2019-2020年信息安全风险评估表汇总.doc
信息安全风险评估记录表
10
4
3
7
70
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
Windows 2003
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
代码控制CVS配置软件
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
0ffice
5
运行错误,无法使用
未及时打补丁
4
4
3
3
6
24
开发人员
10
数据泄密
安全意识欠缺,安全技能欠缺
无杀毒软件
3
6
2
3
5
30
10
无日常维护,打补丁
无法使用
2
4
3
4
7
28
10
硬件以外损坏
无法使用
2
4
3
4
7
28
10
机房不规范
服务器损坏无法使用
5
10
3
1
4
40
10
盗窃
机房不规范
5
10
4
5
9
90
笔记本
10
公司开发软件代码泄密
无拷贝控制
3
6
4
4
8
48
10
人为破环
硬件损坏系统无法正常运行
2
4
3
5
8
32
10
盗窃
10
数据丢失\损坏\篡改
无访问控制
04信息安全风险评估汇总表
3
2
2
4
8
2
是
2
数据业务部
5.
人员
管理人员
部门经理
5
信息泄露泄露
人为泄露
未采取控制措施
4
5
4
4
16
4
否
行政部
6.
文档
合同
项目服务合同
5
数据丢失、泄露
未设置备份方案
未采取控制措施
4
5
4
4
16
4
否
行政部
7.
文档
项目数据
源代码
测试计划/方案
测试用例
测试报告
验收报告
接口开发设计文档
5
数据丢失、泄露
5
未建立台式机电脑口令安全策略
未采取控制措施
4
5
4
4
16
4
否
数据业务部
5
不足够的安全培训
定期对人员进行培训
3
2
2
4
8
2
是
3
行政部
5
防火墙未定期及时更新升级
员工自觉更新升级
3
2
2
4
8
2
是
2
数据业务部
5
操作系统变更未做记录,操作系统、应用软件未定期及时更新
负责人定期检查操作系统并及时更新
3
2
2
4
8
2
是
3
数据业务部
5
对移动代码的使用未监管
未采取控制措施
4
5
4
4
16
4
否
数据业务部
信息安全风险评估表
资产的类型、所处位置相同,但资产赋值不同时,若采取的控制措施相 同,威胁及脆弱性的赋值基本保持一致。 3.残余风险赋值原则
如果风险可接受,暂不采取除现有控制措施以外的控制措施时,残余风 险与风险值一致。
的参考说明。
附录2-威胁、脆弱性对照表 附录3-风险等级对照表
按照资产类别排序的威胁、脆弱性对照表,用于资产风险 识风别险。计算结果对应风险等级的参照表,用于确定风险级别 。
资产识别 资产赋值 风险评估
注意事项
信息系统包含的资产主要指与信息系统直接相关的资产,如 信息:信息系统上传输的数据、信息系统的设计开发文档 软件:信息系统正常运行所需的应用、中间件、数据库、操作系统等 硬件:信息系统正常运行所需的服务器、小型机、磁盘柜等 关键活动包含的资产主要指活动进行所必须的6类资产,如 硬件:各部门用于存储、处理、传输日常办公及客户信息的各种设备和介 质,例 如移动硬盘、台式机、计算机等。 软件:各种本部门安装使用的软件,包括操作系统、中间件、数据库、应用 软件、工具应用软件、终端安全软件等。 信息:括各种业务相关的电子类及纸质的文件资料,可按照部门现有文件明 细列举。 人员:本部门各种对信息资产进行使用、操作和支持的人员角色,含为部门 提供各种服务的外部人员(例如长期驻场外包人员)。 物理环境:承载硬件资产和信息资产的设施。非计算机硬件类的实体。 服务:各种本部门通过购买方式获取的,或者需要支持部门特别提供的,支 持或协助日常业务进行的服务。
信息安全风险评估清单
编 号1 步骤1-业务影响分析
2 步骤2-资产清单 3 步骤3-风险清单 4 步骤4-风险处置计划
文档目录及说明
信息安全风险评估记录表
信息安全风险评估记录表XXX信息安全风险评估记录表部门:XX部资产名称:1.台式计算机2.服务器3.笔记本4.网线5.INTEL网络服务6.路由器7.U盘8.WINDOWS XP9.源代码10.软件11.概要设计说明书12.产品数据库数据13.产品用户手册14.BUG报告15.用户培训记录重要度面临威胁脆弱性措施有效可能性风险1.台式计算机 6 10 3 3 5 302.服务器 10 10 5 3 7 703.笔记本 8 8 4 4 8 644.网线 8 8 4 4 8 645.INTEL网络服务 6 6 3 3 5 306.路由器 4 4 4 4 7 287.U盘 4 4 4 4 7 288.WINDOWS XP 10 1 1 1 4 49.源代码 10 5 5 5 9 4510.软件 6 4 4 4 8 3211.概要设计说明书 4 4 4 5 6 2412.产品数据库数据 4 4 4 4 8 3213.产品用户手册 4 4 4 4 7 2814.BUG报告 1 5 5 5 9 4515.用户培训记录 10 3 2 5 8 40存在的问题:1.台式计算机:无杀毒软件,无备份策略,无口令策略,配置被修改,无法使用。
2.服务器:无杀毒软件,服务器损坏无法使用。
3.笔记本:无法使用。
4.网线:无防护措施,数据泄密。
5.XXX网络服务:无管理制度。
