信息系统安全风险评估报告
信息安全风险评估报告
信息安全风险评估报告一、引言在当今数字化的时代,信息已成为企业和组织的重要资产。
然而,随着信息技术的飞速发展和广泛应用,信息安全面临的威胁也日益严峻。
为了保障信息系统的安全稳定运行,保护敏感信息不被泄露、篡改或破坏,对信息系统进行全面的风险评估至关重要。
本报告旨在对被评估对象名称的信息安全状况进行评估,识别潜在的安全风险,并提出相应的风险管理建议。
二、评估范围和目标(一)评估范围本次评估涵盖了被评估对象名称的信息系统,包括网络基础设施、服务器、数据库、应用程序、办公终端等。
(二)评估目标1、识别信息系统中存在的安全威胁和脆弱性。
2、评估安全威胁发生的可能性和潜在的影响。
3、确定信息系统的安全风险级别。
4、提出针对性的风险管理建议,以降低安全风险。
三、评估方法本次评估采用了多种方法,包括问卷调查、现场访谈、漏洞扫描、渗透测试等。
通过这些方法,收集了大量的信息和数据,为评估结果的准确性和可靠性提供了保障。
四、信息系统概述(一)网络拓扑结构被评估对象名称的网络拓扑结构包括内部网络、外部网络和DMZ 区。
内部网络主要用于员工办公和业务处理,外部网络用于与互联网连接,DMZ区用于部署对外提供服务的应用服务器。
(二)服务器和操作系统信息系统中使用了多种服务器,包括Web服务器、数据库服务器、邮件服务器等。
操作系统包括Windows Server、Linux等。
(三)数据库使用的数据库主要有Oracle、SQL Server等,存储了大量的业务数据和用户信息。
(四)应用程序包括自主开发的业务应用系统和第三方采购的软件,如办公自动化系统、财务管理系统等。
五、安全威胁和脆弱性分析(一)安全威胁1、网络攻击包括DDoS攻击、SQL注入攻击、跨站脚本攻击等,可能导致服务中断、数据泄露等问题。
2、恶意软件如病毒、木马、蠕虫等,可能窃取敏感信息、破坏系统文件。
3、内部人员威胁内部人员可能因疏忽、恶意或被收买而泄露敏感信息、破坏系统。
信息系统安全风险评估报告
信息系统安全风险评估报告1. 引言信息系统安全风险评估是帮助组织识别安全威胁和漏洞的过程。
通过评估信息系统的安全性,可以发现潜在的风险,并采取相应的措施来减少这些风险对组织造成的影响。
本报告旨在对XX公司的信息系统安全风险进行评估,并提供相应的建议和措施。
2. 评估方法在本次安全风险评估中,我们采用了以下的评估方法:•安全策略和政策审查:审查公司的安全策略和政策文件,以了解目前所采取的安全措施和政策。
•网络和系统扫描:使用专业的工具对公司的网络和系统进行全面扫描,以识别潜在的漏洞和风险。
•物理安全检查:检查公司的实体设施,包括服务器房间、机房和办公室,以确保物理安全措施得到适当的实施。
•安全意识培训评估:评估公司员工对安全意识的认知程度和知识水平,以确保公司的安全政策得到遵守。
3. 评估结果3.1 安全策略和政策经过对公司的安全策略和政策进行审查,我们发现了以下问题:•缺乏明确的安全目标和策略:公司的安全文档缺乏明确的安全目标和策略,导致难以制定有效的安全措施。
•安全策略更新不及时:公司的安全策略已经多年未进行更新,无法适应当前的安全威胁。
建议:XX公司应该制定明确的安全目标和策略,并定期对安全策略进行更新和修订。
3.2 网络和系统扫描通过对公司网络和系统的扫描,我们发现了以下问题:•操作系统和应用程序的漏洞:公司的服务器和工作站存在着未修补的操作系统和应用程序漏洞,可能被恶意攻击者利用。
•弱密码和默认凭据:部分用户使用弱密码或者保持了默认凭据,容易被入侵者猜测和利用。
建议:XX公司应该及时更新操作系统和应用程序的安全补丁,并加强用户密码策略,推行强密码的使用和定期更换密码的要求。
3.3 物理安全检查通过对公司的物理设施进行检查,我们发现了以下问题:•未限制员工进入服务器房间:某些员工可以进入服务器房间,并且没有实施适当的访问控制措施。
