信息系统安全风险评估报告
信息安全风险评估报告
信息安全风险评估报告1. 引言信息安全风险评估报告是对组织内部信息系统和网络的安全状况进行全面评估的重要工具。
本报告旨在通过对组织的信息系统进行风险评估,识别潜在的安全威胁和漏洞,并提供相应的建议和措施,以保障信息系统的安全性和可靠性。
2. 评估目的本次信息安全风险评估的目的是为了:- 评估组织信息系统的安全状况,发现潜在的风险和漏洞;- 识别可能导致信息泄露、数据丢失、系统中断等安全事件的因素;- 提供针对性的建议和措施,以加强信息系统的安全性和防护能力。
3. 评估范围本次评估主要针对组织的核心信息系统和网络设备,包括但不限于服务器、网络设备、数据库、应用程序等。
同时,也会对组织的信息安全管理制度和人员进行评估。
4. 评估方法本次评估采用了多种方法和工具,包括但不限于:- 信息收集:通过与组织相关人员的访谈和调查问卷的方式,收集相关的信息安全管理制度、安全策略和流程等方面的资料;- 漏洞扫描:利用专业的漏洞扫描工具对信息系统进行全面扫描,发现潜在的漏洞和安全风险;- 安全测试:通过模拟真实攻击的方式,对信息系统进行安全测试,评估系统的防护能力和弱点;- 安全审计:对信息系统的日志和事件进行审计,发现异常行为和潜在的安全威胁。
5. 评估结果通过对组织信息系统的评估,我们发现了以下安全风险和漏洞:- 弱密码:部分用户使用弱密码,容易被猜测或破解,存在密码泄露的风险;- 未及时更新补丁:部分系统和应用程序未及时安装最新的安全补丁,存在已知漏洞;- 缺乏访问控制:部分系统的访问控制策略不完善,存在权限过大或权限泄露的风险;- 无备份策略:部分重要数据未进行定期备份,存在数据丢失的风险;- 未加密传输:部分敏感数据在传输过程中未加密,容易被窃听或篡改。
6. 建议和措施针对上述发现的安全风险和漏洞,我们提出以下建议和措施:- 强化密码策略:建议组织制定密码复杂度要求,并定期要求用户更改密码,使用多因素身份验证等方式提高密码安全性;- 及时安装补丁:建议组织建立完善的漏洞管理制度,及时安装最新的安全补丁,修复已知漏洞;- 完善访问控制:建议组织加强对系统和应用程序的访问控制,限制权限,定期审查和撤销不必要的权限;- 建立备份策略:建议组织建立定期备份机制,确保重要数据的安全性和可恢复性;- 加密传输:建议组织对敏感数据的传输进行加密,使用SSL/TLS等安全协议保护数据的机密性和完整性。
信息系统风险评估报告
信息系统风险评估报告随着互联网的普及和物联网技术的飞速发展,各行各业的信息系统规模和复杂度不断增加,信息系统的风险管理也越来越受到关注。
信息系统风险评估是信息安全管理中的重要环节,通过对信息系统的风险评估和管理有助于发现潜在的风险和漏洞,从而采取有效措施,保障信息系统的安全和稳定运行。
一、信息系统风险评估的基本概念信息系统风险评估是指对信息系统所面临的各种风险进行定量和定性的分析和评估,通过风险评估的结果确定信息系统在安全方面存在的问题和不足,从而制定有效的控制措施,降低风险发生的概率和影响程度。
信息系统风险评估主要包括以下几个方面:1. 信息系统安全威胁的分析和评估,包括网络攻击、安全漏洞等威胁因素的评估和应对措施的制定;2. 信息系统的安全性能评估,包括密码强度、身份验证、访问控制和审计等方面的评估;3. 信息系统的灾难恢复和备份策略的评估,包括备份策略的完整性、恢复时间和备份频率等方面的评估;4. 信息系统的安全管理控制的评估,包括安全人员的素质、安全管理的规范性和持续性等方面的评估。
二、信息系统风险评估的方法信息系统风险评估的方法主要有两种,一种是定量分析方法,另一种是定性分析方法。
1. 定量分析方法定量分析方法主要是通过数学或统计学方法对信息系统的风险进行定量的分析和评估,以确定风险发生的概率和影响程度,最终得到风险值。
