04信息安全风险评估报告.doc
《04信息安全风险评估报告.doc》由会员分享,可在线阅读,更多相关《04信息安全风险评估报告.doc(10页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、信息安全风险评估报告 报告日期: 年 月一、风险项目综述1、企业名称广东融讯信息科技有限公司2、信息安全管理体系方针切实推行安全管理,积极防御风险,保证生产过程安全3、信息安全管理体系范围公司信息安全管理体系范围覆盖如下业务:二、风险评估目的通过科学的方法对公司存在风险进行评估,以便于制定出适合的方法,找到最合适的控制措施来对风险进行控制,以降低风险,达到提高公司信息安全的目的。三、风险评估日期年 月 日 年 月 日四、评估小组成员残余本次评估的人员包括管理者代表、信息安全小组成员,以及各部门经理。五、评估方法综述评估小组采用定性和定量相结合的方法对公司各方面进行评估。评估流程如下:1 评估准
2、备工作2 识别评价资产3 识别威胁和脆弱性4 识别评价防护措施5 估计可能性和影响6 计算、评价风险7 编写风险评估报告六、评估具体方法及实施1、组织的资产评估方法:a、识别在评估范围内的资产。对于在范围内的每一项资产都要恰当统计;不在本次评估范围内的资产,也要进行记录;b、要注意资产之间的关联,有时候关联和资产本身同等重要;c、按一定的标准,将信息资产进行恰当的分类,在此基础上进行下一步的风险评估工作。2、资产重要度评估方法:对资的等级进行定义,并表示成相对等级的形式:赋值定义3(高)该类资产若发生泄露、损坏、丢失或无法使用,会给组织造成无法挽回的损失。2(中)会给公司造成一定的经济损失。1
3、(低)会给公司造成经济损失。决定资产重要度时,需要考虑:a、不仅要考虑资产的成本价格,也要考虑资产对于组织业务的安全重要性,即根据资产损失所引发的潜在的影响来决定;b、为确保资产重要度的一致性和准确性,建立一个标准的尺度,以明确如何对资产的重要度进行评估。c、分析和评价资产受到侵害后的保密性、完整性和可用性损失,通过对三个属性(保密性、完整性、可用性)进行赋值,并取MAX值的方式,确定出资产的重要度等级。3、资产面临的威胁、威胁可以利用的脆弱性的评估方法:a、分析本公司的信息系统存在威胁。b、综合威胁来源、种类和其他因素后得出威胁列表;c、针对每一项需要保护的信息资产,找出可能面临的威胁。d、
4、在识别资产所面临的威胁时,应该考虑下面三个方面的资料和信息来源: (1)通过过去的安全事件报告或记录,统计各种发生过的威胁和其发生频率; (2)在公司实际环境中,通过IDS系统获取的威胁发生数据的统计和分析,各种日志中威胁发生的数据的统计和分析; (3)过去一年或两年来国际机构发布的对于整个社会或待定行业安全威胁发生频率的统计数据均值。f、按照ISO/IEC 27001等标准的安全管理要求对现有的安全管理制度及其执行情况进行检查,发现其中的管理漏洞和不足,进行管理脆弱性识别。g、对网络设备和主机进行人工检查识别技术脆弱性。4、识别与分析控制措施的方法: a、对组织已经采取的控制措施进行识别,并
5、对其有效性进行确认。将控制措施分为预防性控制措施和保护性控制措施。预防性控制措施可以降低威胁发生的可能性和减少安全脆弱性,而保护性控制措施可以减少因威胁发生所造成的影响。 b、分析控制措施与已经识别出的威胁和脆弱性的关系。5、确定发生的可能性 a、可能性指潜在的脆弱性在相关威胁环境下被攻击的可能性 b、对可能性进行定义,表示成定性与赋值相对等级的形式。本公司采取三个级别的定义方式:可能性级别赋值可能性描述高1威胁源具有强烈动机和足够的能力,防止脆弱性被利用的防护措施是无效的中0.5威胁源具有一定的动机和能力,但是已经部署的安全防护措施可以阻止对脆弱性的成功利用低0.1威胁源缺少动机和能力,或者
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 04 信息 安全 风险 评估 报告
限制150内