风险评估等级
风险等级确定标准表
备注:风险指数的确定:对风险出现的可能性、严重性和可检测性根据上表分别进行打分,确定风险指数RPN=出现的可能性×结果严重性×风险的可识别性,风险级别:得分小于20分为低风险,20-30分为中等风险,大于30分为高风险。RPN为20分以下为合理可接受风险。
备注:风险指数的确定:对风险出现的可能性、严重性和可检测性根据上表分别进行打分,确定风险指数RPN=出现的可能性×结果严重性×风险的可识别性,风险级别:得分小于20分为低风险,20-30分为中等风险,大于30分为高风险。RPN为20分以下为合理可接受风险。
控制效果等级评定使用如下控制效果等级确定标准:
控制效果等级确定标准表
备注:控制效果指数的确定:对受控制的可能性、残余风险的严重性和控制的彻底性根据上表分别进行打分,确定控制效果指数RPN=受控制的可能性×残余风险的严重性×控制的彻底性,控制效果级别:得分≤25分为低风险,得到较好控制,26-59分为中等风险,得到一般控制,大于60分为高风险,得到较差控制。RPN为25分以下为的可接受风险,部分待内审检查确认风险等级的,应依据内审结果判定可接受性。
控制效果等级确定标准表
备注:控制效果指数的确定:对受控制的可能性、残余风险的严重性和控制的彻底性根据上表分别进行打分,确定控制效果指数RPN=受控制的可能性×残余风险的严重性×控制的彻底性,控制效果级别:得分≤25分为低风险,得到较好控制,26-59分为中等风险,得到一般控制,大于60分为高风险,得到较差控制。RPN为25分以下为的可接受风险,部分待内审检查确认风险等级的,应依据内审结果判定可接受性。
《等级保护、风险评估、安全测评三者的内在联系及实施建议》
等级保护、风险评估、安全测评三者的内在联系及实施建议 赵瑞颖 前言 自《国家信息化领导小组关于加强信息安全保障工作的意见》1出台后,等级保护、风险评估、系统安全测评(或称系统安全评估,简称安全测评)都是当前国家信息安全保障体系建设中的热点话题。本文从这三者的基本概念和工作背景出发,分析了三者相互之间的内在联系和区别并作了基本判断。本文还结合信息系统的开发生命周期模型(简称SDLC),本着“谁主管谁负责、谁运行谁负责”的原则,从发起实施主体的角度给出了三者在SDLC 过程中的实施建议。 一、三者的基本概念和工作背景 A、等级保护 基本概念:信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。这里所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。 工作背景:1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》2规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。GB17859中的分级是一种技术的分级,即对系统客观上具备的安全保护技术能力等级的划分。2002年7月18日,公安部在GB17859的基础上,又发布实施五个GA新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。这些标准是我国计算机信息系统安全保护等级系列标准的一部分。《关于信息安全等级保护工作的实施意见的通知》3(简称66号文)将信息和信息系统的安全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。特别强调的是:66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的系统已具备的安全技术等级。 B、风险评估 基本概念:信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。 工作背景:风险评估不是一个新概念,金融、电子商务等许多领域都有风险及风险评估需求的存在。当风险评估应用于IT领域时,就是对信息安全的风险评估。国内这几年对信
风险等级划分风险评估表
编制说明 依据国内相关法律、法规、规程、规范、条例、标准和其他相关的事故案例、技术标准,公司内部的管理体系文件、规章制度、作业规程、操作规程、安全技术措施等相关信息,从神华集团神朔铁路分公司K174+800~K178+200技术改造工程基本建设项目特点及工程安全生产事故发生机理着手,针对工程基本作业、安全文明施工等方面进行了全面的危险源辨识。 一、工程概况: 本段技术改造工程线路平面从神朔线三岔站东端K174+800引出,与既有上行线保持5m线间距并行向东,而后用半径为1000m的曲线左转并设中桥一座(16m+20m+16m)上跨209国道,同时通过第一个1000m半径曲线后,线间距由站端的5m逐渐拉大到15m,而后线路保持与既有上行线15m间距东行,于DK176+310处设二道河中桥(3-32m)上跨二道河,过二道河后线路用一半径为2000m的曲线左转,线间距由15m渐变为4m,接入既有下行线DK178+200处,新建下行线长,比既有上行线长。 本标段总投资约元人民币。 二、风险评估小组: 风险评估小组全体成员根据项目实际情况采取适当方法及时辨识出所存在的各种危险源,分析危险程度,制订相应的控制和应急措施,并建立档案和管理台帐。 组长:项目经理 副组长:副经理兼安全总监、总工程师、安质部长 成员:工程部长、物资部长、财务部长、计划部长、办公室主任、专职安全员、施工队长和施工作业人员 组长职责:1. 全面负责本项目施工危险源辨识和风险评估工作; 2. 依据体系规定的风险评估方法,定期进行风险评估; 3. 组织风险评估小组评估重大风险,确定风险控制措施; 4. 根据风险评估结果确定重大危害因素,提出风险控制措施及管理方案,提交小组审核;
