信息资产识别与风险评估表

版版本本号号版版本本日日期期编编写写人人审审核核人人审审批批人人说说 明明 V1 0文档发布 信信息息安安全全风风险险评评估估清清单单 编编号号文文档档目目录录及及说说明明 1步骤1 业务影响分析对评估范围内信息系统及关键活动的业务影响分析和排序 2步骤2 资产清单各信息系统及关键活动所包含的资产清单及资产价值统计 3步骤3 风险清单资产所面临的风险清单和风险计算结果 及相对应的残余风险 4步骤4 风险处置计划针对已决定进行处理的风险制定的详细的处理计划 5附录1 赋值说明本文档使用过程中进行赋值的参考说明 6附录2 威胁 脆弱性对照表按照资产类别排序的威胁 脆弱性对照表 用于资产风险识别 7附录3 风险等级对照表风险计算结果对应风险等级的参照表 用于确定风险级别 注注意意事事项项 资资产产识识别别 信信息息系系统统包包含含的的资资产产主主要要指指与与信信息息系系统统直直接接相相关关的的资资产产 如如 信信息息 信息系统上传输的数据 信息系统的设计开发文档 软软件件 信息系统正常运行所需的应用 中间件 数据库 操作系统等 硬硬件件 信息系统正常运行所需的服务器 小型机 磁盘柜等 关关键键活活动动包包含含的的资资产产主主要要指指活活动动进进行行所所必必须须的的6 6类类资资产产 如如 硬硬件件 各部门用于存储 处理 传输日常办公及客户信息的各种设备和介质 例 如 移动硬盘 台式机 计算机等 软软件件 各种本部门安装使用的软件 包括操作系统 中间件 数据库 应用软件 工具应用软件 终端安全软件等 信信息息 括各种业务相关的电子类及纸质的文件资料 可按照部门现有文件明细列举 人人员员 本部门各种对信息资产进行使用 操作和支持的人员角色 含为部门提供各 种服务的外部人员 例如长期驻场外包人员 物物理理环环境境 承载硬件资产和信息资产的设施 非计算机硬件类的实体 服服务务 各种本部门通过购买方式获取的 或者需要支持部门特别提供的 支持或协 助日常业务进行的服务 资资产产赋赋值值 在在对对资资产产进进行行CIACIA赋赋值值时时 需需注注意意以以下下内内容容 1 一般情况下 软件 硬件更多的是考虑可用性 保密性 完整性的赋值可以为1 2 如果有些数据无法细分 可按照就高原则给出总体评分 3 一般情况下 人员 服务的保密性 完整性无法衡量 更多的是考虑可用性 保 密性 完整性赋值可以为1 风风险险评评估估 风风险险评评估估过过程程应应遵遵从从以以下下原原则则 1 合并同类项原则 资产的类型 赋值 所处位置相同时 可合在一起进行风险评估 2 威胁 脆弱性统一赋值原则 资产的类型 所处位置相同 但资产赋值不同时 若采取的控制措施相同 威胁 及脆弱性的赋值基本保持一致 3 残余风险赋值原则 如果风险可接受 暂不采取除现有控制措施以外的控制措施时 残余风险与风险 值一致 业业务务影影响响分分析析 编编号号信信息息系系统统 关关键键活活动动负负责责人人 XSB 01招投标销售部门负责人 XSB 02客户交流 XSB 03合同签订 XSB 05业务会议 XSB 06客户信息管理 XSB 07制定销售制度及执行 XSB 08 XSB 09 内内容容描描述述业业务务影影响响度度备备注注 4 2 2 1 业业务务影影响响分分析析 资资产产清清单单 编编号号信信息息系系统统 关关键键活活动动资资产产大大类类资资产产小小类类资资产产名名称称数数量量 YWB 01硬件主机设备服务器123 YWB 02硬件存储设备存储4 YWB 03硬件网络设备交换机44 所所处处位位置置资资产产责责任任人人资资产产描描述述保保密密性性完完整整性性可可用用性性 业业务务影影 响响度度 资资产产价价值值 IDC机房王逵力服务器11444 IDC机房王逵力存储11444 IDC机房王逵力交换机11444 资资产产清清单单 风风险险清清单单 序序号号信信息息系系统统 关关键键活活动动资资产产大大类类资资产产小小类类资资产产名名称称威威胁胁描描述述 XSB 