ISO27001-2013信息资产风险评估表
ISO27001:2013信息资产分类分级管理制度
信息资产分类分级管理程序目录1.目的和范围 (2)2.引用文件 (2)3.职责和权限 (3)4.信息资产的分类分级 (3)4.1信息资产的分类 (3)4.2信息资产的分级管理 (4)4.3信息资产分类指导 (5)5.信息分级标识 (5)5.1分级标识编号 (5)5.2公司绝密、机密信息定义 (6)5.3各密级知晓范围 (6)5.4分级标识编号可作为分级标识使用 (7)6.公司秘密信息使用管理 (8)6.1涉密信息的保管 (8)6.2涉密信息的访问限制 (9)6.3涉密信息的使用 (10)6.4涉密信息发送 (12)6.5涉密信息的废弃处置 (13)7.保密原则 (14)1.目的和范围为降低公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险,这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失,需要规范信息资产保护方法和管理要求,特制订本管理制度。
本规定适用于本公司信息资产的安全管理,适用对象为本公司员工和所有外来人员。
特殊岗位或特殊人员,另有规定的从其规定。
公司信息资产是指一切关系公司安全和利益,在保护期内只限一定范围内人员知悉、操作、维护的事物、文档、项目、数据等资源。
2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)《备份管理规定》5)《访问控制程序》6)《文件控制程序》3.职责和权限本管理规定作为全公司范围信息类资产的最低管理要求,各部门或各项目组,均可以根据客户要求,添加补充策略,并在本部门、本项目组内实施,与本规定一起,作为信息安全管理的工作指南。
ISO27001:2013信息资产分类分级管理制度
XXXXXX软件有限公司人性化科技提升业绩信息资产分类分级管理程序目录1.目的和范围 (2)2.引用文件 (2)3.职责和权限 (3)4.信息资产的分类分级 (3)4.1信息资产的分类 (3)4.2信息资产的分级管理 (4)4.3信息资产分类指导 (5)5.信息分级标识 (5)5.1分级标识编号 (5)5.2公司绝密、机密信息定义 (6)5.3各密级知晓范围 (6)5.4分级标识编号可作为分级标识使用 (7)6.公司秘密信息使用管理 (8)6.1涉密信息的保管 (8)6.2涉密信息的访问限制 (9)6.3涉密信息的使用 (10)6.4涉密信息发送 (12)6.5涉密信息的废弃处置 (13)7.保密原则 (14)1.目的和范围为降低公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险,这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失,需要规范信息资产保护方法和管理要求,特制订本管理制度。
本规定适用于本公司信息资产的安全管理,适用对象为本公司员工和所有外来人员。
特殊岗位或特殊人员,另有规定的从其规定。
公司信息资产是指一切关系公司安全和利益,在保护期内只限一定范围内人员知悉、操作、维护的事物、文档、项目、数据等资源。
2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)《备份管理规定》5)《访问控制程序》6)《文件控制程序》3.职责和权限本管理规定作为全公司范围信息类资产的最低管理要求,各部门或各项目组,均可以根据客户要求,添加补充策略,并在本部门、本项目组内实施,与本规定一起,作为信息安全管理的工作指南。
ISO27001:2013信息资产识别表
编号
D1
N
none
数据 资产
重要敏感数据: 非敏感重要数据 配置数据,防火墙数据 公司内部非敏感数据及第 三方非敏感数据 普通数据
数据 资产范围 资产
据
F
file
