信息安全资产识别与风险评估表
信息安全风险评估资产识别用例
1资产识别
1.1资产数据采集
1.1.1资产采集说明
通过资产调查和现场访谈,对信息系统的相关资产进行调查,形成资产列表。
采集工作在前期调研的基础上开展,以调研所得的设备列表为依据,将所有与信息系统有关的信息资产核查清楚。
1.1.2资产采集检测表
1.2资产分类识别
1.2.1资产分类说明
将所采集的资产数据按照资产形态和用途进行分类,形成资产分类表。
信息系统的资产一般可分为硬件、软件、文档与数据、人力资源、服务和其它资产等几大类。
1.2.1.1 硬件
1.2.1.3文档与数据
一般指保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统
文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等。
1.2.1.4人力资源
人力资源一般包括掌握重要信息和核心业务的人员,如主机维护主管、网络
维护主管及应用项目经理等。
1.2.1.5 服务
1.2.1.6其它资产
其它资产是指一些无形的但同样对于企业本身具有一定的价值,如企业形象、
客户关系等。
1.2.2资产分类检测表
1.3资产赋值
1.3.1资产保密性赋值
1.3.2资产完整性赋值
1.3.3资产可用性赋值
1.3.4资产安全特性综合评定赋值
1.3.5资产脆弱性赋值
1.4资产部分评估实例1.4.1资产分类赋值表
1.4.2资产脆弱性分析
信息资产风险等级判定表如下所示:
依据对该银行系统信息资产风险计算的结果,按信息资产风险值的高低,形成如下风险列表:。
信息安全风险评估表
资产的类型、所处位置相同,但资产赋值不同时,若采取的控制措施相 同,威胁及脆弱性的赋值基本保持一致。 3.残余风险赋值原则
如果风险可接受,暂不采取除现有控制措施以外的控制措施时,残余风 险与风险值一致。
的参考说明。
附录2-威胁、脆弱性对照表 附录3-风险等级对照表
按照资产类别排序的威胁、脆弱性对照表,用于资产风险 识风别险。计算结果对应风险等级的参照表,用于确定风险级别 。
资产识别 资产赋值 风险评估
注意事项
信息系统包含的资产主要指与信息系统直接相关的资产,如 信息:信息系统上传输的数据、信息系统的设计开发文档 软件:信息系统正常运行所需的应用、中间件、数据库、操作系统等 硬件:信息系统正常运行所需的服务器、小型机、磁盘柜等 关键活动包含的资产主要指活动进行所必须的6类资产,如 硬件:各部门用于存储、处理、传输日常办公及客户信息的各种设备和介 质,例 如移动硬盘、台式机、计算机等。 软件:各种本部门安装使用的软件,包括操作系统、中间件、数据库、应用 软件、工具应用软件、终端安全软件等。 信息:括各种业务相关的电子类及纸质的文件资料,可按照部门现有文件明 细列举。 人员:本部门各种对信息资产进行使用、操作和支持的人员角色,含为部门 提供各种服务的外部人员(例如长期驻场外包人员)。 物理环境:承载硬件资产和信息资产的设施。非计算机硬件类的实体。 服务:各种本部门通过购买方式获取的,或者需要支持部门特别提供的,支 持或协助日常业务进行的服务。
信息安全风险评估清单
编 号1 步骤1-业务影响分析
2 步骤2-资产清单 3 步骤3-风险清单 4 步骤4-风险处置计划
文档目录及说明
信息安全风险评估资产识别用例
1资产识别
1.1资产数据采集
1.1.1资产采集说明
通过资产调查和现场访谈,对信息系统的相关资产进行调查,形成资产列表。
采集工作在前期调研的基础上开展,以调研所得的设备列表为依据,将所有与信息系统有关的信息资产核查清楚。
1.1.2资产采集检测表
1.2资产分类识别
1.2.1资产分类说明
将所采集的资产数据按照资产形态和用途进行分类,形成资产分类表。
信息系统的资产一般可分为硬件、软件、文档与数据、人力资源、服务和其它资产等几大类。
1.2.1.1硬件
1.2.1.2软件
1.2.1.3文档与数据
一般指保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等。
1.2.1.4人力资源
人力资源一般包括掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等。
1.2.1.5服务
1.2.1.6其它资产
其它资产是指一些无形的但同样对于企业本身具有一定的价值,如企业形象、客户关系等。
1.2.2资产分类检测表
1.2.3网络拓扑中常用的硬件资产
1.3资产赋值
1.3.1资产保密性赋值
1.3.2资产完整性赋值
1.3.3资产可用性赋值
1.3.4资产安全特性综合评定赋值
1.3.5资产脆弱性赋值
1.4资产部分评估实例1.4.1资产分类赋值表
1.4.2资产脆弱性分析
信息资产风险等级判定表如下所示:
依据对该银行系统信息资产风险计算的结果,按信息资产风险值的高低,形成如下风险列表:。
信息安全风险评估报告
深圳市ABC有限公司信息安全风险评估报告ISMS-0105-JL07编制:审核:批准:2023年07月21日一、项目综述1 项目名称:深圳市恒双展业科技有限公司信息安全管理体系认证项目风险评估。
2项目概况:在科技日益发展的今天,信息系统已经成支撑公司业务的重要平台,信息系统的安全与公司安全直接相关。
为提高本公司的信息安全管理水平,保障公司生产、经营、服务和日常管理活动,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的事故,公司开展贯彻ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》标准的工作,建立本公司文件化的信息安全管理体系。
3 ISMS方针:信息安全管理方针:一)信息安全管理机制1.公司采用系统的方法,按照GB/T 22080-2016/ISO/IEC 27001:2013建立信息安全管理体系,全面保护本公司的信息安全。
二)信息安全管理组织1.公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信息安全要求,提供信息安全资源。
2.公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。
3.在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保证信息安全管理体系的有效运行。
4.与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息安全管理的支持。
三)人员安全1.信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动合同、岗位职责中应包含对信息安全的要求。
特殊岗位的人员应规定特别的安全责任。
对岗位调动或离职人员,应及时调整安全职责和权限。
2.对本公司的相关方,要明确安全要求和安全职责。
3.定期对全体员工进行信息安全相关教育,包括技能、职责和意识等以提高安全意识。
4.全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。
信息安全风险评估资产识别用例
1资产识别1.1资产数据采集1.1.1资产采集说明通过资产调查和现场访谈,对信息系统的相关资产进行调查,形成资产列表。
采集工作在前期调研的基础上开展,以调研所得的设备列表为依据,将所有与信息系统有关的信息资产核查清楚。
1.1.2资产采集检测表1.2资产分类识别1.2.1资产分类说明将所采集的资产数据按照资产形态和用途进行分类,形成资产分类表。
信息系统的资产一般可分为硬件、软件、文档与数据、人力资源、服务和其它资产等几大类。
1.2.1.1 硬件121.2软件121.3文档与数据一般指保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等。
1.2.1.4人力资源人力资源一般包括掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等。
1.2.1.5 服务1.2.1.6其它资产其它资产是指一些无形的但同样对于企业本身具有一定的价值,如企业形象、客户关系等。
122资产分类检测表检测目的资产分类检杳目的将所米集的资产数据按照资产形态和用途进行分类,形成资产分类表检测依据:资产数据及分类方式检测对象被检测方所有非机密资产检查级别基本配置检测方法:参照资产分类标准进行分类检杳流程(流程图)1. 完成资产数据收集2. 将所有数据按照不冋资产类别进行分类,形成多个资产识别列表预期结果根据资产性质分类,形成多个资产列表检查结果形成多个资产列表123网络拓扑中常用的硬件资产设备名称拓扑图标简介生产厂商路由器路由器是连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路径,按前后顺序发送信号的设备。
目前路由器已经广泛应用于各行各业,各种不同档次的产品已成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互通业务的主力军思科华为交换机交换机是一种用于电信号转发的网络设备。
它可以为接入交换机的任意两个网络节点提供独享的电信号通路。
信息安全风险评估实施流程资产识别
赵 刚
第五章 信息安全风险评估
实施流程
五.一 风险评估准备
一. 确定风险评估的目标 二. 确定风险评估的范围 三. 组建评估团队 四. 进行系统调研 五. 确定评估依据和方法 六. 制定评估方案 七. 获得最高管理者支持
五.二 资产识别
