《信息系统安全风险评估报告书模板.pdf》由会员分享,可在线阅读,更多相关《信息系统安全风险评估报告书模板.pdf(26页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、XX有限公司信息系统安全风险评估报告记录编号创建日期文档密级00500520152015 年 8 8 月 1616 日更改记录时间更改内容更改人项目名称:XXXXXX 风险评估报告 _被评估公司单位:XXXXXX 有限公司 _参与评估部门:XXXXXXXX 委员会 _一、风险评估项目概述1.1工程项目概况1.1.11.1.1 建设项目基本信息风险评估版本项目完成时间项目试运行时间201X年8日5日更新的资产清单及评估201X年8月5日2015年1-6月1.2风险评估实施单位基本情况评估单位名称XXX有限公司二、风险评估活动概述2.1风险评估工作组织管理描述本次风险评估工作的组织体系(含评估人员
2、构成)、工作原则和采取的保密措施。2.2风险评估工作过程本次评估供耗时 2 天,采取抽样的的方式结合现场的评估,涉及了公司所有部门及所有的产品,已经包括了位于公司地址位置的相关产品。2.3依据的技术标准及相关法规文件本次评估依据的法律法规条款有:序号法律、法规及其他要求名称全国人大常委会关于维护互联 网安全的决定中华人民共和国计算机信息系 统安全保护条例颁布时间实施时间颁布部门全国人大常委会国务院第147号令122000.12.281994.02.182000.12.281994.02.183中华人民共和国计算机信息网 络国际联网管理暂行规定1996.02.011996.02.01国务院第19
3、5号令45中华人民共和国计算机软件保 护条例中华人民共和国信息网络传播 权保护条例中华人民共和国计算机信息网 络国2001.12.202006.05.102002.01.012006.07.01国务院第339号令国务院第468号令国务院信息化工作领导小组公安部第33号令公安部第32号令公安部第51号令中国互联网协会中国互联网协会国家保密局国家保密局中华人民共和国工业和 信息化部6际联网管理暂行规定实施 办法计算机信息网络国际联网安全 保护管理办法计算机信息系统安全专用产品 检测和销售许可证管理办法1998.03.061998.03.06781997.12.161997.06.282000.03
4、.302007.06.272007.06.271998.2.262000.01.012000.10.081997.12.301997.12.122000.04.262007.06.272007.06.271998.02.262000.01.012000.10.089计算机病毒防治管理办法10恶意软件定义11抵制恶意软件自律公约1213计算机信息系统保密管理暂行 规定计算机信息系统国际联网保密 管理规定14软件产品管理办法互联网等信息系统网络传播视15听节目管理办法2004.06.152004.10.11国家广播电影电视总局16互联网电子公告服务管理规定1718信息系统工程监理工程师资格 管理办
5、法信息系统工程监理单位资质管 理办法2000.10.082003年颁布2003.03.262009.02.042000.10.082003.03.262003.04.012009.03.312008.03.04信息产业部信息产业部信息产业部信息产业部中华人民共和国信息产业部机电部计算机软件登记办公室19电子认证服务管理办法关于印发国家电子信息产业基 地20和产业园认定管理办法(试 行)的2008.03.04通知计算机软件著作权登记收费项 目和标准211992.03.162004.11.052010.01.091987.06.232010.08.272010.02.261992.04.01200
6、4.12.202010.02.011987.06.232010.10.012010.02.2622中国互联网络域名管理办法23中华人民共和国专利法24中华人民共和国技术合冋法25关于电子专利申请的规定信息产业部全国人民代表大会常务委员国务院科学技术部国家知识产权局全国人大常委会26中华人民共和国著作权法27中华人民共和国著作权法实施 条例2002.08.021995.01.062005.12.132003.09.032010.04.291993.02.221999.10.072009.4.302002.9.151995.01.062006.03.012003.11.12010.10.01199
7、3.02.221999.10.072009.5.1国务院第359号令国家科委、国家保密局公安部发布国务院第390号令全国人大常委会全国人大常委会国务院第273号令公安部第107号中华人民共和国公安部28科学技术保密规疋29互联网安全保护技术措施规定30中华人民共和国认证认可条例31中华人民共和国保守国家秘密 法32中华人民共和国国家安全法33中华人民共和国商用密码管理 条例34消防监督检查规定35仓库防火安全管理规则1990.03.222003.11.242004.03.092007.06.291998.12.262001.10.261993.06.111994.04.10令第6号国务院394
