文件编号:
风险评估报告
version:1.0
编制人:日期:
审核人: 日期:
批准人日期:
受控状态:
目录
1.目的 (4)
2.适用范围 (4)
2.1风险评估的范围包括: (4)
2.2风险评估所涉及的业务活动包括: (4)
3.风险评估引用文件 (4)
3.1风险评估引用文件包括 (4)
4.风险评估程序及准则 (5)
4.1风险评估准备阶段: (5)
4.2资产清点阶段: (5)
4.3风险评估阶段 (6)
5.风险评估结果 (7)
5.1可接受及不可接受风险划分标准 (7)
5.2信息安全风险概况 (7)
5.3各部门详细风险概况 (8)
6.风险控制措施选择 (9)
1. 目的
本次风险评估是公司为建立信息安全管理体系所进行的初始风险评估,其目的通过系统地识别公司核心业务以及支持性业务所面临的风险,并根据风险评估准则,对不可接受的风险进行确定。
2. 适用范围
2.1风险评估的范围包括:
公司所属部门、子公司。
2.2 风险评估所涉及的业务活动包括:
2.2.1与公司核心业务相关的所有业务过程,包括:
软件外包服务
信息服务外包
软件设计与开发
系统解决方案设计与维护
2.2.2与公司支持性业务相关的所有业务过程,包括:
企业内部信息化管理过程
品质管理
财务与人力资源
IT网络服务
行政后勤
2.3风险评估时间
2008年4月12日至2008年5月13日。
3. 风险评估引用文件
3.1风险评估引用文件包括
1)ISO 27001:2005信息安全管理实施指南
2)ISO 27002:2005 信息安全管理体系规范
3)ISO 27001实施指南–风险评估与风险管理指南
4. 风险评估程序及准则
4.1 风险评估准备阶段:
4.1.1 风险评估准备阶段主要完成以下工作:
1)组建风险评估团队
2)建立风险评估准则
3)进行风险评估培训和研讨
4.1.2 信息中心作为公司信息安全管理的职能部门,负责组织本次风险评估,并组建了风险评估团队,风险评估团队成员主要来自各部门的信息安全员。
4.1.3 风险评估准则参照ISO 27001风险评估与风险管理指南编制,并结合考虑公司的特点,主要风险评估准则包括:
1)资产重要性评估准则
2)威胁及脆弱性评分准则
3)风险判定准则
4)风险评估过程使用的各类模版
4.1.4 在风险评估过程中使用了一系列模板,这些模版包括:
1)各部门资产清单模版
2)资产汇总模版
2)资产重要性评估模版
3)威胁及脆弱性对照表
4)风险评估表模版
4.2资产清点阶段:
4.2.1 风险评估的第一个步骤是针对评估范围的所有重要的信息资产分类与清点,根据BS7799风险评估与管理指南中的建议,将重要的信息资产分为以下几类:
1)电子信息,包括:数据库及数据文件、系统文件、培训资料等等
2)纸面文件,包括:合同、公司人事档案等
3)软件资产,包括:操作系统、应用系统、开发工具、实用程序等
4)计算机设备,包括:台式电脑、服务器、手提电脑等
5)通讯设备,包括:路由器、交换机、电缆、传真机、电话等
6)存储媒介,包括:磁带、光盘等
7)办公设备,包括:复印机、碎纸机、文件柜等
8)服务,包括:互联网服务、供电服务等
9)人员,包括:公司各职务人员
4.2.2 根据上述资产的分类,信息安全办公室组织各部门信息安全员根据以下原则进行资产清点:
1)确定核心业务过程
2)针对核心业务过程产生和使用的信息资产进行清点
3)根据资产分类原则,将清点的资产进行分类
4)各部门将清点的资产纳入《信息资产清单》
5)由各部门负责人对《信息资产清单》中所列的资产进行确认签字。
4.2.3 信息安全办公室对各部门进行的资产清单进行审查确认,并最终将所有的资产进行汇总成公司总的信息资产清单。
4.2.4 由于服务、办公设备、媒介资产各个部门是共同的,因此,在进行资产重要性评估时,将这三类资产进行了合并。
4.2.5 详细的资产清单参见《信息资产清单(公司汇总)》
4.3 风险评估阶段
4.3.1 风险评估主要经历以下几个阶段
1)资产重要性评分
2)威胁和脆弱性识别
3)威胁及脆弱性评分
4)风险排序
4.3.2 资产重要性评分主要考虑信息安全的三个方面,即:保密性,完整性和可用性,资产重要性评分标准参见《风险评估准则》。
4.3.3 威胁的识别主要考虑来自三个方面的威胁,即:自然的威胁、人为的威胁以及以意外产生的威胁,脆弱性将主要考虑资产本身以及管理中的漏洞。并根据威胁来确定相关的脆弱性会否被利用而产生风险。威胁和脆弱性关联性已经事先研讨并确定成《威胁和脆弱性矩阵表》,参见《威胁脆弱性矩阵表》。