01招投标硬件终端设备PC机 软硬件故障或失 效 部门缩写 01 001 部门缩写 01 001 部门缩写 01 001 部门缩写 01 002A硬件办公辅助设备打印机 部门缩写 01 002 部门缩写 01 002 部门缩写 01 002 部门缩写 01 003A软件终端操作系统win7 部门缩写 01 003 部门缩写 01 003 部门缩写 01 003 部门缩写 01 004A软件应用系统OA系统 部门缩写 01 005A信息业务信息业务数据 部门缩写 01 006A信息管理文档工作报告 部门缩写 01 007A人员内部人员 中高层领导xxx 部门缩写 01 008A人员内部人员 开发人员xxx 部门缩写 01 009A人员外部人员xxx 部门缩写 01 010A物理环境硬件保障设施机柜机架 部门缩写 01 011A物理环境环境监控设施视频监控 部门缩写 01 012A物理环境介质保障设施文件柜 部门缩写 01 013A服务业务支持服务主机硬件支持 部门缩写 01 014A服务业务支持服务软件研发 部门缩写 02 001 脆脆弱弱性性描描述述风风险险描描述述现现有有控控制制措措施施资资产产价价值值 威威胁胁 评评分分 脆脆弱弱性性 评评分分 风风险险值值 风风险险 等等级级 是是否否 处处置置 设备维保服务 缺乏或不完善 因 设备维保服务缺乏或 不完善 当发生 软硬 件故障或失效 时 可能 导致 办公电脑不可用 从而影响招投标活动的正 常开展 有 硬件设备检修管理制度 制度由网络管理员定期 N A24 N A N A是 N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A N A 风风险险清清单单 处处置置计计划划 残残余余威威 胁胁评评分分 残残余余脆脆弱弱 性性评评分分 残残余余风风险险 值值 残残余余风风险险 请输入请输入 N A N A 00 N A N A 00 N A N A 00 N A N A 00 N A N A 00 N A N A 00 N A N A 00 N A N A 00 N A N A 00 N A N A 00 N A N A 00 N A N A 00 N A N A 00 N A N A 00 N A N A 00 N A N A 00 N A N A 00 N A N A 风风险险清清单单 风风险险处处置置计计划划 计计划划 编编号号 处处置置计计划划处处置置任任务务处处置置类类型型资资源源投投入入 风风险险处处置置 优优先先级级 责责任任部部门门责责任任人人 任任务务实实施施 步步骤骤 计计划划开开始始 时时间间 计计划划完完成成 时时间间 实实际际完完成成 时时间间 实实际际完完成成情情况况备备注注 风风险险处处置置计计划划 威威胁胁赋赋值值 T T 描描述述 赋赋值值等等级级 5很高出现的频率很高 或 1次 周 或在大多数情况下几乎不可避免 或可以证实经常发生过 4高出现的频率较高 或 1次 月 或在大多数情况下很有可能会发生 或可以证实多次发生过 3中出现的频率中等 或 1次 半年 或在某种情况下可能会发生 或被证实曾经发生过 2低出现的频率较小 或一般不太可能发生 或没有被证实发生过 1很低威胁几乎不可能发生 仅可能在非常罕见和例外的情况下发生 脆脆弱弱性性赋赋值值 V V 描描述述 赋赋值值基基于于现现有有控控制制措措施施 赋赋值值等等级级 5很高如果被威胁利用 将对资产造成完全损害 其功能 作用完全丧失 4高如果被威胁利用 将对资产造成重大损害 致使其损失主要功能 作用 3中如果被威胁利用 将对资产造成一般损害 致使其损失次要功能 作用 2低如果被威胁利用 将对资产造成较小损害 致使其损失小的功能 作用 1很低如果被威胁利用 将对资产造成的损害可以忽略 几乎没有功能 作用损失 风风险险接接受受准准则则 资资产产价价值值大大于于2 2 描描述述 风风险险等等级级取取值值范范围围 高风险76 125必必须须处处理理 风险值在该区间内的风险 