等级保护、风险评估和安全测评三者之间的区别与联系
等级保护、风险评估和安全测评三者之间的区别与联系 刚接触安全测试这项工作的时候,对等级保护、风险评估和安全测评三者之间的联系很不清楚,常常会弄混淆。幸得有这样一篇文章,详细介绍了三者的概念区别以及联系,澄清了他们之间的关系。好文章不敢独享,特在此和大家一起分享。 一、三者的基本概念和工作背景 A、等级保护 基本概念:信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。这里所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。 工作背景:1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》2规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。GB17859中的分级是一种技术的分级,即对系统客观上具备的安全保护技术能力等级的划分。2002年7月18日,公安部在GB17859的基础上,又发布实施五个GA新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。这些标准是我国计算机信息系统安全保护等级系列标准的一部分。《关于信息安全等级保护工作的实施意见的通知》3(简称66号文)将信息和信息系统的安全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。特别强调的是:66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的系统已具备的安全技术等级。
信息安全等级保护与风险评估
信息安全等级保护与风险评估 信息安全等级保护是指对存储、传输、处理信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。 等级保护基本要求的内容分技术和管理两大部分,其中技术部分分为:物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类,管理部分分为:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类。 按照《计算机信息系统安全保护等级划分准则》规定的规定,我国实行五级信息安全等级保护。第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。 由公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合发出的66号文《关于信息安全等级保护工作的实施意见的通知》将信息和信息系统的安全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。 66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的安全技术等级。 风险评估就是量化评判安全事件带来的影响或损失的可能程度。 从信息安全的角度来讲,风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。 风险评估的主要任务包括: 1)识别组织面临的各种风险; 2)评估风险概率和可能带来的负面影响;
风险评估报告书模板
附件: 信息系统 信息安全风险评估报告格式 项目名称: 项目建设单位: 风险评估单位:
年月日
目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (4) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (5)
5.1威胁数据采集 (5) 5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (6) 6.1.1 管理脆弱性 (6) 6.1.2 网络脆弱性 (6) 6.1.3系统脆弱性 (6) 6.1.4应用脆弱性 (6) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (7) 7.1关键资产的风险计算结果 (7) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)
等级保护安全风险评估报告模版范本
等级保护安全风险评估报告模版
附件: 信息安全等级保护风险评估报告格式 项目名称: 项目建设单位: 风险评估单位: 年月日
