信息系统安全风险评估方案报告

1、范文范例指导学习有限公司信息系统安全风险评估报告记录编号005创建日期2015 年8月16日文档密级更改记录时间更改内容更改人项目名称 ：XXX 风险评估报告被评估公司单位： XXX 有限公司参与评估部门 ： XXXX 委员会word 版本整理分享范文范例指导学习一、风险评估项目概述1.1 工程项目概况1.1.1 建设项目基本信息风险评估版本201X 年 8 日 5 日更新的资产清单及评估项目完成时间201X 年8月5日项目试运行时间2015 年 1-6 月1.2 风险评估实施单位基本情况评估单位名称XXX 有限公司二、风险评估活动概述2.1 风险评估工作组织管理描述本次风险评估工作的组织体系

2、（含评估人员构成 ）、工作原则和采取的保密措施 。2.2 风险评估工作过程本次评估供耗时2 天，采取抽样的的方式结合现场的评估，涉及了公司所word 版本整理分享范文范例指导学习有部门及所有的产品 ，已经包括了位于公司地址位置的相关产品。2.3 依据的技术标准及相关法规文件本次评估依据的法律法规条款有：序号法律 、法规及其他要求名称颁布时间实施时间颁布部门全国人大常委会关于维护互联12000.12.282000.12.28全国人大常委会网安全的决定中华人民共和国计算机信息系21994.02.181994.02.18国务院第 147号令统安全保护条例中华人民共和国计算机信息网31996.02.0

3、11996.02.01国务院第 195号令络国际联网管理暂行规定中华人民共和国计算机软件保42001.12.202002.01.01国务院第 339号令护条例中华人民共和国信息网络传播52006.05.102006.07.01国务院第 468号令权保护条例中华人民共和国计算机信息网国务院信息化工作领导6络国际联网管理暂行规定实施1998.03.061998.03.06小组办法计算机信息网络国际联网安全71997.12.161997.12.30公安部第 33号令保护管理办法计算机信息系统安全专用产品81997.06.281997.12.12公安部第 32号令检测和销售许可证管理办法word 版本

4、整理分享范文范例指导学习9计算机病毒防治管理办法2000.03.302000.04.26公安部第 51 号令10恶意软件定义2007 06.272007 06.27中国互联网协会11抵制恶意软件自律公约2007 06.272007 06.27中国互联网协会计算机信息系统保密管理暂行121998.2.261998.02.26国家保密局规定计算机信息系统国际联网保密132000.01.012000.01.01国家保密局管理规定中华人民共和国工业和14软件产品管理办法2000.10.082000.10.08信息化部互联网等信息系统网络传播视152004.06.152004.10.11国家广播电影电视

5、总局听节目管理办法16互联网电子公告服务管理规定2000.10.082000.10.08信息产业部信息系统工程监理工程师资格172003 年颁布2003.03.26信息产业部管理办法信息系统工程监理单位资质管182003.03.262003.04.01信息产业部理办法19电子认证服务管理办法2009.02.042009.03.31信息产业部关于印发 国家电子信息产业基中华人民共和国信息产20地和产业园认定管理办法（试2008.03.042008.03.04业部行）的通知21计算机软件著作权登记收费项1992.03.161992.04.01机电部计算机软件登记办word 版本整理分享范文范例指导

6、学习目和标准公室22中国互联网络域名管理办法2004.11.052004.12.20信息产业部全国人民代表大会常务委23中华人民共和国专利法2010.01.092010.02.01员24中华人民共和国技术合同法1987.06.231987.06.23国务院科学技术部25关于电子专利申请的规定2010.08.272010.10.01国家知识产权局26中华人民共和国著作权法2010.02.262010.02.26全国人大常委会中华人民共和国著作权法实施272002.08.022002.9.15国务院第359 号令条例28科学技术保密规定1995.01.061995.01.06国家科委 、国家保密局

7、29互联网安全保护技术措施规定2005.12.132006.03.01公安部发布30中华人民共和国认证认可条例2003.09.032003.11.1国务院第390 号令中华人民共和国保守国家秘密312010.04.292010.10.01全国人大常委会法32中华人民共和国国家安全法1993.02.221993.02.22全国人大常委会中华人民共和国商用密码管理331999.10.071999.10.07国务院第273 号令条例34消防监督检查规定2009.4.302009.5.1公安部第107 号中华人民共和国公安部35仓库防火安全管理规则1990.03.221994.04.10令第 6号36