8、号国家电力监管委员会第2号华人民共和国主席令第二十八号36地质灾害防治条例37电力安全生产监管办法2004.03.012004.03.092008.1.11999.01.222001.01.011993.08.0138中华人民共和国劳动法39失业保险条例40失业保险金申领发放41国务院劳动和社会保障部国务院中华人民共和国企业劳动争议 处理条例2.4保障与限制条件需要被评估单位提供的文档、工作条件和配合人员等必要条件,以及可能的 限制条件。三、评估对象3.1评估对象构成与定级3.1.13.1.1 网络结构根据提供的网络拓扑图,进行结构化的审核。3.1.23.1.2 业务应用本公司涉及的数据中心运
9、营及服务活动。3.1.33.1.3 子系统构成及定级N/A3.2评估对象等级保护措施按照工程项目安全域划分和保护等级的定级情况,分别描述不同保护等级保护范围内的子系统各自所采取的安全保护措施,以及等级保护的测评结果。根据需要,以下子目录按照子系统重复。3.2.1 XX3.2.1 XX 子系统的等级保护措施根据等级测评结果,XXXX 子系统的等级保护管理措施情况见附表一。根据等级测评结果,XXXX 子系统的等级保护技术措施情况见附表二。四、资产识别与分析4.1资产类型与赋值4.1.14.1.1 资产类型按照评估对象的构成,分类描述评估对象的资产构成。详细的资产分类与赋 值,以附件形式附在评估报告
10、后面,见附件 3 3资产类型与赋值表。4.1.24.1.2 资产赋值填写资产赋值表。大类详细分类举例文档和数据经营规划中长期规划等经营计划等组织情况组织变更方案等 组织机构图等组织变更通知等 组织手册等规章制度各项规程、业务手册等 人事制度人事方案等 人事待遇资料等 录用计划等离职资料等 中期人员计划等 人员构成等人事变动通知等 培训计划等 培训资料等财务信息预决算(各类投资预决算)等 业绩(财务报告)等中期财务状况等 资金计划等 成本等财务数据的处理方法(成本计算方法 和系统,会计管理审查等经营分析系 统,减税的方法、规程)等营业信息市场调查报告(市场动向,顾客需求,其它本公司动向及对这些情
11、况的分析方法和结果等商谈的内容、合同等报价等客户名单等营业战略(有关和其它本公司合作销售、销售途径的确定及变更,对代理商的政策等情报)等退货和投诉处理(退货的品名、数量、原因及对投诉的处理方法)等技术信息供应商信息等试验/分析数据(本公司或者委托其 它单位进行的试验/分析)等研究成果(本公司或者和其它单位合 作研究开发的技术成果)等科技发明的内容(专利申请书以及有 关的资料/试验数据)等开发计划书等新产品开发的体制、组织(新品开发人员的组成,业务分担,技术人员的配置等)技术协助的有关内容(协作方,协作 内容,协作时间等)教育资料等 技术备心录等软件信息)生产管理系统等 技术解析系统等 计划财务
12、系统等 设计书等 流程等 编码、密码系统等 源程序表等其他诉讼或其他有争议案件的内容(民事、无形资产、工伤 等纠纷内容)本公司基本设施情况(包括动力设 施)等董事会资料(新的投资领域、设备投 资计划等)本公司电话簿等本公司安全保卫实施情况及突发事 件对策等软件操作系统应用软件/系统数据库Win dows、Linux等开发工具、办公软件、网站平台、财 务系统等MS SQL Server、MySQL等传真等光纤、双绞线等磁带、光盘、软盘、U盘等光盘刻录机、磁带机等打印机、复印机、扫描仪硬件设备通讯工具传输线路存储媒体存储设备文印设备服务器桌面终端网络通信设备网络安全设备支撑设施PC Server、
13、小型机等PC工作站等路由器、交换机、集线器、无线路由器等防火墙、防水墙、IPS等UPS机房空调、发电机等高层管理人员本公司总/副总经理、总监等心、1 i 1L部门经理项目经理、项目组长、安全工程师软件工程师、程序员、测试工程师、面界工程师等人力资源高层管理人员中层管理人员技术管理人员普通技术人员IT服务人员系统管理员、网络管理员、维护工程 师其它服务通信房租托管人事、行政、财务等人员ADSL光纤等办公房屋租用服务器托管、虚拟主机、邮箱托管法律供电审计外聘律师、法律顾问照明电、动力电财务审计62资产赋值判断准则对资产的赋值不仅要考虑资产的经济价值,更重要的是要考虑资产的安全状况对于系统或组织的重
14、要性,由资产在其三个安全属性上的达成程度决定。资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析,并在此基础上得出综合结果的过程。达成程度可由安全属性缺失时造成的影响来表示,可能造成某些资产的损害以至危及信息系统,损失。这种影响还可能导致经济效益、市场份额、组织形象的6.2.1.机密性赋值根据资产在机密性上的不同要求,将其分为三个不同的等级,分别对应资产在机密性上应达成的不同程度或者机密性缺失时对整个组织的影响。赋值标识定义3高包含组织最重要的秘密,关系未来发展的前途命运,对根本利益有 着决定性的影响,如果泄露会造成灾难性的损害,例如直接损失超过100万人民币,或重大项目(