目录 一、风险评估项目概述 ............................................... 错误!未定义书签。 1.1工程项目概况......................................................... 错误!未定义书签。 1.1.1 建设项目基本信息............................................ 错误!未定义书签。 1.1.2 建设单位基本信息............................................ 错误!未定义书签。 1.1.3承建单位基本信息 ........................................... 错误!未定义书签。 1.2风险评估实施单位基本情况 ................................. 错误!未定义书签。 二、风险评估活动概述 ............................................... 错误!未定义书签。 2.1风险评估工作组织管理 ......................................... 错误!未定义书签。 2.2风险评估工作过程................................................. 错误!未定义书签。 2.3依据的技术标准及相关法规文件 ......................... 错误!未定义书签。 2.4保障与限制条件..................................................... 错误!未定义书签。 三、评估对象 .............................................................. 错误!未定义书签。 3.1评估对象构成与定级 ............................................. 错误!未定义书签。 3.1.1 网络结构 ........................................................... 错误!未定义书签。 3.1.2 业务应用 ........................................................... 错误!未定义书签。 3.1.3 子系统构成及定级............................................ 错误!未定义书签。 3.2评估对象等级保护措施 ......................................... 错误!未定义书签。 3.2.1XX子系统的等级保护措施 .............................. 错误!未定义书签。 3.2.2子系统N的等级保护措施............................... 错误!未定义书签。
等级保护与安全信息建设工作意义及必要性
一、信息系统安全等级保护建设的必要性 信息系统安全等级保护制度(以下简称“等级保护”)作为信息安全系统分级分类保护的一项国家标准,对于完善信息安全法规和标准体系,提高安全建设的整体水平,增强信息系统安全保护的整体性、针对性和时效性具有非常重要的意义。 国家相关部门一直非常重视信息系统的等级保护工作,颁布了一系列相关条例,如国务院颁布的《中华人民共和国计算机信息系统安全保护条例》,公安部等四部委联合签发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法(试行)》(公通字[2006]7号),公安部颁布的《公安部信息系统安全保护等级实施指南(试行稿)(2005年)》,以及北京市实施的《北京市公共服务网络与信息系统安全管理规定》(市政府第163号令)等。 中国长城资产管理公司(以下简称“公司”),作为国有独资金融企业,在业务高速发展的同时一直非常重视信息安全体系建设,早期已经部署了“老三样”,即网络防病毒、防火墙和网络入侵检测,对保障业务系统的安全正常运转起到了重要作用。 公司综合经营管理系统经过四期建设,实现了数据集中和管理集中,为公司收购、管理与处置政策性不良资产以及商业化经营等业务的顺利开展提供了完整的业务操作平台。为了更好地保全国有资产,促进国有企业改革,进一步推动国民经济持续、快速、健康发展,公司希望进一步完善信息系统安全体系建设,规范信息安全管理,提高信息安全保障能力和水平,同时能够对信息系统安全整体进行审核、评估与完善。 二、确定综合经营管理系统的保护级别 根据《信息系统安全等级保护定级指南》中对信息系统的要求,考虑到综合经营管理系统是公司的核心业务系统,一旦受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国
风险等级划分风险评估表
实用文档编制说 依据国内相关法律、法规、规程、规范、条例、标准和其他相关的事故案例、技术标准,公司内部的管理体系文件、规章制度、作业规程、作规程、安全技术措施等相关信息,从神华集团神朔铁路分公K174+80K178+20技术改造工程基本建设项目特点及工程安全生产事故发生机着手,针对工程基本作业、安全文明施工等方面进行了全面的危险源辨识 一工程概况 本段技术改造工程线路平面从神朔线三岔站东K174+80引出,与既有上行线保5线间距并行向东,而后用半径1000的曲线左转并设桥一座16m+20m+16)上20国道,同时通过第一1000半径曲线后,线间距由站端5逐渐拉大15m而后线路保持与既有上行15距东行,DK176+31处设二道河中桥3-32)上跨二道河,过二道河后线路用一半径2000的曲线左转,线间距15渐变4,接入既有行DK178+20处,新建下行线3405.42,比既有上行线5.42 本标段总投资4742900元人民币 二风险评估小组 风险评估小组全体成员根据项目实际情况采取适当方法及时辨识出所存在的各种危险源,分析危险程度,制订相应的控制和应急措施,并建立案和管理台帐组长:项目经 副组长:副经理兼安全总监、总工程师、安质部 成员:工程部长、物资部长、财务部长、计划部长、办公室主任、专职安全员、施工队长和施工作业人 组长职责1.