8、地质灾害防治条例2003.11.242004.03.01国务院34 号word 版本整理分享范文范例指导学习国家电力监管委员会第237电力安全生产监管办法 2004.03.092004.03.09号华人民共和国主席令第二38中华人民共和国劳动法2007.06.292008.1.1十八号39失业保险条例1998.12.261999.01.22国务院40失业保险金申领发放2001.10.262001.01.01劳动和社会保障部中华人民共和国企业劳动争议411993.06.111993.08.01国务院处理条例2.4 保障与限制条件需要被评估单位提供的文档、工作条件和配合人员等必要条件，以及可能的限

9、制条件 。三、评估对象3.1 评估对象构成与定级3.1.1 网络结构根据提供的网络拓扑图 ，进行结构化的审核 。3.1.2 业务应用本公司涉及的数据中心运营及服务活动。word 版本整理分享范文范例指导学习3.1.3 子系统构成及定级N/A3.2 评估对象等级保护措施按照工程项目安全域划分和保护等级的定级情况，分别描述不同保护等级保护范围内的子系统各自所采取的安全保护措施，以及等级保护的测评结果。根据需要 ，以下子目录按照子系统重复。3.2.1XX 子系统的等级保护措施根据等级测评结果 ， XX 子系统的等级保护管理措施情况见附表一。根据等级测评结果 ， XX 子系统的等级保护技术措施情况见附

10、表二。四、资产识别与分析4.1 资产类型与赋值4.1.1 资产类型按照评估对象的构成，分类描述评估对象的资产构成。详细的资产分类与赋值，以附件形式附在评估报告后面，见附件 3资产类型与赋值表 。4.1.2 资产赋值填写资产赋值表 。word 版本整理分享范文范例指导学习大类详细分类举例文档和数据经营规划中长期规划等经营计划等组织情况组织变更方案等组织机构图等组织变更通知等组织手册等规章制度各项规程 、业务手册等人事制度人事方案等人事待遇资料等录用计划等离职资料等中期人员计划等人员构成等人事变动通知等培训计划等培训资料等财务信息预决算 （各类投资预决算)等业绩 （财务报告 )等中期财务状况等wo

11、rd 版本整理分享范文范例指导学习资金计划等成本等财务数据的处理方法（成本计算方法和系统 ，会计管理审查等经营分析系统 ，减税的方法 、规程 )等营业信息市场调查报告（市场动向 ，顾客需求，其它本公司动向及对这些情况的分析方法和结果)等商谈的内容 、合同等报价等客户名单等营业战略 （有关和其它本公司合作销售 、销售途径的确定及变更 ，对代理商的政策等情报 )等退货和投诉处理（退货的品名 、数量、原因及对投诉的处理方法 )等供应商信息等技术信息试验 / 分析数据 （本公司或者委托其它单位进行的试word 版本整理分享范文范例指导学习验 /分析 )等研究成果 （本公司或者和其它单位合作研究开发的技

12、术成果 )等科技发明的内容（专利申请书以及有关的资料 / 试验数据 )等开发计划书等新产品开发的体制、组织 （新品开发人员的组成，业务分担 ，技术人员的配置等)技术协助的有关内容（协作方，协作内容 ，协作时间等 )教育资料等技术备忘录等软件信息生产管理系统等技术解析系统等计划财务系统等设计书等流程等编码 、密码系统等源程序表等word 版本整理分享范文范例指导学习其他诉讼或其他有争议案件的内容（民事、无形资产 、工伤等纠纷内容 )本公司基本设施情况 （包括动力设施 )等董事会资料 （新的投资领域 、设备投资计划等 )本公司电话簿等本公司安全保卫实施情况及突发事件对策等软件操作系统Windows

13、 、 Linux 等应用软件 / 系统开发工具 、办公软件 、网站平台 、财务系统 等数据库MS SQL Server 、 MySQL等硬件设备通讯工具传真等传输线路光纤 、双绞线等存储媒体磁带、光盘、软盘、U 盘等存储设备光盘刻录机 、磁带机等文印设备打印机 、复印机 、扫描仪服务器PC Server 、小型机等桌面终端PC、工作站等网络通信设备路由器 、交换机 、集线器 、无线路word 版本整理分享范文 范例 指导 学习由器等网络安全设备防火墙 、防水墙 、 IPS 等支撑设施UPS、机房空调 、发电机等人力资源高层管理人员高层管理人员 本公司总 / 副总经理、总监等中层管理人员部门经理