6.路由器:操作系统存在漏洞,无访问控制,无安全备份。
7.U盘:无备份安全策略。
8.WINDOWS XP:暴露。
9.源代码:人为破环,盗窃。
10.软件:数据丢失/损坏/篡改,存储介质故障。
11.概要设计说明书:无拷贝控制,存储介质故障。
12.产品数据库数据:无备份安全策略,存储介质故障。
13.产品用户手册:无备份安全策略,存储介质故障。
14.BUG报告:存储介质故障。
15.用户培训记录:无访问控制。
措施:1.台式计算机:安装杀毒软件,制定备份策略,设置口令策略,修复配置,恢复使用。
2019年最新的ISO27001-2018信息安全风险评估表(ISMS信息安全风险评估)
通过服务器备份数据
2
3
30
3
控制
增加专业数据备份系统,对数据进行实时备份
5
1
1
5
1
接受
瘟疫、火灾、爆炸、雷击、恐怖袭击等
缺乏应急机制
文件信息丢失,人事工作开展困难
5
对重要数据进行定期移动硬盘备份,设置放雷机制
1
2
10
1
接受
自然灾难:地震、洪水、台风
缺乏应急机制
文件信息丢失,人事工作开展困难
5
对重要数据进行定期移动硬盘备份
不正确的废弃
人员缺乏安全意识
文件信息外泄
5
进行员工信息安全意识培训,
1
2
10
1
接受
瘟疫、火灾、爆炸、雷击、恐怖袭击等
缺乏应急机制
文件信息丢失,人事工作开展困难
5
设置必要的放火,放雷机制
2
3
30
3
接受
自然灾难:地震、洪水、台风
缺乏应急机制
文件信息丢失,人事工作开展困难
5
对重要数据进行定期移动硬盘备份
1
公司销售信息被竞争对手获得,业务无法开展
5
通过域控,系统密码控制,严格控制访问权限
SL-DATA-022
供应商合作协议书
采购合同
代理合同
厂商报价
合同
未经授权使用、访问、复制
缺乏物理防护机制
供应商信息被客户或竞争对手获得,供应商投诉或业务无法开展
5
合同报价等资料放在上锁的文件柜中
1
2
10
1
接受
瘟疫、火灾、爆炸、雷击、恐怖袭击等
缺乏应急机制
信息安全风险评估表
功能描述
1 电脑终端
2 应用软件
3 系统软件 4 5 6 7 8 9 10 11 12 13 14
编制:
公司业务处理 公司业务处理 信息处理
所属部门 IT部 IT部 IT部
信息安全风险评估表
资产重要度等级
资产重要性
资产完整性
资产可用性
得 分
固有风险评估
4
3
3
10
1、非法使用 2、发生故障
4
3
3
10
应用软件出错而 中断使用
4
3
3
10
系统软件运行出 错而中断使用
影响等级
破坏程 度
得分 现场控制措施
发生可能性等级
控制措施 发生容易
有效性
度
得分
风险 等级
风险 等级
计划控制 责任部
措施
门
1、使用域进行管理权
100% 10 限、密码
2
2
4 40 中
IT部
2、定期维护
100% 10 1、购买优质应用软件
1
2
3 30 中
IT部
100% 100%
10 1、定期系统维护 0
1
2
3 30 中
IT部
1000% 0
100% 0
100% 0
100% 0
100% 0
100% 0
审核:
批准:
信息安全风险评估-安全漏洞评估-操作系统安全漏洞表格
信息安全风险评估-安全漏洞评估-操作系统安全漏洞表格这份文档旨在详细记录操作系统中存在的安全漏洞,并对每个漏洞进行评估。
以下是操作系统安全漏洞表格的示例,帮助您更好地了解和管理系统的安全风险。
请根据您所使用的操作系统和已知的漏洞,将以上表格补充完整。
您可以根据实际情况添加或删除列,并填写相应的信息。
以下是对表格中各列所包含信息的解释:- 漏洞编号:每个漏洞都有一个唯一的标识符,通常使用CVE 编号。
漏洞编号:每个漏洞都有一个唯一的标识符,通常使用CVE编号。
- 漏洞描述:对该漏洞的详细描述,包括其可能导致的潜在风险和影响。
漏洞描述:对该漏洞的详细描述,包括其可能导致的潜在风险和影响。
- 漏洞类型:该漏洞属于哪个类型的安全漏洞,如身份验证漏洞、权限提升漏洞等。
漏洞类型:该漏洞属于哪个类型的安全漏洞,如身份验证漏洞、权限提升漏洞等。
- 影响程度:评估该漏洞对系统的影响程度,通常使用高、中、低等级别进行评定。
影响程度:评估该漏洞对系统的影响程度,通常使用高、中、低等级别进行评定。
- 风险级别:根据漏洞的影响程度和系统重要性,评定该漏洞的风险级别,通常使用高、中、低等级别进行评定。
风险级别:根据漏洞的影响程度和系统重要性,评定该漏洞的风险级别,通常使用高、中、低等级别进行评定。
- 建议措施:针对该漏洞的修复或缓解措施建议,包括补丁安装、修改配置等。
建议措施:针对该漏洞的修复或缓解措施建议,包括补丁安装、修改配置等。
通过进行操作系统安全漏洞评估,并填写这个表格,您可以更好地了解系统的安全状况,并制定相应的安全策略和措施来减少潜在的安全风险。
请根据您的具体需求和环境,使用以上表格进行操作系统安全漏洞评估,并及时更新和维护这个表格,以确保系统的安全性。
信息安全风险评估表格
信息安全风险评估表格
风险类型风险描述
影响程
度
发生概
率
风险级
别
建议控制措施
1 数据泄露高中高加强访问控制、加密敏感数
据
2 病毒感染中高高安装有效的防病毒软件、定
期更新
3 员工错误中中中提供培训、建立标准操作流
程
4 物理入侵高低中使用安全门禁系统、视频监
控
5 网络攻击高中高实施防火墙、入侵检测和预
防系统
6 不当使用
权限
中中中角色分离、最小权限原则... ... ... ... ... ...