全面负责本项目施工危险源辨识和风险评估工作 2.依据体系规定的风险评估方法,定期进行风险评估 3.组织风险评估小组评估重大风险,确定风险控制措施 . 实用文档 4. 根据风险评估结果确定重大危害因素,提出风险控制措施及管理方案,提交小组审核; 5. 组织制定危险源因素清单,并讨论生成风险评估报告落实重大隐患的整改措施,掌握具体活动开展的时间和进度。 副组长职责:1. 组织危险辨识和风险评估的培训工作,指导各岗位人员进行危险源识别和风险评估活动; 2. 协调危险源辨识和风险评估工作所需的人力和物力支持,为落实风险控制措施提供必要的人力和物力支持; 3. 对职责范围内的物料、场所、活动、人员、机械设备进行危险源辨识和风险评估,并对其进行分级和动态管理。 成员职责: 1. 配合项目部做好各岗位危险源辨识和风险评估的参与活动; 2. 具体实施危险源辨识和风险评估活动的各项步骤; 3. 负责收集整理各岗位工种危险源辨识和风险评估活动参与记录,并收集成册; 4. 展开培训,提高员工风险辨识能力,使其风险辨识意识具有主动性和前瞻性;
等级保护和分级保护
1等级保护FAQ3 什么是等级保护、有什么用?3 信息安全等级保护制度的意义与作用?3 等级保护与分级保护各分为几个等级,对应关系是什么?3 等级保护的重要信息系统(8+2)有哪些?4 等级保护的主管部门是谁?4 国家密码管理部门在等级保护/分级保护工作中的职责是什么?4 等级保护的政策依据是哪个文件?4 公安机关对等级保护的管理模式是什么,等级保护定级到哪里备案?5 等级保护是否是强制性的,可以不做吗?5 等级保护的主要标准有哪些,是否已发布为正式的国家标准?5 哪些单位可以做等级保护的测评?6 做了等级测评之后,是否会给发合格证书?6 是否只是在政府行业实行?企业是否也在等级保护和分级保护范畴之内?6等级保护检查的责任单位是谁?7 2分级保护FAQ7 分级保护是什么?7 分级保护的主管部门是谁?7 分级保护定级到哪里备案?7 分级保护的政策依据是哪个文件?7 分级保护与等级保护的适用对象分别是什么?7 分级保护有关信息安全的标准相互关系是什么?8 分级保护与等级保护的定级依据有何区别?8 分级保护的建设依据、方案设计、测评分别依据哪些标准?8 分级保护设计方案是否需要经过评审和审批,谁来评审和审批?8 涉密信息系统投入使用前,是否需要经过审批,由谁来审批?8 分级保护系统测评的作用是什么,是否必须做?9 哪些单位可以做分级保护的测评,有什么资质要求?9 分级保护对涉密系统中使用的安全保密产品有哪些要求?9 涉密系统分级保护多长时间需进行一次安全保密检查?9
各级保密局与各单位保密办的关系是什么?10 分级保护的系统集成对厂商的资质有什么要求?10 分级保护的安全建设是否必须监理,对监理资质有什么要求?10 分级保护的哪些具体工作对厂商有单项资质的要求?10 3综合问题11 等保与分保的本质区别是什么?11 等保与分保各有几种级别?11 等级保护/分级保护什么区别哪些部门在管理,怎么做?11 企业出现泄密事件上报那些单位?11 等保定级备案是依据单位还是系统?12 风险评估和等级保护的关系?12 方案设计阶段及实施前是否需要报批?12 对于等保中产品使用及密码产品是否有要求?12 等级保护/分级保护FAQ 1 等级保护FAQ 什么是等级保护、有什么用? 【解释】 是我国实施信息安全管理的一项法定制度,1994年147号令、2003年27号文件、2004年6 6号文件都有明确规定,信息系统安全实施等级化保护和等级化管理。 等级化管理是一种普遍适用的管理方法,是适用于我国当前实际的一种有效的信息安全管理方法。 开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。 信息安全等级保护制度的意义与作用? 【解释】 实施信息安全等级保护制度能够有效地提高我国信息和信息系统安全建设的整体水平。实施信息安全等级保护制度有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调,为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本。
风险评估报告模板
附件: 信息系统 信息安全风险评估报告格式 项目名称:__________________________________________ 项目建设单位:______________________________________ 风险评估单位:______________________________________ 年月曰 目录 一、风险评估项目概述 ........................ 1.1工程项目概况............................ 1.1.1建设项目基本信息....................... 1.1.2建设单位基本信息 (1) 1.1.3承建单位基本信息....................... 1.2风险评估实施单位基本情况..................... 二、风险评估活动概述 ........................ 2.1风险评估工作组织管理....................... 2.2风险评估工作过程......................... 2.3依据的技术标准及相关法规文件................... 2.4保障与限制条件...........................
