04信息安全风险评估报告.doc

《04信息安全风险评估报告.doc》由会员分享，可在线阅读，更多相关《04信息安全风险评估报告.doc（10页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、信息安全风险评估报告 报告日期： 年 月一、风险项目综述1、企业名称广东融讯信息科技有限公司2、信息安全管理体系方针切实推行安全管理,积极防御风险,保证生产过程安全3、信息安全管理体系范围公司信息安全管理体系范围覆盖如下业务：二、风险评估目的通过科学的方法对公司存在风险进行评估，以便于制定出适合的方法，找到最合适的控制措施来对风险进行控制，以降低风险，达到提高公司信息安全的目的。三、风险评估日期年 月 日 年 月 日四、评估小组成员残余本次评估的人员包括管理者代表、信息安全小组成员，以及各部门经理。五、评估方法综述评估小组采用定性和定量相结合的方法对公司各方面进行评估。评估流程如下：1 评估准

2、备工作2 识别评价资产3 识别威胁和脆弱性4 识别评价防护措施5 估计可能性和影响6 计算、评价风险7 编写风险评估报告六、评估具体方法及实施1、组织的资产评估方法：a、识别在评估范围内的资产。对于在范围内的每一项资产都要恰当统计；不在本次评估范围内的资产，也要进行记录；b、要注意资产之间的关联，有时候关联和资产本身同等重要；c、按一定的标准，将信息资产进行恰当的分类，在此基础上进行下一步的风险评估工作。2、资产重要度评估方法：对资的等级进行定义，并表示成相对等级的形式：赋值定义3（高）该类资产若发生泄露、损坏、丢失或无法使用，会给组织造成无法挽回的损失。2（中）会给公司造成一定的经济损失。1

3、（低）会给公司造成经济损失。决定资产重要度时，需要考虑：a、不仅要考虑资产的成本价格，也要考虑资产对于组织业务的安全重要性，即根据资产损失所引发的潜在的影响来决定；b、为确保资产重要度的一致性和准确性，建立一个标准的尺度，以明确如何对资产的重要度进行评估。c、分析和评价资产受到侵害后的保密性、完整性和可用性损失，通过对三个属性（保密性、完整性、可用性）进行赋值，并取MAX值的方式，确定出资产的重要度等级。3、资产面临的威胁、威胁可以利用的脆弱性的评估方法：a、分析本公司的信息系统存在威胁。b、综合威胁来源、种类和其他因素后得出威胁列表；c、针对每一项需要保护的信息资产，找出可能面临的威胁。d、

4、在识别资产所面临的威胁时，应该考虑下面三个方面的资料和信息来源： （1）通过过去的安全事件报告或记录，统计各种发生过的威胁和其发生频率； （2）在公司实际环境中，通过IDS系统获取的威胁发生数据的统计和分析，各种日志中威胁发生的数据的统计和分析； （3）过去一年或两年来国际机构发布的对于整个社会或待定行业安全威胁发生频率的统计数据均值。f、按照ISO/IEC 27001等标准的安全管理要求对现有的安全管理制度及其执行情况进行检查，发现其中的管理漏洞和不足，进行管理脆弱性识别。g、对网络设备和主机进行人工检查识别技术脆弱性。4、识别与分析控制措施的方法： a、对组织已经采取的控制措施进行识别，并

5、对其有效性进行确认。将控制措施分为预防性控制措施和保护性控制措施。预防性控制措施可以降低威胁发生的可能性和减少安全脆弱性，而保护性控制措施可以减少因威胁发生所造成的影响。 b、分析控制措施与已经识别出的威胁和脆弱性的关系。5、确定发生的可能性 a、可能性指潜在的脆弱性在相关威胁环境下被攻击的可能性 b、对可能性进行定义，表示成定性与赋值相对等级的形式。本公司采取三个级别的定义方式：可能性级别赋值可能性描述高1威胁源具有强烈动机和足够的能力，防止脆弱性被利用的防护措施是无效的中0.5威胁源具有一定的动机和能力，但是已经部署的安全防护措施可以阻止对脆弱性的成功利用低0.1威胁源缺少动机和能力，或者

