第2章 某OA系统信息安全风险评估方案

XX公司信息安全风险评估报告一、信息安全与信息安全风险评估概述（一）信息安全风险信息安全风险指信息资产的可用性、保密性、完整性受到破坏的可能及其对XX公司（下称“XXXX”）造成的负面影响。

基于安全风险，信息安全管理的核心在于通过识别风险、选择对策、实施对策以减缓风险，最终保证信息资产的保密性、安全性和可用性能够满足XXXX 要求。

对于XXXX而言，获得信息和信息系统的稳定支持，是将信息安全风险降到最低，从而实现投资商业目标的重要保障。

（二）信息安全风险评估信息安全风险评估是参照XXXX规章制度和风险评估标准，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。

本次信息安全风险评估参考文件有：《XXXX有限责任公司风险管理办法》、《XXXX有限责任公司风险管理指引》、《XXXX有限责任公司风险政策指引》、《XXXX有限责任公司固定资产管理办法》、国家标准《信息系统安全等级评测准则》等。

（三）风险评估相关概念风险评估涉及如下概念：1、资产：任何对XXXX有价值的事物，包括计算机硬件、通信设施、数据库、软件、信息服务和人员等。

2、威胁：指可能对资产造成损害的事故的潜在原因。

例如，XXXX 的网络系统可能受到来自计算机病毒和黑客攻击的威胁。

3、脆弱点：是指资产或资产组中能被威胁利用的弱点。

如员工缺乏信息安全意识，OA系统本身有安全漏洞等。

4、安全需求：为保证XXXX业务战略的正常运作而在安全措施方面提出的要求。

5、风险：特定威胁利用资产的脆弱点给资产或资产组带来损害的潜在可能性。

6、残留风险：在实施安全措施之后仍然存在的风险。

7、风险评估：对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。

二、信息安全风险评估工作设计（一）信息安全风险评估目的此次风险评估的目的是全面、准确地了解XXXX的信息管理安全现状，发现系统的安全问题及其可能的危害，为保证系统的最终安全提供建议。

信息安全风险评估指南引言：随着信息技术的快速发展，信息安全风险日益突出。

为了保障组织的信息安全，进行信息安全风险评估是必不可少的一步。

本文将介绍信息安全风险评估的基本概念，方法和步骤，以及常见的风险评估工具和技术。

一、信息安全风险评估的基本概念1.信息安全风险：指潜在的威胁和漏洞，可能导致组织的信息系统受到损害、丢失或中断的概率和后果。

2.信息安全风险评估：指对组织信息系统和数据进行分析和评估，确定安全风险并提供风险管理建议的过程。

二、信息安全风险评估的方法和步骤1.收集信息：收集组织的相关信息，包括资产清单、网络拓扑图、安全策略和安全漏洞等。

2.风险识别：基于信息收集，识别可能存在的威胁、漏洞和风险。

3.风险分析：对已识别的风险进行分析，确定其潜在的损失概率和影响程度。

5.风险管理建议：提供相应的风险管理建议，包括控制措施和风险处理策略。

6.风险监控和评估：持续监控风险的变化和实施风险管理措施的效果，进行风险再评估。

三、常见的信息安全风险评估工具和技术1. 脆弱性扫描工具（Vulnerability Scanners）：用于扫描网络和系统中的脆弱性，发现潜在的安全漏洞。

2. 渗透测试工具（Penetration Testing Tools）：模拟黑客攻击，检测系统和应用程序的弱点和漏洞。

3. 安全评估框架（Security Assessment Frameworks）：提供一套标准的风险评估方法和工具，帮助组织进行系统的评估和改进。

4. 数据分类和加密技术（Data Classification and Encryption）：对数据进行分类和加密，保护敏感信息的安全性。

5. 安全信息和事件管理系统（Security Information and Event Management System）：集中收集、分析和管理安全事件和日志，提供实时的安全监控和响应。