三、评估对象 ............................. 3.1评估对象构成与定级....................... 3.1.1网络结构............................ 3.1.2业务应用............................ 3.1.3子系统构成及定级........................ 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施................... 3.2.2子系统N的等级保护措施 .................. 四、资产识别与分析 (4) 4.1资产类型与赋值........................... 4.1.1资产类型............................ 4.1.2资产赋值............................ 4.2关键资产说明........................... 五、威胁识别与分析 ......................... 5.1威胁数据采集............................ 5.2威胁描述与分析.......................... 5.2.1威胁源分析............................ 5.2.2威胁行为分析......................... 5.2.3威胁能量分析................ 错误!未定义书签。 5.3威胁赋值.............................. 六、脆弱性识别与分析 ........................
等级保护、风险评估与安全测评三者之间的区别
等级爱护、风险评估和安全测评三者之间的区不与联系 刚接触安全测试这项工作的时候,对等级爱护、风险评估和安全测评三者之间的联系专门不清晰,常常会弄混淆。幸得有如此一篇文章,详细介绍了三者的概念区不以及联系,澄清了他们之间的关系。好文章不敢独享,特在此和大伙儿一起分享。 一、三者的差不多概念和工作背景 A、等级爱护 差不多概念:信息安全等级爱护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全爱护,对信息系统中使用的安全产品实行按等级治理,对信息系统中发生的信息安全事件等等级响应、处置。那个地点所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
工作背景:1994年国务院颁布的《中华人民共和国计算机信息系统安全爱护条例》2规定:计算机信息系统实行安全等级爱护,安全等级的划分标准和安全等级爱护的具体方法,由公安部会同有关部门制定。1999年公安部组织起草了《计算机信息系统安全爱护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全爱护能力的五个等级,即:第一级:用户自主爱护级;第二级:系统审计爱护级;第三级:安全标记爱护级;第四级:结构化爱护级;第五级:访问验证爱护级。GB17859中的分级是一种技术的分级,即对系统客观上具备的安全爱护技术能力等级的划分。2002年7月18日,公安部在GB17859的基础上,又公布实施五个GA新标准,分不是:GA/T 387-2002《计算机信息系统安全等级爱护网络技术要求》、GA 388-2002 《计算机信息系统安全等级爱护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级爱护数据库治理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级爱护通用技术要求》、GA 391-2002 《计算机信息系统安全等级爱护治理要求》。这些标准是我国计算机信息系统安全爱护等级系列标准的一部分。《关于信息安全等级爱护工作的实施意见的通知》3(简称66号文)将信息和信息系统的安全爱护等级划分为五级,即:第一级:自主爱护级;第二级:指导爱护级;第三级:监督爱护级;第四级:强制爱护级;第五级:专控爱护级。特不强调的是:66号文中的分级要紧是从信息和信息系统的业务重要性及遭受破坏后的阻碍动身的,是系统从应用需求动身必须纳入的安全业务等级,而不是GB17859中定义的系统已具备的安全技术等级。
等级保护安全风险评估报告模版
附件: 信息安全等级保护风险评估报告格式 项目名称: 项目建设单位: 风险评估单位: 年月日
目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (4) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (5)
5.1威胁数据采集 (5) 5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (6) 6.1.1 管理脆弱性 (6) 6.1.2 网络脆弱性 (6) 6.1.3系统脆弱性 (6) 6.1.4应用脆弱性 (6) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (7) 7.1关键资产的风险计算结果 (7) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)
个人投资风险评估表