•摄像头盲区:某些重要区域存在摄像头盲区,容易被入侵者利用。
信息系统风险评估报告
信息系统风险评估报告随着互联网的普及和物联网技术的飞速发展,各行各业的信息系统规模和复杂度不断增加,信息系统的风险管理也越来越受到关注。
信息系统风险评估是信息安全管理中的重要环节,通过对信息系统的风险评估和管理有助于发现潜在的风险和漏洞,从而采取有效措施,保障信息系统的安全和稳定运行。
一、信息系统风险评估的基本概念信息系统风险评估是指对信息系统所面临的各种风险进行定量和定性的分析和评估,通过风险评估的结果确定信息系统在安全方面存在的问题和不足,从而制定有效的控制措施,降低风险发生的概率和影响程度。
信息系统风险评估主要包括以下几个方面:1. 信息系统安全威胁的分析和评估,包括网络攻击、安全漏洞等威胁因素的评估和应对措施的制定;2. 信息系统的安全性能评估,包括密码强度、身份验证、访问控制和审计等方面的评估;3. 信息系统的灾难恢复和备份策略的评估,包括备份策略的完整性、恢复时间和备份频率等方面的评估;4. 信息系统的安全管理控制的评估,包括安全人员的素质、安全管理的规范性和持续性等方面的评估。
二、信息系统风险评估的方法信息系统风险评估的方法主要有两种,一种是定量分析方法,另一种是定性分析方法。
1. 定量分析方法定量分析方法主要是通过数学或统计学方法对信息系统的风险进行定量的分析和评估,以确定风险发生的概率和影响程度,最终得到风险值。
主要包括以下步骤:(1) 建立威胁模型,确定可能存在的风险因素;(2) 建立数据收集和分析方案,确定收集数据的方式和方法;(3) 搜集数据,包括信息系统的基本情况、攻击日志、安全事件记录等数据;(4) 对数据进行预处理和分析,进行数据抽样、标准化和正态化处理;(5) 应用统计学方法进行风险计算和模型分析,确定风险值和风险等级;(6) 给出风险评估报告,对风险评估结果进行解释和建议。
2. 定性分析方法定性分析方法主要是通过对信息系统的风险因素进行定性的描述和分析,以确定风险等级。
信息系统风险评估报告
信息系统风险评估报告一、引言信息系统在现代社会中扮演着至关重要的角色,对企业的运营和发展起到关键性的支持作用。
然而,随着信息系统的不断发展和普及,各种潜在的风险也随之涌现。
为了确保信息系统的安全性和可靠性,本文将对信息系统风险进行评估,以便及时采取相应的措施来降低风险。
二、风险识别与分类1. 内部威胁内部威胁是信息系统面临的主要风险之一。
这些威胁包括员工的错误操作、故意破坏、数据泄露等。
为了应对这些风险,我们将加强内部安全培训,明确员工责任和权限,并建立严格的数据备份和访问权限控制机制。
2. 外部威胁外部威胁指来自于黑客攻击、病毒感染、网络钓鱼等行为对信息系统的威胁。
应对此类威胁,我们将加强网络防护措施,定期更新补丁程序,安装防火墙和杀毒软件,并进行定期的安全检查和漏洞扫描。
3. 自然灾害风险自然灾害如火灾、洪水、地震等对信息系统的破坏性风险不可忽视。
为了减轻这类风险,我们将对数据中心进行合理的防火、防水和防震设计,并制定灾难恢复计划,以保障业务的连续性和系统的恢复能力。
三、风险评估与分析1. 评估方法本次风险评估采用定性和定量相结合的方法。
通过分析历史数据和相关案例,并结合专家意见,确定各种风险事件的概率和影响程度,并计算风险值。
在评估时,我们还考虑了信息系统的关键性和其对业务连续性的重要影响。
2. 风险分析结果根据评估和分析,我们发现影响信息系统的主要风险是外部攻击和内部操作失误。
这些风险事件的发生概率较高,同时对信息系统的影响也较为严重。
此外,自然灾害风险也需要重视。
在综合考虑各项因素后,我们将这些风险列为高风险事件,并对其进行重点监控和防范。
四、风险应对措施1. 外部攻击风险应对为了防止外部攻击,我们将采取以下措施:- 加强网络安全防护,包括安装防火墙、杀毒软件等。