结论：信息安全风险评估是保障组织信息安全的重要步骤。

信息安全风险评估方案报告1 附件：国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式项目名称：项目建设单位：风险评估单位：年月日目录一、风险评估项目概述(1)1.1工程项目概况(1)1.1.1 建设项目基本信息(1)1.1.2 建设单位基本信息(1)1.1.3承建单位基本信息(2)1.2风险评估实施单位基本情况(2)二、风险评估活动概述(2)2.1风险评估工作组织管理(2)2.2风险评估工作过程(3)2.3依据的技术标准及相关法规文件(3)2.4保障与限制条件(3)三、评估对象(3)3.1评估对象构成与定级(3)3.1.1 网络结构(3)3.1.2 业务应用(3)3.1.3 子系统构成及定级(4)3.2评估对象等级保护措施(4)3.2.1XX子系统的等级保护措施(4)3.2.2子系统N的等级保护措施(4)四、资产识别与分析(5)4.1资产类型与赋值(5)4.1.1资产类型(5)4.1.2资产赋值(5)4.2关键资产说明(5)五、威胁识别与分析(6)5.2威胁描述与分析(6)5.2.1 威胁源分析(6)5.2.2 威胁行为分析(6)5.2.3 威胁能量分析(6)5.3威胁赋值(6)六、脆弱性识别与分析(7)6.1常规脆弱性描述(7)6.1.1 管理脆弱性(7)6.1.2 网络脆弱性(7)6.1.3系统脆弱性(7)6.1.4应用脆弱性(7)6.1.5数据处理和存储脆弱性(8) 6.1.6运行维护脆弱性(8)6.1.7灾备与应急响应脆弱性(8) 6.1.8物理脆弱性(8)6.2脆弱性专项检测(8)6.2.1木马病毒专项检查(8)6.2.2渗透与攻击性专项测试(8)6.2.3关键设备安全性专项测试(8)6.2.4设备采购和维保服务专项检测(8) 6.2.5其他专项检测(8)6.2.6安全保护效果综合验证(8)6.3脆弱性综合列表(8)七、风险分析(9)7.1关键资产的风险计算结果(9)7.2关键资产的风险等级(9)7.2.1 风险等级列表(9)7.2.3 基于脆弱性的风险排名(10)7.2.4 风险结果分析(10)八、综合分析与评价(10)九、整改意见(10)附件1：管理措施表(11)附件2：技术措施表(12)附件3：资产类型与赋值表(15)附件4：威胁赋值表(15)附件5：脆弱性分析赋值表(16)。

附件：国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式项目名称：项目建设单位：风险评估单位：年月日目录一、风险评估项目概述 (1)1.1工程项目概况 (1)1.1.1 建设项目基本信息 (1)1.1.2 建设单位基本信息 (1)1.1.3承建单位基本信息 (2)1.2风险评估实施单位基本情况 (2)二、风险评估活动概述 (2)2.1风险评估工作组织管理 (2)2.2风险评估工作过程 (3)2.3依据的技术标准及相关法规文件 (3)2.4保障与限制条件 (3)三、评估对象 (3)3.1评估对象构成与定级 (3)3.1.1 网络结构 (3)3.1.2 业务应用 (3)3.1.3 子系统构成及定级 (4)3.2评估对象等级保护措施 (4)3.2.1XX子系统的等级保护措施 (4)3.2.2子系统N的等级保护措施 (4)四、资产识别与分析 (5)4.1资产类型与赋值 (5)4.1.1资产类型 (5)4.1.2资产赋值 (5)4.2关键资产说明 (5)五、威胁识别与分析 (6)5.2威胁描述与分析 (6)5.2.1 威胁源分析 (6)5.2.2 威胁行为分析 (6)5.2.3 威胁能量分析 (6)5.3威胁赋值 (6)六、脆弱性识别与分析 (7)6.1常规脆弱性描述 (7)6.1.1 管理脆弱性 (7)6.1.2 网络脆弱性 (7)6.1.3系统脆弱性 (7)6.1.4应用脆弱性 (7)6.1.5数据处理和存储脆弱性 (8)6.1.6运行维护脆弱性 (8)6.1.7灾备与应急响应脆弱性 (8)6.1.8物理脆弱性 (8)6.2脆弱性专项检测 (8)6.2.1木马病毒专项检查 (8)6.2.2渗透与攻击性专项测试 (8)6.2.3关键设备安全性专项测试 (8)6.2.4设备采购和维保服务专项检测 (8)6.2.5其他专项检测 (8)6.2.6安全保护效果综合验证 (8)6.3脆弱性综合列表 (8)七、风险分析 (9)7.1关键资产的风险计算结果 (9)7.2关键资产的风险等级 (9)7.2.1 风险等级列表 (9)7.2.3 基于脆弱性的风险排名 (10)7.2.4 风险结果分析 (10)八、综合分析与评价 (10)九、整改意见 (10)附件1：管理措施表 (11)附件2：技术措施表 (12)附件3：资产类型与赋值表 (15)附件4：威胁赋值表 (15)附件5：脆弱性分析赋值表 (16)一、风险评估项目概述1.1 工程项目概况1.1.1 建设项目基本信息1.1.2 建设单位基本信息1.1.3承建单位基本信息如有多个承建单位，分别填写下表。

