北京市海淀区可行性研究
项目
风险评估报告
博隆建亚科技(北京)有限公司
Bolong Keon-A Technology Beijing Co.,Ltd
2016年1月
目录
北京市海淀区 (5)
施工及其他可行性研究风险评估报告 (5)
一、工程概述 (5)
二、风险评估依据 (6)
三、风险分析 (7)
四、风险评估范围 (7)
五、风险评估方法 (7)
六、各类风险表述 (7)
七、风险等级要求 (9)
八、风险接受准则与采取的风险处理措施 (9)
九、评估对象 (10)
十、网电专项风险评估步骤 (10)
十一、道路安全及环境风险评估步骤 (10)
十二、市政路政手续办理问题风险评估步骤 (10)
十三、政策相关问题风险步骤 (10)
十四、一般风险源风险控制措施 (11)
十五、风险防范总结及建议 (12)
评估小组人员名单
北京市海淀区
施工及其他可行性研究风险评估报告
一、工程概述
1、工程概况
海淀区分位于北京城区西北部,全区430.8平方千米,南北长约30千米,东西最宽处29千米,约占北京总面积的2.53%,海淀区北接昌平区,西接门头沟区,东南分别于朝阳区,东城区,西城区,丰台区。石景山区交界。全区下辖22个街道办事处、7个镇,564个居委会,84个村委会,区内包含西北三环,四环,五环,及六环部分区域。路线错综复杂,主要为环线道路部分,以及郊区村镇,区内包含的高速有京藏高速部分路段,三环四环五环及六环的西北部分。
本项目主要建与海淀区内环路,高速,主要街道,事故多发区,以及违法情况较多的位置。
2、气象水文
海淀区气候属温带湿润季风气候区,冬季寒冷干燥,盛行西北风,夏季高温多雨,盛行东南风。年均气温12.5℃,1月份平均气温-4.4℃,极端最低气温为-21.7℃,7月份平均气温为25.8℃,最高气温为41.6℃。年日照数2662小时,无霜期211天。年平均降水量628.9毫米,集中于夏季的6-8月,降水量为465.1毫米,占全年降水的70%;冬季的12-2月份降水量最少,仅占1%。因此,夏季雨水多,春秋干旱,冬季寒冷干燥是该区的气候特点。项目区地
表水、地表水不具腐蚀性,可供饮用及施工使用。
二、风险评估依据
三、风险分析
风险评估小组对致险因子分析主要从人、机、事、法、路等方面考虑。可能受到伤害人员包括:作业人员本身、同一作业场所的其他人员、周围其他人员。事故发生的原因有机械设备故障、人为失误、自然灾害等。可能受到其他因素的有:光纤的铺设,路由的通顺,环境的破坏,市政路政手续的办理等。
四、风险评估范围
本评估针对于海淀区内建设施工过程中可能存在的安全风险。五、风险评估方法
评定方法根据海淀区卡口建设项目的施工特点,人员资质,之前点位的光纤覆盖,区内有无道路与环境的破坏历史以及以前路由是否通顺等一系列制度来进行评判。
六、各类风险表述
网电覆盖建设难易程度值G
道路安全以及环境破坏值D
市政路政手续办理问题难易值S
政策风险Z
注:总体评估分析=(G+D+S+Z)/4
1、专项风险评估。
当本项目总体风险评估等级达到75分及以上时,将其中高风险的施工作业活动(或难以完成的其他问题)作为评估对象,根据其风险
特点以及类似工程所发生的情况,进行风险源普查,提出相应的风险控制措施。
七、风险等级要求
八、风险接受准则与采取的风险处理措施
风险接受准则与采取的风险处理措施表
九、评估对象
海淀区卡口建设项目
十、网电专项风险评估步骤
⑴、确定点位及其布置。
⑵、与网电相关人员协商安装难度。
⑶、制定计划。
⑷、通过与风险评估小组商议制定风险预测。
十一、道路安全及环境风险评估步骤
⑴、现场勘查来确定点位周边状况以及环境状况。
⑵、具体项目实施的描述需要哪些方面的支持。
⑶、通过风险小组协商进行风险预测。
十二、市政路政手续办理问题风险评估步骤
⑴、勘查确定点位。
⑵、了解市路政手续相关流程。
⑶、通过以往经验交由风险小组进行评估。
十三、政策相关问题风险步骤
⑴、查阅近五年相关政策资料,是否发现有过政策变动,以及一系列的状况。
⑵、通过甲方来确定具体政策的实行。
⑶、整理成册交由风险小组进行评估。
十四、一般风险源风险控制措施
1、成立风险评估小组
组长:
副组长:
成员:
⑴、组长:负责安全评估与管理工作的领导工作。制定施工阶段风险评估工作实施细则。