必须采取控制措施处理该风险 中风险27 75 待待定定 风险值在该区间内的风险 由相关部门讨论待定 管理层审批需要处理的风险 低风险1 26暂暂不不需需处处理理 风险值在该区间内的风险 由于发生的可能性很低 或发生后对业务的影响较低 因此可选择暂不进行处理 序序号号资资产产类类别别资资产产定定义义 1硬件各部门用于存储 处理 传输日常办公及客户信息的各种设备和介质 例如移动硬盘 台式机 计算机等 2软件各种本部门安装使用的软件 包括操作系统 中间件 数据库 应用软件 工具应用软件 终端安全软件等 3信息括各种业务相关的电子类及纸质的文件资料 可按照部门现有文件明细列举 4人员本部门各种对信息资产进行使用 操作和支持的人员角色 含为部门提供各种服务的外部人员 例如长期驻场外包人员 5物理环境承载硬件资产和信息资产的设施 非计算机硬件类的实体 6服务各种本部门通过购买方式获取的 或者需要支持部门特别提供的 支持或协助日常业务进行的服务 序序号号资资产产大大类类资资产产小小类类 1 硬件 主机设备 2终端设备 3网络设备 4传输介质 5安全设备 6存储介质 7存储设备 8办公辅助设备 9 软件 服务器操作系统 10终端操作系统 11数据库 12中间件 13工具应用软件 14应用系统 15开发测试系统 16 信息 业务信息 17系统配置信息 18管理文档 19源程序 20实体信息 21 人员 内部人员 中高层领导 22内部人员 支撑人员 23内部人员 业务人员 24内部人员 运维人员 25内部人员 开发人员 26外部人员 27 物理环境 硬件保障设施 28环境监控设施 29建筑环境设施 30介质保障设施 31 服务 基础保障服务 32业务支持服务 描描述述 大型机 小型机 PC服务器等 台式机 KVM 笔记本 移动终端等 路由器 交换机 HUB 负载均衡设备等 光纤 双绞线 同轴电缆 卫星线路等 防火墙 防毒墙 安全网关 入侵检测设备 扫描设备 加密机 VPN 网闸 堡垒主机等 磁带 光盘 U盘 移动硬盘等 磁盘阵列 磁带库 NAS SAN 存储设备等 传真机 碎纸机 打印机 扫描仪 复印机 刻录机 照相机等 Windows Server Linux Unix AIX Solaris等 虚拟化系统 Hyper ESX ESXi XenServer等 Windows XP 7 Mac iOS等 Oracle DB2 Sqlserver Mysql等 Websphere Weblogic 应用服务器 消息中间件 对象中间件等 office 通讯软件 媒体编辑软件 软件开发工具 测试工具 版本控制软件 设计建模工具 终端杀毒软件 防篡改 终端管理系统客户端等 OA系统 邮件系统 业务处理系统 ERP 交易系统 门户网站 终端管理系统 文档加密系统 视频监控管理系统 IT服务管理系统 IT资源监控 管理系统等 正在测试且未上线或部分上线的系统以及正在开发的系统 财务 人力信息 合同信息 项目信息 采购信息 客户信息 市场资料 业务数据 交易数据等 配置 日志 帐户权限口令信息 软证书等 管理制度文档 运维资料 培训资料 收发文 工作报告 软件开发文档 法律法规等 源代码 软件安装包 License等 印章 证照 硬证书 令牌 其它实体信息等 公司董事会层面相关成员或者大部门领导级成员 部门领导或者部门模块科室领导 行政 财务 人力资源等员工 公司业务人员 IT运维人员 主机管理员 网络管理员 系统管理员 数据库管理员 安全管理员 开发人员 测试人员等 业务外包人员 开发外包人员 运维外包人员 物业保安人员等 空调 UPS 发电机 门禁设施 消防设施 机柜机架等 CCTV 报警设施 温湿度监控 设备间 机房 办公大厦 保险柜 档案室 文件柜等 供电 物业 宝洁 保安监控 供水 办公设备维保 大厦空调 物流快递 打印等服务 包括主机硬件支持 开放平台硬件支持 机房设备设施支持 存储设备支持 云计算支持 软件和硬件的研发 IT咨询 安全咨询 