4.3.4 根据《威胁和脆弱性矩阵表》,针对所识别的每项资产,将根据威胁和脆弱性矩阵表确定资产具体的威胁和脆弱性,并同时考虑目前已有的控制措施,进行威胁和脆弱性评分,
威胁和脆弱性评分标准参见《风险评估准则》。
4.3.5 每个资产在确定威胁、脆弱性评分后,考虑资产重要性,将计算出资产面临的不同风险的分值,并对每一资产所面临的不同威胁进行排序。
5. 风险评估结果
5.1可接受及不可接受风险划分标准
根据风险评估准则的要求,资产的风险值分为五个等级:低、中低、中、中高、高,对评分为低、中低的风险,建议为可接受的风险,即可不考虑采取相关的控制措施,而对评分为中、中高及高的风险,建议为不可接受的风险,并需要考虑采取相应的控制措施。
5.2信息安全风险概况
5.2.1 由于业务的复杂性,以及客户的不同要求,不同部门所面临的风险是不同的,有些风险在一些部门是可接受的,但有些风险在另一些部门却是不可接受的。
5.2.2 根据各部门风险评估的结果,将各部门风险根据以下原则进行合并,合并的结果参见《信息安全风险一览表》。
a)至少两个部门都存在的风险
b)与公司核心业务的信息安全相关的风险
c)根据不同的资产类别进行风险划分
5.2.3 从整改难度、资金投入方面考虑,需要高层关注的不可接受风险包括:
a)由于缺乏业务连续性计划(例如灾难恢复计划),当发生通讯中断、重大灾难
发生时,导致各类信息资产受损,使得业务无法进行。
b)未经允许,随意安装计算机应用程序现象泛滥,容易导致信息网络感染木马和
病毒,也容易因为使用盗版软件而引起诉讼。
c)上网行为比较混乱,难以管理和进行统计,访问不健康网站行为无法及时发现
和阻断,也可能通过网络泄密公司敏感信息。
d)外部计算机非法接入内部网络,造成信息安全隐患。
e)通过Modem拨号、ADSL拨号和无线拨号等私自建立网络连接,造成单位内部网
络存在安全隐患
f)MSN/QQ等即时通讯工具管理,无法对外发邮件无法的监控。
g)人员异动情况管理问题(人员退出项目的账号密码管理问题、门禁卡管理问题,
特别是临时权限管理)
h)公司的消防问题,特别是机房消防问题,无物理安全措施。
5.2.4 公司网络目前存在一系列的安全漏洞,包括:
a)网络设备操作系统安全配置漏洞
中心机房核心交换机只有功能性的配置,几乎没有考虑安全配置,例如:时间同步、安全审计痕迹。操作系统的密码没有使用安全密码。
路由器的基本安全配置没有考虑(例如:访问控制列表、针对不同网站的过滤、端口全部打开(应根据访问需求来确定路由器端口)
b)访问权限管理的漏洞
公网静态IP地址滥用,几乎没有受控。
操作系统、应用系统访问权限没有明确的规定。
c)网络链接管理的漏洞
除GE、三条外部链路外,所有对日专线均直接连接到交换机,没有经过防火墙。
与ISP外网接口交换机没有逻辑关断,所有端口都可利用
远程诊断端口没有任何保护措施
d)计算机房、物理安全区域的漏洞
计算机房目前缺乏明确的技术安全标准,也不完全符合国家标准要求,例如:独立的空间、避雷装置、特别的消防系统等
开发办公区重要的计算机及网络设备没有任何保护措施
缺乏对物理安全区域统一规划、门禁系统授权控制等
5.3各部门详细风险概况
由于各部门所面临的信息安全风险不一,因此,提供了一份详细的各部门资产风险(不可接受的风险:中、中高、高级)汇总表。根据该表的估统计结果,公司各部门总体的不可接受风险数量及针对的资产类别统计如下:
按资产类别:
按风险类别:
6. 风险控制措施选择
6.1.1 根据上述风险统计结果,所有不可接受的风险均应考虑采取控制措施,但采取控制措施应考虑以下的优先分级:
1)中级风险 -- 具有风险,需要引起注意,并考虑采取控制措施
2)中高级风险 --具有显著,需要引起重视,并考虑马上采取控制措施
3)风险程度 -- 需要引起特别的重视,并必须采取控制措施
6.1.2风险控制措施的选择将主要针对汇总合并后的《信息安全风险一览表》,在确定控制措施时,将考虑各部门风险评估的结果。在确定是否采取风险控制措施时,应考虑采取控
制措施所需要的投入是否合适。对所计划的控制措施不接受时,应考虑给出充分的理由,并经过信息安全管理委员会审查和批准。
6.1.3 风险控制措施的选择结果将通过正式的《风险管理计划》提交信息安全管理委员会审批。
推荐访问: 计算机保密风险评估报告 评估报告 风险