版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
版权所有运行管理规程、计划、报告、用户手册等应用软件、系统软件、开发工具和资源库等计算机硬件、路由器、交换机、硬件防火墙、程控交换机、布线、备份存储设备等网络连接、网络隔离保护、网络管理、网络安全保等纸质的各种文件、传真、电报、财务报告、发展计划等各级雇员和雇主、合同方雇员等企业形象,客户关系等5性影响,如果泄漏会造成灾难性的影响4高是指包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害3是指包含组织一般性秘密,其泄露会使组织的安全和利益受到损害2低指仅在组织内部或在组织某一部门内部公开,向外扩散有可能对组织的利益造成1对社会公开的信息,公用的信息处理设备和系统资源等信息资产5特别不愿接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补4高完整性价值较高,未经授权的修改或破坏会对评估体造成重大影响,对业务冲击严重,比较难以弥补32低对业务冲击轻微,容易弥补1完整性价值非常低,未经授权的修改或破坏会对评估体造成的影响可以忽略,对业务冲击可以忽略5可用性价值非常高,合法使用者对信息系统及资源的可用度达到年度99.9%以上4高可用性价值较高,合法使用者对信息系统及资源的可用度达到每天99%以上32低1可用性价值可以忽略,法使用者对信息系统及资源的可用度在正常上班时间低于5资产的重要程度很高,其安全属性破坏后可能导致系统受到非常严重的影响4高资产的重要程度较高,其安全属性破坏后可能导致系统受到比较严重的影响3中资产的重要程度较高,其安全属性破坏后可能导致系统受到中等程度的影响2低资产的重要程度较低,其安全属性破坏后可能导致系统受到较低程度的影响1环境因素、意环境条件和自然灾害;意外事故或由于软件、硬件、数据、通讯线路方面的故障无恶意内部人员作流程而导致故障或被攻击;内部人员由于缺乏培训,专业技能不足,不具备岗位技能要求而导致信息系统故障或被攻击式盗窃机密信息或进行篡改,获取利益坏,以获取利益或炫耀能力环境问题和自然灾害信息系统正常有序运行通过采用一些措施,超越自己的权限访问了嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵物理接触、物理破坏、盗窃机密泄漏,机密信息泄漏给他人非法修改信息,破坏信息的完整性不承认收到的信息和所作的操作和交易54高威胁发生的可能性较高,在大多数情况下很有可能会发生或者可以证实曾发生过3中威胁发生的可能性中等,在某种情况下可能会发生但未被证实发生过2低威胁发生的可能性较小,一般不太可能发生,也没有被证实发生过1威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生物理设备的访问控制,电力供应等基础网络架构,网络传输加密,访问控制,网络设备安全漏洞,设备系统软件安全漏洞,系统软件配置安全等应用软件安全漏洞,软件安全功能,数据防护等通信与操作管理、访问控制、系统开发与维护、业务连续性、符合性脆弱性严重程度定义5存在一个或多个非常脆弱的技术或管理漏洞,被威胁利用成功的可能性很高4高存在一个或多个比较脆弱的技术或管理漏洞,被威胁利用成功的可能性较高3中存在一个或多个中等脆弱的技术或管理漏洞,被威胁利用成功的可能性中2低存在一个或多个较低脆弱程度的技术或管理漏洞,被威胁利用成功的可能性较低15风险很高,导致系统受到非常严重影响4高风险高,导致系统受到严重影响3中风险中,导致系统受到较重影响的2低风险低,导致系统受到一般影响1风险很低,导致系统受到较小影响—规划和启动获取规划中的信息系统的安险。用以提出并确定信息系统安全建设的或者建设初期的信括信息系统本身及此阶段的人员、组相应的管密、完整、可用)的要求。●系统对机构业务战略的重要性●资产类别划分可以基本在第一是从比较宏观的角度评估威胁●法律、法规对安全风险的影响此阶段可以不考虑脆弱性评估求使用或拥有系统及信息的人应该参可委托第三方进行评估—设计开发或采购标识出风险,对设计说明中的安全性设计提供评据,对采购过程安全风险控制的提据。开设计规格说明书或者系统原段涉及的●与第一阶段内容相同的评估内开发或采购的结果进行更具体●同样与第一阶段内容相同的评●对设计或者原型中的技术实现技术保障手段对风险结果的影●在安全需求变更和设计变更后●该阶段的评估不必要有复杂的施系统的技术专家和系统发起人应该参与评—集成实现通过风估,对系统安全要求信息系统前.