XXX系统安全风险评估调查表完整
信息安全风险评估记录表
10
4
3
7
70
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
Windows 2003
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
代码控制CVS配置软件
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
0ffice
5
运行错误,无法使用
未及时打补丁
4
4
3
3
6
24
开发人员
10
数据泄密
安全意识欠缺,安全技能欠缺
无杀毒软件
3
6
2
3
5
30
10
无日常维护,打补丁
无法使用
2
4
3
4
7
28
10
硬件以外损坏
无法使用
2
4
3
4
7
28
10
机房不规范
服务器损坏无法使用
5
10
3
1
4
40
10
盗窃
机房不规范
5
10
4
5
9
90
笔记本
10
公司开发软件代码泄密
无拷贝控制
3
6
4
4
8
48
10
人为破环
硬件损坏系统无法正常运行
2
4
3
5
8
32
10
盗窃
10
数据丢失\损坏\篡改
无访问控制
XX年度安全风险辨识评估报告
XX年度安全风险辨识评估报告陕煤集团神木张家峁矿业有限公司20XX年11月23日目录第一部分矿井危险因素 (1)一、顶板...............................................................2 二、瓦斯...............................................................2 三、煤尘...............................................................2 四、自然发火.........................................................3 五、外因火灾.........................................................3 六、爆破...............................................................3 七、矿井水............................................................4 八、机电...............................................................4 九、运输...............................................................4 十、自然灾害.........................................................5 第二部分风险辨识范围 (6)第三部分风险辨识评估 (6)一、风险辨识…………………………………………………7 二、风险评估………………………………………………11 第四部分风险管控措施……………………………………………16 第五部分成果应用……………………………………………21 第六部分结论………………………………………………….23 附件重大安全风险清单陕煤集团神木张家峁矿业有限公司依据国家法律、法规规定标准,根据《煤矿安全生产标准化基本要求及评分办法》,对矿井安全生产系统中的重大风险进行逐项风险辨识评估,可能产生安全隐患的危险因素为顶板、瓦斯、煤尘、自燃发火、矿井水、主运输系统及辅助运输系统等;并制定了管控措施,罗列了风险清单。
信息安全风险评估表
资产的类型、所处位置相同,但资产赋值不同时,若采取的控制措施相 同,威胁及脆弱性的赋值基本保持一致。 3.残余风险赋值原则
如果风险可接受,暂不采取除现有控制措施以外的控制措施时,残余风 险与风险值一致。
的参考说明。
附录2-威胁、脆弱性对照表 附录3-风险等级对照表
按照资产类别排序的威胁、脆弱性对照表,用于资产风险 识风别险。计算结果对应风险等级的参照表,用于确定风险级别 。
资产识别 资产赋值 风险评估
注意事项
信息系统包含的资产主要指与信息系统直接相关的资产,如 信息:信息系统上传输的数据、信息系统的设计开发文档 软件:信息系统正常运行所需的应用、中间件、数据库、操作系统等 硬件:信息系统正常运行所需的服务器、小型机、磁盘柜等 关键活动包含的资产主要指活动进行所必须的6类资产,如 硬件:各部门用于存储、处理、传输日常办公及客户信息的各种设备和介 质,例 如移动硬盘、台式机、计算机等。 软件:各种本部门安装使用的软件,包括操作系统、中间件、数据库、应用 软件、工具应用软件、终端安全软件等。 信息:括各种业务相关的电子类及纸质的文件资料,可按照部门现有文件明 细列举。 人员:本部门各种对信息资产进行使用、操作和支持的人员角色,含为部门 提供各种服务的外部人员(例如长期驻场外包人员)。 物理环境:承载硬件资产和信息资产的设施。非计算机硬件类的实体。 服务:各种本部门通过购买方式获取的,或者需要支持部门特别提供的,支 持或协助日常业务进行的服务。
信息安全风险评估清单
编 号1 步骤1-业务影响分析
2 步骤2-资产清单 3 步骤3-风险清单 4 步骤4-风险处置计划
文档目录及说明
4.XXX安全风险评估表
表现
经向XX镇纪委了解,XX同志工作表现良好。
性格
特点
经向XX镇纪委了解,XX同志性格较为温和。
为人处事
与同事关系
较融洽
干部群众口碑
较好
评价
较好
安全风险评估结论
核查组意见
未发现存在影响谈话开展的情况,安全可控,同意谈话,注意安全。
谈话对象安全风险评估表
姓 名
XXX
性别
男
出生
年月
1960.