- 定期进行安全检查和漏洞扫描,及时修补漏洞。
- 提供员工安全培训,加强对网络钓鱼等欺诈行为的警觉。
2. 内部操作失误风险应对为了减少内部操作失误可能带来的风险,我们将采取以下措施:- 建立明确的员工责任和权限制度,确保员工只能访问必要的信息和系统。
信息系统风险评估报告
信息系统风险评估报告1. 引言信息系统在现代社会起着至关重要的作用,然而,它们也存在着潜在的风险。
为了确保信息系统的安全性和稳定性,进行风险评估是至关重要的。
本报告旨在对XXX公司的信息系统进行风险评估,并提供相应的建议和措施。
2. 系统概述XXX公司的信息系统包括以下几个重要组成部分:网络架构、服务器、数据库、安全系统、应用程序等。
这些组成部分相互依存,为公司提供了高效的信息处理和管理。
然而,随之而来的是与信息系统相关的各种风险。
3. 风险识别在对XXX公司的信息系统进行风险评估时,我们首先需要识别出潜在的风险。
经过详细的分析和调研,我们找到了以下几个主要风险:3.1 数据泄露风险由于信息系统中存储了大量敏感数据,如客户信息、财务数据等,数据泄露风险是最主要的风险之一。
未经授权的访问、网络攻击和内部人员不当操作等都可能导致数据泄露。
3.2 网络安全风险对于信息系统而言,网络安全是非常重要的。
网络安全风险包括恶意软件感染、网络攻击和网络服务中断等。
这些风险可能导致系统瘫痪、数据丢失或机密信息被窃取。
3.3 设备故障风险信息系统依赖于各种设备的正常运行,如服务器、路由器等。
设备故障可能导致系统中断、数据丢失以及业务无法正常进行。
4. 风险评估在识别出潜在风险后,我们对每个风险的潜在影响和可能性进行了评估。
4.1 数据泄露风险评估潜在影响:客户隐私泄露、公司声誉受损、法律责任等。
可能性评估:高,由于缺乏安全措施,数据泄露的可能性较大。
4.2 网络安全风险评估潜在影响:业务中断、数据丢失、客户信任受损等。
可能性评估:中,公司已经采取了一些安全措施,但仍存在一定的网络安全风险。
4.3 设备故障风险评估潜在影响:业务中断、数据丢失、维修成本增加等。
可能性评估:低,公司已经采用冗余设备来降低设备故障风险。
5. 风险应对措施在了解了风险后,我们需要采取相应的措施来应对风险,确保信息系统的安全性和稳定性。
5.1 数据泄露风险应对措施加强访问控制措施,如使用强密码、多因素认证等。
信息系统安全风险评估总结报告
信息系统安全风险评估总结报告一、引言二、评估概述本次信息系统安全风险评估主要针对公司内部的网络、服务器、数据库等关键系统进行评估。
通过对系统内部的安全策略、访问控制、网络拓扑、漏洞扫描等进行全面的分析,发现了系统存在的一些潜在风险。
三、评估结果1.安全策略不完善:公司现有的安全策略较为简单,对于安全风险的预防控制不够全面,缺少明确的安全措施和流程。
2.弱密码问题:部分用户使用弱密码,存在密码易被猜测和破解的风险。
3.未授权访问:一些用户能够访问和修改系统中的敏感数据,缺乏权限控制。
4.系统漏洞:部分系统存在已公开的漏洞,如操作系统和应用软件的安全更新和补丁未及时安装。
5.备份和恢复不完备:公司的数据备份和恢复机制不够健全,缺乏定期测试和验证。
四、风险评估等级为了对评估结果进行分类和优先级排序,我们将风险评估等级划分为高、中、低三个级别。
1.高风险:存在直接影响公司核心业务的安全隐患,如未授权访问、数据泄露等。
2.中风险:存在潜在的安全风险,但对公司核心业务的影响相对较小,如弱密码、系统漏洞等。
3.低风险:存在一些安全隐患,但对公司核心业务的影响较小,如备份和恢复不完备。
五、改进措施针对评估结果中的各项风险,我们提出以下改进措施:1.安全策略优化:建立完善的安全策略,明确各种安全措施和流程,完善系统的安全性。
2.强制密码复杂度要求:要求用户使用更强的密码,并定期更新密码,提高账户的安全性。