WORD格式XXX公司信息安全风险评估实施细则二〇〇八年五月编制说明根据《XXX公司信息安全风险评估实施指南》和《XXX公司信息安全风险评估实施细则》（试行），近年来公司组织开展了风险评估常态化推广，通过多年对实施细则的应用、实践与总结，需要进一步对实施细则的内容进行调整和完善。

另一方面，随着国家对信息系统安全等级保护等相关政策、标准和基本要求，和公司信息化“SG186”工程安全防护总体方案和公司网络与信息系统安全隔离实施指导意见要求，也需要进一步对实施细则内容进行修订。

本细则主要修订了原有试行细则第四章脆弱性评估部分的具体内容。

主要包括：1、在原有基础上，增加或修改了信息安全管理评估、信息安全运行维护评估、信息安全技术评估的具体要求。

为保持本实施细则的可操作性，针对新增的具体要求，按原细则格式添加了标准分值、评分标准和与资产的安全属性（C、I、A）的对应关系。

目前，调整后总分值从原先的3000分调整至5000分，其中，管理占1800分、运行维护占1400分、技术占1800分。

2、为了与公司等级保护评估相结合并对应，框架结构方面，将信息安全运行维护评估（第4.2节）中的“物理环境安全”部分调整至信息安全技术评估（第4.3.1小节），在信息安全技术评估中新增了“数据安全及备份恢复”（第4.3.8小节）；具体内容方面，在每项具体要求新增了等级保护对应列。

目录1.前言.................................................................................................. .. (1)2.资产评估.................................................................................................. (2)2.1.资产识别.............................................................................................. (2)2.2.资产赋值.............................................................................................. (3)3.威胁评估.................................................................................................. (6)4.脆弱性评估.................................................................................................. (10)4.1.信息安全管理评估.............................................................................................. (11)4.1.1.安全方针.......................................................................................... (11)4.1.2.信息安全机构.......................................................................................... (13)4.1.3.人员安全管理.......................................................................................... (17)4.1.4.信息安全制度文件管理 (19)4.1.5.信息化建设中的安全管理 (23)4.1.6.信息安全等级保护 (2)94.1.7.信息安全评估管理 (3)24.1.8.信息安全的宣传与培训 (32)4.1.9.信息安全监督与考核 (34)4.1.10.符合性管理.......................................................................................... (36)4.2.信息安全运行维护评估 (37)4.2.1.信息系统运行管理 (3)74.2.2.资产分类管理.......................................................................................... (41)4.2.3.配置与变更管理.......................................................................................... (42)4.2.4.业务连续性管理.......................................................................................... (43)4.2.5.设备与介质安全.......................................................................................... (46)4.3.信息安全技术评估.............................................................................................. (50)4.3.1.物理安全.......................................................................................... (50)4.3.2.网络安全.......................................................................................... (53)4.3.3.操作系统安全.......................................................................................... (60)4.3.4.数据库安全.......................................................................................... (72)4.3.5.通用服务安全.......................................................................................... (81)4.3.6.应用系统安全.......................................................................................... (85)4.3.7.安全措施.......................................................................................... (90)4.3.8.数据安全及备份恢复 (94)WORD格式5.前言2.3.为了规范、深化XXX公司信息安全风险评估工作，依据国家《信息系统安全等级保护基本要求》、《XXX公司信息化“SG186”工程安全防护总体方案》、《XXX公司网络与信息系统安全隔离实施指导意见》、《XXX公司信息安全风险评估管理暂行办法》、《XXX公司信息安全风险评估实施指南》（以下简称《实施指南》），组织对《XXX公司信息安全风险评估实施细则》进行了完善。