6、已经部署的安全防护措施能够防止至少能大大地阻止对脆弱性的利用c、评估威胁发生的可能性时根据统计数据来判断为威胁发生的频率或概率。重点考虑以下因素的影响： （1）资产的吸引力或资产转化成报酬的容易程度； （2）威胁的动机和能力； （3）脆弱性被利用的难易程度； （4）控制措施的存在和有效性。6、分析发生的影响： a、影响指对威胁和脆弱性一次成功攻击所产生的负面影响。 b、确定影响的等级定义，本公司采取三级定义方式：影响级别赋值影响定义高100对脆弱性的利用（1）可能导致有形资产或资源的高成本损失；（2）可能严重违犯、危害或阻碍单位的使命、声誉或利益；或者（3）可能导致人员死亡或者严重伤害中50对

7、脆弱性的利用（1）可能导致有形资产或资源的损失；（2）可能违犯、危害或阻碍单位使命、声誉或利益；或者（3）可能导致人员伤害低10对脆弱性的利用（1）可能导致某些有形资产或资源的损失；或者（2）可能导致单位的使命、声誉或利益造成值得注意的影响c、由于资产重要度等级是计算风险值的重要因子，因此确定影响时应该重点考虑攻击对资产本身伤害的严重程度。d、对资产完整性、可用性和保密性的影响应该分别考虑。7、计算风险大小： a、风险值的计算公式为：风险=可能性影响； b、风险值根据5，6步骤中定义的可能性和影响的赋值进行计算； c、评估的最终目的不是确定风险数值的大小，而是明确不同威胁对资产产生的风险的相对

8、值，即要确定不同风险的优先次序或等级，我公司风险等级定义如下：100-51为高风险，25-50为中风险，1-24为低风险。详细见附录2七、风险评估概况1、评估涉及的部门 本次风险评估由于是公司组织的第一次风险评估，因此，评估本次范围涉及公司所有部门：总经理、综合部、开发部、项目部2、评估涉及的流程或系统 评估涉及公司软件行业的软件开发的生产和服务流程。3、资产情况 本次评估主要针对公司与信息相关的资产，包括：硬件、软件、移动介质、第三方服务、纸质文档、电子文档、人力资源。 详细见附录一4、风险情况 公司存在风险主要存在于高、中重要等级资产，贯穿于公司管理、生产、质检、销售等各个部门，及软件生产

9、、检测、运行、服务等所有流程中，根据相关资产的重要度，结合威胁和脆弱性将公司存在的信息安全风险划分为高、中低三个等级。详细见附录二。八、风险处理1、各种处理方式的数量a、各种处理方式按风险分类b、各种处理方式按部门分类2、风险处理措施分布-按风险高风险处理措施分布-按部门 中风险 处理措施分布-按部门低风险处理措施分布-按部门详细见附录三、四九、评估总结通过信息安全风险评估能够全面的发现公司组织内部存在的威胁和脆弱性，识别出公司存在信息安全风险，针对风险制定相应的控制措施，同时为公司建立一套风险评估的科学的方法。本次风险评估是公司第一次进行全面的信息安全风险评估，公司由总经理牵头建立评估小组，

10、对评估工作进行周密的准备，首先对公司与信息相关资产进行识别，根据资产的重要度，对资产面临的威胁和存在的脆弱性进行识别、描述，并对公司现有的控制措施进行识别、评价。在对风险进行分析、评估时，结合资产的重要度、威胁、脆弱性评估出风险发生的可能性、影响度，最终对资产面临的风险进行计算、评价、划分等级，针对不同等级风险制定控制措施，并对实施过程制定计划。目前风险处理计划确定的措施均已按计划完成，经重新评估后，所有风险均为可接受。公司将在ISMS建立过程中进一步完善风险评估流程，并在今后的实施过程中不断完善公司相关的作业、控制程序，制定更全面详细的策略。附录一各部门风险评估列表附录二公司风险处理计划编制： 审核： 批准： 年 月 日