财务审计 法 律咨询 人力资源支持 公关媒体 宝洁 物流快递 打印 保安监控等服务 资资产产定定义义 各部门用于存储 处理 传输日常办公及客户信息的各种设备和介质 例如移动硬盘 台式机 计算机等 各种本部门安装使用的软件 包括操作系统 中间件 数据库 应用软件 工具应用软件 终端安全软件等 括各种业务相关的电子类及纸质的文件资料 可按照部门现有文件明细列举 本部门各种对信息资产进行使用 操作和支持的人员角色 含为部门提供各种服务的外部人员 例如长期驻场外包人员 承载硬件资产和信息资产的设施 非计算机硬件类的实体 各种本部门通过购买方式获取的 或者需要支持部门特别提供的 支持或协助日常业务进行的服务 威威胁胁 脆脆弱弱性性对对照照表表 资资产产大大类类资资产产小小类类威威胁胁脆脆弱弱项项可可能能导导致致的的后后果果 硬件终端设备盗窃或丢失 移动终端易于遗失 移动终端丢失或损毁 敏感信息泄 露 组织遭受损失 硬件终端设备 蓄意破坏或 篡改 移动终端易于遗失 移动终端损毁 敏感信息泄露或不 可用 组织遭受损失 硬件终端设备 软硬件故障 或失效 设备维保服务缺乏 或不完善 监控设备不可用 安全事件不受监 控 调查取证困难 盗窃或丢失的 责任难以追溯 硬件终端设备 业务环境变 化 设备维保服务缺乏 或不完善 监控设备不可用 安全事件不受监 控 调查取证困难 盗窃或丢失的 责任难以追溯 硬件终端设备恶意代码 未安装恶意代码防 护软件 系统感染恶意代码 敏感信息泄露 或被篡改 系统服务无法正提供 业务受到影响 硬件终端设备操作失误 未安装恶意代码防 护软件 系统感染恶意代码并大范围的扩散 网络系统受到影响 组织遭受损 失 硬件终端设备 黑客入侵或 网络攻击 未安装恶意代码防 护软件 系统感染恶意代码并大范围的扩散 网络系统受到影响 组织遭受损 失 硬件终端设备操作失误 恶意代码防范管理 机制缺失或不完善 恶意代码蔓延 业务系统是受到感 染 硬件终端设备 黑客入侵或 网络攻击 恶意代码分析报告 缺失或不完善 无法及时有效的分析恶意代码并进 行防范 网络系统易被感染 敏感 信息泄密或被篡改 系统服务无法 提供 业务受到影响 硬件终端设备恶意代码 恶意代码分析报告 缺失或不完善 无法及时有效的分析恶意代码并进 行防范 网络系统易被感染 敏感 信息泄密或被篡改 系统服务无法 提供 业务受到影响 硬件终端设备恶意代码 恶意代码防范管理 机制缺失或不完善 无法及时恰当的预防 监控或处置 恶意代码 系统容易感染恶意代码 硬件终端设备 黑客入侵或 网络攻击 恶意代码防范管理 机制缺失或不完善 无法及时恰当的预防 监控或处置 恶意代码 系统容易感染恶意代码 黑客容易入侵系统 硬件终端设备 业务环境变 化 安全维护管理机制 缺失或不完善 网络 主机系统 数据 应用等管 理混乱 工作效率受到影响 且易 产生安全事故 硬件终端设备操作失误 安全维护管理机制 缺失或不完善 网络 主机系统 数据 应用等管 理混乱 工作效率受到影响 且易 产生安全事故 硬件终端设备 外部人员 外部来访 外包 第三 方人员等 攻击 密码管理机制缺失 或不完善 密码丢失 泄露 身份被盗用 敏 感信息泄密 系统服务被篡改 业 务受到影响或中断 硬件终端设备 内部人员攻 击 密码管理机制缺失 或不完善 密码丢失 泄露 身份被盗用 敏 感信息泄密 系统服务被篡改 业 务受到影响或中断 硬件终端设备 黑客入侵或 网络攻击 密码管理机制缺失 或不完善 密码丢失 泄露 身份被盗用 敏 感信息泄密 系统服务被篡改 业 务受到影响或中断 硬件终端设备操作失误 安全事件管理机制 缺失或不完善 安全事件不能及时响应和处置 事 件升级 服务不可用 正常工作受 到影响 硬件终端设备火灾 安全事件管理机制 缺失或不完善 火灾事件不能及时响应和处置 火 灾蔓延失控 事件升级 组织遭受 重大损失 硬件终端设备恶意代码 安全事件管理机制 缺失或不完善 恶意代码程序不能及时得到处置 事件升级 服务受到影响 硬件终端设备 外部人员 