3.强化权限控制:对系统中的用户权限进行控制和验证,确保敏感数据只能被授权人员访问和修改。
4.定期漏洞扫描和安全更新:建立漏洞扫描机制,及时发现系统中的漏洞并及时安装安全更新和补丁。
5.完善备份和恢复机制:建立完善的数据备份和恢复机制,定期测试和验证备份数据的完整性和可用性。
六、结论本次信息系统安全风险评估提醒公司在保障信息系统安全方面存在一定的风险,尤其是在安全策略、密码管理和权限控制等方面的薄弱环节。
通过采取相应的改进措施,可以进一步提升公司信息系统的安全性,有效预防和降低潜在的安全风险。
信息系统安全风险评估报告
信息系统安全风险评估报告1.简介本评估报告旨在对公司的信息系统安全进行风险评估,帮助公司识别并解决潜在的安全风险,并提供改进建议。
2.背景公司的信息系统是其重要的资产之一,承载着各种业务流程和数据,因此信息系统的安全性对于公司的业务运营至关重要。
本次风险评估主要通过对公司的网络设备、操作系统、数据库和应用程序等进行全面的安全性检查,以评估当前系统存在的潜在风险。
3.评估方法本次风险评估采用了以下方法:-安全漏洞扫描:通过使用安全漏洞扫描工具对公司的网络设备和系统进行定期扫描,识别潜在的安全漏洞。
-业务流程分析:分析公司的业务流程和数据流动情况,识别影响系统安全的风险点。
4.评估结果根据风险评估的结果,我们识别出了以下几个主要的安全风险:-弱密码:部分用户在系统登录和密码设置过程中使用了弱密码,容易受到密码破解等攻击手段。
-不安全的网络配置:公司网络设备存在部分配置不当的情况,如没有启用防火墙、网络端口未做适当限制等,会增加系统受到入侵的风险。
-没有定期的补丁更新:一些系统和应用程序没有及时打补丁更新,导致已知的安全漏洞没有修复,容易受到已公开的攻击。
-无权限控制:部分系统和应用程序没有合理的权限控制机制,导致用户可以访问和修改他们无权操作的数据和功能。
-数据备份不足:公司对于重要数据的备份策略不完善,一旦数据丢失,恢复的难度较大。
5.建议改进为了解决以上潜在风险-密码策略:制定并推行密码策略,要求用户使用强密码,并定期强制修改密码。
-网络安全配置:审查并改善公司的网络设备配置,包括启用防火墙、限制网络端口以及监控网络流量等。
-补丁管理:建立定期的补丁管理机制,确保所有系统和应用程序及时打补丁更新,并跟踪相关的安全漏洞。
-权限控制:加强对系统和应用程序的权限控制,仅授权用户可以访问和修改相应的数据和功能。
-数据备份策略:建立合理的数据备份策略,包括定期备份、备份数据的存储和灾难恢复测试等。
6.总结本次风险评估报告对公司的信息系统安全进行了全面的评估,帮助公司识别出了一些潜在的安全风险,并提供了改进建议。
信息安全风险评估报告
深圳市ABC有限公司信息安全风险评估报告ISMS-0105-JL07编制:审核:批准:2023年07月21日一、项目综述1 项目名称:深圳市恒双展业科技有限公司信息安全管理体系认证项目风险评估。
2项目概况:在科技日益发展的今天,信息系统已经成支撑公司业务的重要平台,信息系统的安全与公司安全直接相关。
为提高本公司的信息安全管理水平,保障公司生产、经营、服务和日常管理活动,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的事故,公司开展贯彻ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》标准的工作,建立本公司文件化的信息安全管理体系。
3 ISMS方针:信息安全管理方针:一)信息安全管理机制1.公司采用系统的方法,按照GB/T 22080-2016/ISO/IEC 27001:2013建立信息安全管理体系,全面保护本公司的信息安全。
二)信息安全管理组织1.公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信息安全要求,提供信息安全资源。