据 仅限业务人员访问,传 加密保存在服务器上 仅限业务相关业务人 落地,仅可保存在服 T2 如果发生安全事故, 会对公司运营活动造 成较大影响,并对公 司造成较大的经济损 失 仅限业务人访问,传 播过程不落地,加密 保存在服务器上 P2 采购人员:采购部 信息监管者:运营部 信息管理者:源代码 管理人员、各信息系 统管理人员 开发人员:平台开发 部,云计算与移动互 联网开发部,应用创 新部、大数据开发部 、云呼叫业务开发部 仅限人力资源管理人 员访问和总监访问, 其个人信息存放在保 仅限业务相关业务人员访 问,可通过移动介质传 播,可保存在任何介质中 T3 因其他可能的原因,使服 务中断,不会直接对公司 运营和经济造成影响的第 三方服务 仅限业务人访问,可使用 移动介质拷贝传播,使用 完后立即删除移动介质上 P3 P4 P5 公司内部可自由传播 、访问、拷贝、保存 在任何介质中
人力资源相关人员: 人力资源部 项目人员、金点部、战营 办 公 固 定 资 产 管 理 人 相关第三方:最终客户 部、客增部、服务运营委 员:行政部 、来自外单位的专业服 员会 其他相关人员:业务 务机构 流程部、市场部、总 裁办 仅限人力资源管理人员和 主管访问,其个人信息由 人力资源部保管 仅限人力资源管理人 员和主管访问,其个 人信息由人力资源部 由相关主管人员访问, 其个人信息由相关主管 人员保存。
D T
-
data team person
资产范围 软件 资产
非脚本源代码
ISO IEC 27001-2013信息安全管理体系法律法规要求符合性评价表
2012
符合
43
44
GB/T 12505-1990计算机软件配置管理计划规范
2012
2012
符合
44
45
GB/T 19001-2008质量管理体系 要求
2009
2009
符合
45
46
GB/T 14079-1993软件维护指南
1993
1993
符合
46
47
卫医政发(2010)114号基于Web的嵌入式监控系统
GB50057-94
符合
70
《低压配电设计规范》
GB50054-95
符合
71
《通讯机房静电防护通则》
YD/T754-95
符合
72
《环境电磁卫生标准》
GB9175-88
符合
73
《电磁辐射防护规定》
GB8702-88
符合
74
《电子计算机机房工程施工及验收规范》
SJ/T30003-93
符合
音视频设备
76
《终端的声学特性技术要求》
3GPP 26.131
符合
77
《语音和视频电话终端声学测试规范》
3GPP 26.132
符合
78
《扬声器主要性能测试》
GB/T 9396
符合
79
《传声器测量方法》
GB/T 9401
符合
80
《声压法测定噪声源声功率级混响室精密法》
GB 6881_ISO374
符合
81
《声压法测定噪声源声功率级》
GB 6882-2008-T
1993.02.22
全国人大常委会
符合
信息安全管理体系ISO27001-2013内审检查表
市场部
审核成员 李子叶 审核日期 2019/9/16
审核主题
8.2\8.3\A15
陪同人员
核查 要素/条款
核查事项
核查记录
符合项
8.2
信 息 安 全 有信息安全风险评估报告,记录了风险评估的时间、人员 √
风险评估 、资产数量、风险数量、优先级等。
8.3
信 息 安 全 有信息安全风险评处置计划,记录了风险评估的时间、人 √
决安全
A.15.1.3 信 息 与 通 查《相关方服务保密协议》,包括信息与通信技术服务以 √ 信 技 术 供 及产品供应链相关的信息安全风险处理要求。
应链
A.15.2.1 供 应 商 服 有相关方服务评审报告。评价供应商在服务过程中的安全 √ 务 的 监 视 情况。
和评审
A.15.2.2 供 应 商 服 目前供应商服务无变更。 务的变更
管理
观察项
不符合项
ቤተ መጻሕፍቲ ባይዱ
风险处置 员、资产数量、风险数量、优先级等。
A.15.1.1
供 应 商 关 有《相关方信息安全管理程序》,规定相关部门应协同行 √ 系 的 信 息 政部识别供应商对信息资产和信息处理设施造成的风险, 安全策略 并在批准供应商访问信息资产和信息处理设施前实施适当
A.15.1.2 在 供 应 商 的 查控 有制 《。 相关方服务保密协议》,所有与外部相关方合作而 √ 协 议 中 解 引起的安全需求或内部控制都应在协议中反映。
ISO27001:2013信息资产风险接受、残余风险审批表
信息资产风险接受、残余风险审批表
资产名称 失效模式
即时通 讯
资料泄漏
影响
资料的安 全性大大 降低
威胁
对该类软 件使用的 监控成本 过高或难 以监控
脆弱点
即时通讯 软件的特 性
RPN
使用QQ需申
请,购买网 3
6
4
72
管软件或在
单独的网段
申请风险 接受/残余 风险理由