15、合冋)失败,或失去重要客户,或关键业务 中断3天。2中组织的一般性秘密,其泄露会使组织的安全和利益受到损害,例如 直接损失超过10万人民币,或项目(合冋)失败,或失去客户,或关 键业务中断超过1天。1低可在社会、组织内部或在组织某一部门内部公开的信息,向外扩散 有可能对组织的利益造成轻微损害或不造成伤害。622.完整性赋值根据资产在完整性上的不同要求,将其分为三个不同的等级,分别对应资产在完整性上 缺失时对整个组织的影响。赋值标识定义3高完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的 或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,并且难以弥补。例如直接损失超过100万
16、人民币,或重大项目(合冋)失败,或失去重要客户。2中完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业 务冲击明显,但可以弥补。例如直接损失超过目(合同)失败,或失去客户。10万人民币,或项1低完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,甚至可以忽略,对业务冲击轻微,容易弥补。623.可用性赋值根据资产在可用性上的不同要求,将其分为三个不同的等级,分别对应资产在可用性上 的达成的不同程度。赋值标识定义3高可用性价值非常高,合法使用者对资产的可用度达到年度或系统不允许中断。90%以上,2中可用性价值中等,合法使用者对资产的可用度在正常工作时间达到50%以上,或系统允许中断时
17、间小于8工作时。1低可用性价值较低或可被忽略,合法使用者对资产的可用度在正常工 作时间达到50%以下,或系统允许中断时间小于24工作时。6.24资产重要性等级资产价值(V)=机密性价值(C)+完整性价值(I)+可用性价值(A)资产等级:等级价值分类低中高资产总价值/1233-45-78-94.2重要资产清单及说明在分析被评估系统的资产基础上,列出对评估单位十分重要的资产,作为风 险评估的重点对象,并以清单形式列出如下:重要资产列表序号资产编号子系统名称应用苴资产重 要丿、程度 权重他 说明高高高高高高高高高高1.2.3.4.5.6.7.8.9.F001F002F004F006ATSH10-00
18、7ATSH-11/001/10-007ATSH10-008ATSH11-001HW-009各类公司证件财务账务文件发票用友通财务软件备份数据其他其他其他其他客户合同供应商合Pernod Ricard业务持续服务合同天选备份软件维护服务合同同客户合同客户合同服务器精密空调VantAsia业务持续服务合同NAB业务持续服务合同服务器(运作技术部)精密空调(运作技术部)10.HW-02211.HW-02312.HW-02413.HW-02614.HW-02715.HW-02816.HW-02917.HW-03018.HW-03119.HW-032UPS运作技术部)PPDC运作技术部)AVAYA运作技
19、术部)Switch(运作技术部)Router(运作技术部)Fire wall(运作技术部)DVR(运作技术部)客户数据(硬盘)柴油发电机组UPSPPDC通讯设备网络设备网络设备网络设备监控设备硬盘柴油发电机高高高高高高高高高20.F001etax网上报税系统财务软件-单机财务软件高21.F002用友通财务软件-单机发票打印软件-单机财务软件高22.F00323.A-02-25-03-201106-00424.A-02-25-03-201106-00525.H0001高Cowin监控系统General PSS V4.01.0.R.091112梁文略监控系统监控系统高层管理高高高人员高层管理杨英2
20、6.S0002人员中层管理高27.S000128.S000629.S0003李海宁赵红张光辉人员销售人员中层管理人员高高高IT服务30.S0004刘子明人员高IT服务31.S0005胡捷人员高IT服务32.S000833.S000734.S002635.server0236.server03张力唐海英刘影网络通信供电人员其它其它中国联通物管-德必创意物管-德高高高高高37.server04房屋必创意高五、威胁识别与分析对威胁来源(内部/外部;主观/不可抗力等)、威胁方式、发生的可能性,威胁主体的能力水平等进行列表分析。下面是典型的威胁范本:编号威胁硬件和设施软件和系统文档和数据人力资源服务12
21、345678910故障废弃服务失效/中断恶意软件抵赖通信监听操作失误未经授权更改未经授权访问,使用 或复制被利用传送敏感信息11121314151617181920212223242526盗窃供电故障恶意破坏电子存储媒体故障违背知识产权相关法律、法规温度、湿度、灰尘超 限静电黑客攻击容量超载系统管理员权限滥用密钥泄露、篡改密钥滥用个体伤害(车祸、疾 病等)不公正待遇社会工程人为灾难:瘟疫、火灾、爆炸、恐怖袭击等27自然灾难:地震、洪水、台风、雷28击等服务供应商泄密5.1威胁数据采集5.2威胁描述与分析依据威胁赋值表,对资产进行威胁源和威胁行为分析5.2.1 威胁源分析填写威胁源分析表5.2.