2.公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。
3.在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保证信息安全管理体系的有效运行。
4.与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息安全管理的支持。
三)人员安全1.信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动合同、岗位职责中应包含对信息安全的要求。
特殊岗位的人员应规定特别的安全责任。
对岗位调动或离职人员,应及时调整安全职责和权限。
2.对本公司的相关方,要明确安全要求和安全职责。
3.定期对全体员工进行信息安全相关教育,包括技能、职责和意识等以提高安全意识。
4.全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统安全风险评估报告xx有限公司记录编号005信息系统安全风险评估报告创建日期2015年8月16日文档密级更改记录时间更改内容更改人项目名称:XXX风险评估报告被评估公司单位:XXX有限公司参与评估部门:XXXX委员会一、风险评估项目概述1.1 工程项目概况1.1.1 建设项目基本信息风险评估版本201X年8日5日更新的资产清单及评估项目完成时间201X年8月5日项目试运行时间2015年1-6月1.2 风险评估实施单位基本情况评估单位名称XXX有限公司二、风险评估活动概述2.1 风险评估工作组织管理描述本次风险评估工作的组织体系(含评估人员构成)、工作原则和采取的保密措施。
2.2 风险评估工作过程本次评估供耗时2天,采取抽样的的方式结合现场的评估,涉及了公司所有部门及所有的产品,已经包括了位于公司地址位置的相关产品。
2.3 依据的技术标准及相关法规文件本次评估依据的法律法规条款有:序号法律、法规及其他要求名称颁布时间实施时间颁布部门1 全国人大常委会关于维护互联网安全的决定2000.12.282000.12.28全国人大常委会2 中华人民共和国1994.1994.国务院第计算机信息系统安全保护条例02.18 02.18 147号令3 中华人民共和国计算机信息网络国际联网管理暂行规定1996.02.011996.02.01国务院第195号令4 中华人民共和国计算机软件保护条例2001.12.202002.01.01国务院第339号令5 中华人民共和国信息网络传播权保护条例2006.05.102006.07.01国务院第468号令6 中华人民共和国计算机信息网络1998.03.061998.03.06国务院信息化工作领导国际联网管理暂行规定实施办法小组7 计算机信息网络国际联网安全保护管理办法1997.12.161997.12.30公安部第33号令8 计算机信息系统安全专用产品检测和销售许可证管理办法1997.06.281997.12.12公安部第32号令9 计算机病毒防治管理办法2000.03.302000.04.26公安部第51号令1 0 恶意软件定义2007.06.272007.06.27中国互联网协会1 1 抵制恶意软件自律公约2007.06.272007.06.27中国互联网协会1 2 计算机信息系统保密管理暂行规定1998.2.261998.02.26国家保密局1 3 计算机信息系统国际联网保密管理规定2000.01.012000.01.01国家保密局1 4 软件产品管理办法2000.10.082000.10.08中华人民共和国工业和信息化部1 5 互联网等信息系统网络传播视听2004.06.152004.10.11国家广播电影电视总局节目管理办法1 6 互联网电子公告服务管理规定2000.10.082000.10.08信息产业部1 7 