ISO27001:2013信息资产识别表
ISO27001-2013重要信息资产清单
刘鹏/研发部 3
4
3
3
108
3
刘鹏/研发部 3
3
4
3
108
3
刘鹏/研发部 5
3
3
3
135
3
刘鹏/研发部 2
4
3
3
72
3
刘鹏/研发部 3
4
3
3
108
3
刘鹏/研发部 4
3
3
3
108
3
刘鹏/研发部 3
4
3
3
108
3
刘鹏/研发部 4
3
3
3
108
3
刘鹏/研发部 3
3
3
3
81
3
刘鹏/研发部 3
3
3
3
81
3
刘鹏/研发部 3
重要信息资产清单
序号 资产分类 资产名称
编号
1
人员
刘鹏
2
人员
白鹏飞
3
人员
贺雨阁
4
人员
黄劲军
5
人员
王雪
6
人员
宋勇鹏
7
硬件 办公笔记本
FM009
8
软件 数据资料
9
数据 系统文档
10
文档 用户手册
11
硬件 开发服务器
12 13 14 15
软件 文档 文档 文档
源代码
项目技术方 案 项目实施资 料 项目验收资 料
3
4
3
108
3
刘鹏/研发部 5
3
3
3
135
3
刘鹏/研发部 3
3
33813源自刘鹏/研发部 33
ISO27001重要资产威胁识别表汇编
重要资产威胁识别表
(ISO27001-2013)
表1-1:重要硬件资产威胁识别表
重要资产威胁识别表--硬件资产
资产名称资产描述威胁类部门
台式机网关/SVN服务器
Bugzilla/FTP/Web服务
器
Trac服务器操作失误
滥用权限
系统漏洞攻击
设备硬件故障
社会工程威胁
维护错误
未授权访问系统资源物理访问失控
电磁干扰
系统负载过载
机架式服务器Mail服务器操作失误
滥用权限
系统漏洞攻击
设备硬件故障
社会工程威胁
维护错误
未授权访问系统资源
物理访问失控
电磁干扰
系统负载过载
笔记本电脑木马后门攻击
设备硬件故障
网络病毒传播
未授权访问系统资源
社会工程威胁
台式机木马后门攻击
设备硬件故障
网络病毒传播
未授权访问系统资源
社会工程威胁
表1-2 重要应用系统资产威胁识别表
重要资产威胁识别表--应用系统
序号资产名称威胁类部门1 SVN业务系统篡改用户或业务数据信息
控制和破坏用户或业务数据
滥用权限泄漏秘密信息
数据篡改
探测窃密
未授权访问
未授权访问系统资源
用户或业务数据的窃取
2 Iptables防火墙
系统操作失误
访问控制策略管理不当维护错误
未授权访问资源
原发抵赖
表1-3 重要文档和数据资产威胁识别表
重要资产威胁识别表--文档和数据
序号资产名称威胁类部门1 DVB-J项目开发资料滥用权限开发部。
ISO27001-2013中文版
国际标准ISO/IEC 27001第二版2013-10-19信息技术-安全技术 -信息安全管理体系 -要求Information technology- Security techniques -Information securitymanagement systems-Requirements目录1 范围 (5)2 规范性引用文件 (5)3 术语和定义 (5)4 组织环境 (5)4.1 理解组织及其环境 (5)4.2 理解相关方的需求和期望 (5)4.3 确定信息安全管理体系的范围 (5)4.4 信息安全管理体系 (6)5 领导 (6)5.1 领导和承诺 (6)5.2 方针 (6)5.3 组织角色、职责和权限 (7)6 规划 (7)6.1 应对风险和机会的措施 (7)6.1.1总则 (7)6.1.2信息安全风险评估 (7)6.1.3信息安全风险处置 (8)6.2 信息安全目标和规划实现 (8)7 支持 (9)7.1 资源 (9)7.2 能力 (9)7.3 意识 (9)7.4 沟通 (10)7.5 文件记录信息 (10)7.5.1总则 (10)7.5.2创建和更新 (10)7.5.3文件记录信息的控制 (10)8 运行 (11)8.1 运行的规划和控制 (11)8.2 信息安全风险评估 (11)8.3 信息安全风险处置 (11)9 绩效评价 (11)9.1 监视、测量、分析和评价 (11)9.2 内部审核 (12)9.3 管理评审 (12)10 改进 (13)10.1 不符合和纠正措施 (13)10.2 持续改进 (14)附录A(规范性附录)参考控制目标和控制措施 (15)参考文献 (23)ISO(国际标准化组织)和 IEC(国际电工委员会)是为国际标准化制定专门体制的国际组织。
国家机构是 ISO或IEC的成员,他们通过各自的组织建立技术委员会参与国际标准的制定,来处理特定领域的技术活动。
ISO和IEC技术委员会在共同感兴趣的领域合作。
ISO27001:2013信息资产分类分级管理制度
信息资产分类分级管理程序目录1.目的和范围 (2)2.引用文件 (2)3.职责和权限 (3)4.信息资产的分类分级 (3)4.1信息资产的分类 (3)4.2信息资产的分级管理 (4)4.3信息资产分类指导 (5)5.信息分级标识 (5)5.1分级标识编号 (5)5.2公司绝密、机密信息定义 (6)5.3各密级知晓范围 (6)5.4分级标识编号可作为分级标识使用 (7)6.公司秘密信息使用管理 (8)6.1涉密信息的保管 (8)6.2涉密信息的访问限制 (9)6.3涉密信息的使用 (10)6.4涉密信息发送 (12)6.5涉密信息的废弃处置 (13)7.保密原则 (14)1.目的和范围为降低公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险,这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失,需要规范信息资产保护方法和管理要求,特制订本管理制度。
本规定适用于本公司信息资产的安全管理,适用对象为本公司员工和所有外来人员。
特殊岗位或特殊人员,另有规定的从其规定。
公司信息资产是指一切关系公司安全和利益,在保护期内只限一定范围内人员知悉、操作、维护的事物、文档、项目、数据等资源。
2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)《备份管理规定》5)《访问控制程序》6)《文件控制程序》3.职责和权限本管理规定作为全公司范围信息类资产的最低管理要求,各部门或各项目组,均可以根据客户要求,添加补充策略,并在本部门、本项目组内实施,与本规定一起,作为信息安全管理的工作指南。
ISO27001:2013信息资产分类分级管理制度
XXXXXX软件有限公司人性化科技提升业绩信息资产分类分级管理程序目录1.目的和范围 (2)2.引用文件 (2)3.职责和权限 (3)4.信息资产的分类分级 (3)4.1信息资产的分类 (3)4.2信息资产的分级管理 (4)4.3信息资产分类指导 (5)5.信息分级标识 (5)5.1分级标识编号 (5)5.2公司绝密、机密信息定义 (6)5.3各密级知晓范围 (6)5.4分级标识编号可作为分级标识使用 (7)6.公司秘密信息使用管理 (8)6.1涉密信息的保管 (8)6.2涉密信息的访问限制 (9)6.3涉密信息的使用 (10)6.4涉密信息发送 (12)6.5涉密信息的废弃处置 (13)7.保密原则 (14)1.目的和范围为降低公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险,这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失,需要规范信息资产保护方法和管理要求,特制订本管理制度。
本规定适用于本公司信息资产的安全管理,适用对象为本公司员工和所有外来人员。
