《信息系统安全风险评估报告书模板》由会员分享,可在线阅读,更多相关《信息系统安全风险评估报告书模板(23页珍藏版)》请在金锄头文库上搜索。
1、 xx记录编号005信息系统平安风险评估报告创立日期2015年8月16日文档密级更改记录时间更改容更改人项 目 名 称:XXX风险评估报告被评估公司单位:XXX参与评估部门:XXXX委员会一、风险评估工程概述1.1 工程工程概况1.1.1 建立工程根本信息风险评估版本201X年8日5日更新的资产清单及评估工程完成时间201X年8月5日工程试运行时间2015年1-6月1.2 风险评估实施单位根本情况评估单位名称XXX二、风险评估活动概述2.1 风险评估工作组织管理描述本次风险评估工作的组织体系含评估人员构成、工作原那么和采取的措施。2.2 风险评估工作过程本次评估供耗时2天,采取抽样的的方式结合
2、现场的评估,涉及了公司所有部门及所有的产品,已经包括了位于公司地址位置的相关产品。2.3 依据的技术标准及相关法规文件本次评估依据的法律法规条款有:序号法律、法规及其他要求名称公布时间实施时间公布部门1全国人大常委会关于维护互联网平安的决定2000.12.282000.12.28全国人大常委会2中华人民国计算机信息系统平安保护条例1994.02.181994.02.18国务院第147号令3中华人民国计算机信息网络国际联网管理暂行规定1996.02.011996.02.01国务院第195号令4中华人民国计算机软件保护条例2001.12.202002.01.01国务院第339号令5中华人民国信息网
3、络传播权保护条例2006.05.102006.07.01国务院第468号令6中华人民国计算机信息网络国际联网管理暂行规定实施方法1998.03.061998.03.06国务院信息化工作领导小组7计算机信息网络国际联网平安保护管理方法1997.12.161997.12.30公安部第33号令8计算机信息系统平安专用产品检测和销售许可证管理方法1997.06.281997.12.12公安部第32号令9计算机病毒防治管理方法2000.03.302000.04.26公安部第51号令10恶意软件定义200706.27200706.27中国互联网协会11抵抗恶意软件自律公约200706.27200706.2
4、7中国互联网协会12计算机信息系统管理暂行规定1998.2.261998.02.26国家局13计算机信息系统国际联网管理规定2000.01.012000.01.01国家局14软件产品管理方法2000.10.082000.10.08中华人民国工业和信息化部15互联网等信息系统网络传播视听节目管理方法2004.06.152004.10.11国家播送电影电视总局16互联网电子公告效劳管理规定2000.10.082000.10.08信息产业部17信息系统工程监理工程师资格管理方法2003年公布2003.03.26信息产业部18信息系统工程监理单位资质管理方法2003.03.262003.04.01信息
5、产业部19电子认证效劳管理方法2009.02.042009.03.31信息产业部20关于印发?国家电子信息产业基地和产业园认定管理方法试行?的通知2008.03.042008.03.04中华人民国信息产业部21计算机软件著作权登记收费工程和标准1992.03.161992.04.01机电部计算机软件登记办公室22中国互联网络域名管理方法2004.11.052004.12.20信息产业部23中华人民国专利法2010.01.092010.02.01全国人民代表大会常务委员24中华人民国技术合同法1987.06.231987.06.23国务院科学技术部25关于电子专利申请的规定2010.08.272
6、010.10.01国家知识产权局26中华人民国著作权法2010.02.262010.02.26全国人大常委会27中华人民国著作权法实施条例2002.08.022002.9.15国务院第359号令28科学技术规定1995.01.061995.01.06国家科委、国家局29互联网平安保护技术措施规定2005.12.132006.03.01公安部发布30中华人民国认证认可条例2003.09.032003.11.1国务院第390号令31中华人民国保守国家秘密法2010.04.292010.10.01全国人大常委会32中华人民国国家平安法1993.02.221993.02.22全国人大常委会33中华人民
7、国商用密码管理条例1999.10.071999.10.07国务院第273号令34消防监视检查规定2009.4.302009.5.1公安部第107号35仓库防火平安管理规那么1990.03.221994.04.10中华人民国公安部令第6号36地质灾害防治条例2003.11.242004.03.01国务院34号37?电力平安生产监管方法?2004.03.092004.03.09国家电力监管委员会第2号38中华人民国劳动法2007.06.292008.1.1华人民国主席令第二十八号39失业保险条例1998.12.261999.01.22国务院40失业保险金申领发放2001.10.262001.01.