信息系统工程监理工程师资格管理办法2003年颁布2003.03.26信息产业部1 8 信息系统工程监理单位资质管理办法2003.03.262003.04.01信息产业部1 9 电子认证服务管理办法2009.02.042009.03.31信息产业部2 0 关于印发《国家电子信息产业基地和产业园认定2008.03.042008.03.04中华人民共和国信息产业部管理办法(试行)》的通知2 1 计算机软件著作权登记收费项目和标准1992.03.161992.04.01机电部计算机软件登记办公室2 2 中国互联网络域名管理办法2004.11.052004.12.20信息产业部2 3 中华人民共和国专利法2010.01.092010.02.01全国人民代表大会常务委员2 4 中华人民共和国技术合同法1987.06.231987.06.23国务院科学技术部2 5 关于电子专利申请的规定2010.08.272010.10.01国家知识产权局2中华人民共和国2010.2010.全国人大常6 著作权法02.26 02.26 委会2 7 中华人民共和国著作权法实施条例2002.08.022002.9.15国务院第359号令2 8 科学技术保密规定1995.01.061995.01.06国家科委、国家保密局2 9 互联网安全保护技术措施规定2005.12.132006.03.01公安部发布3 0 中华人民共和国认证认可条例2003.09.032003.11.1国务院第390号令3 1 中华人民共和国保守国家秘密法2010.04.292010.10.01全国人大常委会3 2 中华人民共和国国家安全法1993.02.221993.02.22全国人大常委会3 3 中华人民共和国商用密码管理条例1999.10.071999.10.07国务院第273号令3 4 消防监督检查规定2009.4.302009.5.1公安部第107号3 5 仓库防火安全管理规则1990.03.221994.04.10中华人民共和国公安部令第6号3 6 地质灾害防治条例2003.11.242004.03.01国务院394号3 7 《电力安全生产监管办法》2004.03.092004.03.09国家电力监管委员会第2号3 8 中华人民共和国劳动法2007.06.292008.1.1华人民共和国主席令第二十八号3 9 失业保险条例1998.12.261999.01.22国务院4 0 失业保险金申领发放2001.10.262001.01.01劳动和社会保障部4 1 中华人民共和国企业劳动争议处理条例1993.06.111993.08.01国务院2.4 保障与限制条件需要被评估单位提供的文档、工作条件和配合人员等必要条件,以及可能的限制条件。
三、评估对象3.1 评估对象构成与定级3.1.1 网络结构根据提供的网络拓扑图,进行结构化的审核。
3.1.2 业务应用本公司涉及的数据中心运营及服务活动。
3.1.3 子系统构成及定级N/A3.2 评估对象等级保护措施按照工程项目安全域划分和保护等级的定级情况,分别描述不同保护等级保护范围内的子系统各自所采取的安全保护措施,以及等级保护的测评结果。
根据需要,以下子目录按照子系统重复。
3.2.1XX子系统的等级保护措施根据等级测评结果,XX子系统的等级保护管理措施情况见附表一。
根据等级测评结果,XX子系统的等级保护技术措施情况见附表二。
四、资产识别与分析4.1 资产类型与赋值4.1.1资产类型按照评估对象的构成,分类描述评估对象的资产构成。
详细的资产分类与赋值,以附件形式附在评估报告后面,见附件3《资产类型与赋值表》。
4.1.2资产赋值填写《资产赋值表》。