特殊岗位或特殊人员,另有规定的从其规定。
公司信息资产是指一切关系公司安全和利益,在保护期内只限一定范围内人员知悉、操作、维护的事物、文档、项目、数据等资源。
2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)《备份管理规定》5)《访问控制程序》6)《文件控制程序》3.职责和权限本管理规定作为全公司范围信息类资产的最低管理要求,各部门或各项目组,均可以根据客户要求,添加补充策略,并在本部门、本项目组内实施,与本规定一起,作为信息安全管理的工作指南。
信息安全管理体系ISO27001-2013内审检查表
市场部
审核成员 李子叶 审核日期 2019/9/16
审核主题
8.2\8.3\A15
陪同人员
核查 要素/条款
核查事项
核查记录
符合项
8.2
信 息 安 全 有信息安全风险评估报告,记录了风险评估的时间、人员 √
风险评估 、资产数量、风险数量、优先级等。
8.3
信 息 安 全 有信息安全风险评处置计划,记录了风险评估的时间、人 √
决安全
A.15.1.3 信 息 与 通 查《相关方服务保密协议》,包括信息与通信技术服务以 √ 信 技 术 供 及产品供应链相关的信息安全风险处理要求。
应链
A.15.2.1 供 应 商 服 有相关方服务评审报告。评价供应商在服务过程中的安全 √ 务 的 监 视 情况。
和评审
A.15.2.2 供 应 商 服 目前供应商服务无变更。 务的变更
管理
观察项
不符合项
ቤተ መጻሕፍቲ ባይዱ
风险处置 员、资产数量、风险数量、优先级等。
A.15.1.1
供 应 商 关 有《相关方信息安全管理程序》,规定相关部门应协同行 √ 系 的 信 息 政部识别供应商对信息资产和信息处理设施造成的风险, 安全策略 并在批准供应商访问信息资产和信息处理设施前实施适当
A.15.1.2 在 供 应 商 的 查控 有制 《。 相关方服务保密协议》,所有与外部相关方合作而 √ 协 议 中 解 引起的安全需求或内部控制都应在协议中反映。
ISO27001:2013信息资产风险接受、残余风险审批表
信息资产风险接受、残余风险审批表
资产名称 失效模式
即时通 讯
资料泄漏
影响
资料的安 全性大大 降低
威胁
对该类软 件使用的 监控成本 过高或难 以监控
脆弱点
即时通讯 软件的特 性
RPN
使用QQ需申
请,购买网 3
6
4
72
管软件或在
单独的网段
申请风险 接受/残余 风险理由
资产责任部门:技术部 资产责任人: 申请时间: 同意把该风险做为残余风险并接受其风险
信息安全 管理委员 会审议意
见
管理者代表: 同意把该风险做为残余风险并接受其风险
批准时间:
批准
总经理: 备注
批准时间:
中使用
3
6
4
72
虽然公司对电脑的使用实行了防护制度,而且网管会定期对员工的电脑进行检查,但这仍未从本质 原因上解决安全隐患。目前比较有效的措施是购买高性能的网管软件或在单独的网段中使用来加以 控制,但这成本都比较高。根据目前公司的发展水平,仍未达到必须购买这的程度。因此经过风险 控制和实施成本的综合考虑,建议在现有控制措施的基础上,把此项风险作为残余风险。
ISO27001-2013信息安全管理体系内部审核检查表`
ISO27001-2013信息安全管理体系内部审核检查表`被审核部门:审核时间:2020.01.06 编写人:被审核部门代表确认:内审员:管理者代表:审核依据:ISO27001:2013 及法律法规要求条款标题审核问题审核对象审核方式审核结果审核记录4 组织环境4.1 4.1 理解组织及其环境1、组织管理者是否了解组织内部可能会影响信息安全目标实现的风险?2、组织管理者是否了解组织外部环境,包括行业状况、相关法律法规要求、利益相关方要求、风险管理过程风险等?3、组织管理者是否明确组织的风险管理过程和风险准则?4.2 4.2 理解相关方的需求和期望1、组织是否识别了与组织信息安全有关的相关方?2、组织是否明确了这些相关方与信息安全有关要求?