级
资产价值(V)=机密性价值(C)+完整性价值(I)+可用性价值(A)
4.2 重要资产清单及说明
在分析被评估系统的资产基础上,列出对评估单位十分重要的资产,作为风险评估的重点对象,并以清单形式列出如下:
重要资产列表
五、威胁识别与分析
对威胁来源(内部/外部;主观/不可抗力等)、威胁方式、发生的可能性,威胁主体的能力水平等进行列表分析。下面是典型的威胁范本:
5.1 威胁数据采集
5.2 威胁描述与分析
依据《威胁赋值表》,对资产进行威胁源和威胁行为分析。
5.2.1 威胁源分析
填写《威胁源分析表》。
5.2.2 威胁行为分析
填写《威胁行为分析表》。
5.2.3 威胁能量分析
5.3 威胁赋值
威胁发生可能性等级对照表
判断威胁出现的频率是威胁识别的重要工作,评估者应根据经验和(或)有关的统计数据来进行判断。在风险评估过程中,还需要综合考虑以下三个方面,以形成在某种评估环境中各种威胁出现的频率:
1) 以往安全事件报告中出现过的威胁及其频率的统计;
2) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;
3) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警。
六、脆弱性识别与分析
按照检测对象、检测结果、脆弱性分析分别描述以下各方面的脆弱性检测结果和结果分析。
6.1 常规脆弱性描述
6.3 脆弱性综合列表
威胁发生可能性等级对照表
判断威胁出现的频率是威胁识别的重要工作,评估者应根据经验和(或)有关的统计数据来进行判断。在风险评估过程中,还需要综合考虑以下三个方面,以形成在某种评估环境中各种威胁出现的频率:
1) 以往安全事件报告中出现过的威胁及其频率的统计;
2) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;
3) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警。
七、风险分析
7.1 关键资产的风险计算结果
信息安全风险矩阵计算表
在完成了资产识别、威胁识别、弱点识别,以及对已有安全措施确认后,将采用适当的方法确定威胁利用弱点导致安全事件发生的可能性,考虑安全事件一旦发生其所作用的资产的重要性及弱点的严重程度判断安全事件造成的损失对组织的影响,即安全风险。风险计算的方式如下,风险值=弱点被利用可能性等级X 威胁利用弱点影响程度等级X 资产价值
信息安全风险接受准则
7.2.4 风险结果分析