业务系统信息安全风险评估方案一、背景介绍业务系统信息安全风险评估方案是为了保障企业业务系统的信息安全而制定的一项计划。

随着信息技术的快速发展，企业业务系统承载了大量的重要数据和敏感信息，因此对其安全性进行评估和风险控制显得尤其重要。

本方案旨在通过系统化的评估方法，全面识别和分析业务系统的安全风险，并提出相应的风险控制措施，以确保业务系统的信息安全。

二、评估目标1. 识别业务系统中存在的信息安全风险，包括但不限于数据泄露、系统漏洞、网络攻击等。

2. 评估业务系统的安全性能，包括系统可用性、完整性、保密性和可追溯性等方面。

3. 提供针对性的风险控制建议和措施，匡助企业提升业务系统的信息安全水平。

4. 为业务系统的安全管理提供科学依据，为决策者提供决策支持。

三、评估内容1. 信息资产识别：对业务系统中的信息资产进行全面识别和分类，包括数据、应用程序、网络设备等。

2. 安全威胁分析：对业务系统中的安全威胁进行分析和评估，包括内部威胁和外部威胁。

3. 漏洞评估：对业务系统中的漏洞进行评估，包括系统软件漏洞、网络设备漏洞等。

4. 风险评估：根据信息资产、安全威胁和漏洞评估的结果，综合评估业务系统的安全风险。

5. 风险控制建议：根据风险评估的结果，提出相应的风险控制建议和措施，包括技术控制和管理控制等。

6. 安全意识培训：针对业务系统的用户和管理员，进行相关的安全意识培训，提高其信息安全意识和技能。

四、评估方法1. 文献研究：对相关的信息安全标准、法规和技术文献进行研究，了解最新的安全威胁和漏洞。

2. 现场调研：通过实地走访、访谈等方式，了解业务系统的具体情况，获取相关的数据和信息。

3. 技术测试：采用网络扫描、漏洞扫描等技术手段，对业务系统进行安全测试，发现潜在的安全风险。

4. 风险评估：根据采集到的数据和信息，采用定量和定性相结合的方法，对业务系统的安全风险进行评估。

5. 建议与报告：根据评估结果，编写评估报告，提出风险控制建议和措施，并向企业决策者进行汇报。

一种信息安全评估方法在OA系统中的应用摘要:针对信息系统安全风险的特征,把模糊理论和灰色理论结合起来建立信息系统安全风险的灰色模糊综合评估模型,应用灰色模糊综合评估模型评估某局的OA系统安全风险,并和OA系统应用模糊综合评判法的结果做了对比,验证了灰色模糊综合评估方法的可行性。

关键词:信息系统安全风险评估指标体系模糊综合评判灰色模糊综合评判法21世纪是信息时代,信息已成为社会发展的重要战略资源,信息技术改变着人们的生活和工作方式,信息的获取、处理和信息安全保障能力成为综合国力和经济竞争力的重要组成部分,信息安全已成为影响国家安全、社会稳定和经济发展的决定性因素。