主要包括以下步骤:(1) 建立威胁模型,确定可能存在的风险因素;(2) 建立数据收集和分析方案,确定收集数据的方式和方法;(3) 搜集数据,包括信息系统的基本情况、攻击日志、安全事件记录等数据;(4) 对数据进行预处理和分析,进行数据抽样、标准化和正态化处理;(5) 应用统计学方法进行风险计算和模型分析,确定风险值和风险等级;(6) 给出风险评估报告,对风险评估结果进行解释和建议。
2. 定性分析方法定性分析方法主要是通过对信息系统的风险因素进行定性的描述和分析,以确定风险等级。
信息系统风险评估报告
信息系统风险评估报告一、引言信息系统在现代社会中扮演着至关重要的角色,对企业的运营和发展起到关键性的支持作用。
然而,随着信息系统的不断发展和普及,各种潜在的风险也随之涌现。
为了确保信息系统的安全性和可靠性,本文将对信息系统风险进行评估,以便及时采取相应的措施来降低风险。
二、风险识别与分类1. 内部威胁内部威胁是信息系统面临的主要风险之一。
这些威胁包括员工的错误操作、故意破坏、数据泄露等。
为了应对这些风险,我们将加强内部安全培训,明确员工责任和权限,并建立严格的数据备份和访问权限控制机制。
2. 外部威胁外部威胁指来自于黑客攻击、病毒感染、网络钓鱼等行为对信息系统的威胁。
应对此类威胁,我们将加强网络防护措施,定期更新补丁程序,安装防火墙和杀毒软件,并进行定期的安全检查和漏洞扫描。
3. 自然灾害风险自然灾害如火灾、洪水、地震等对信息系统的破坏性风险不可忽视。
为了减轻这类风险,我们将对数据中心进行合理的防火、防水和防震设计,并制定灾难恢复计划,以保障业务的连续性和系统的恢复能力。
三、风险评估与分析1. 评估方法本次风险评估采用定性和定量相结合的方法。
通过分析历史数据和相关案例,并结合专家意见,确定各种风险事件的概率和影响程度,并计算风险值。
在评估时,我们还考虑了信息系统的关键性和其对业务连续性的重要影响。
2. 风险分析结果根据评估和分析,我们发现影响信息系统的主要风险是外部攻击和内部操作失误。
这些风险事件的发生概率较高,同时对信息系统的影响也较为严重。
此外,自然灾害风险也需要重视。
在综合考虑各项因素后,我们将这些风险列为高风险事件,并对其进行重点监控和防范。
四、风险应对措施1. 外部攻击风险应对为了防止外部攻击,我们将采取以下措施:- 加强网络安全防护,包括安装防火墙、杀毒软件等。
- 定期进行安全检查和漏洞扫描,及时修补漏洞。
- 提供员工安全培训,加强对网络钓鱼等欺诈行为的警觉。
2. 内部操作失误风险应对为了减少内部操作失误可能带来的风险,我们将采取以下措施:- 建立明确的员工责任和权限制度,确保员工只能访问必要的信息和系统。
信息系统风险评估报告
信息系统风险评估报告1. 引言信息系统在现代社会起着至关重要的作用,然而,它们也存在着潜在的风险。
为了确保信息系统的安全性和稳定性,进行风险评估是至关重要的。
本报告旨在对XXX公司的信息系统进行风险评估,并提供相应的建议和措施。
2. 系统概述XXX公司的信息系统包括以下几个重要组成部分:网络架构、服务器、数据库、安全系统、应用程序等。
这些组成部分相互依存,为公司提供了高效的信息处理和管理。
然而,随之而来的是与信息系统相关的各种风险。
3. 风险识别在对XXX公司的信息系统进行风险评估时,我们首先需要识别出潜在的风险。
经过详细的分析和调研,我们找到了以下几个主要风险:3.1 数据泄露风险由于信息系统中存储了大量敏感数据,如客户信息、财务数据等,数据泄露风险是最主要的风险之一。
未经授权的访问、网络攻击和内部人员不当操作等都可能导致数据泄露。
3.2 网络安全风险对于信息系统而言,网络安全是非常重要的。
网络安全风险包括恶意软件感染、网络攻击和网络服务中断等。
这些风险可能导致系统瘫痪、数据丢失或机密信息被窃取。
3.3 设备故障风险信息系统依赖于各种设备的正常运行,如服务器、路由器等。
设备故障可能导致系统中断、数据丢失以及业务无法正常进行。