14、技术管理人员项目经理 、项目组长 、安全工程师普通技术人员软件工程师 、程序员 、测试工程师、界面工程师等IT 服务人员系统管理员 、网络管理员 、维护工程师其它人事 、行政、财务等人员服务通信ADSL 、光纤等房租办公房屋租用托管服务器托管 、虚拟主机 、邮箱托管法律外聘律师 、法律顾问供电照明电 、动力电审计财务审计6.2. 资产赋值判断准则对资产的赋值不仅要考虑资产的经济价值，更重要的是要考虑资产的安全状况对于系统或word 版本整理分享范文范例指导学习组织的重要性 ，由资产在其三个安全属性上的达成程度决定。资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析，并在此基

15、础上得出综合结果的过程。达成程度可由安全属性缺失时造成的影响来表示，这种影响可能造成某些资产的损害以至危及信息系统，还可能导致经济效益、市场份额 、组织形象的损失 。6.2.1. 机密性赋值根据资产在机密性上的不同要求，将其分为三个不同的等级，分别对应资产在机密性上应达成的不同程度或者机密性缺失时对整个组织的影响。赋值标识定义3高包含组织最重要的秘密，关系未来发展的前途命运，对根本利益有着决定性的影响 ，如果泄露会造成灾难性的损害，例如直接损失超过万人民币 ，或重大项目 （合同 ）失败，或失去重要客户，或关键业务中断 3天。2中组织的一般性秘密 ，其泄露会使组织的安全和利益受到损害，例如直接损

16、失超过 10万人民币 ，或项目 （合同 ）失败 ，或失去客户 ，或关键业务word 版本整理分享范文范例指导学习中断超过1 天。1低可在社会 、组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害或不造成伤害。6.2.2.完整性赋值根据资产在完整性上的不同要求，将其分为三个不同的等级 ，分别对应资产在完整性上缺失时对整个组织的影响。赋值标识定 义3高完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断 ，并且难以弥补 。 例如直接损失超过100 万人民币 ，或重大项目（合同 ）失败 ，或失去重要客户 。2

17、中完整性价值中等 ，未经授权的修改或破坏会对组织造成影响，对业务冲击明显 ，但可以弥补 。 例如直接损失超过 10 万人民币 ，或项目（合同）失败，或失去客户 。1低完整性价值较低， 未经授权的修改或破坏会对组织造成轻微影响，甚至可以忽略，对业务冲击轻微 ，容易弥补 。6.2.3. 可用性赋值根据资产在可用性上的不同要求，将其分为三个不同的等级，分别对应资产在可用性上的达成的不同程度。赋值标识定义word 版本整理分享范文范例指导学习3高可用性价值非常高 ，合法使用者对资产的可用度达到年度90% 以上，或系统不允许中断 。2中可用性价值中等 ，合法使用者对资产的可用度在正常工作时间达到 50%

18、 以上 ，或系统允许中断时间小于8 工作时。1低可用性价值较低或可被忽略，合法使用者对资产的可用度在正常工作时间达到 50% 以下，或系统允许中断时间小于 24工作时 。6.2.4.资产重要性等级资产价值 （V） 机密性价值 （C） 完整性价值 （ I） 可用性价值 （A ）资产等级 ：等级价值分类资产总价值1低3 42中5 73高8 9word 版本整理分享范文范例指导学习4.2 重要资产清单及说明在分析被评估系统的资产基础上，列出对评估单位十分重要的资产，作为风险评估的重点对象 ，并以清单形式列出如下：重要资产列表序其资产重号他资产编号子系统名称应用要程度说权重明1.F001各类公司证件其

19、他高2.F002财务账务文件其他高3.F004发票其他高4.F006用友通财务软件备份数据其他高5.ATSH10-007Pernod Ricard 业务持续服务合同客户合同高6.ATSH-11/001/10-007天选备份软件维护服务合同供应商合高同7.ATSH10-008VantAsia 业务持续服务合同客户合同高8.ATSH11-001NAB 业务持续服务合同客户合同高9.HW-009服务器 ( 运作技术部 )服务器高10.HW-022精密空调 ( 运作技术部 )精密空调高11.HW-023UPS( 运作技术部 )UPS高12.HW-024PPDC( 运作技术部 )PPDC高13.HW-0

20、26AVAYA( 运作技术部 )通讯设备高14.HW-027Switch( 运作技术部 )网络设备高15.HW-028Router( 运作技术部 )网络设备高16.HW-029Fire wall( 运作技术部 )网络设备高17.HW-030DVR( 运作技术部 )监控设备高18.HW-031客户数据 （硬盘）硬盘高19.HW-032柴油发电机组柴油发电高机20.F001etax 网上报税系统财务软件高单机21.F002用友通财务软件财务软件高单机22.F003发票打印软件财务软件高单机23.A-02-25-03-201106-004Cowin 监控系统监控系统高24.A-02-25-03-20

