信息安全风险评估调查表
信息安全风险评估记录表
10
4
3
7
70
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
Windows 2003
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
代码控制CVS配置软件
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
0ffice
5
运行错误,无法使用
未及时打补丁
4
4
3
3
6
24
开发人员
10
数据泄密
安全意识欠缺,安全技能欠缺
无杀毒软件
3
6
2
3
5
30
10
无日常维护,打补丁
无法使用
2
4
3
4
7
28
10
硬件以外损坏
无法使用
2
4
3
4
7
28
10
机房不规范
服务器损坏无法使用
5
10
3
1
4
40
10
盗窃
机房不规范
5
10
4
5
9
90
笔记本
10
公司开发软件代码泄密
无拷贝控制
3
6
4
4
8
48
10
人为破环
硬件损坏系统无法正常运行
2
4
3
5
8
32
10
盗窃
10
数据丢失\损坏\篡改
无访问控制
信息安全风险评估调查表
5.人员资产情况
.1、信息系统人员情况
岗位名称
岗位描述
人数
兼任人数
填写说明
岗位名称:1、数据录入员;2、软件开发员;3、桌面管理员;4、系统管理员;5、安全管理员;6、数据库管理员;7、网络管理员;8、质量管理员。
6.
文档资产情况
6.1.信息系统安全文档列表
文档类别
文档名称
填写说明
信息系统文档类别:信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档;系统开发程序文件、资料等。
2.2.安全设备情况
安全设备名称
型号(软件/硬件)
物理位置
所属网络区域
IP地址/掩码/网关
系统及运行平台
端口类型及数量
主要用途
是否热备
重要程度
2.3.服务器设备情况
设备名称
型号
物理位置
所属网络区域
IP地址/掩码/网关
操作系统版本/补丁
安装应用系统软件名称
主要业务应用
涉及数据
是否热备
2.4.终端设备情况
检查项
结果
备注
1
信息安全策略
□明确信息安全策略,包括总体目标、范围、原则和安全框架等内容。
□包括相关文件,但内容覆盖不全面。
终端设备名地址/掩码/网关
操作系统
安装应用系统软件名称
涉及数据
主要用途
填写说明
网络设备:路由器、网关、交换机等。
安全设备:防火墙、入侵检测系统、身份鉴别等。
服务器设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等。
终端设备:办公计算机、移动存储设备。
7.
信息系统情况
供应商信息安全风险评估检查表
All areas covered by the **** project must be
2
identified, including but not limited to sensitive raw
materials and equipment areas, storage areas and
warehouse areas, access and transportation routes,
s供ec应ur商ity须po建lic立ie人s, 员reg离ul职ati处on理s a流nd程ot,he至rs,少an要d 关the闭信
息系统帐号和权限,回收存储介质(包含电脑)
。
2.5
The suppliers must establish a process for employee
1
termination, at least to disable the information
access, such as implement data encryption or data
总得分
leakage prevention.
Subtotal 得分率
Percentage %
1
1 4
50.00%
4、物理与环境安全 4. Physical and environment security
总得分
system accounts and permissions, and return the
Subtotal 得分率
Percentage %
9 90.00%
3、数据和介质管理 3. Data and media management
序号# S/N 3.1
04信息安全风险评估汇总表
3
2
2
4
8
2
是
2
数据业务部
5.
人员
管理人员
部门经理
5
信息泄露泄露
人为泄露
未采取控制措施
4
5
4
4
16
4
否
行政部
6.
文档
合同
项目服务合同
5
数据丢失、泄露
未设置备份方案
未采取控制措施
4
5
4
4
16
4
否
行政部
7.