在表格中,每一行代表一个特定的风险。
各列的含义如下:
风险类型:对风险进行分类或编号,方便跟踪和识别。
风险描述:简要描述风险的具体情况,例如数据泄露、病毒感染等。
影响程度:评估风险发生后可能对组织造成的影响程度,如高、中、低等级。
发生概率:评估风险发生的概率,通常使用高、中、低等级或百分比表示。
风险级别:根据影响程度和发生概率综合评估的风险级别,可以通过计算得出或根据经验判断。
建议控制措施:提供针对该风险的建议控制措施,用于降低风险的发生和影响。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
表1:
基本信息调查
1
- 2 -
- 3 -
网络设备:路由器、网关、交换机等。
安全设备:防火墙、入侵检测系统、身份鉴别等。
服务器设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等。
- 4 -
终端设备:办公计算机、移动存储设备。
重要程度:依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。
- 5 -
- 6 -
填写说明
系统软件:操作系统、系统服务、中间件、数据库管理系统、开发系统等。
应用软件:项目管理软件、网管软件、办公软件等。
- 7 -
服务类型包括: 1.网络服务;2.安全工程;3.灾难恢复;4.安全运维服务;5.安全应急响应;6.安全培训;7.安全咨询;8.安全风险评估;9.安全审计;
10.安全研发。
- 8 -
岗位名称: 1、数据录入员;2、软件开发员;3、桌面管理员;4、系统管理员; 5、安全管理员;6、数据库管理员;7、网络管理员;
8、质量管理员。
- 9 -
填写说明
信息系统文档类别:信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档;系统开发程序文件、资料等。
- 10 -
- 11 -
1、用户分布范围栏填写全国、全省、本地区、本单位
2、业务处理信息类别一栏填写:a) 国家秘密信息;b) 非密敏感信息 (机构或公民的专有信息) ;c) 可公开信息
3、重要程度栏填写非常重要、重要、一般
4、如通过测评,请填写时间和测评机构名称。
- 12 -
填写说明:
1、网络区域主要包括:服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等;
2、重要程度填写非常重要、重要、一般。
- 13 -
注:安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》
- 14 -
表2:
安全状况调查
1. 安全管理机构
安全组织体系是否健全,管理职责是否明确,安全管理机构岗位设置、人
2. 安全管理制度
安全策略及管理规章制度的完善性、可行性和科学性的有关规章制度的制
3. 人员安全管理
人员的安全和保密意识教育、安全技能培训情况,重点、敏感岗位人员有无
4. 系统建设管理
关键资产采购时是否进行了安全性测评,对服务机构和人员的保密约束情况如何,在服务提供过程中是否采取了管控措施。
信息系统开发过程中设计、开
设备、系统的操作和维护记录,变更管理,安全事件分析和报告;运行环境与开发环境的分离情况;安全审计、补丁升级管理、安全漏洞检测、网管、权限
6. 物理安全
7.网络安全
安全域划分、边界防护、内网防护、外部设备接入控制等情况。
网络和信息
8.设备和主机安全
网络交换设备、安全设备、主机和终端设备的安全性,操作系统的安全配置、病毒防护、恶意代码防范等。
9.应用安全
数据库、WEB网站、日常办公和业务系统等应用的安全设计、配置和管理
10. 数据安全
数据访问控制情况,服务器、用户终端、数据库等数据加密保护能力,磁
11. 应急响应与灾难恢复
应急响应体系(应急组织、应急预案、应急物资)建设情况,应急演练情况;系统与数据的灾难备份措施情况,重点是要通过应急演练来检验应急响应体系的。