21、1106-005General_PSS_V4.01.0.R.091112监控系统高word 版本整理分享范文范例指导学习25.H0001梁文略高层管理高人员26.S0002杨英高层管理高人员27.S0001李海宁中层管理高人员28.S0006赵红销售人员高29.S0003张光辉中层管理高人员30.S0004刘子明IT 服务高人员31.S0005胡捷IT 服务高人员32.S0008张力IT 服务高人员33.S0007唐海英其它高34.S0026刘影其它高35.server02网络通信中国联通高36.server03供电物管 -德高必创意37.server04房屋物管 -德高必创意五、威胁识别与分

22、析对威胁来源 （内部 / 外部；主观 / 不可抗力等 ）、 威胁方式 、发生的可能性，威胁主体的能力水平等进行列表分析。下面是典型的威胁范本 ：编号威胁硬件和设施软件和系统文档和数据人力资源服务1故障2废弃3服务失效 / 中断word 版本整理分享范文范例指导学习4恶意软件5抵赖6通信监听7操作失误8未经授权更改9未经授权访问 ，使用或复制10被利用传送敏感信息11盗窃12供电故障13恶意破坏14电子存储媒体故障15违背知识产权相关法律、法规16温度、湿度、灰尘超限17静电18黑客攻击19容量超载20系统管理员权限滥用21密钥泄露 、篡改22密钥滥用word 版本整理分享范文范例指导学习个体伤

23、害 （车祸、疾病等 ）不公正待遇社会工程人为灾难 ：瘟疫、火 灾、爆炸、恐怖袭击等自然灾难 ：地震、洪 水、台风、雷击等服务供应商泄密5.1 威胁数据采集5.2 威胁描述与分析依据威胁赋值表 ，对资产进行威胁源和威胁行为分析。5.2.1 威胁源分析填写威胁源分析表 。word 版本整理分享范文范例指导学习5.2.2 威胁行为分析填写威胁行为分析表 。5.2.3 威胁能量分析5.3 威胁赋值威胁发生可能性等级对照表等级说 明发生可能性1低非等级 2 与等级 3的定义2中每半年至少发生一次但不及等级33高每月至少发生两次说明 ：判断威胁出现的频率是威胁识别的重要工作，评估者应根据经验和（或）有关的

24、统计数据来进行判断 。 在风险评估过程中，还需要综合考虑以下三个方面，以形成在某种评估环境中各种威胁出现的频率：1) 以往安全事件报告中出现过的威胁及其频率的统计；2) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；3) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警 。六、脆弱性识别与分析按照检测对象 、检测结果 、脆弱性分析 分别描述以下各方面的脆弱性检测word 版本整理分享范文范例指导学习结果和结果分析 。6.1常规脆弱性描述编号大类编号小类及说明1环境和基础设施1.1物理保护的缺乏 ：建筑物 、门、窗等1.2物理访问控制不充分或不仔

25、细1.3电力供应不稳1.4处于易受到威胁的场所 ，例如洪水 、地震1.5缺乏防火 、防雷等保护性措施2硬件2.1缺乏周期性的设备更新方案2.2易受电压变化影响2.3易受到温度 、湿度 、灰尘和污垢影响2.4易受到电磁辐射2.5媒体介质缺乏维护或错误安装2.6缺乏有效的配置变更控制2.7缺乏设施安全控制机制2.8不当维护2.9不当处置3软件3.1不清晰 、不完整的开发规格说明书3.2没有 、或不完备的软件测试3.3复杂的用户界面3.4缺乏标示和授权机制 ，例如用户授权word 版本整理分享范文范例指导学习3.5缺乏审核踪迹3.6众所周知的软件缺陷，易受病毒等攻击3.7密码表未受到保护3.8密码强

26、度太弱3.9访问权限的错误配置3.10未经控制的下载和使用软件3.11离开工作常所未注销（锁屏）3.12缺乏有效的变更控制3.13文档缺乏3.14缺乏备份3.15处置或重用没有正确的擦除内容的存储介质3.16缺乏加解密使用策略3.17缺乏密钥管理3.18缺乏身份鉴别机制3.19缺乏补丁管理机制3.20安装 、使用盗版软件3.21缺乏使用监控3.22未经授权复制或传播软件 （许可 ）3.23缺乏 （文件）共享安全策略3.24缺乏服务 / 端口安全策略3.25缺乏病毒库升级管理机制3.26不受控发布公共信息word 版本整理分享范文 范例 指导 学习4网络与通信4.1通信线路缺乏保护4.2电缆连接