文档
项目数据
源代码
测试计划/方案
测试用例
测试报告
验收报告
接口开发设计文档
5
数据丢失、泄露
5
未建立台式机电脑口令安全策略
未采取控制措施
4
5
4
4
16
4
否
数据业务部
5
不足够的安全培训
定期对人员进行培训
3
2
2
4
8
2
是
3
行政部
5
防火墙未定期及时更新升级
员工自觉更新升级
3
2
2
4
8
2
是
2
数据业务部
5
操作系统变更未做记录,操作系统、应用软件未定期及时更新
负责人定期检查操作系统并及时更新
3
2
2
4
8
2
是
3
数据业务部
5
对移动代码的使用未监管
未采取控制措施
4
5
4
4
16
4
否
数据业务部
信息安全风险评估表
信息安全风险评估表
精心整理
表1:基本信息调查
1.硬件资产情况
1.1.网络设备情况
网络设备名称、型号、物理位置、所属网络区域、IP地
址/掩码/网关、系统软件及版本、端口类型及数量、主要用途、是否热备、重要程度。
1.2.安全设备情况
安全设备名称、型号、软件/硬件位置、所属网络区域、
IP地址/掩码/网关、操作系统版本/补丁、安装应用系统软件名称、主要业务应用、涉及数据、是否热备。
1.3.服务器设备情况
服务器设备型号、物理位置。
1.4.终端设备情况
终端设备名称、型号、物理位置、所属网络、设备数量、IP地址/掩码/网关、操作系统版本。
2.软件资产情况
2.1.系统软件情况
系统软件名称、版本、开发商、软件厂商、硬件/软件平台、C/S或B/S模式、B/S硬件平台、涉及数据、涉及应用系统、现有用户数量、主要用户角色。
2.2.应用软件情况
应用系统软件名称、涉及数据。
3.文档资产情况
3.1.信息系统安全文档列表
信息系统文档类别、文档名称。
4.信息系统情况
4.1、系统网络拓扑图
网络结构图要求:标识网络设备、服务器设备和主要终端设备及其名称;标识服务器设备的IP地址;标识网络区域划分等情况。
信息安全风险评估表
资产的类型、所处位置相同,但资产赋值不同时,若采取的控制措施相 同,威胁及脆弱性的赋值基本保持一致。 3.残余风险赋值原则
如果风险可接受,暂不采取除现有控制措施以外的控制措施时,残余风 险与风险值一致。
的参考说明。
附录2-威胁、脆弱性对照表 附录3-风险等级对照表
按照资产类别排序的威胁、脆弱性对照表,用于资产风险 识风别险。计算结果对应风险等级的参照表,用于确定风险级别 。
资产识别 资产赋值 风险评估
注意事项
信息系统包含的资产主要指与信息系统直接相关的资产,如 信息:信息系统上传输的数据、信息系统的设计开发文档 软件:信息系统正常运行所需的应用、中间件、数据库、操作系统等 硬件:信息系统正常运行所需的服务器、小型机、磁盘柜等 关键活动包含的资产主要指活动进行所必须的6类资产,如 硬件:各部门用于存储、处理、传输日常办公及客户信息的各种设备和介 质,例 如移动硬盘、台式机、计算机等。 软件:各种本部门安装使用的软件,包括操作系统、中间件、数据库、应用 软件、工具应用软件、终端安全软件等。 信息:括各种业务相关的电子类及纸质的文件资料,可按照部门现有文件明 细列举。 人员:本部门各种对信息资产进行使用、操作和支持的人员角色,含为部门 提供各种服务的外部人员(例如长期驻场外包人员)。 物理环境:承载硬件资产和信息资产的设施。非计算机硬件类的实体。 服务:各种本部门通过购买方式获取的,或者需要支持部门特别提供的,支 持或协助日常业务进行的服务。
信息安全风险评估清单
编 号1 步骤1-业务影响分析
2 步骤2-资产清单 3 步骤3-风险清单 4 步骤4-风险处置计划
文档目录及说明
2019年最新的ISO27001-2018信息安全风险评估表(ISMS信息安全风险评估)
通过服务器备份数据
2
3
30
3
控制
增加专业数据备份系统,对数据进行实时备份
5
1
1
5
1
接受
瘟疫、火灾、爆炸、雷击、恐怖袭击等
缺乏应急机制
文件信息丢失,人事工作开展困难
5
对重要数据进行定期移动硬盘备份,设置放雷机制
1
2
10
1
接受
自然灾难:地震、洪水、台风
缺乏应急机制
文件信息丢失,人事工作开展困难
5
对重要数据进行定期移动硬盘备份
不正确的废弃
人员缺乏安全意识
文件信息外泄
5
进行员工信息安全意识培训,
1
2
10
1
接受
瘟疫、火灾、爆炸、雷击、恐怖袭击等
缺乏应急机制
文件信息丢失,人事工作开展困难
5
设置必要的放火,放雷机制
2
3
30
3
接受
自然灾难:地震、洪水、台风
缺乏应急机制
文件信息丢失,人事工作开展困难
5
对重要数据进行定期移动硬盘备份
1
公司销售信息被竞争对手获得,业务无法开展
5
通过域控,系统密码控制,严格控制访问权限
SL-DATA-022
供应商合作协议书
采购合同
代理合同
厂商报价
合同
未经授权使用、访问、复制