8、01劳动和社会保障部41中华人民国企业劳动争议处理条例1993.06.111993.08.01国务院2.4 保障与限制条件需要被评估单位提供的文档、工作条件和配合人员等必要条件,以及可能的限制条件。三、评估对象3.1 评估对象构成与定级3.1.1 网络构造根据提供的网络拓扑图,进展构造化的审核。3.1.2 业务应用本公司涉及的数据中心运营及效劳活动。3.1.3 子系统构成及定级 N/A3.2 评估对象等级保护措施按照工程工程平安域划分和保护等级的定级情况,分别描述不同保护等级保护围的子系统各自所采取的平安保护措施,以及等级保护的测评结果。根据需要,以下子目录按照子系统重复。3.2.1 XX子系
9、统的等级保护措施根据等级测评结果,XX子系统的等级保护管理措施情况见附表一。根据等级测评结果,XX子系统的等级保护技术措施情况见附表二。四、资产识别与分析4.1 资产类型与赋值4.1.1资产类型按照评估对象的构成,分类描述评估对象的资产构成。详细的资产分类与赋值,以附件形式附在评估报告后面,见附件3?资产类型与赋值表?。4.1.2资产赋值填写?资产赋值表?。大类详细分类举例文档和数据经营规划中长期规划等经营方案等组织情况组织变更方案等组织机构图等组织变更通知等组织手册等规章制度各项规程、业务手册等人事制度人事方案等人事待遇资料等录用方案等离职资料等中期人员方案等人员构成等人事变动通知等培训方案
10、等培训资料等财务信息预决算各类投资预决算)等业绩财务报告)等中期财务状况等资金方案等本钱等财务数据的处理方法本钱计算方法和系统,会计管理审查等经营分析系统,减税的方法、规程)等营业信息市场调查报告市场动向,顾客需求,其它本公司动向及对这些情况的分析方法和结果)等商谈的容、合同等报价等客户等营业战略有关和其它本公司合作销售、销售途径的确定及变更,对代理商的政策等情报)等退货和投诉处理退货的品名、数量、原因及对投诉的处理方法)等供给商信息等技术信息试验/分析数据本公司或者委托其它单位进展的试验/分析)等研究成果本公司或者和其它单位合作研究开发的技术成果)等科技创造的容专利申请书以及有关的资料/试验
11、数据)等开发方案书等新产品开发的体制、组织新品开发人员的组成,业务分担,技术人员的配置等)技术协助的有关容协作方,协作容,协作时间等)教育资料等技术备忘录等软件信息生产管理系统等技术解析系统等方案财务系统等设计书等流程等编码、密码系统等源程序表等其他诉讼或其他有争议案件的容民事、无形资产、工伤等纠纷容)本公司根本设施情况包括动力设施)等董事会资料新的投资领域、设备投资方案等)本公司簿等本公司平安保卫实施情况及突发事件对策等软件操作系统Windows、Linux 等应用软件/系统开发工具、办公软件、平台、财务系统等数据库MS SQL Server、MySQL 等硬件设备通讯工具 等传输线路光纤、
12、双绞线等存储媒体磁带、光盘、软盘、U 盘等存储设备光盘刻录机、磁带机等文印设备打印机、复印机、扫描仪效劳器PC Server、小型机等桌面终端PC、工作站等网络通信设备路由器、交换机、集线器、无线路由器等网络平安设备防火墙、防水墙、IPS 等支撑设施UPS、机房空调、发电机等人力资源高层管理人员高层管理人员本公司总/副总经理、总监等中层管理人员部门经理技术管理人员工程经理、工程组长、平安工程师普通技术人员软件工程师、程序员、测试工程师、界面工程师等IT 效劳人员系统管理员、网络管理员、维护工程师其它人事、行政、财务等人员效劳通信ADSL、光纤等房租办公房屋租用托管效劳器托管、虚拟主机、托管法律
13、外聘律师、法律参谋供电照明电、动力电审计财务审计6.2. 资产赋值判断准那么对资产的赋值不仅要考虑资产的经济价值,更重要的是要考虑资产的平安状况对于系统或组织的重要性,由资产在其三个平安属性上的达成程度决定。资产赋值的过程也就是对资产在性、完整性和可用性上的达成程度进展分析,并在此根底上得出综合结果的过程。达成程度可由平安属性缺失时造成的影响来表示,这种影响可能造成某些资产的损害以至危及信息系统,还可能导致经济效益、市场份额、组织形象的损失。6.2.1. 性赋值根据资产在性上的不同要求,将其分为三个不同的等级,分别对应资产在性上应达成的不同程度或者性缺失时对整个组织的影响。赋值标识定义3高包含组织最重要的秘密,关系未来开展的前途命运,对根本利益有着决定性的影响,如果泄露会造成灾难性的损害,例如直接损失超过100 万人民币,或重大工程合同失败,或失去重要客户,或关键业务中断3天。2中组织的一般性秘密,其泄露会使组织的平安和利益受到损害,例如直接损失超过10 万人民币,或工程合同失败,或失去客户,或关键业务中断超过1 天。1低可在社