资产责任部门:技术部 资产责任人: 申请时间: 同意把该风险做为残余风险并接受其风险
信息安全 管理委员 会审议意
见
管理者代表: 同意把该风险做为残余风险并接受其风险
批准时间:
批准
总经理: 备注
批准时间:
中使用
3
6
4
72
虽然公司对电脑的使用实行了防护制度,而且网管会定期对员工的电脑进行检查,但这仍未从本质 原因上解决安全隐患。目前比较有效的措施是购买高性能的网管软件或在单独的网段中使用来加以 控制,但这成本都比较高。根据目前公司的发展水平,仍未达到必须购买这的程度。因此经过风险 控制和实施成本的综合考虑,建议在现有控制措施的基础上,把此项风险作为残余风险。
ISO27001-2013信息安全管理体系内部审核检查表`
ISO27001-2013信息安全管理体系内部审核检查表`被审核部门:审核时间:2020.01.06 编写人:被审核部门代表确认:内审员:管理者代表:审核依据:ISO27001:2013 及法律法规要求条款标题审核问题审核对象审核方式审核结果审核记录4 组织环境4.1 4.1 理解组织及其环境1、组织管理者是否了解组织内部可能会影响信息安全目标实现的风险?2、组织管理者是否了解组织外部环境,包括行业状况、相关法律法规要求、利益相关方要求、风险管理过程风险等?3、组织管理者是否明确组织的风险管理过程和风险准则?4.2 4.2 理解相关方的需求和期望1、组织是否识别了与组织信息安全有关的相关方?2、组织是否明确了这些相关方与信息安全有关要求?(包括法律法规要求和合同要求)4.3 4.3 确定信息安全管理体系的范围1、组织的信息安全管理体系手册中是否有明确管理范围?2、组织的适用性声明,是否针对实际情况做合理删减?3、组织对信息安全管理范围和适用性是否定期评审?4、组织制定的信息安全管理体系是否已经涵盖安全管理活动中的各类管理内容?4.4 4.4 信息安全管理体系1、组织是否建立、实施、保持、持续改进信息安全管理体系制度?2、信息安全制度有安全策略、管理制度、操作规程等构成?5 领导5.1 5.1 领导和承诺1、组织是否制定了明确的信息安全方针和目标,并且这些方针和目标与组织的业务息息相关?2、组织的业务中是否整合了信息安全管理要求?3、组织为实施信息安全管理,是否投入了必要的资源?(人、财、物)4、组织管理者是否在范围内传达了信息安全管理的重要性?5.2 5.2 方针1、组织制定的信息安全方针是否与组织的业务目标相一致?2、组织制定的信息安全方针是否与信息安全目标相一致?3、组织制定的信息安全方针是否可以体现领导的承诺?4、组织制定的方针是否在信息安全管理手册中体现?5、组织制定的方针是否已经传达给全体员工?并且在适当的时候也传达给第三方。
ISO27001:2013信息安全风险评估表(含附属全套表单)
5 6 7
附录1-赋值说明
本文档使用过程中进行赋值的参考说明。
附录2-威胁、脆弱性对照表 附录3-风险等级对照表
按照资产类别排序的威胁、脆弱性对照表,用于资产风险 风识险别计。算结果对应风险等级的参照表,用于确定风险级别 。
资产的资产主要指与信息系统直接相关的资产,如 信息:信息系统上传输的数据、信息系统的设计开发文档 软件:信息系统正常运行所需的应用、中间件、数据库、操作系统等 硬件:信息系统正常运行所需的服务器、小型机、磁盘柜等 关键活动包含的资产主要指活动进行所必须的6类资产,如 硬件:各部门用于存储、处理、传输日常办公及客户信息的各种设备和介 质,例 如移动硬盘、台式机、计算机等。 软件:各种本部门安装使用的软件,包括操作系统、中间件、数据库、应 用软件、工具应用软件、终端安全软件等。 信息:括各种业务相关的电子类及纸质的文件资料,可按照部门现有文件 明细列举。 人员:本部门各种对信息资产进行使用、操作和支持的人员角色,含为部 门提供各种服务的外部人员(例如长期驻场外包人员)。 物理环境:承载硬件资产和信息资产的设施。非计算机硬件类的实体。 服务:各种本部门通过购买方式获取的,或者需要支持部门特别提供的, 支持或协助日常业务进行的服务。
资产的类型、赋值、所处位置相同时,可合在一起进行风险评估。 2.威胁、脆弱性统一赋值原则
资产的类型、所处位置相同,但资产赋值不同时,若采取的控制措施相 同,威胁及脆弱性的赋值基本保持一致。 3.残余风险赋值原则
如果风险可接受,暂不采取除现有控制措施以外的控制措施时,残余风 险与风险值一致。