⑵、副组长:根据分组的情况开展本组的管理工作,并向组长负责。
⑶、成员:在组长及副组长的领导下,开展安全评估与管理工作,成立抢险小组,并落实各项具体措施;与项目部其它相关部门紧密联系,共同抓落实,从各方面给予安全评估与管理工作切实的保障。
十五、风险防范总结及建议
以下建议为小组评估人观点,希望对被评估人提高安全水平有所帮助。
?人员方面,建议加强培训基本相关知识。减少因为人员本身问题
造成不必要的失误,最终而带来的风险。
?建议多与甲方联系,确保甲方与我们有着良好的沟通,不能胡干,
瞎干。
?建议添加专人办理流程性文件,以免多人办理造成市政路政对人
员不熟而造成一些不必要的麻烦。
?建议户外工作时必须穿戴头盔以及较醒目的工程服装。?..............(可在加)
1111单位:1111系统安全项目信息安全风险评估报告 我们单位名 日期
报告编写人: 日期: 批准人:日期: 版本号:第一版本日期 第二版本日期 终板
目录 1概述 (5) 1.1项目背景 (5) 1.2工作方法 (5) 1.3评估范围 (5) 1.4基本信息 (5) 2业务系统分析 (6) 2.1业务系统职能 (6) 2.2网络拓扑结构 (6) 2.3边界数据流向 (6) 3资产分析 (6) 3.1信息资产分析 (6) 3.1.1信息资产识别概述 (6) 3.1.2信息资产识别 (7) 4威胁分析 (7) 4.1威胁分析概述 (7) 4.2威胁分类 (8) 4.3威胁主体 (8) 4.4威胁识别 (9) 5脆弱性分析 (9) 5.1脆弱性分析概述 (9) 5.2技术脆弱性分析 (10) 5.2.1网络平台脆弱性分析 (10) 5.2.2操作系统脆弱性分析 (10) 5.2.3脆弱性扫描结果分析 (10) 5.2.3.1扫描资产列表 (10) 5.2.3.2高危漏洞分析 (11) 5.2.3.3系统帐户分析 (11) 5.2.3.4应用帐户分析 (11)
5.3管理脆弱性分析 (11) 5.4脆弱性识别 (13) 6风险分析 (14) 6.1风险分析概述 (14) 6.2资产风险分布 (14) 6.3资产风险列表 (14) 7系统安全加固建议 (15) 7.1管理类建议 (15) 7.2技术类建议 (15) 7.2.1安全措施 (15) 7.2.2网络平台 (16) 7.2.3操作系统 (16) 8制定及确认................................................................................................................. 错误!未定义书签。9附录A:脆弱性编号规则.. (17)
XXXXX公司 信息安全风险评估报告 历史版本编制、审核、批准、发布实施、分发信息记录表
一. 风险项目综述 1.企业名称: XXXXX公司 2.企业概况:XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持与服
务的企业。 3.ISMS方针:预防为主,共筑信息安全;完善管理,赢得顾客信赖。 4.ISMS范围:计算机应用软件开发,网络安全产品设计/开发,系统集成及服务的信息安全管理。 二. 风险评估目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,进行本次风险评估。 三. 风险评估日期: 2017-9-10至2017-9-15 四. 评估小组成员 XXXXXXX。 五. 评估方法综述 1、首先由信息安全管理小组牵头组建风险评估小组; 2、通过咨询公司对风险评估小组进行相关培训; 3、根据我们的信息安全方针、范围制定信息安全风险管理程序,以这个程序作为我们风险评估的依据和方 法; 4、各部门识别所有的业务流程,并根据这些业务流程进行资产识别,对识别的资产进行打分形成重要资产 清单; 5、对每个重要资产进行威胁、脆弱性识别并打分,并以此得到资产的风险等级; 6、根据风险接受准则得出不可接受风险,并根据标准ISO27001:2013的附录A制定相关的风险控制措施; 7、对于可接受的剩余风险向公司领导汇报并得到批准。 六. 风险评估概况 根据第一阶段审核结果,修订了信息安全风险管理程序,根据新修订程序文件,再次进行了风险评估工作