27、不牢固4.3对发送和接收方缺乏识别与验证4.4明文传输口令4.5发送与接受消息时缺少证据4.6拨号线路4.7未保护的敏感信息传输4.8网络管理不恰当4.9未受保护的公网连接4.10缺乏身份鉴别机制4.11未配置或错误配置访问权限5文档5.1存放缺乏保护5.2不受控访问或复制5.3随意处置5.4缺乏备份机制6人员6.1员工缺编6.2安全训练不完备6.3缺乏安全意识6.4缺乏控制机制6.5缺乏员工关怀 / 申诉政策6.6不完备的招聘 / 离职程序6.7道德缺失word 版本整理分享范文 范例 指导 学习7服务与一般应用弱点7.1单点故障7.2服务故障响应不及时7.3负载过高7.4缺乏安全控制机制7

28、.5缺乏应急机制6.3 脆弱性综合列表威胁发生可能性等级对照表等级说 明发生可能性1低非等级 2 与等级 3的定义2中每半年至少发生一次但不及等级33高每月至少发生两次说明 ：判断威胁出现的频率是威胁识别的重要工作，评估者应根据经验和（或）有关的统计数据来进行判断 。 在风险评估过程中，还需要综合考虑以下三个方面，以形成在某种评估环境中各种威胁出现的频率：1) 以往安全事件报告中出现过的威胁及其频率的统计；2) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；3) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警 。word 版本整理分享范文范例

29、指导学习七、风险分析7.1 关键资产的风险计算结果信息安全风险矩阵计算表威胁发生可能性低 1中 2高 3影响程度等级低 1中 2高 3低 1中 2高 3低 1中 2高 3资产价值1123246369224648126121833696121891827说明 ：在完成了资产识别、威胁识别 、弱点识别 ，以及对已有安全措施确认后，将采用适当的方法确定威胁利用弱点导致安全事件发生的可能性，考虑安全事件一旦发生其所作用的资产的重要性及弱点的严重程度判断安全事件造成的损失对组织的影响，即安全风险 。 风险计算的方式如下 ，风险值 弱点被利用可能性等级X 威胁利用弱点影响程度等级X 资产价值信息安全风险接

30、受准则等级划分标准说明A 级18 及以上不可接受的风险 ，必须采取控制措施B 级6-12有条件接受的风险 （需经评估小组评审，判断是否可以接受的风险 )C 级1-4不需要评审即可接受的风险word 版本整理分享范文范例指导学习7.2.4 风险结果分析等级数量说明A 级18不可接受的风险 ，必须采取控制措施B 级186有条件接受的风险 （需经评估小组评审 ，判断是否可以接受的风险 )C 级17不需要评审即可接受的风险八、综合分析与评价通过综合的评估，公司现有的风险评估的结果是适宜的、充分的 、有效的。九、整改意见加强各部门对风险处理技巧的培训 。对 A 级风险公司的处理需对各部门进行公示 。对

31、A 级和 B 级风险采取适当的控制措施 ，编写入公司的三级文件进行控制。word 版本整理分享范文范例指导学习附件 1：管理措施表序号层面 /方面安全管理制度安全管理机构人员安全管理系统建设管理安全控制 / 措施落实部分落实没有落实不适用管理制度制定和发布评审和修订岗位设置人员配备授权和审批沟通和合作审核和检查人员录用人员离岗人员考核安全意识教育和培训外部人员访问管理系统定级安全方案设计产品采购自行软件开发word 版本整理分享范文范例指导学习序号层面 /方面安全控制 / 措施落实部分落实没有落实不适用外包软件开发工程实施测试验收系统交付系统备案安全服务商选择环境管理资产管理介质管理设备管理监控管理和安全管理中心网络安全管理系统运维管理系统安全管理恶意代码防范管理密码管理变更管理备份与恢复管理安全事件处置应急预案管理小计word 版本整理分享附件 2：技术措施表序安全控制 / 措施层面 /方面号1物理位置的选择物理访问控制防盗窃和防破坏防雷击物理安全防火防水和防潮防静电温湿度控制电力供应电磁防护网络结构安全网络访问控制网络安全审计网络安全边界完整性检查网络入侵防范恶意代码防范网络设备防护身份鉴别访问控制安全审计主机安全剩余信息保