信息资产安全风险评估报告.doc

信息资产安全风险评估报告 信息安全小组成员： 管理者代表审核： 执行总经理： 评估日期： 目 录 TOC \o 1-3 \h \z \u 第一章 综 述 1 1.1信息资产安全风险评估的意义 1 1.2信息资产安全风险评估的准备 1 1.3信息资产安全风险评估的流程 1 1.4信息资产安全风险评估实施的建议 2 1.5信息资产安全风险评估小组 2 第二章 信息资产识别及评价 3 2.1信息资产的分类 3 2.2信息资产的属性 3 2.3信息资产的评价 4 2.4信息资产统计情况 4 第三章 威胁识别与评估 5 3.1信息资产安全威胁的定义 5 3.2威胁的识别 5 3.3威胁识别的工具 6 3.4信息安全威胁识别统计 6 第四章 脆弱性识别与评估 7 4.1信息资产脆弱点的定义 7 4.2脆弱性的识别 7 4.3脆弱性扫描用到的工具 8 4.4脆弱性扫描结果 8 第五章 信息资产安全风险计算 9 5.1信息资产安全风险的计算方法 9 5.2信息资产安全风险等级标准 9 5.3信息资产安全风险评估结果 9 第六章 安全措施识别和评价 10 6.1目的和意义 10 6.2安全措施识别和评价的方法 10 6.3安全措施识别评价过程中用到的工具 10 6.4现有安全控制措施状况 10 第七章 风险控制及合理化建议 13 7.1加强信息安全管理宣导力度 14 7.2各类文档的风险控制 14 7.3基础设施、硬件类资产的风险控制 14 7.4软件资产、信息系统的风险控制 15 7.5人员类安全风险的防控 15 7.6剩余风险的控制措施 15 第八章 总 结 16 信息资产安全风险评估报告 PAGE 12 / NUMPAGES 19 综 述 1.1信息资产安全风险评估的意义 开展信息资产安全风险评估的意义重大，可以科学地分析和理解信息系统在保密性、完整性、可用性等方面的问题，明确信息系统的安全风险，可以准确地了解信息系统的安全现状。便于明确责任，制定避免、降低、接受等风险处置措施，是分级防护和突出重点的具体体现。 1.2信息资产安全风险评估的准备 信息资产安全风险评估以自评为主，对自身的信息系统进行安全风险的识别、评价，发现系统现有弱点，进一步选择合适的控制措施、实施安全管理。另外，检查评估可以对自评估的实施过程、风险计算方法、评估结果等重要环节或重点内容进行分析、实施抽样评估，依据评估指南的要求实施完整的风险评估。 信息资产安全风险评估过程中，可以利用一些辅助性的工具和方法来采集数据，帮助完成现状分析和趋势判断。脆弱性扫描工具是目前应用最广泛的信息安全风险评估工具，常见的脆弱性扫描工具主要有基于网络的扫描器、基于主机的扫描器、分布式网络扫描器、数据库脆弱性扫描器等。风险评估工具作为风险评估的辅助手段，将专家知识经验集中并得到广泛应用，保证风险评估结果可信度，一定程度上解决人工评估的局限性。 1.3信息资产安全风险评估的流程 信息资产安全风险评估严格按照《风险评估及控制程序》执行。 信息资产安全风险评估的基本流程可以概括为9个步骤： 1、在ISMS要求范围内，识别所有的信息资产； 2、在找出信息系统所面临的所有威胁； 3、找出信息系统所存在的所有脆弱点； 4、分析系统现有控制措施； 5、判断发生安全事故的可能性； 6、分析安全事故的影响； 7、判断风险大小； 8、推荐补救措施； 9、书写风险评估报告； 1.4信息资产安全风险评估实施的建议 4.1风险评估应该得到管理层的认同、关注和支持，风险评估的流程及方法能够与组织文化及员工素质相适应，并且要向评估范围所覆盖的部门及人员进行沟通，充分保证风险评估工作的顺利开展。 进行风险评估时应建立适当的组织结构，如成立由领导小组、相关业务组、技术组等组成的风险评估小组，针对风险评估范围及目标开展评估工作。同时要遵守相关的法律法规，承担相应的责任与义务。 4.2实施风险评估应首先确定评估范围，可以依据组织的业务流程、信息资产、地理范围三个方面来进行界定。 通过范围、目的、员工素质以及具体开展的程度等因素来确定具体的评估方法，适应相应的评估工作，保障整个评估工作实现预期目的。另外，还需要选择与评估方法相适应的评估工具。 总之，信息资产安全风险是信息化时代各组织亟待解决的问题，风险管理水平的提高是保障组织健康、稳定发展的关键。风险评估作为风险管理的基础和起点，对有效识别风险，通过风险