从2017年9月10日开始进入风险评估阶段,到2017年9月15日止基本工作告一段落。主要工作过程如下: 1.2017-9-10 ~ 2017-9-10,风险评估培训; 2.2017-9-11 ~ 2017-9-11,公司评估小组制定《信息安全风险管理程序》,制定系统化的风险评估方法; 3.2017-9-12 ~ 2017-9-12,本公司各部门识别本部门信息资产,并对信息资产进行等级评定,其中资产分为 物理资产、软件资产、数据资产、文档资产、无形资产,服务资产等共六大类; 4.2017-9-13 ~ 2017-9-13,本公司各部门编写风险评估表,识别信息资产的脆弱性和面临的威胁,评估潜在 风险,并在ISMS工作组内审核; 5.2017-9-14 ~ 2017-9-14,本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表; 6. 2017-9-15 ~ 2017-9-15,各部门修订风险评估表,识别重大风险,制定控制措施;ISMS工作 组组织审核,并最终汇总形成本报告。 . 七. 风险评估结果统计 本次风险评估情况详见各部门“风险评估表”,其中共识别出资产190个,重要资产115个,信息安全风险115个,不可接受风险42个. 表1 资产面临的威胁和脆弱性汇总表
设备资产风险评估资料 一、资产评估提出、依据及评估人员 1.资产评估提出: 根据环境公司资产管理政策要求,对设备资产进行评估,根据评估风险高低不同对设备制定相应的维护计划并进行维护,确保设备运行稳定、安全、可靠,从而对项目生产顺利进行提供保障。 2.评估依据 环境公司制定的资产管理政策中关于资产评估相关内容进行 3.参与评估人员 评估项目方:公司主管生产的副总、部门负责人及技术人员,包括设备、工艺、安全等方面的技术人员,熟悉现场生产工艺、设备状况及安全要求,负责本项目资产评估具体工作; 环境公司生产安全部:监督设备资产评估工作; 设备维护管理中心:参与并指导各项目设备资产评估工作。 二、资产评估准备工作 1.评估项目方准备的工作 1)列出待评估设备明细表,重点关系到工艺、安全、资产价值高、进口设备难维修或者维修配件采购周期长的设备,包括电气、自控、仪表、机械设备及部分工艺闸门(如进水闸门等);(按照各项目导入资产系统设备资产明细表编制)明细表中至少应包括以下信息:系统、工段、组合、位号、位置名称、设备名称、规格、型号、类别、生产商等。 2)收集现有的数据及资料 主要包括设备及维护情况资料(设备档案)、操作手册(包括设备手册、维护规程、安全操作规程等)、厂内工艺运行资料、其他相关资料:目的是评估项目方要熟悉本项目的设备情况、工艺情况,保证评估准确性; 3)制定评估计划:包括评估日期安排、参加人员等 2.维护管理中心准备工作 1)向评估项目方进行培训,包括评估的方法、评估内容等,保证评估质量;
2)向评估项目方提供设备评估记录表(统一格式)电子版,现场评估现场记录,手动录入设备名称、重要性及状态,自动计算风险值; 3)准备资产评估反馈表,在项目评估完成后,记录反馈信息。 三、资产评估具体操作内容 (一)评估因素组成 设备资产风险评估级别由重要性(故障导致的后果严重程度)及状态(发生故障的可能性)2个参数共同决定 计算公式:设备资产风险等级=设备状态*设备重要性 设备资产风险等级越高,设备开展纠正性维护或者改造的紧迫性就高。反之,设备资产风险等级越低,说明设备性能良好,对其维护的紧迫性相应降低。 (二)设备重要性评估 1.重要性分级 根据资产政策说明,我们根据设备故障造成的影响大小作为衡量设备重要性的依据重要性分为三级A-高、B-中、C-低; 对应指数为:3、2、1,该指数作为风险等级量化的数值 A 类设备重要性级最高, B 类设备重要性次之, C 类设备的重要性最低。 2.如何对设备重要性进行判定 判定设备重要性从生产安全方面、更新费用方面、维护成本方面等方面进行:1)生产安全方面:指对设备停运/故障对生产安全运行产生影响的影响来判断,主要分为冲击大、有冲击、没有冲击三种情况,举例进水泵故障将影响进水量,则进水泵对生产安全冲击大;粗格栅故障,进水量将有波动,对生产安全有冲击;生物池一台搅拌器故障,对整体工艺运行影响不大,则没有冲击; 2)更新费用方面:指更新一台设备需要的费用分为昂贵、中等、低廉:举例脱水机(福乐伟)更新一台上百万,更新费用昂贵;生物池搅拌器(ABS)更新一台费用20万,费用中等;次氯酸钠加药泵(国产)更新一台费用几千元,费用低廉; 3)维护成本方面:分为维护成本高且维护周期长且无法自行完成维护、维护成本及维护周期中等、维护成本便宜且维护周期短:举例高压电动鼓风机维护备件进口周期长、价格(几万至几十万)、维护需要有资质的技术人员进行,维护费用