个人投资者风险承受能力调查问卷 填写须知 1.以下问题可在您选择合适的产品前,协助评估您的风险承受能力、理财方式及投资目标。下文将投资者的风险承受能力大小由低到高依次划分为:保守型、谨慎型、稳健型、积极型、激进型。如果您放弃接受该问卷调查,您的风险等级默认为“保守型”。 2.您需认知、了解并同意,如您提供不准确及/或不完整的资料,及/或不提供特定资料,则可能对您投资风险承受能力的评估带来影响。 3.风险提示:投资需承担各类风险(如市场风险、信用风险、流动性风险等),可能遭受资金损失。 本人已经认真阅读了上述调查问卷填写须知,并决定: 1.接受问卷调查□ 2.放弃问卷调查□ 投资者风险承受能力调查问卷 Q1:您的年龄? ① 25到40岁()②40到50岁() ③50到60岁()④ 60岁以上() Q2:您计划投资多久? ① 3年以上()② 1至3年() ③ 6个月至1年()④半年以下() Q3:通过我行投资基金的规模,预计占您金融性总资产的比例为多少? ①低于30% ()② 30%至50%() ③ 50%至75%()④高于70% () Q4:以下哪项描述正确反映了您的投资经验? ①丰富(5年以上),且希望自主理财()②熟悉(3至5年),但希望专业人士协助() ③一般(1至3年),有一些理财意识()④非常有限,不具备投资经验() Q5:您感觉目前负担的经济压力? ①非常轻松,完全没有压力()②一般,基本没有压力() ③较大,但尚能承受()④很大,还贷等负担较重() Q6:您在投资时最看重的是什么? ①每年获得稳定收益,获得长期收益()②获得短期的高收益() ③在通货膨胀时资产不贬值()④保住本金() Q7:如果短期内您的投资遭受一些损失,您的心理状态是? ①习以为常,也许是跟进的好机会()②司空见惯,只当是积累经验,但不再追加投资() ③对情绪有一定影响,继续观望()④对情绪影响很大,想立即退出() Q8:以下哪项是您可接受的投资价值波动程度? ①投资成长并赚取最高回报潜力,能接受长期(3年以上)的负面波动,包括损失本金() ②寻求较高收益和成长性的最佳结合,愿意接受2-3年的负面波动,以使回报显著高于定期存款利息() ③保守投资,但可以接受低于2年的少许负面波动,以使回报显著高于定期存款利息() ④不希望投资本金承担风险,投资回报与定期存款利息持平即可() 通过对您问卷调查的综合评定,我行将您的风险等级评估为:__________ 投资者。 个人投资者确认:_________
信息安全等级保护与风险评估
信息安全等级保护与风险 评估 This model paper was revised by the Standardization Office on December 10, 2020
信息安全等级保护与风险评估 信息安全等级保护是指对存储、传输、处理信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。 等级保护基本要求的内容分技术和管理两大部分,其中技术部分分为:物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类,管理部分分为:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类。 按照《计算机信息系统安全保护等级划分准则》规定的规定,我国实行五级信息安全等级保护。第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。 由公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合发出的66号文《关于信息安全等级保护工作的实施意见的通知》将信息和信息系统的安 全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。 66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发 的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的安全技术等级。 风险评估就是量化评判安全事件带来的影响或损失的可能程度。
风险评估等级
风险等级确定标准表 备注:风险指数的确定:对风险出现的可能性、严重性和可检测性根据上表分别进行打分,确定风险指数RPN=出现的可能性×结果严重性×风险的可识别性,风险级别:得分小于20分为低风险,20-30分为中等风险,大于30分为高风险。RPN为20分以下为合理可接受风险。 备注:风险指数的确定:对风险出现的可能性、严重性和可检测性根据上表分别进行打分,确定风险指数RPN=出现的可能性×结果严重性×风险的可识别性,风险级别:得分小于20分为低风险,20-30分为中等风险,大于30分为高风险。RPN为20分以下为合理可接受风险。 控制效果等级评定使用如下控制效果等级确定标准: 控制效果等级确定标准表
备注:控制效果指数的确定:对受控制的可能性、残余风险的严重性和控制的彻底性根据上表分别进行打分,确定控制效果指数RPN=受控制的可能性×残余风险的严重性×控制的彻底性,控制效果级别:得分≤25分为低风险,得到较好控制,26-59分为中等风险,得到一般控制,大于60分为高风险,得到较差控制。RPN为25分以下为的可接受风险,部分待内审检查确认风险等级的,应依据内审结果判定可接受性。 控制效果等级确定标准表 备注:控制效果指数的确定:对受控制的可能性、残余风险的严重性和控制
的彻底性根据上表分别进行打分,确定控制效果指数RPN=受控制的可能性×残余风险的严重性
×控制的彻底性,控制效果级别:得分≤25分为低风险,得到较好控制,26-59分为中等风险,得到一般控制,大于60分为高风险,得到较差控制。RPN为25分以下为的可接受风险,部分待内审检查确认风险等级的,应依据内审结果判定可接受性。 感谢您的支持与配合,我们会努力把内容做得更好!