(包括法律法规要求和合同要求)4.3 4.3 确定信息安全管理体系的范围1、组织的信息安全管理体系手册中是否有明确管理范围?2、组织的适用性声明,是否针对实际情况做合理删减?3、组织对信息安全管理范围和适用性是否定期评审?4、组织制定的信息安全管理体系是否已经涵盖安全管理活动中的各类管理内容?4.4 4.4 信息安全管理体系1、组织是否建立、实施、保持、持续改进信息安全管理体系制度?2、信息安全制度有安全策略、管理制度、操作规程等构成?5 领导5.1 5.1 领导和承诺1、组织是否制定了明确的信息安全方针和目标,并且这些方针和目标与组织的业务息息相关?2、组织的业务中是否整合了信息安全管理要求?3、组织为实施信息安全管理,是否投入了必要的资源?(人、财、物)4、组织管理者是否在范围内传达了信息安全管理的重要性?5.2 5.2 方针1、组织制定的信息安全方针是否与组织的业务目标相一致?2、组织制定的信息安全方针是否与信息安全目标相一致?3、组织制定的信息安全方针是否可以体现领导的承诺?4、组织制定的方针是否在信息安全管理手册中体现?5、组织制定的方针是否已经传达给全体员工?并且在适当的时候也传达给第三方。
ISO27001:2013信息安全风险评估表(含附属全套表单)
5 6 7
附录1-赋值说明
本文档使用过程中进行赋值的参考说明。
附录2-威胁、脆弱性对照表 附录3-风险等级对照表
按照资产类别排序的威胁、脆弱性对照表,用于资产风险 风识险别计。算结果对应风险等级的参照表,用于确定风险级别 。
资产的资产主要指与信息系统直接相关的资产,如 信息:信息系统上传输的数据、信息系统的设计开发文档 软件:信息系统正常运行所需的应用、中间件、数据库、操作系统等 硬件:信息系统正常运行所需的服务器、小型机、磁盘柜等 关键活动包含的资产主要指活动进行所必须的6类资产,如 硬件:各部门用于存储、处理、传输日常办公及客户信息的各种设备和介 质,例 如移动硬盘、台式机、计算机等。 软件:各种本部门安装使用的软件,包括操作系统、中间件、数据库、应 用软件、工具应用软件、终端安全软件等。 信息:括各种业务相关的电子类及纸质的文件资料,可按照部门现有文件 明细列举。 人员:本部门各种对信息资产进行使用、操作和支持的人员角色,含为部 门提供各种服务的外部人员(例如长期驻场外包人员)。 物理环境:承载硬件资产和信息资产的设施。非计算机硬件类的实体。 服务:各种本部门通过购买方式获取的,或者需要支持部门特别提供的, 支持或协助日常业务进行的服务。
资产的类型、赋值、所处位置相同时,可合在一起进行风险评估。 2.威胁、脆弱性统一赋值原则
资产的类型、所处位置相同,但资产赋值不同时,若采取的控制措施相 同,威胁及脆弱性的赋值基本保持一致。 3.残余风险赋值原则
如果风险可接受,暂不采取除现有控制措施以外的控制措施时,残余风 险与风险值一致。
信息安全风险评估清单
编 号1 步骤1-业务影响分析
2 步骤2-资产清单 3 步骤3-风险清单 4 步骤4-风险处置计划
信息安全管理标准(iso27001)资产分类方法
ISO27001信息安全管理标准是全球范围内被广泛认可的信息安全标准之一,它为组织提供了建立、实施、维护和持续改进信息安全管理体系的框架和方法。
资产分类是ISO27001标准中一个重要的环节,它有助于组织识别和管理信息资产,确保其安全性和完整性。
1. 什么是资产分类资产分类是指将组织内的信息资产按照一定的标准和原则进行划分和归类,以便更好地管理和保护这些资产。
在ISO27001标准中,对资产进行分类有助于组织确定其价值、优先级和安全要求,从而合理分配资源和采取措施来保护这些资产。