信息资产管理办法 第一章总则 第一条目的:本管理办法旨在对XX银行(以下简称我行)内部重要的信息资产进行分类分级,以便对信息的分发和流转进行恰当的控制,确保信息资产的保密性、完整性和可用性能够实现。 第二条依据:本管理办法根据《XX银行信息安全管理策略》制订。 第三条范围:本管理办法适用于我行总部及所辖分、支行。 第四条定义 (一)本管理办法所涉及的信息包括各种存储或者存在形式,包括但不限于电子信息、纸质数据文件、语音和图像等。 (二)本管理办法所称信息是指以任何形式存在或传播的对我行具有价值的内容,包括电子信息、纸质数据文件、语音图像等。信息安全关注的是信息的保密性、可用性和完整性。 (三)本管理办法所称信息资产是指任何对我行具有价值的信息的存在形式或者载体,包括计算机硬件、通信设施、IT环境、数据库、软件、文档资料、信息服务和人员等,所有这些资产都需要妥善保护。 第二章组织与管理 第五条我行各部门负责人是本部门信息资产管理的第一责任人,负责组织本管理办法的贯彻落实。 第六条全体员工理解并遵守本管理办法定义的内容。 第七条本管理办法定义以下相关角色,履行相应的信息安全管理、执行和审核职责。 (一)责任人,信息资产的创建者,或者主要用户所在组织、单位或部门的负责人。信息资产责任人对所属信息资产负直接责任。其主要职责包括:
1、理解和各种信息访问活动相关的安全风险; 2、根据我行信息密级划分标准来确定所属信息资产的级别; 3、根据我行相关策略确定并检查信息访问权限; 4、针对所属信息资产提出恰当的保护措施。 (二)保管者,受信息资产责任人委托,对信息资产进行日常的管理,维护已经建立的保护措施。资产保管者通常是我行的IT部门或者代表(例如系统管理员)。其主要职责包括: 1、根据相关策略和信息资产责任人的要求,负责信息资产的维护操作和日常管理事务; 2、负责具体设置信息访问权限; 3、负责所管理的信息资产的安全控制; 4、部署恰当的安全机制,进行备份和恢复操作; 5、按照信息资产责任人的要求实施其他控制。 (三)用户,信息资产的使用者,除了我行内部员工,也可能是因为业务需要而访问我行信息的客户或第三方组织。其主要职责包括: 1、向信息资产责任人申请信息访问; 2、按照我行信息安全策略要求正当访问信息,禁止非授权访问; 3、向相关组织报告隐患、故障或者违规事件。 第三章资产管理要求 第八条信息资产分类 信息资产责任人应该指导进行相关资产的调查,资产调查以业务流程为线索,包括各类输入、中间环节和输出信息,所有这些信息资产都为业务流程的运转提供支持。 信息资产可以分为以下几大类。 (一)数据文件,通常包括各种电子档:业务数据、客户数据、配置文件、记录数据(日志、审计记录)、管理文件(策略、流程文件、操作手册等)、商务文件(合同、协议等)。也包括以实物方式存在的资产:各类电子数据的归档、打印件、书面管理文件、业务报表、包含重要商业成果的文件,还有胶片等。 (二)软件资产,各种系统软件、应用软件(OA、业务软件等)和工具软件(开发系统、网管软件、安全软件等),包括操作系统、数据库应用程序、网络软件、办公应用系
1资产识别 1.1资产数据采集 1.1.1资产采集说明 通过资产调查和现场访谈,对信息系统的相关资产进行调查,形成资产列表。采集工作在前期调研的基础上开展,以调研所得的设备列表为依据,将所有与信息系统有关的信息资产核查清楚。 1.1.2资产采集检测表 1.2资产分类识别 1.2.1资产分类说明 将所采集的资产数据按照资产形态和用途进行分类,形成资产分类表。信息系统的资产一般可分为硬件、软件、文档与数据、人力资源、服务和其它资产等几大类。 1.2.1.1硬件