信息安全风险评估清单
编 号1 步骤1-业务影响分析
2 步骤2-资产清单 3 步骤3-风险清单 4 步骤4-风险处置计划
ISO27001:2013运营部信息安全风险评估记录
存储介质故障
无备份安全策略
4
2
3
4
7
14
开发库其他文档
5
数据泄密
无访问控制
5
5
4
4
8
40
受控库其他文档
5
数据泄密
无访问控制
5
5
4
4
8
40
产品库其他文档
5
数据泄密
无访问控制
5
5
4
4
8
40
delphi
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
Sql server 2000
10
运行错误,无法使用
风险评估记录
部门:运营部
资产名称
重要度
面临威胁
脆弱性
暴露
影响①
容易度
措施
可能性②
风险
有效
① X ②
台式计算机
10
病毒感染
无杀毒软件
3
6
2
3
5
30
10
数据损坏丢失
无备份策略
5
10
4
3
7
70
10
数据泄密
无口令策略
4
8
4
4
8
64
服务器
10
非授权访问
配置被修改
4
8
4
4
8
64
10
病毒感染
无杀毒软件
3
6
2
3
5
30
10
进水
硬件损坏系统无法正常运行
2
ISO27001-2013 控制项差距评分工具表
用户责任 目标:确保用户对认证信息的保护负责。
A.9.3.1 认证信息的使用
应要求用户遵循组织的规则使用其认证信息。
A.9.4
系统和应用访问控制 目标:防止对系统和应用的未授权访问。
A.9.4.1 信息访问限制
应基于访问控制策略限制对信息和应用系统功能的访问。
A.9.4.2 安全登录程序
在需要进行访问控制时,应通过安全的登录程序,控制对系统和应用的访问。
A.8.1.4 资产的归还
在劳动合同或协议终止后,所有员工和外部方人员应退还所有他们持有的组织资产
A.8.2
信息分类 目标:确保信息资产是按照其对组织的重要性受到适当级别的保护。
A.8.2.1 信息分类
应根据法规、价值、重要性和敏感性对信息进行分类,保护信息免受未授权泄露或 篡改。
A.8.2.2 信息标识
A.9.2.3 特权管理
应限制及控制特权的分配及使用。
A.9.2.4 用户认证信息的安全管理 用户鉴别信息的权限分配应通过一个正式的管理过程进行安全控制。
A.9.2.5 用户访问权限的评审
资产所有者应定期审查用户访问权限。
A.9.2.6 A.9.3
撤销或调整访问权限
在跟所有员工和承包商人员的就业合同或协议终止和调整后,应相应得删除或调整 其信息和信息处理设施的访问权限。
A.8
资产管理
A.8.1
资产的责任 目标:识别组织资产并确定适当的保护责任。
A.8.1.1 资产清单
应识别信息和信息处理设施的相关资产并制定和维护资产清单。
A.8.1.2 资产责任人
资产清单中应指定资产责任人。
A.8.1.3 资产的合理使用
应明确信息和信息处理设施相关资产的合理使用准 则,形成文件并实施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
员工能力有限
工作中断
离职或突发事件
部门:市场部
部门:市场部
现有控制措施
1、员工有保密协议; 2、责任分割; 对数据进行备份 服务采购加强 访问加密、备份 定期保养维护 系统定期升级 专人专管 防病毒
保密培训、签员工保密协议 实行员工年度培训计划 责任分离、招聘新人
措施评价
控制措施有 效
控制措施有 控制措施有 控制措施有 控制措施有 控制措施有 控制措施有 控制措施有
信息资产风险评估表
资产类别 资产名称 重要等级
威胁列表
脆弱性列表
数据
客户信息 销售合同
硬件ቤተ መጻሕፍቲ ባይዱ办公电脑
人员 市场人员
员工泄密
员工保密意识差
4 人员误操作或有意篡改 文件易修改
云服务出现问题
云服务商问题
遗失或失窃
意外事件
硬件故障
老化
3
系统故障 偷盗丢失
系统漏洞 易携带
病毒攻击
网络
员工泄密
员工意志薄弱
3
工作瓶颈
措施有效 措施有效 措施有效
威胁发生 的频率
脆弱性严 重程度
风险度值
风险级别
2
1
6
2
2
1
6
2
2
1
6
2
2
1
6
2
2
1
6
2
3
1
9
2
2
1
6
2
2
1
6
2
2
1
6
2
2
1
6
2
2
1
6
2