4. 风险评估在识别出潜在风险后,我们对每个风险的潜在影响和可能性进行了评估。
4.1 数据泄露风险评估潜在影响:客户隐私泄露、公司声誉受损、法律责任等。
可能性评估:高,由于缺乏安全措施,数据泄露的可能性较大。
4.2 网络安全风险评估潜在影响:业务中断、数据丢失、客户信任受损等。
可能性评估:中,公司已经采取了一些安全措施,但仍存在一定的网络安全风险。
4.3 设备故障风险评估潜在影响:业务中断、数据丢失、维修成本增加等。
可能性评估:低,公司已经采用冗余设备来降低设备故障风险。
5. 风险应对措施在了解了风险后,我们需要采取相应的措施来应对风险,确保信息系统的安全性和稳定性。
5.1 数据泄露风险应对措施加强访问控制措施,如使用强密码、多因素认证等。
信息系统风险评估报告
信息系统风险评估报告一、背景介绍随着信息化的深入发展,信息系统在企业中扮演着越来越重要的角色。
然而,信息系统也面临着一系列的风险和威胁,如果没有恰当的风险评估和管理,企业将可能面临严重的损失。
本报告对企业的信息系统风险进行了评估,并提出了相应的风险管理建议。
二、风险评估方法本次风险评估采用了常用的风险评估方法,风险矩阵法。
首先,我们确定了评估的范围和目标,即企业的整体信息系统。
然后,我们根据过去的经验和相关的数据,对系统的各项风险进行了识别和分类。
最后,我们利用风险矩阵法对各项风险进行了评估和优先排序。
三、风险评估结果根据我们的评估,企业的信息系统面临以下主要风险:1.数据安全风险:由于企业信息系统中包含大量的敏感数据,如客户信息、财务数据等,如果未能采取恰当的安全措施,将可能导致数据泄露或被恶意攻击。
2.系统故障风险:由于信息系统的复杂性,以及硬件和软件的日常使用,系统故障的概率较高。
一旦系统发生故障,将可能导致数据丢失、业务中断等问题。
3.合规风险:随着法律法规的不断更新和变化,企业在信息系统的合规性方面面临着较高的风险。
如果企业未能及时更新和调整系统以符合法规要求,将会面临法律诉讼、罚款等风险。
四、风险管理建议针对上述风险,我们提出以下管理建议:1.加强数据安全措施:企业应制定并执行严格的数据安全政策,采用加密技术、访问控制等方式保护数据的安全性。
2.建立备份和恢复机制:企业应定期备份重要数据,并建立有效的恢复机制,以应对系统故障和数据丢失的风险。
3.合规性管理:企业应定期进行合规性审查,了解并遵守相关的法律法规,确保信息系统的合规性。
4.培训和意识提升:企业应加强员工的安全意识培训,提高他们对信息安全的重视和认识,并制定和执行安全操作规程。
五、结论风险评估是信息系统风险管理的重要环节,通过评估可以帮助企业识别风险和问题,并提出相应的管理建议。
本报告对企业的信息系统风险进行了评估,发现了数据安全、系统故障和合规性等主要风险,并提出了加强数据安全措施、建立备份和恢复机制、合规性管理和培训意识提升等风险管理建议。
信息安全风险评估报告
信息安全风险评估报告一、引言信息安全风险评估是企业信息安全管理的重要环节,通过对信息系统、数据和业务流程的风险进行全面评估,可以帮助企业识别和理解潜在的安全威胁,从而制定相应的安全措施和应对策略,保障信息资产的安全和可靠性。
本报告旨在对某企业的信息安全风险进行评估,全面了解其信息系统和数据的安全状况,为企业提供有效的安全建议和改进建议。
二、背景介绍某企业是一家以互联网为核心业务的企业,主要业务包括电子商务、在线支付、数据存储和处理等。
由于业务的特殊性,企业信息系统中包含大量的用户个人信息、交易数据和商业机密,一旦泄露或遭受攻击,将会对企业造成严重的损失。
因此,对企业的信息安全风险进行评估显得尤为重要。
三、信息安全风险评估方法本次评估采用了常见的信息安全风险评估方法,主要包括风险识别、风险分析、风险评估和风险控制四个步骤。
1. 风险识别通过对企业信息系统和数据进行全面的调查和分析,识别潜在的安全威胁和风险点,包括网络攻击、数据泄露、系统故障等。