学历
高中
籍贯
A省B县
个 人
简 历
1983.07-1997.12
家庭
成员
称谓
姓名
出生
年月
政治面貌
工作单位及职务
妻子
长子
幼子
女儿
家庭
关系
婚姻状况
已婚
夫妻关系
良好
子女关系
良好
身体
情况
经向XX镇纪委了解,XX同志身体情况良好。
信息安全风险评估记录表
信息安全风险评估记录表XXX信息安全风险评估记录表部门:XX部资产名称:1.台式计算机2.服务器3.笔记本4.网线5.INTEL网络服务6.路由器7.U盘8.WINDOWS XP9.源代码10.软件11.概要设计说明书12.产品数据库数据13.产品用户手册14.BUG报告15.用户培训记录重要度面临威胁脆弱性措施有效可能性风险1.台式计算机 6 10 3 3 5 302.服务器 10 10 5 3 7 703.笔记本 8 8 4 4 8 644.网线 8 8 4 4 8 645.INTEL网络服务 6 6 3 3 5 306.路由器 4 4 4 4 7 287.U盘 4 4 4 4 7 288.WINDOWS XP 10 1 1 1 4 49.源代码 10 5 5 5 9 4510.软件 6 4 4 4 8 3211.概要设计说明书 4 4 4 5 6 2412.产品数据库数据 4 4 4 4 8 3213.产品用户手册 4 4 4 4 7 2814.BUG报告 1 5 5 5 9 4515.用户培训记录 10 3 2 5 8 40存在的问题:1.台式计算机:无杀毒软件,无备份策略,无口令策略,配置被修改,无法使用。
2.服务器:无杀毒软件,服务器损坏无法使用。
3.笔记本:无法使用。
4.网线:无防护措施,数据泄密。
5.XXX网络服务:无管理制度。
6.路由器:操作系统存在漏洞,无访问控制,无安全备份。
7.U盘:无备份安全策略。
8.WINDOWS XP:暴露。
9.源代码:人为破环,盗窃。
10.软件:数据丢失/损坏/篡改,存储介质故障。
11.概要设计说明书:无拷贝控制,存储介质故障。
12.产品数据库数据:无备份安全策略,存储介质故障。
13.产品用户手册:无备份安全策略,存储介质故障。
14.BUG报告:存储介质故障。
15.用户培训记录:无访问控制。
措施:1.台式计算机:安装杀毒软件,制定备份策略,设置口令策略,修复配置,恢复使用。
信息安全风险评估表
功能描述
1 电脑终端
2 应用软件
3 系统软件 4 5 6 7 8 9 10 11 12 13 14
编制:
公司业务处理 公司业务处理 信息处理
所属部门 IT部 IT部 IT部
信息安全风险评估表
资产重要度等级
资产重要性
资产完整性
资产可用性
得 分
固有风险评估
4
3
3
10
1、非法使用 2、发生故障
4
3
3
10
应用软件出错而 中断使用
4
3
3
10
系统软件运行出 错而中断使用
影响等级
破坏程 度
得分 现场控制措施
发生可能性等级
控制措施 发生容易
有效性
度
得分
风险 等级
风险 等级
计划控制 责任部
措施
门
1、使用域进行管理权
100% 10 限、密码
2
2
4 40 中
IT部
2、定期维护
100% 10 1、购买优质应用软件
1
2
3 30 中
IT部
100% 100%
10 1、定期系统维护 0
1
2
3 30 中
IT部
1000% 0
100% 0
100% 0
100% 0
100% 0
100% 0
审核:
批准:
安全风险评估表【范本模板】
顶板安全风险评估表
重大安全风险1项,较大7项,一般9项.
瓦斯安全风险评估表
重大安全风险0项,较大13项,一般7项。
煤尘安全风险评估表
重大安全风险0项,较大0项,一般5项.
