資訊系統安全風險評估報告

2021-05-22 17:10:01 字數 2243 閱讀 5215

專案名稱: ***風險評估報告

被評估公司單位: *******

參與評估部門:***x委員會

一、風險評估專案概述

1.1 工程專案概況

1.1.1 建設專案基本資訊

1.2 風險評估實施單位基本情況

二、風險評估活動概述

2.1 風險評估工作組織管理

描述本次風險評估工作的組織體系(含評估人員構成)、工作原則和採取的保密措施。

2.2 風險評估工作過程

本次評估供耗時2天,採取抽樣的的方式結合現場的評估,涉及了公司所有部門及所有的產品,已經包括了位於公司位址位置的相關產品。

2.3 依據的技術標準及相關法規檔案

本次評估依據的法律法規條款有:

2.4 保障與限制條件

需要被評估單位提供的文件、工作條件和配合人員等必要條件,以及可能的限制條件。

三、評估物件

3.1 評估物件構成與定級

3.1.1 網路結構

根據提供的網路拓撲圖,進行結構化的審核。

3.1.2 業務應用

本公司涉及的資料中心運營及服務活動。

3.1.3 子系統構成及定級

n/a3.2 評估物件等級保護措施

按照工程專案安全域劃分和保護等級的定級情況,分別描述不同保護等級保護範圍內的子系統各自所採取的安全保護措施,以及等級保護的測評結果。

根據需要,以下子目錄按照子系統重複。

3.2.1 xx子系統的等級保護措施

根據等級測評結果,xx子系統的等級保護管理措施情況見附表一。

根據等級測評結果,xx子系統的等級保護技術措施情況見附表二。

四、資產識別與分析

4.1 資產型別與賦值

4.1.1資產型別

按照評估物件的構成,分類描述評估物件的資產構成。詳細的資產分類與賦值,以附件形式附在評估報告後面,見附件3《資產型別與賦值表》。

4.1.2資產賦值

填寫《資產賦值表》。

6.2. 資產賦值判斷準則

對資產的賦值不僅要考慮資產的經濟價值,更重要的是要考慮資產的安全狀況對於系統或組織的重要性,由資產在其三個安全屬性上的達成程度決定。

資產賦值的過程也就是對資產在機密性、完整性和可用性上的達成程度進行分析,並在

此基礎上得出綜合結果的過程。達成程度可由安全屬性缺失時造成的影響來表示,這種影響

可能造成某些資產的損害以至危及資訊系統,還可能導致經濟效益、市場份額、組織形象的

損失。6.2.1. 機密性賦值

根據資產在機密性上的不同要求,將其分為三個不同的等級,分別對應資產在機密性上

應達成的不同程度或者機密性缺失時對整個組織的影響。

6.2.2. 完整性賦值

根據資產在完整性上的不同要求,將其分為三個不同的等級,分別對應資產在完整性上

缺失時對整個組織的影響。

6.2.3. 可用性賦值

根據資產在可用性上的不同要求,將其分為三個不同的等級,分別對應資產在可用性上

的達成的不同程度。

6.2.4. 資產重要性等級

資產價值(v)= 機密性價值(c)+完整性價值(i)+可用性價值(a)

資產等級:

4.2 重要資產清單及說明

在分析被評估系統的資產基礎上,列出對評估單位十分重要的資產,作為風險評估的重點物件,並以清單形式列出如下:

重要資產列表

五、威脅識別與分析

對威脅**(內部/外部;主觀/不可抗力等)、威脅方式、發生的可能性,威脅主體的能力水平等進行列表分析。下面是典型的威脅範本:

5.1 威脅資料採集

5.2 威脅描述與分析

依據《威脅賦值表》,對資產進行威脅源和威脅行為分析。

5.2.1 威脅源分析

填寫《威脅源分析表》。

5.2.2 威脅行為分析

填寫《威脅行為分析表》。

5.2.3 威脅能量分析

5.3 威脅賦值

威脅發生可能性等級對照表

說明:判斷威脅出現的頻率是威脅識別的重要工作,評估者應根據經驗和(或)有關的統計資料來進行判斷。在風險評估過程中,還需要綜合考慮以下三個方面,以形成在某種評估環境中各種威脅出現的頻率:

1) 以往安全事件報告中出現過的威脅及其頻率的統計;

2) 實際環境中通過檢測工具以及各種日誌發現的威脅及其頻率的統計;

3) 近一兩年來國際組織發布的對於整個社會或特定行業的威脅及其頻率統計,以及發布的威脅預警。

六、脆弱性識別與分析

按照檢測物件、檢測結果、脆弱性分析分別描述以下各方面的脆弱性檢測結果和結果分析。

資訊系統安全風險評估的形式

一 專案相關資訊 專案背景 隨著某公司資訊化建設的迅速發展,特別是面向全國 面向社會公眾服務的業務系統陸續投入使用,對該公司的網路和資訊系統安全防護都提出了新的要求。為滿足上述安全需求,需對該公司的網路和資訊系統的安全進行一次系統全面的評估,以便更加有效保護該公司各專案業務應用的安全。專案目標 第一...

資訊系統風險評估風險管理對策

摘要 隨著當今日新月異的科學技術發展和資訊化技術迅猛的更新換代之勢,科技資訊科技系統已經成為人類社會發展必不可缺少的一部分。除了人們日常生活 交流中對於資訊系統的不可缺,連國家政治軍事 經濟發展等重要特殊領域都離不開資訊系統應用,可以說資訊系統的分布已經覆蓋著人類社會的方方面面,整個社會的發展程序已...

資訊系統安全自查報告

一 自查情況 1 安全制度落實情況 目前我院已制定了 網路安全管理制度 計算機資訊系統安全保密管理制度 涉密人員管理制度 等制度並嚴格執行。資訊管護人員負責資訊系統安全管理,密碼管理,且規定嚴禁外洩。2 安全防範措施落實情況 1 計算機經過了資訊系統安全技術檢查,並安裝了防火牆,同時配置安裝了專業防...