2. 风险分析对识别出的安全威胁和风险点进行分析,确定其可能造成的影响和可能性,包括数据损失、服务中断、商誉损失等。
3. 风险评估综合考虑风险的影响和可能性,对各项风险进行评估,确定其优先级和紧急程度,为后续的风险控制提供依据。
4. 风险控制针对评估出的重要风险,制定相应的风险控制措施和应对策略,包括技术控制、管理控制和应急预案等。
四、信息安全风险评估结果经过以上的评估方法,得出了以下的信息安全风险评估结果:1. 网络攻击风险企业网络面临来自互联网的各种攻击风险,包括DDoS攻击、SQL注入、恶意软件等。
这些攻击可能导致企业网络服务中断、用户数据泄露等严重后果。
2. 数据泄露风险企业存储了大量的用户个人信息和交易数据,一旦遭受攻击或内部泄露,将会对用户和企业造成严重的损失。
3. 内部恶意操作风险企业员工对系统和数据的访问权限较高,存在内部恶意操作的风险,可能导致数据篡改、泄露等问题。
信息系统安全风险评估总结报告
信息系统安全风险评估总结报告一、引言二、评估概述本次信息系统安全风险评估主要针对公司内部的网络、服务器、数据库等关键系统进行评估。
通过对系统内部的安全策略、访问控制、网络拓扑、漏洞扫描等进行全面的分析,发现了系统存在的一些潜在风险。
三、评估结果1.安全策略不完善:公司现有的安全策略较为简单,对于安全风险的预防控制不够全面,缺少明确的安全措施和流程。
2.弱密码问题:部分用户使用弱密码,存在密码易被猜测和破解的风险。
3.未授权访问:一些用户能够访问和修改系统中的敏感数据,缺乏权限控制。
4.系统漏洞:部分系统存在已公开的漏洞,如操作系统和应用软件的安全更新和补丁未及时安装。
5.备份和恢复不完备:公司的数据备份和恢复机制不够健全,缺乏定期测试和验证。
四、风险评估等级为了对评估结果进行分类和优先级排序,我们将风险评估等级划分为高、中、低三个级别。
1.高风险:存在直接影响公司核心业务的安全隐患,如未授权访问、数据泄露等。
2.中风险:存在潜在的安全风险,但对公司核心业务的影响相对较小,如弱密码、系统漏洞等。
3.低风险:存在一些安全隐患,但对公司核心业务的影响较小,如备份和恢复不完备。
五、改进措施针对评估结果中的各项风险,我们提出以下改进措施:1.安全策略优化:建立完善的安全策略,明确各种安全措施和流程,完善系统的安全性。
2.强制密码复杂度要求:要求用户使用更强的密码,并定期更新密码,提高账户的安全性。
3.强化权限控制:对系统中的用户权限进行控制和验证,确保敏感数据只能被授权人员访问和修改。
4.定期漏洞扫描和安全更新:建立漏洞扫描机制,及时发现系统中的漏洞并及时安装安全更新和补丁。
5.完善备份和恢复机制:建立完善的数据备份和恢复机制,定期测试和验证备份数据的完整性和可用性。
六、结论本次信息系统安全风险评估提醒公司在保障信息系统安全方面存在一定的风险,尤其是在安全策略、密码管理和权限控制等方面的薄弱环节。
通过采取相应的改进措施,可以进一步提升公司信息系统的安全性,有效预防和降低潜在的安全风险。
信息安全风险评估报告
信息安全风险评估报告随着信息技术的不断发展,信息安全问题日益受到重视。
信息安全风险评估作为信息安全管理的重要环节,对于企业和组织来说具有重要意义。
本报告旨在对信息安全风险进行评估,识别潜在的威胁和漏洞,为相关部门提供决策参考,保障信息资产的安全性和完整性。
一、信息安全风险评估的背景和意义。
信息安全风险评估是指对信息系统及其相关资源进行全面评估,识别潜在的威胁和漏洞,并评估其可能造成的损失。
通过对信息安全风险进行评估,可以帮助企业和组织了解其信息系统面临的安全威胁,及时采取有效的措施进行防范和管理,降低信息安全风险带来的损失。
二、信息安全风险评估的方法和步骤。
1. 确定评估范围,首先需要确定评估的范围,包括评估的对象、评估的目标和评估的时间范围。
2. 收集信息,收集与信息安全相关的资料和信息,包括现有安全政策、安全控制措施、安全事件记录等。