信息系统安全评测与风险评估试题及答案
信息系统安全评测与风险评估试题及答案 Document number:BGCG-0857-BTDO-0089-2022
信息系统安全评测与风险评估试题 姓名分数 一:填空题(36分) 1.信息安全评测实际上蕴含着丰富的思想内涵,严肃的(),严谨的(),严格的()以及极具魅力的评测技巧,是一个科学和艺术圆满结合的领域。 2.在评测一个信息系统的数据安全时,国家标准要求从数据完整性,数据()性和数据的()与恢复三个环节来考虑。 3.资产分类的方法较多,大体归纳为2种,一种是“自然形态”,即按照系统组成成分和服务内容来分类,如分成“数据,软件(),服务(),其他”六大类,还可以按照“信息形态”将资产分为“信息,()和()三大类。 4.资产识别包括资产分类和()两个环节。 5.威胁的识别可以分为重点识别和() 6.脆弱性识别分为脆弱性发现()脆弱性验证和() 7.风险的三个要素是资产()和() 8.应急响应计划应包含准则,()预防和预警机制 ()()和附件6个基本要素。
二:问答题:(64分) 1.什么是安全域目前中国划分安全域的方法大致有哪些(10分) 2.数据安全评测是主要应用哪三种方法进行评测你如何理解(10 分) 3.国家标准中把主机评测分为哪八个环节你如何理解(10分)
4.什么是资产和资产价值什么是威胁和威胁识别什么是脆弱性(14 分) 5.什么是风险评估如何进行风险计算(20分)
答案 一:填空题答案: 1.科学精神工作作风 2.保密性备份 3.硬件人员信息载体和信息环境 4.资产赋值 5.全面识别 6.脆弱性分类脆弱性赋值 7.脆弱性威胁 8.角色及职责应急响应流程 二:问答题答案: 1.安全域是将一个大型信息系统中具有某种相似性的子系统聚集在一 起。目前,中国划分安全域的方法大致归纳有资产价值相似性安全域,业务应用相似性安全域,安全需求相似性安全域和安全威胁相似性安全域。 2.国家标准中要求信息安全评测工程师使用“访谈”,“检查”和“测 试”这三种方法进行评测。
信息安全等级保护风险评估
信息安全等级保护 风险评估 文件修订记录 目录 1介绍 (4)
2风险评估准备 (4) 2.1评估目标 (4) 2.2评估范围 (4) 2.3风险评估团队 (4) 2.4系统调研 (4) 2.5评估依据 (4) 2.6评估方案 (4) 2.6.1团队组织 (4) 2.6.2工作计划 (5) 2.6.3进度安排 (5) 3资产识别 (5) 3.1资产分类 (5) 3.2资产赋值 (6) 3.2.1保密性赋值 (6) 3.2.2完整性赋值 (6) 3.2.3可用性赋值 (7) 3.2.4资产重要性等级 (7) 3.3威胁识别 (7) 3.3.1威胁分类 (7) 3.3.2威胁赋值 (10) 3.4脆弱性的识别 (11) 3.5脆弱性识别.................................................................................................... 错误!未定义书签。4评估准备 ...................................................................................................................... 错误!未定义书签。 4.1测试 (13) 4.1.1关于项目的情况 (13)
