- 1、本文档共19页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
信息资产安全风险评估报告
信息安全小组成员:
管理者代表审核:
执行总经理:
评估日期:
目 录
TOC \o 1-3 \h \z \u 第一章 综 述 1
1.1信息资产安全风险评估的意义 1
1.2信息资产安全风险评估的准备 1
1.3信息资产安全风险评估的流程 1
1.4信息资产安全风险评估实施的建议 2
1.5信息资产安全风险评估小组 2
第二章 信息资产识别及评价 3
2.1信息资产的分类 3
2.2信息资产的属性 3
2.3信息资产的评价 4
2.4信息资产统计情况 4
第三章 威胁识别与评估 5
3.1信息资产安全威胁的定义 5
3.2威胁的识别 5
3.3威胁识别的工具 6
3.4信息安全威胁识别统计 6
第四章 脆弱性识别与评估 7
4.1信息资产脆弱点的定义 7
4.2脆弱性的识别 7
4.3脆弱性扫描用到的工具 8
4.4脆弱性扫描结果 8
第五章 信息资产安全风险计算 9
5.1信息资产安全风险的计算方法 9
5.2信息资产安全风险等级标准 9
5.3信息资产安全风险评估结果 9
第六章 安全措施识别和评价 10
6.1目的和意义 10
6.2安全措施识别和评价的方法 10
6.3安全措施识别评价过程中用到的工具 10
6.4现有安全控制措施状况 10
第七章 风险控制及合理化建议 13
7.1加强信息安全管理宣导力度 14
7.2各类文档的风险控制 14
7.3基础设施、硬件类资产的风险控制 14
7.4软件资产、信息系统的风险控制 15
7.5人员类安全风险的防控 15
7.6剩余风险的控制措施 15
第八章 总 结 16
信息资产安全风险评估报告
PAGE 12 / NUMPAGES 19
综 述
1.1信息资产安全风险评估的意义
开展信息资产安全风险评估的意义重大,可以科学地分析和理解信息系统在保密性、完整性、可用性等方面的问题,明确信息系统的安全风险,可以准确地了解信息系统的安全现状。便于明确责任,制定避免、降低、接受等风险处置措施,是分级防护和突出重点的具体体现。
1.2信息资产安全风险评估的准备
信息资产安全风险评估以自评为主,对自身的信息系统进行安全风险的识别、评价,发现系统现有弱点,进一步选择合适的控制措施、实施安全管理。另外,检查评估可以对自评估的实施过程、风险计算方法、评估结果等重要环节或重点内容进行分析、实施抽样评估,依据评估指南的要求实施完整的风险评估。
信息资产安全风险评估过程中,可以利用一些辅助性的工具和方法来采集数据,帮助完成现状分析和趋势判断。脆弱性扫描工具是目前应用最广泛的信息安全风险评估工具,常见的脆弱性扫描工具主要有基于网络的扫描器、基于主机的扫描器、分布式网络扫描器、数据库脆弱性扫描器等。风险评估工具作为风险评估的辅助手段,将专家知识经验集中并得到广泛应用,保证风险评估结果可信度,一定程度上解决人工评估的局限性。
1.3信息资产安全风险评估的流程
信息资产安全风险评估严格按照《风险评估及控制程序》执行。
信息资产安全风险评估的基本流程可以概括为9个步骤:
1、在ISMS要求范围内,识别所有的信息资产;
2、在找出信息系统所面临的所有威胁;
3、找出信息系统所存在的所有脆弱点;
4、分析系统现有控制措施;
5、判断发生安全事故的可能性;
6、分析安全事故的影响;
7、判断风险大小;
8、推荐补救措施;
9、书写风险评估报告;
1.4信息资产安全风险评估实施的建议
4.1风险评估应该得到管理层的认同、关注和支持,风险评估的流程及方法能够与组织文化及员工素质相适应,并且要向评估范围所覆盖的部门及人员进行沟通,充分保证风险评估工作的顺利开展。
进行风险评估时应建立适当的组织结构,如成立由领导小组、相关业务组、技术组等组成的风险评估小组,针对风险评估范围及目标开展评估工作。同时要遵守相关的法律法规,承担相应的责任与义务。
4.2实施风险评估应首先确定评估范围,可以依据组织的业务流程、信息资产、地理范围三个方面来进行界定。
通过范围、目的、员工素质以及具体开展的程度等因素来确定具体的评估方法,适应相应的评估工作,保障整个评估工作实现预期目的。另外,还需要选择与评估方法相适应的评估工具。
总之,信息资产安全风险是信息化时代各组织亟待解决的问题,风险管理水平的提高是保障组织健康、稳定发展的关键。风险评估作为风险管理的基础和起点,对有效识别风险,通过风险
文档评论(0)