3. 识别威胁和漏洞,通过对系统进行全面的分析和检测,识别系统存在的安全威胁和漏洞,包括技术漏洞、人为失误、恶意攻击等。
4. 评估风险,对识别出的安全威胁和漏洞进行评估,确定其可能造成的损失和影响程度,计算风险的可能性和影响程度。
5. 制定应对措施,针对评估出的风险,制定相应的应对措施和安全策略,包括加强安全控制措施、加强安全意识培训等。
三、信息安全风险评估的关键问题和挑战。
信息安全风险评估过程中存在一些关键问题和挑战,包括评估范围的确定、信息收集的难度、风险评估的客观性和准确性等。
如何有效解决这些问题和挑战,是信息安全风险评估工作的关键。
四、信息安全风险评估的建议和展望。
针对信息安全风险评估存在的问题和挑战,我们建议加强对评估范围的把控,提高信息收集的效率和准确性,加强风险评估的客观性和准确性。
未来,随着信息技术的不断发展,信息安全风险评估工作将面临更多新的挑战,我们需要不断完善评估方法和工具,提高评估的科学性和准确性。
结语。
信息安全风险评估是信息安全管理的重要环节,对于保障信息资产的安全性和完整性具有重要意义。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
xx有限公司记录编号005创建日期2015年8月16日信息系统安全风险评估报告文档密级更改记录时间更改内容更改人项目名称:XXX风险评估报告被评估公司单位:XXX有限公司参与评估部门:XXXX委员会一、风险评估项目概述1.1工程项目概况1.1.1建设项目基本信息风险评估版本201X年8日5日更新的资产清单及评估项目完成时间201X年8月5日项目试运行时间2015年1-6月1.2风险评估实施单位基本情况评估单位名称XXX有限公司二、风险评估活动概述2.1风险评估工作组织管理描述本次风险评估工作的组织体系(含评估人员构成)、工作原则和采取的保密措施。
2.2风险评估工作过程本次评估供耗时2天,采取抽样的的方式结合现场的评估,涉及了公司所有部门及所有的产品,已经包括了位于公司地址位置的相关产品。
1.3依据的技术标准及相关法规文件本次评估依据的法律法规条款有:序号法律、法规及其他要求名称颁布时间实施时间颁布部门全国人大常委会关于维护互联12000.12.282000.12.28全国人大常委会网安全的决定中华人民共和国计算机信息系21994.02.181994.02.18国务院第147号令统安全保护条例中华人民共和国计算机信息网31996.02.011996.02.01国务院第195号令络国际联网管理暂行规定中华人民共和国计算机软件保42001.12.202002.01.01国务院第339号令护条例中华人民共和国信息网络传播52006.05.102006.07.01国务院第468号令权保护条例中华人民共和国计算机信息网国务院信息化工作领导61998.03.061998.03.06络国际联网管理暂行规定实施小组办法计算机信息网络国际联网安全71997.12.161997.12.30公安部第33号令保护管理办法计算机信息系统安全专用产品81997.06.281997.12.12公安部第32号令检测和销售许可证管理办法9计算机病毒防治管理办法2000.03.302000.04.26公安部第51号令10恶意软件定义2007.06.272007.06.27中国互联网协会11抵制恶意软件自律公约2007.06.272007.06.27中国互联网协会计算机信息系统保密管理暂行121998.2.261998.02.26国家保密局规定计算机信息系统国际联网保密132000.01.012000.01.01国家保密局管理规定中华人民共和国工业和14软件产品管理办法2000.10.082000.10.08信息化部互联网等信息系统网络传播视152004.06.152004.10.11国家广播电影电视总局听节目管理办法16互联网电子公告服务管理规定2000.10.082