2. 资产分类的方法在ISO27001标准中,资产分类的方法通常包括以下几个步骤:- 需要识别和确定组织内的所有信息资产,包括数据、设备、软件等,无论其形式和存储方式。
- 根据信息资产的重要性、机密性、完整性和可用性等特征,对这些资产进行分类和分级。
通常可以采用“机密性、完整性和可用性(CIA)”三个维度进行分类,也可以根据具体情况结合其他因素进行综合分类。
- 根据不同级别的信息资产,制定相应的安全措施和管理规定。
对于高级别的资产,可能需要采取更严格的加密、访问控制、备份等措施,而对于低级别的资产,则可以适当降低安全要求和成本。
- 需要建立完善的资产管理制度和流程,包括对资产进行标识、登记、审查和更新,以确保资产分类的持续有效和准确性。
3. 个人观点和理解从我个人的观点来看,资产分类对于信息安全管理至关重要。
通过对信息资产进行科学合理的分类,组织可以更好地了解其拥有的资源和风险,有针对性地制定和实施安全措施,提高信息资产的保护水平。
资产分类也有助于优化资源配置和管理成本,避免对所有资产一刀切的安全策略,提高安全管理的效率和灵活性。
总结回顾在ISO27001信息安全管理标准中,资产分类是一个重要的环节,它有助于组织识别和管理信息资产,确保其安全性和完整性。
通过合理的资产分类方法,组织可以更好地了解自身的信息资产,有针对性地制定安全措施,并提高信息资产的保护水平。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
编号
D1
N
none
数据 资产
重要敏感数据: 非敏感重要数据 配置数据,防火墙数据 公司内部非敏感数据及第 三方非敏感数据 普通数据
数据 资产范围 资产
据
F
file
据 仅限业务人员访问,传 加密保存在服务器上 仅限业务相关业务人 落地,仅可保存在服 T2 如果发生安全事故, 会对公司运营活动造 成较大影响,并对公 司造成较大的经济损 失 仅限业务人访问,传 播过程不落地,加密 保存在服务器上 P2 采购人员:采购部 信息监管者:运营部 信息管理者:源代码 管理人员、各信息系 统管理人员 开发人员:平台开发 部,云计算与移动互 联网开发部,应用创 新部、大数据开发部 、云呼叫业务开发部 仅限人力资源管理人 员访问和总监访问, 其个人信息存放在保 仅限业务相关业务人员访 问,可通过移动介质传 播,可保存在任何介质中 T3 因其他可能的原因,使服 务中断,不会直接对公司 运营和经济造成影响的第 三方服务 仅限业务人访问,可使用 移动介质拷贝传播,使用 完后立即删除移动介质上 P3 P4 P5 公司内部可自由传播 、访问、拷贝、保存 在任何介质中
人力资源相关人员: 人力资源部 项目人员、金点部、战营 办 公 固 定 资 产 管 理 人 相关第三方:最终客户 部、客增部、服务运营委 员:行政部 、来自外单位的专业服 员会 其他相关人员:业务 务机构 流程部、市场部、总 裁办 仅限人力资源管理人员和 主管访问,其个人信息由 人力资源部保管 仅限人力资源管理人 员和主管访问,其个 人信息由人力资源部 由相关主管人员访问, 其个人信息由相关主管 人员保存。
D T
-
data team person
资产范围 软件 资产
非脚本源代码
脚本源代码、可执行 程序、组件或库文件 仅限测试人员和开发 人员获取版本,仅限 开发人员增删改,不 落地传输。源代码人 员可备份 D2
P
仅限开发人员增删改, 可见代码明文,不落地 保护措施 传输。源代码人员可备 份
E
environmen
资产分类分级识别表
资产分 级 资产标记 资产范围
一级 H1 二级 H2 三级 H3 台式机(FX)、笔记本 (MP)、手机(MP)、移动存 储(MW,MR)等办公终端或 存储设备 四级 H4 五级