22、25.2.2 威胁行为分析填写威胁行为分析表5.2.35.2.3 威胁能量分析5.3威胁赋值威胁发生可能性等级对照表等级说明低中高发生可能性非等级2与等级3的定义每半年至少发生一次但不及等级每月至少发生两次123说明:3判断威胁出现的频率是威胁识别的重要工作,评估者应根据经验和(或)有关的统计数据来 进行判断。在风险评估过程中,还需要综合考虑以下三个方面,以形成在某种评估环境中各 种威胁出现的频率:1)以往安全事件报告中出现过的威胁及其频率的统计;2)实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;3)近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的 威
23、胁预警。六、脆弱性识别与分析按照检测对象、检测结果、脆弱性分析 分别描述以下各方面的脆弱性检测结果和结果分析。6.1常规脆弱性描述编号大类环境和基础设施编号小类及说明物理保护的缺乏:建筑物、门、窗等物理访问控制不充分或不仔细电力供应不稳处于易受到威胁的场所,例如洪水、地震11.11.21.31.41.52.12.22.32.42.52.62.72.82.9缺乏防火、防雷等保护性措施缺之周期性的设备更新方案易受电压变化影响易受到温度、湿度、灰尘和污垢影响易受到电磁辐射媒体介质缺之维护或错误安装缺之有效的配置变更控制缺之设施安全控制机制不当维护不当处置不清晰、不完整的开发规格说明书没有、或不完备的
24、软件测试复杂的用户界面缺乏标示和授权机制,例如用户授权缺乏审核踪迹众所周知的软件缺陷,易受病毒等攻击密码表未受到保护密码强度太弱访问权限的错误配置未经控制的下载和使用软件离开工作常所未注销(锁屏)缺乏有效的变更控制文档缺乏缺乏备份处置或重用没有正确的擦除内容的存储介质缺乏加解密使用策略缺乏密钥管理缺乏身份鉴别机制缺乏补丁管理机制安装、使用盗版软件缺乏使用监控未经授权复制或传播软件(许可)缺乏(文件)共享安全策略缺乏服务/端口安全策略缺乏病毒库升级管理机制不受控发布公共信息通信线路缺乏保护电缆连接不牢固对发送和接收方缺乏识别与验证明文传输口令发送与接受消息时缺少证据2硬件3软件3.13.23.3
25、3.43.53.63.73.83.93.103.113.123.133.143.153.163.173.183.193.203.213.223.233.243.253.264网络与通信4.14.24.34.44.54.64.74.84.94.104.11拨号线路未保护的敏感信息传输网络管理不恰当未受保护的公网连接缺乏身份鉴别机制未配置或错误配置访问权限存放缺之保护不受控访问或复制随意处置缺乏备份机制员工缺编安全训练不兀备缺之安全意识缺乏控制机制缺乏员工关怀/申诉政策不完备的招聘/离职程序道德缺失单点故障服务故障响应不及时负载过高缺乏安全控制机制缺乏应急机制5文档5.15.25.35.46人员6
26、.16.26.36.46.56.66.77服务与一般应用弱点7.17.27.37.47.56.3脆弱性综合列表威胁发生可能性等级对照表等级说明低中高发生可能性非等级2与等级3的定义每半年至少发生一次但不及等级每月至少发生两次123说明:3判断威胁出现的频率是威胁识别的重要工作,评估者应根据经验和(或)有关的统计数据来 进行判断。在风险评估过程中,还需要综合考虑以下三个方面,以形成在某种评估环境中各 种威胁出现的频率:1)以往安全事件报告中出现过的威胁及其频率的统计;2)实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;3)近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统