000.10.08信息产业部信息系统工程监理工程师资格172003年颁布2003.03.26信息产业部管理办法信息系统工程监理单位资质管182003.03.262003.04.01信息产业部理办法19电子认证服务管理办法2009.02.042009.03.31信息产业部关于印发《国家电子信息产业基中华人民共和国信息产202008.03.042008.03.04地和产业园认定管理办法(试业部行)》的通知21计算机软件著作权登记收费项1992.03.161992.04.01机电部计算机软件登记办目和标准公室22中国互联网络域名管理办法2004.11.052004.12.20信息产业部全国人民代表大会常务委23中华人民共和国专利法2010.01.092010.02.01员24中华人民共和国技术合同法1987.06.231987.06.23国务院科学技术部25关于电子专利申请的规定2010.08.272010.10.01国家知识产权局26中华人民共和国著作权法2010.02.262010.02.26全国人大常委会中华人民共和国著作权法实施272002.08.022002.9.15国务院第359号令条例28科学技术保密规定1995.01.061995.01.06国家科委、国家保密局29互联网安全保护技术措施规定2005.12.132006.03.01公安部发布30中华人民共和国认证认可条例2003.09.032003.11.1国务院第390号令中华人民共和国保守国家秘密312010.04.292010.10.01全国人大常委会法32中华人民共和国国家安全法1993.02.221993.02.22全国人大常委会中华人民共和国商用密码管理331999.10.071999.10.07国务院第273号令条例34消防监督检查规定2009.4.302009.5.1公安部第107号中华人民共和国公安部35仓库防火安全管理规则1990.03.221994.04.10令第6号36地质灾害防治条例2003.11.242004.03.01国务院394号国家电力监管委员会第2 37《电力安全生产监管办法》2004.03.092004.03.09号华人民共和国主席令第二38中华人民共和国劳动法2007.06.292008.1.1十八号39失业保险条例1998.12.261999.01.22国务院40失业保险金申领发放2001.10.262001.01.01劳动和社会保障部中华人民共和国企业劳动争议411993.06.111993.08.01国务院处理条例1.4保障与限制条件需要被评估单位提供的文档、工作条件和配合人员等必要条件,以及可能的限制条件。
三、评估对象1.1.2评估对象构成与定级2.3网络结构根据提供的网络拓扑图,进行结构化的审核。
2.4业务应用本公司涉及的数据中心运营及服务活动。
1.5子系统构成及定级N/A1.1.3评估对象等级保护措施按照工程项目安全域划分和保护等级的定级情况,分别描述不同保护等级保护范围内的子系统各自所采取的安全保护措施,以及等级保护的测评结果。
根据需要,以下子目录按照子系统重复。
2.5XX子系统的等级保护措施根据等级测评结果,XX子系统的等级保护管理措施情况见附表一。
根据等级测评结果,XX子系统的等级保护技术措施情况见附表二。
四、资产识别与分析4.1资产类型与赋值4.1.1资产类型按照评估对象的构成,分类描述评估对象的资产构成。
详细的资产分类与赋值,以附件形式附在评估报告后面,见附件3《资产类型与赋值表》。
4.1.2资产赋值填写《资产赋值表》。