1 介绍 根据国家信息安全等级保护测评的要求,需要对组织的信息安全资产进行分类保护。在确定信息安全保护等级前需要对信息系统及资产进行风险评估,以确定关键信息资产所面临的风险,并为后续实施安全措施提供依据。将组织的信息系统及资产所面临的风险降到一个组织可接受的水平。 2 风险评估准备 2.1 评估目标 根据国家信息安全等级保护的测评标准,结合满足组织业务持续发展在安全方面的需要以及符合法律法规的规定等内容,识别现有信息系统及管理上的不足,评估肯能造成更大风险大小。 2.2 评估范围 风险评估范围可能是组织全部的信息资产及与信息处理相关的各类资产、管理机构,也也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或者部门等。 2.3 风险评估团队 本次风险评估的实施团队,有客户管理层、业务骨干、信息技术管理负责人及第三方的安全服务顾问组成风险评估小组。 评估时应准备好评估前的表格、文档、检测工具等各项准备工作,进行风险评估技术培训和保密教育,制定风险评估过程管理的相关规定。可根据被评估方要求,双方签署保密合同,必要时签署个人保密协议。关于相关的评估表格和检测工具请参考xxx-xx 2.4 系统调研 为了确定被评估对象,风险评估小组对测评系统进行充分的调研,以便为风险评估提供依据和方法。 2.5 评估依据 根据国家信息安全等级保护测评标准,请参考xxx-xxx。 2.6 评估方案 为了给后续的风险评估活动提供一个总体计划,为了指导实施方开展后续工作。本方案由以下几个部分组成: 2.6.1 团队组织 本次风险评估的团队成员分别来自xx组织和公司,整个团队由XX公司的一位技术专家、一名信息安全工程师和客户方的信息管理员组成。
风险评估分级标准
四风险分析评估分级方法 本分析报告采用《工贸企业安全风险分级管控体系建设实施指南(试用版)》中作业条件风险程度评价—MES 法来对山东神正建设有限公司的风险点进行分级。 4.1 风险的定义 指特定危害性事件发生的可能性和后果的结合。人们常常将可能性L的大小和后果S的严重程度分别用表明相对差距的数值来表示,然后用两者的乘积反映风险程度R的大小,即R=LS。 4.2 事故发生的可能性L 人身伤害事故和职业相关病症发生的可能性主要取决于对于特定危害的控制措施的状态M和人体暴露于危害(危险状态)的频繁程度E1;单纯财产损失事故和环境污染事故发生的可能性主要取决于对于特定危害的控制措施的状态M和危害(危险状态)出现的频次E2。 4.3 控制措施的状态M 对于特定危害引起特定事故(这里“特定事故”一词既包含“类型”的含义,如碰伤、灼伤、轧入、高处坠落、触电、火灾、爆炸等;也包含“程度”的含义,如死亡、永久性部分丧失劳动能力、暂时性全部丧失劳动能力、仅需急救、轻微设备损失等)而言,无控制措施时发生的可能性较大,有减轻后果的应急措施时发生的可能性较小,
有预防措施时发生的可能性最小。 控制措施的状态M的赋值见表4.3。 4.4 人体暴露或危险状态出现的频繁程度E 人体暴露于危险状态的频繁程度越大,发生伤害事故的可能性越大;危险状态出现的频次越高,发生财产损失的可能性越大。人体暴露的频繁程度或危险状态出现的频次E的赋值见表4.4。
4.5 事故的可能后果S 表4.5表示按伤害、职业相关病症、财产损失、环境影响等方面不同事故后果的分档赋值。
4.6 根据可能性和后果确定风险程度R=L·S=MES 将控制措施的状态M、暴露的频繁程度E(E1或E2)、一旦发生事故会造成的损失后果S分别分为若干等级,并赋予一定的相应分值。风险程度R为三者的乘积。将R亦分为若干等级。针对特定的作业条件,恰当选取M、E、S的值,根据相乘后的积确定风险程度R的级别。风险程度的分级见表4.6。 表4.6 风险程度的分级