标记符号含义 H S hard soft
硬件 资产
服务器
网络设备
计算机外围设备
关注预期寿命到期时 间,每月一次对资产清 保护措施 单进行统计检查,执行 《讯鸟服务器安全管理 规范》 S1 资产标记
保护措施 在保险柜里,仅限人力
资源管理人员访问
资产标记
E1
E2 公司通用办公环境、 演示室、业务专用环 境、测试环境等,及 其配套设备 安装监控并上锁,由 行政部统一管理 N2 主营业务的其他专利 资产 电子版文件需加密, 纸质材料保存在保险 柜里。其存储介质存 放在保险柜里,由法 务人员管理。 F2 公司机密级文件
F5 公开信息 招聘信息; 网站/宣传等方面的信 息
资产范围 文档 文件 资产
规划、计划; 其它应列为公司绝密级 的资料
据,人力资源对员工的 绩效考核材料; 号,保险柜密码文 件,财务预/决算报告 及各类财务统计报 电子版文件需加密, 其存储介质存放在一 级环境下的加锁的文 件柜里,纸质材料标 记醒目机密字样,存 储在一级环境下加锁 的文件柜里,仅人力 资源管理人员和部门 主管、相关部门人员 可查询。其他人员不 TS2
电子版文件需加密,其 存储介质存放在保险柜 里,纸质材料标记醒目 保护措施 机密字样,存储在保险 柜里由法务人员管理, 行政人员监督使用
由法务人员保管
资产标记
F1 公司绝密级文件
F3 公司秘密文件 数据等; 计划书等;
F4 内部公开 公司总体发展规划、 经营战略; 员工通讯录; 公司管理体系文件 (如:信息安全管理 体系) 培训资料; 电子版文件可在公司 内部传播,其存储介 质可存放在二级以下 环境中,纸质材料, 存储在二级以下环境 中,内部员工可查询 。外部人员不可接触 。
电子版文件需加密,其 存储介质存放在一级环 境下的保险柜里,纸质 材料标记醒目绝密字 样,存储在一级环境下 保护措施 的保险柜里,由总裁亲 自保管。其他相关人员 仅在总裁授权下才可接 触。
划方案; 电子版文件需加密,其存 储介质存放在一级环境下 的加锁的文件柜里,纸质 材料,存储在一级环境下 加锁的文件柜里,仅人力 资源管理人员和部门主管 以及相关人员可查询。其 他无关人员不可接触。 TS3
关注预期寿命到期 时间,每季一次对 资产清单进行统计 检查。
S2
关注损坏丢失情 关注损坏丢失情况,每 况,每年一次对资 半年一次对资产清单进 产清单进行统计检 行统计检查清理。 查清理。
S3 由组件、库文件、可执行 程序、配置文件等通过特 定组合配置生成软件系统 、平台,授权使用的第三 方组件、程序、库及其他 限测试人员,自建服务人 员获取版本,可通过移动 介质传播,使用完成后立 即删除所有程序。源代码 人员可备份 D3 S4 无授权可使用的第三 方组件、库文件或其 他相关程序及代码, 其他软件 仅限测试人员、开发 人员自建服务人员获 取版本,可能过移动 介质传播。源代码人 员可备份 D4
保护措施 播过程加密且不落地, 员访问,传播过程不 资产标记 外包 责任人 服务 资产
T1 公司为客户提供的第三 方涉密数据服务,如涉 密外包业务 仅限业务人员访问,传
TS
third service
保护措施 播过程加密且不落地,
加密保存在服务器上
资产标记
P1
高层管理人员:总裁、 总经理、副总裁、副总 经理 中、基层管理人员:各 人员 资产范围 部门总监级、经理级、 资产 主管级的管理人员 账务相关人员:财务部 、法务 有关个人信息加密保存
E3 会议室、奖牌陈列室等, 及其配套设备
E4 会客厅,及其配套设 备
E5 公司外的场所,及其配 套设备 行政人员协助管理
总裁办、财务室、机房 记 资产范围 无形 资产
安装监控器,门禁,指 派专人管理 N1 主营业务的主要技术专 利资产
由使用人员自行管 需上锁,由行政部统一管 理,行政人员监督使 理 用。 N3 非主营业务的专利资产