火灾安全风险评估表
重大安全风险1项,较大1项,一般4项。
水灾安全风险评估表
重大安全风险1项,较大3项,一般4项,低4 项
提升运输安全风险评估表
重大安全风险1项,较大1项,一般3项,低1 项
机电安全风险评估表
重大安全风险0项,较大1项,一般4项,低4 项
其它(爆破、培训)安全风险评估表
重大安全风险0项,较大4项,一般7项,低3 项。
信息系统风险评估报告
信息系统风险评估报告1. 引言信息系统在现代社会起着至关重要的作用,然而,它们也存在着潜在的风险。
为了确保信息系统的安全性和稳定性,进行风险评估是至关重要的。
本报告旨在对XXX公司的信息系统进行风险评估,并提供相应的建议和措施。
2. 系统概述XXX公司的信息系统包括以下几个重要组成部分:网络架构、服务器、数据库、安全系统、应用程序等。
这些组成部分相互依存,为公司提供了高效的信息处理和管理。
然而,随之而来的是与信息系统相关的各种风险。
3. 风险识别在对XXX公司的信息系统进行风险评估时,我们首先需要识别出潜在的风险。
经过详细的分析和调研,我们找到了以下几个主要风险:3.1 数据泄露风险由于信息系统中存储了大量敏感数据,如客户信息、财务数据等,数据泄露风险是最主要的风险之一。
未经授权的访问、网络攻击和内部人员不当操作等都可能导致数据泄露。
3.2 网络安全风险对于信息系统而言,网络安全是非常重要的。
网络安全风险包括恶意软件感染、网络攻击和网络服务中断等。
这些风险可能导致系统瘫痪、数据丢失或机密信息被窃取。
3.3 设备故障风险信息系统依赖于各种设备的正常运行,如服务器、路由器等。
设备故障可能导致系统中断、数据丢失以及业务无法正常进行。
4. 风险评估在识别出潜在风险后,我们对每个风险的潜在影响和可能性进行了评估。
4.1 数据泄露风险评估潜在影响:客户隐私泄露、公司声誉受损、法律责任等。
可能性评估:高,由于缺乏安全措施,数据泄露的可能性较大。
4.2 网络安全风险评估潜在影响:业务中断、数据丢失、客户信任受损等。
可能性评估:中,公司已经采取了一些安全措施,但仍存在一定的网络安全风险。
4.3 设备故障风险评估潜在影响:业务中断、数据丢失、维修成本增加等。
可能性评估:低,公司已经采用冗余设备来降低设备故障风险。
5. 风险应对措施在了解了风险后,我们需要采取相应的措施来应对风险,确保信息系统的安全性和稳定性。
5.1 数据泄露风险应对措施加强访问控制措施,如使用强密码、多因素认证等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XX系统安全风险评估调查表
系统名称:
申请单位:
申请日期:
填写说明
1.申请表一律要求用计算机填写,内容应真实、具体、准确。
2.如填写内容较多,可另加附页或以附件形势提供。
3.申报资料份数为纸版和电子版各一份。
目录
填写说明................................................................................................ I I 目录 (I)
一、申请单位信息 (2)
二、系统评估委托书 ....................................................... 错误!未定义书签。
三、信息系统基本情况调查表 (4)
四、信息系统的最新网络拓扑图 (6)
五、根据信息系统的网络结构图填写各类调查表格。
(7)
表3-1. 第三方服务单位基本情况 (9)
表3-2. 项目参与人员名单 (10)
表3-3. 信息系统承载业务(服务)情况调查 (11)
表3-4. 信息系统网络结构(环境)情况调查 (12)
表3-5. 外联线路及设备端口(网络边界)情况调查 (13)
表3-6. 网络设备情况调查 (14)
表3-7. 安全设备情况调查 (15)
表3-8. 服务器设备情况调查 (16)
表3-9. 终端设备情况调查 (17)
表3-10. 系统软件情况调查 (18)
表3-11. 应用系统软件情况调查 (19)
表3-12. 业务数据情况调查 (20)
表3-13. 数据备份情况调查 (21)
表3-14. 应用系统软件处理流程调查(多表) (22)
表3-15. 业务数据流程调查(多表) (23)
表3-16. 管理文档情况调查 (24)
六、信息系统安全管理情况 (25)
七、信息系统安全技术方案 (25)
一、申请单位信息
申请单位全称(中文):
申请单位全称(英文):
单位性质:上级主管部门:
地址:邮政编码
单位网址:
法定代表人姓名:职务:
联系人姓名:职务:
联系方式:电话:
传真:
手机:
电子邮箱:
工商登记注册号(附企业法人营业执照副本或上级主管部门批准成立文件复印件):
法人机构代码(附法人机构代码证副本复印件):
密码主管部门的批文文号(附复印件):
其他重要的法律文件
附:代理人简况
二、信息系统基本情况调查表
第5页
三、信息系统的最新网络拓扑图
网络结构图要求:
●应该标识出网络设备、服务器设备和主要终端设备及其名称
●应该标识出服务器设备的IP地址
●应该标识网络区域划分等情况
●应该标识网络与外部的连接等情况
●应该能够对照网络结构图说明所有业务流程和系统组成
如果一张图无法表示,可以将核心部分和接入部分分别划出,或以多张图表示。
第6页
四、根据信息系统的网络结构图填写各类调查表格。
·设备统计表:
·对外IP统计表:
第7页
调查表清单
表3-1. 第三方服务单位基本情况
表3-2. 第三方服务三维项目参与人员名单
表3-3. 信息系统承载业务(服务)情况调查
表3-4. 信息系统网络结构(环境)情况调查
表3-5. 外联线路及设备端口(网络边界)情况调查
表3-6. 网络设备情况调查
表3-7. 安全设备情况调查
表3-8. 服务器设备情况调查
表3-9. 终端设备情况调查
表3-10. 系统软件情况调查
表3-11. 应用系统软件情况调查
表3-12. 业务数据情况调查
表3-13. 数据备份情况调查
表3-14. 应用系统软件处理流程调查
表3-15. 业务数据流程调查
表3-16. 管理文档情况调查
第8页
表3-1. 第三方服务单位基本情况
填表人:日期:
注:情况简介一栏,请填写与被测评系统有关的机构的内容。
第9页
表3-2. 项目参与人员名单
填表人:日期:
第10页
表3-3. 信息系统承载业务(服务)情况调查
填表人:日期:
注:1、用户分布范围栏填写全国、全省、本地区、本单位
2、业务信息类别一栏填写:a)国家秘密信息b)非密敏感信息(机构或公民的专有信息)c)可公开信息
3、重要程度栏填写非常重要、重要、一般
第11页
表3-4. 信息系统网络结构(环境)情况调查
填表人:日期:
注:重要程度填写非常重要、重要、一般
第12页
表3-5. 外联线路及设备端口(网络边界)情况调查
填表人:日期:
第13页
表3-6. 网络设备情况调查
填表人:日期:
注:重要程度填写非常重要、重要、一般
第14页
表3-7. 安全设备情况调查
填表人:日期:
第15页
表3-8. 服务器设备情况调查
填表人:日期:
注:1、重要程度填写非常重要、重要、一般
2、包括数据存储设备
第16页
表3-9. 终端设备情况调查
填表人:日期:
注:1、重要程度填写非常重要、重要、一般
2、包括办公终端、专用终端设备以及网管终端、安全设备控制台等
3、仅当本次评估范围包括办公终端时才需填写办公终端情况,按部门填写。
第17页
表3-10. 系统软件情况调查
填表人:日期:
注:包括操作系统、数据库系统等软件
第18页
表3-11. 应用系统软件情况调查
填表人:日期:
第19页
表3-12. 业务数据情况调查
填表人:日期:
注:数据安全性要求每项填写高、中、低
如本页不够,请续页填写。
第20页
表3-13. 数据备份情况调查
填表人:日期:
注:备份数据名与表3-12对应的数据名称一致
第21页
表3-14. 应用系统软件处理流程调查(多表)
填表人:日期:
注:重要应用系统软件应该描绘处理流程图,说明主要处理步骤、过程、流向、涉及设备和用户。
第22页
表3-15. 业务数据流程调查(多表)
填表人:日期:
注:重要数据应该描绘数据流程图,从数据产生到传输经过的主要设备,再到存储设备等流程。
第23页
表3-16. 管理文档情况调查
填表人:日期:
第24页
第25页
注:请在相关文档名称栏填写对应的文档名称,如果相关内容在多个文档中涉及,填写多个文档名称。
第26页
五、信息系统安全管理文档
请提供表3-16中的安全管理文档。
六、信息系统安全技术方案
信息系统安全技术方案应在信息系统高层安全策略的指导之下完成,包括网络层、主机层、应用层、数据层的安全设计方案。
其具体的内容要求如下:
1 信息系统业务体系、业务流、用户对象
2 信息系统数据流
3 信息系统网络拓扑、安全域、接口描述
4 信息系统所包含数据信息的类别及相应处理原则
5 信息系统应用层中使用的安全功能、安全技术及其实现
6 信息系统基础设施层使用的安全功能、安全技术及实现(包括网络、
主机、安全设备)
7 业务数据的安全保护措施
8 适用安全技术标准。