外部来访 外包 第三 方人员等 攻击 安全事件管理机制 缺失或不完善 攻击事件不能及时响应和处置 事 件升级不可控 服务不可用 硬件终端设备 黑客入侵或 网络攻击 安全事件管理机制 缺失或不完善 入侵事件不能及时响应和处置 事 件升级 服务不可用 风风险险描描述述 因 移动终端易于遗失 当发生 盗窃或丢失 时 可能导致 移动终端丢失或损毁 敏感信息泄露 组织 遭受损失 因 移动终端易于遗失 当发生 蓄意破坏或篡改 时 可能导致 移动终端损毁 敏感信息泄露或不可用 组织遭受损失 因 设备维保服务缺乏或不完善 当发生 软硬件故 障或失效 时 可能导致 监控设备不可用 安全事件 不受监控 调查取证困难 盗窃或丢失的责任难以追溯 因 设备维保服务缺乏或不完善 当发生 业务环境 变化 时 可能导致 监控设备不可用 安全事件不受 监控 调查取证困难 盗窃或丢失的责任难以追溯 因 未安装恶意代码防护软件 当发生 恶意代码 时 可能导致 系统感染恶意代码 敏感信息泄露或被 篡改 系统服务无法正提供 业务受到影响 因 未安装恶意代码防护软件 当发生 操作失误 时 可能导致 系统感染恶意代码并大范围的扩散 网 络系统受到影响 组织遭受损失 因 未安装恶意代码防护软件 当发生 黑客入侵或 网络攻击 时 可能导致 系统感染恶意代码并大范围 的扩散 网络系统受到影响 组织遭受损失 因 恶意代码防范管理机制缺失或不完善 当发生 操作失误 时 可能导致 恶意代码蔓延 业务系统是 受到感染 因 恶意代码分析报告缺失或不完善 当发生 黑客 入侵或网络攻击 时 可能导致 无法及时有效的分析 恶意代码并进行防范 网络系统易被感染 敏感信息泄 密或被篡改 系统服务无法提供 业务受到影响 因 恶意代码分析报告缺失或不完善 当发生 恶意 代码 时 可能导致 无法及时有效的分析恶意代码并 进行防范 网络系统易被感染 敏感信息泄密或被篡改 系统服务无法提供 业务受到影响 因 恶意代码防范管理机制缺失或不完善 当发生 恶意代码 时 可能导致 无法及时恰当的预防 监控 或处置恶意代码 系统容易感染恶意代码 因 恶意代码防范管理机制缺失或不完善 当发生 黑客入侵或网络攻击 时 可能导致 无法及时恰当的 预防 监控或处置恶意代码 系统容易感染恶意代码 黑客容易入侵系统 因 运维层面 网络 主机系统 数据 应用等 安全 管理机制缺失或不完善 当发生 业务环境变化 时 可能导致 网络 主机系统 数据 应用等管理混乱 工作效率受到影响 且易产生安全事故 因 运维层面 网络 主机系统 数据 应用等 安全 管理机制缺失或不完善 当发生 操作失误 时 可 能导致 网络 主机系统 数据 应用等管理混乱 工 作效率受到影响 且易产生安全事故 因 密码管理机制缺失或不完善 当发生 外部人员 外部来访 外包 第三方人员等 攻击 时 可能导 致 密码丢失 泄露 身份被盗用 敏感信息泄密 系 统服务被篡改 业务受到影响或中断 威威胁胁 脆脆弱弱性性对对照照表表 因 密码管理机制缺失或不完善 当发生 内部人员 攻击 时 可能导致 密码丢失 泄露 身份被盗用 敏感信息泄密 系统服务被篡改 业务受到影响或中断 因 密码管理机制缺失或不完善 当发生 黑客入侵 或网络攻击 时 可能导致 密码丢失 泄露 身份被 盗用 敏感信息泄密 系统服务被篡改 业务受到影响 或中断 因 安全事件管理机制缺失或不完善 当发生 操作 失误 时 可能导致 安全事件不能及时响应和处置 事件升级 服务不可用 正常工作受到影响 因 安全事件管理机制缺失或不完善 当发生 火灾 时 可能导致 火灾事件不能及时响应和处置 火灾 蔓延失控 事件升级 组织遭受重大损失 因 安全事件管理机制缺失或不完善 当发生 恶意 代码 时 可能导致 恶意代码程序不能及时得到处置 事件升级 服务受到影响 因 安全事件管理机制缺失或不完善 当发生 外部 人员 外部来访 外包 第三方人员等 攻击 时 可 能导致 攻击事件不能及时响应和处置 事件升级不可 控 服务不可用 因 安全