大类详细分类举例文档和数据经营规划中长期规划等经营计划等组织情况组织变更方案等组织机构图等组织变更通知等组织手册等规章制度各项规程、业务手册等人事制度人事方案等人事待遇资料等录用计划等离职资料等中期人员计划等人员构成等人事变动通知等培训计划等培训资料等财务信息预决算(各类投资预决算)等业绩(财务报告)等中期财务状况等资金计划等成本等财务数据的处理方法(成本计算方法和系统,会计管理审查等经营分析系统,减税的方法、规程)等营业信息市场调查报告(市场动向,顾客需求,其它本公司动向及对这些情况的分析方法和结果)等商谈的内容、合同等报价等客户名单等营业战略(有关和其它本公司合作销售、销售途径的确定及变更,对代理商的政策等情报)等退货和投诉处理(退货的品名、数量、原因及对投诉的处理方法)等供应商信息等技术信息试验/分析数据(本公司或者委托其它单位进行的试验/分析)等研究成果(本公司或者和其它单位合作研究开发的技术成果)等科技发明的内容(专利申请书以及有关的资料/试验数据)等开发计划书等新产品开发的体制、组织(新品开发人员的组成,业务分担,技术人员的配置等)技术协助的有关内容(协作方,协作内容,协作时间等)教育资料等技术备忘录等软件信息生产管理系统等技术解析系统等计划财务系统等设计书等流程等编码、密码系统等源程序表等其他诉讼或其他有争议案件的内容(民事、无形资产、工伤等纠纷内容)本公司基本设施情况(包括动力设施)等董事会资料(新的投资领域、设备投资计划等)本公司电话簿等本公司安全保卫实施情况及突发事件对策等软件操作系统Windows、Linux等应用软件/系统开发工具、办公软件、网站平台、财务系统等数据库MSSQLServer、MySQL等硬件设备通讯工具传真等传输线路光纤、双绞线等存储媒体磁带、光盘、软盘、U盘等存储设备光盘刻录机、磁带机等文印设备打印机、复印机、扫描仪服务器PCServer、小型机等桌面终端PC、工作站等网络通信设备路由器、交换机、集线器、无线路由器等网络安全设备防火墙、防水墙、IPS等支撑设施UPS、机房空调、发电机等人力资源高层管理人员高层管理人员本公司总/副总经理、总监等中层管理人员部门经理技术管理人员项目经理、项目组长、安全工程师普通技术人员软件工程师、程序员、测试工程师、界面工程师等IT服务人员系统管理员、网络管理员、维护工程师其它人事、行政、财务等人员服务通信ADSL、光纤等房租办公房屋租用托管服务器托管、虚拟主机、邮箱托管法律外聘律师、法律顾问供电照明电、动力电审计财务审计1.6资产赋值判断准则对资产的赋值不仅要考虑资产的经济价值,更重要的是要考虑资产的安全状况对于系统或组织的重要性,由资产在其三个安全属性上的达成程度决定。
资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析,并在此基础上得出综合结果的过程。
达成程度可由安全属性缺失时造成的影响来表示,这种影响可能造成某些资产的损害以至危及信息系统,还可能导致经济效益、市场份额、组织形象的损失。
1.7机密性赋值根据资产在机密性上的不同要求,将其分为三个不同的等级,分别对应资产在机密性上应达成的不同程度或者机密性缺失时对整个组织的影响。
赋值标识定义3高包含组织最重要的秘密,关系未来发展的前途命运,对根本利益有着决定性的影响,如果泄露会造成灾难性的损害,例如直接损失超过100万人民币,或重大项目(合同)失败,或失去重要客户,或关键业务中断3天。
2中组织的一般性秘密,其泄露会使组织的安全和利益受到损害,例如直接损失超过10万人民币,或项目(合同)失败,或失去客户,或关键业务中断超过1天。
1低可在社会、组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害或不造成伤害。
1.8完整性赋值根据资产在完整性上的不同要求,将其分为三个不同的等级,分别对应资产在完整性上缺失时对整个组织的影响。
赋值标识定义3高完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,并且难以弥补。
例如直接损失超过100万人民币,或重大项目(合同)失败,或失去重要客户。
2中完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补。