互联网的盛行与企业信息管理系统的发展正在逐渐成为新的商业发展方向,伴随而来的信息系统安全风险的问题,也同时成了高度重视的方面。

有效的信息安全风险评估方法能准确评估出信息系统风险,使组织采取相应的有效措施对风险进行控制,使机构风险被降低到一个可被接受的水平。

由于信息系统风险评估中存在许多模糊不确定性因素,信息系统安全风险评估需要专家参与评判,因评判者的能力和偏好不同,使得风险评价信息带有灰色性,以往的信息安全风险评估方法未同时考虑到系统风险的模糊性和灰色性,因此评估结果不够准确。

本文将灰色系统理论中的灰色统计评估法、模糊综合评判法、层次分析法,通过建立反映风险本质的信息系统安全风险评估体系,构建信息系统安全风险的多级灰色模糊综合评判模型,定性与定量结合评估信息系统安全风险,使评估结果更准确。

最后,利用所建立的灰色模糊综合评估模型对某办公自动化系统进行了评估验证,评估结果基本符合该办公自动化系统的实际状况,证明所建立的模型优于原有模型。

1 信息系统安全风险的灰色模糊综合评估模型信息系统安全风险的灰色模糊综合评估框架,如下所示:“信息安全风险因素识别与分析→分别构建安全事件发生可能性和安全事件发生后影响的评估指标体系→建立评估指标集→确定评价指标权重→划分信息系统风险评价等级→评价样本矩阵及评价灰类的确定→计算灰色评价系数→计算灰色评价权值及模糊权矩阵→计算模糊综合评价结果”。

广州海颐软件有限公司信息安全风险评估指南变更记录信息安全风险评估指南1、本指南在编制过程中主要依据了国家政策法规、技术标准、规范与管理要求、行业标准并得到了无锡新世纪信息科技有限公司的大力支持。

1.1政策法规：✧《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）✧《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》（国信办[2006]5号）1.2国际标准：✧ISO/IEC 17799：2005《信息安全管理实施指南》✧ISO/IEC 27001：2005《信息安全管理体系要求》✧ISO/IEC TR 13335《信息技术安全管理指南》1.3国内标准：✧《信息安全风险评估指南》（国信办综[2006]9号）✧《重要信息系统灾难恢复指南》（国务院信息化工作办公室2005年4月）✧GB 17859—1999《计算机信息系统安全保护等级划分准则》✧GB/T 18336 1-3：2001《信息技术安全性评估准则》✧GB/T 5271.8--2001 《信息技术词汇第8部分：安全》✧GB/T 19715.1—2005 《信息技术安全管理指南第1部分：信息技术安全概念和模型》✧GB/T 19716—2005 《信息安全管理实用规则》1.4其它✧《信息安全风险评估方法与应用》（国家863高技术研究发展计划资助项目(2004AA147070)）2、风险评估2.1、风险评估要素关系模型风险评估的出发点是对与风险有关的各因素的确认和分析。

下图中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性，也是风险评估要素的一部分。

风险评估的工作是围绕其基本要素展开的，在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。

如下模型表示了各因素的关系：风险评估要素关系模型图中这些要素之间存在着以下关系：业务战略依赖于资产去完成；资产拥有价值，单位的业务战略越重要，对资产的依赖度越高，资产的价值则就越大；资产的价值越大则风险越大；风险是由威胁发起的，威胁越大则风险越大，并可能演变成安全事件；威胁都要利用脆弱性，脆弱性越大则风险越大；脆弱性使资产暴露，是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险；资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足，且是有成本的；安全措施可以抗击威胁，降低风险，减弱安全事件的影响；风险不可能也没有必要降为零，在实施了安全措施后还会有残留下来的风险，—部分残余风险来自于安全措施可能不当或无效，在以后需要继续控制这部分风险，另一部分残余风险则是在综合考虑了安全的成本与资产价值后，有意未去控制的风险，这部分风险是可以被接受的；残余风险应受到密切监视，因为它可能会在将来诱发新的安全事件。