27、计,以及发布的 威胁预警。七、风险分析7.1关键资产的风险计算结果信息安全风险矩阵计算表威胁发生可能性影响程度等级资产价值低1中2高3低1中2高3低1中2高3低1中2高31231232463692464812612183696121891827说明:在完成了资产识别、威胁识别、弱点识别,以及对已有安全措施确认后,将采用适当的方法 确定威胁利用弱点导致安全事件发生的可能性,式如下,风险值=弱点被利用可能性等级X考虑安全事件一旦发生其所作用的资产的重即安全风险。风险计算的方威胁利用弱点影响程度等级X资产价值要性及弱点的严重程度判断安全事件造成的损失对组织的影响,信息安全风险接受准则等级划分标准说明
28、不可接受的风险,必须采取控制措施有条件接受的风险(需经评估小组评审,判断是否可以接受 的风险)不需要评审即可接受的风险A级B级C级18及以上6-121-4724 风险结果分析等级数量说明不可接受的风险,必须采取控制措施A级B级C级1818617有条件接受的风险(需经评估小组评审,判断是否可以接受 的风险)不需要评审即可接受的风险八、综合分析与评价通过综合的评估,公司现有的风险评估的结果是适宜的、充分的、有效的。九、整改意见1.1.加强各部门对风险处理技巧的培训。2.2.对 A A 级风险公司的处理需对各部门进行公示。3.3.对 A A 级和 B B 级风险采取适当的控制措施,编写入公司的三级文
29、件进行控 制。附件1管理措施表序号层面/方面安全控制/措施管理制度落实部分落实没有落实不适用VVV安全管理制度制定和发布评审和修订岗位设置人员配备VV安全管理机构授权和审批沟通和合作审核和检查人员录用人员离岗VVVVV人员安全管理人员考核安全意识教育和培训VV外部人员访问管理V系统定级V安全方案设计V产品采购V自行软件开发V外包软件开发V系统建设管理工程实施V测试验收V系统交付V系统备案V安全服务商选择V序号层面/方面安全控制/措施环境管理资产管理介质管理设备管理监控管理和安全管理中心网络安全管理落实部分落实没有落实不适用VVVVVV系统运维管理系统安全管理恶意代码防范管理密码管理变更管理备份
30、与恢复管理VVVVV安全事件处置V应急预案管理V小计附件2:技术措施表序 号层面/方面安全控制/措施物理位置的选择落实部分落实没有落实不适用1V物理访问控制防盗窃和防破坏防雷击物理安全防火防水和防潮防静电温湿度控制VVVVVVV电力供应V序 号层面/方面安全控制/措施电磁防护网络结构安全落实部分落实没有落实不适用VV网络访问控制V网络安全审计V网络安全边界完整性检查V网络入侵防范V恶意代码防范V网络设备防护V身份鉴别V访问控制V安全审计V主机安全剩余信息保护入侵防范VV恶意代码防范V资源控制V身份鉴别V访问控制V安全审计V剩余信息保护VVV应用安全通信完整性通信保密性抗抵赖V软件容错V资源控制
31、V数据完整性V数据安全及备份与恢复数据保密性备份和恢复VV附件3:资产类型与赋值表针对每一个系统或子系统,单独建表类别项目子项资产编 号资产名称资产权重赋值说 明附件4:威胁赋值表资操产编作名号失误称滥用授权行为抵赖身份假冒口令攻击密码分析漏洞利用拒绝服务恶意代码窃取数据物理破坏社会意工外程故障管通数电理信据源灾中不害断受中到损断位越总威权分胁等使用值级 nnnn附件5:脆弱性分析赋值表编号整改建议检测项检测子项脆弱性作用对象赋值潜在影响标识机构、制度、人员V1V2安全策略1管理脆弱 性检测检测与响应脆弱性V3V4日常维护V5网络拓扑及结构脆弱性V6V72网络脆弱 性检测网络设备脆弱性网络安全
32、设备脆弱性V8V9操作系统脆弱性V103系统脆弱 性检测数据库脆弱性V11V12网络服务脆弱性4应用脆弱 性V13V14检测数据处理V155数据处理 和存储脆 弱性数据存储脆弱性V16V176运行维护 脆安全事件管理V18V19弱性数据备份7灾备与应 急响应脆V20V21应急预案及演练弱性V22环境脆弱性V23V24设备脆弱性8物理脆弱 性检测存储介质脆弱性V25V26V27远程控制木马V289木马病毒 检测恶意插件V29V30办公区V31V31生产区现场渗透 测V32V3210渗透与攻 击性检测试服务区V33V33跨地区V34V34远程渗透测试V35V36关键设备一关键设备 安11全性专 项检关键设备二测V37V38设备米购环节设备采购V39V4012和维保服维护环节务V4113其他检测V42