如果信息系统在前两个阶段做过资产评估,此阶段则不技术人员和管理人员均应该参与评实现效果和符合性进且是真实环境中的威胁分析●对系统进行实际环境中的脆弱●评估设计实施的安全控制是否策估—运行和维护了解和控制运行过程中的系统安全信息系统2.定期3.重大4.系统全面资产、威胁、脆弱性评估的技术人员和管理人员均应该参与评以委托第三方评估机—废弃确保硬件和软件等资产及残留信息得到了适当的废弃处置,并且要确保系统的更新换代能以一个安全和系统化的方式信息系统●着重废弃处理不当对资产的影●着重访问控制方面的弱点维护工作的技术人员和管理人员均应该参以委托第三方评估机风险评估不同形式与各角色的关系对自身的信息系统进行安全风险的识别、评到必需的风险等级。有利于加强信息系统相关人员的安全意识。委托评估可以弥补这一缺点。由于检查评估是由被评估方的主统的整体风险状况做出完整的评评估达到要求并不表明系统的整体风险状况已经达到要求。信息安全风险评估服务机构信息安全风险评估服务机构信息系统承建者,或者信息系统的关联机构信息系统承建者或者信息系统的关联机构测评表格低中高低中高低中高低中高001 2 1232341313243524354635465744565676782234345456威胁分级法影响(资产)值威胁发生可能性(c)5222483351133541442483风险二值法012340TTTTN1TTTNN2TTNNN3TNNNN4NNNNN风险评估表对财产的影响职务风险调查表2——大的风险4——有限的风险威胁分析调查表M——影响可能性不大P——可能有影响D——绝对影响信息安全风险评估调查问卷息安全负责人,由他负责实现和维护有效的信息支持商业目标和组织的业务战建立了信息保护作为企业整个管理实践的完整组务器访问授权制范的制订与实时引起的授权变常见信息系统资产(1-5)531311服务器应用程序软件1最终用户应用程序软件13331携式硬盘、PC卡存储设备、USB存储设备等)133331其他环境控制系统3555555555533Extranet数据5Extranet数据5Extranet数据3Extranet数据合作伙伴协同应用程序3Extranet数据5Extranet数据3Extranet数据合作伙伴采购单数据3Extranet数据5Extranet数据5Extranet数据3Extranet数据供应商合作应用程序3Extranet数据5Extranet数据3Extranet数据35335333311MicrosoftActiveDirectory®33333333311示例威胁的高级描述具体示例火灾洪水地震严重风暴恐怖分子袭击平民骚乱/暴动山崩雪崩工业意外电力中断硬件故障网络中断环境控制措施失效结构意外未获通知的雇员未获通知的用户黑客、解密高手计算机犯罪行业间谍社会工程心存不满的现雇员心存不满的前雇员恐怖分子疏忽的雇员不诚实的雇员(受贿者或被勒索者)恶意移动代码高级漏洞分类漏洞简短说明具体示例(如果适用)未受保护的计算机
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 护理上半年工作亮点与挑战
- 护理病区护理实施与效果评价
- 抑郁障碍患者的护理技术应用
- 浙江省杭州市上城区2023-2024学年四年级下学期语文期末检测试卷(含答案)
- 护理团队协作要点
- 2026青年申论面试题及答案解析
- 2026山东士官面试题目及答案
- 2026生活老师面试题及答案
- 护理医师诊疗岗医疗卫生事业招聘考试参考题库 含答案
- 电工电子技术课件 项目四 日光灯电路的安装与改造
- 三副换证实习报告
- 八年级数学下册 中心对称图形-平行四边形综合压轴(50题12个考点)(原卷版)
- 北京市东城区东直门中学2024-2025学年七年级上学期分班考数学试卷
- JT-T-1185-2018城市轨道交通行车组织规则
- 社会工作实务(初级):就业援助员(三)
- XFT 3004-2020 汽车加油加气站消防安全管理
- 《商务数据分析与应用》课程标准
- GB 31608-2023食品安全国家标准茶叶
- 防溺水安全培训PPT
- 网络营销试卷A参考答案
- 一通三防存在的问题及整改措施
评论
0/150
提交评论