缺乏物理防护机制
供应商信息被客户或竞争对手获得,供应商投诉或业务无法开展
5
合同报价等资料放在上锁的文件柜中
1
2
10
1
接受
瘟疫、火灾、爆炸、雷击、恐怖袭击等
缺乏应急机制
信息安全风险评估表
功能描述
1 电脑终端
2 应用软件
3 系统软件 4 5 6 7 8 9 10 11 12 13 14
编制:
公司业务处理 公司业务处理 信息处理
所属部门 IT部 IT部 IT部
信息安全风险评估表
资产重要度等级
资产重要性
资产完整性
资产可用性
得 分
固有风险评估
4
3
3
10
1、非法使用 2、发生故障
4
3
3
10
应用软件出错而 中断使用
4
3
3
10
系统软件运行出 错而中断使用
影响等级
破坏程 度
得分 现场控制措施
发生可能性等级
控制措施 发生容易
有效性
度
得分
风险 等级
风险 等级
计划控制 责任部
措施
门
1、使用域进行管理权
100% 10 限、密码
2
2
4 40 中
IT部
2、定期维护
100% 10 1、购买优质应用软件
1
2
3 30 中
IT部
100% 100%
10 1、定期系统维护 0
1
2
3 30 中
IT部
1000% 0
100% 0
100% 0
100% 0
100% 0
100% 0
审核:
批准:
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
表1:
基本信息调查
1
- 2 -
网络设备:路由器、网关、交换机等。
安全设备:防火墙、入侵检测系统、身份鉴别等。
服务器设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等。
终端设备:办公计算机、移动存储设备。
重要程度:依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。
- 3 -
填写说明
系统软件:操作系统、系统服务、中间件、数据库管理系统、开发系统等。
应用软件:项目管理软件、网管软件、办公软件等。
- 4 -
服务类型包括:1.网络服务;2.安全工程;3.灾难恢复;4.安全运维服务;5.安全应急响应;6.安全培训;7.安全咨询;8.安全风险评估;9.安全审计;10.安全研发。
岗位名称:1、数据录入员;2、软件开发员;3、桌面管理员;4、系统管理员;5、安全管理员;6、数据库管理员;7、网络管理员;8、质量管理员。
- 5 -
填写说明
信息系统文档类别:信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档;系统开发程序文件、资料等。
- 6 -
- 7 -
1、用户分布范围栏填写全国、全省、本地区、本单位
2、业务处理信息类别一栏填写:a) 国家秘密信息;b) 非密敏感信息(机构或公民的专有信息) ;c) 可公开信息
3、重要程度栏填写非常重要、重要、一般
4、如通过测评,请填写时间和测评机构名称。
1、网络区域主要包括:服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等;
2、重要程度填写非常重要、重要、一般。
- 8 -
注:安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》
- 9 -
- 10 -
表2:
安全状况调查
1. 安全管理机构
安全组织体系是否健全,管理职责是否明确,安全管理机构岗位
安全策略及管理规章制度的完善性、可行性和科学性的有关规章
人员的安全和保密意识教育、安全技能培训情况,重点、敏感岗
4. 系统建设管理
关键资产采购时是否进行了安全性测评,对服务机构和人员的保密约束情况如何,在服务提供过程中是否采取了管控措施。
信息系统开发过程中设计、开发和验收的管理情况。
5. 系统运维管理
设备、系统的操作和维护记录,变更管理,安全事件分析和报告;运行环境与开发环境的分离情况;安全审计、补丁升级管理、安全漏洞检测、网管、权限管理及密码管理等情况,重点检查系统性能的监控措施及运行状况。
6. 物理安全
7.网络安全
安全域划分、边界防护、内网防护、外部设备接入控制等情况。
8.设备和主机安全
网络交换设备、安全设备、主机和终端设备的安全性,操作系统的安全配置、病毒防护、恶意代码防范等。
9.应用安全
数据库、WEB网站、日常办公和业务系统等应用的安全设计、配置和管理情况;关键应用系统开发过程中的质量控制和安全性测试
10.数据安全
数据访问控制情况,服务器、用户终端、数据库等数据加密保护能力,磁盘、光盘、U盘和移动硬盘等存储介质管理情况,数据备份
11.应急响应与灾难恢复
应急响应体系(应急组织、应急预案、应急物资)建设情况,应急演练情况;系统与数据的灾难备份措施情况,重点是要通过应急演练。