五.二.一 工作内容 一. 回顾评估范围内的业务 二. 识别信息资产,进行合理分类 三. 确定每类信息资产的安全需求 四. 为每类信息资产的重要性赋值
项目负责人 识别活动中配合人员 或访谈对象
二 脆弱性识别结果整理与展现 脆弱性识别小组
三 脆弱性赋值
脆弱性识别小组
五.四 脆弱性识别
五.四.三 工作方式 四. 脆弱性赋值 五. 脆弱性分类的设计
五.四 脆弱性识别
五.四.四 工具及资料 一. 漏洞扫描工具 二. 各类检查列表 三. 渗透测试 五.四.五 输出结果 一. 原始的识别结果 二. 漏洞分析报告
五.五 已有安全措施确认
五.五.一 工作内容 五.五.二 参与人员
序 号
活动名称
参与人员
来自于评估单位
来自于被评估单位
项目负责人
一
技 术 控 制 措 施 项目负责人 的识别与确认 安全控制措施识别小组
识别活动中配合人员或访谈对 象,主要包括被评估组织的安
全主管负责安全的管理员
二
管理和操作控 制措施的识别 与确认
恶意人员
不满的或有预谋的内部人员对信息系统进行恶意破坏; 采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益;
外部人员利用信息系统的脆弱性,对网络或系统的保密性完整性和 可用性进行破坏,以获取利益或炫耀能力
人为 因素
信息安全风险评估
风险评估的工作形式
自评估
• 适用于对自身的信息系统进行安全风险的识别、评价 • 自评估可以委托风险评估服务技术支持方实施,也可以自行实施
检查评估 :
• 一般由主管机关发起,通常都是定期的、抽样进行的评估模式 • 旨在检查关键领域、或关键点的信息安全风险是否在可接受的范围内
风险评估应以自评估为主,检查评估对自评估过程记录与评估结 果的基础上,验证和确认系统存在的技术、管理和运行风险,以 及用户实施自评估后采取风险控制措施取得的效果。
国外相关信息安全风险评估标准简介(2)
AS/NZS 4360:1999 风险管理 • 澳大利亚和新西兰联合开发的风险管理标准 • 将对象定位在“信息系统”;在资产识别和评估时,采取半定量化的
方法,将威胁、风险发生可能性、造成的影响划分为不同的等级。 • 分为建立环境、风险识别、风险分析、风险评价、风险处置等步骤。
ISO/IEC TR 13335信息技术安全管理指南 • 提出了风险评估的方法、步骤和主要内容。
• 主要步骤包括:资产识别、威胁识别、脆弱性识别、已有控制措施确 认、风险计算等过程。
NIST SP800-30:信息技术系统风险管理指南 • 提出了风险评估的方法论和一般原则, • 风险及风险评估概念:风险就是不利事件发生的可能性。风险管理是
安全措施
风险分析原理
威胁识别 脆弱性识别 资产识别
威胁出现的频率 脆弱性的严重程度
资产价值
安全事件的可能性 安全事件的损失
风险值
- 17 -
All rights reserved © 2006
(1)对资产进行识别,并对资产的价值进行赋值;
(2)对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;
ISMS-27001-2013信息技术安全技术信息安全管理体系要求标准解读
PART 03
标准正文
标准正文
4.组织环境
4.1 理解组织及其环境
• 组织应确定与其意图相关的并影响其实现信息安全管理体系预期结果的能力 的外部和内部事项。
•1) 应用信息安全风险评估过程来识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性 有关的风险;(CIA) •2) 识别风险责任人。(资产归属)
6.1 应对风险和机会的措施
• 6.1.2 信息安全风险评估 • d) 分析信息安全风险:
• 1) 评估6.1.2.c) 1) 中所识别的风险发生后将导致的潜在影响;(资产脆弱性被威胁利用后的严重 性)
标准正文
5.领导
5.1 领导和承诺
• 最高管理者应通过以下活动,证实对信息安全管理体系的领导和承诺:
• a) 确保建立了信息安全策略和信息安全目标,并与组织战略方向一致; • b) 确保将信息安全管理体系要求整合到组织的业务过程中; • c) 确保信息安全管理体系所需资源可用; • d) 沟通有效的信息安全管理及符合信息安全管理体系要求的重要性; • e) 确保信息安全管理体系达到预期结果; • f)指导并支持相关人员为信息安全管理体系的有效性做出贡献; • g) 促进持续改进; • h) 支持其他相关管理角色在其职责范围内展现他们的领导力。
完整性 准确和完备的特性。
术语
文件化信息 组织需要控制和维护的信息及其载体。
术语
外部环境
组织寻求实现其目标的外部环境。 注外部环境可以包括如下方面: 文化、社会、政治、法律、法规、金融、技术、经济、自然和竞争环境,无论是国际的、 国家的、地区的或地方的; 影响组织目标的关键驱动力和趋势; 与外部利益相关方的关系及其认知和价值观。