大类详细分类举例文档和数据经营规划中长期规划等经营计划等组织情况组织变更方案等组织机构图等组织变更通知等组织手册等规章制度各项规程、业务手册等人事制度人事方案等人事待遇资料等录用计划等离职资料等中期人员计划等人员构成等人事变动通知等培训计划等培训资料等财务信息预决算(各类投资预决算)等业绩(财务报告)等中期财务状况等资金计划等成本等财务数据的处理方法(成本计算方法和系统,会计管理审查等经营分析系统,减税的方法、规程)等营业信息市场调查报告(市场动向,顾客需求,其它本公司动向及对这些情况的分析方法和结果)等商谈的内容、合同等报价等客户名单等营业战略(有关和其它本公司合作销售、销售途径的确定及变更,对代理商的政策等情报)等退货和投诉处理(退货的品名、数量、原因及对投诉的处理方法)等供应商信息等技术信息试验/分析数据(本公司或者委托其它单位进行的试验/分析)等研究成果(本公司或者和其它单位合作研究开发的技术成果)等科技发明的内容(专利申请书以及有关的资料/试验数据)等开发计划书等新产品开发的体制、组织(新品开发人员的组成,业务分担,技术人员的配置等)技术协助的有关内容(协作方,协作内容,协作时间等)教育资料等技术备忘录等软件信息生产管理系统等技术解析系统等计划财务系统等设计书等流程等编码、密码系统等源程序表等其他诉讼或其他有争议案件的内容(民事、无形资产、工伤等纠纷内容)本公司基本设施情况(包括动力设施)等董事会资料(新的投资领域、设备投资计划等)本公司电话簿等本公司安全保卫实施情况及突发事件对策等软件操作系统Windows、Linux 等应用软件/系统开发工具、办公软件、网站平台、财务系统等数据库MS SQL Server、MySQL 等硬件设备通讯工具传真等传输线路光纤、双绞线等存储媒体磁带、光盘、软盘、U 盘等存储设备光盘刻录机、磁带机等文印设备打印机、复印机、扫描仪服务器PC Server、小型机等桌面终端PC、工作站等网络通信设备路由器、交换机、集线器、无线路由器等网络安全设备防火墙、防水墙、IPS 等支撑设施UPS、机房空调、发电机等人力资源高层管理人员高层管理人员本公司总/副总经理、总监等中层管理人员部门经理技术管理人员项目经理、项目组长、安全工程师普通技术人员软件工程师、程序员、测试工程师、界面工程师等IT 服务人员系统管理员、网络管理员、维护工程师其它人事、行政、财务等人员服务通信ADSL、光纤等房租办公房屋租用托管服务器托管、虚拟主机、邮箱托管法律外聘律师、法律顾问供电照明电、动力电审计财务审计6.2. 资产赋值判断准则对资产的赋值不仅要考虑资产的经济价值,更重要的是要考虑资产的安全状况对于系统或组织的重要性,由资产在其三个安全属性上的达成程度决定。
资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析,并在此基础上得出综合结果的过程。
达成程度可由安全属性缺失时造成的影响来表示,这种影响可能造成某些资产的损害以至危及信息系统,还可能导致经济效益、市场份额、组织形象的损失。
6.2.1. 机密性赋值根据资产在机密性上的不同要求,将其分为三个不同的等级,分别对应资产在机密性上应达成的不同程度或者机密性缺失时对整个组织的影响。
赋值标识定义3 高包含组织最重要的秘密,关系未来发展的前途命运,对根本利益有着决定性的影响,如果泄露会造成灾难性的损害,例如直接损失超过100万人民币,或重大项目(合同)失败,或失去重要客户,或关键业务中断3天。
2 中组织的一般性秘密,其泄露会使组织的安全和利益受到损害,例如直接损失超过10 万人民币,或项目(合同)失败,或失去客户,或关键业务中断超过1 天。
1 低可在社会、组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害或不造成伤害。
6.2.2. 完整性赋值根据资产在完整性上的不同要求,将其分为三个不同的等级,分别对应资产在完整性上缺失时对整个组织的影响。
赋值标识定义3 高完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,并且难以弥补。