1.2.1.2软件 1.2.1.3文档与数据 一般指保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等。 1.2.1.4人力资源 人力资源一般包括掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等。 1.2.1.5服务 1.2.1.6其它资产 其它资产是指一些无形的但同样对于企业本身具有一定的价值,如企业形象、客户关系等。
1.2.2资产分类检测表 1.2.3网络拓扑中常用的硬件资产 设备,它会根据信道的情况自动选择和设定 路由,以最佳路径,按前后顺序发送信号的 设备。 各种不同档次的产品已成为实现各种骨干网 内部连接、骨干网间互联和骨干网与互联网 互通业务的主力军 它可以为接入交换机的任意两个网络节点提 供独享的电信号通路。最常见的交换机是以 太网交换机。交换是按照通信两端传输信息 的需要,用人工或设备自动完成的方法,把 要传输的信息送到符合要求的相应路由上的 技术的统称。根据工作位置的不同,可以分 为广域网交换机和局域网交换机
本程序,作为《WX-WI-IT-001 信息安全管理流程A0版》的附件,随制度发行,并同步生效。 信息安全风险评估管理程序 1.0目的 在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估,形成评估报告,描述风险等级,识别和评价供处理风险的可选措施,选择控制目标和控制措施处理风险。 2.0适用范围 在ISMS 覆盖范围内主要信息资产 3.0定义(无) 4.0职责 4.1各部门负责部门内部资产的识别,确定资产价值。 4.2IT部负责风险评估和制订控制措施。 4.3财务中心副部负责信息系统运行的批准。 5.0流程图 同信息安全管理程序的流程 6.0内容 6.1资产的识别 6.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别,确定资产价值。 6.1.2资产分类 根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员 等类。 6.1.3资产(A)赋值 资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析,选 择对资产机密性、完整性和可用性最为重要(分值最高)的一个属性的赋值 等级作为资产的最终赋值结果。资产等级划分为五级,分别代表资产重要性
的高低。等级数值越大,资产价值越高。 1)机密性赋值 根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产 2)完整性赋值 根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产 3)可用性赋值 根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。
3分以上为重要资产,重要信息资产由IT 部确立清单 6.2威胁识别 6.2.1威胁分类 对重要资产应由ISMS 小组识别其面临的威胁。针对威胁来源,根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等。 6.2.2威胁(T)赋值 评估者应根据经验和(或)有关的统计数据来判断威胁出现的频率。 威胁频率等级划分为五级,分别代表威胁出现的频率的高低。等级数值越大,威胁出现
国家电子政务工程建设项目非涉密 信息系统 欧阳歌谷(2021.02.01) 信息安全风险评估报告格式 项目名称: 项目建设单位: 风险评估单位: 年月日 目录 一、风险评估项目概述1 1.1工程项目概况1 1.1.1 建设项目基本信息1 1.1.2 建设单位基本信息1 1.1.3承建单位基本信息2 1.2风险评估实施单位基本情况2 二、风险评估活动概述2 2.1风险评估工作组织管理2 2.2风险评估工作过程2 2.3依据的技术标准及相关法规文件2
2.4保障与限制条件3 三、评估对象3 3.1评估对象构成与定级3 3.1.1 网络结构3 3.1.2 业务应用3 3.1.3 子系统构成及定级3 3.2评估对象等级保护措施3 3.2.1XX子系统的等级保护措施3 3.2.2子系统N的等级保护措施3 四、资产识别与分析4 4.1资产类型与赋值4 4.1.1资产类型4 4.1.2资产赋值4 4.2关键资产说明4 五、威胁识别与分析4 5.1威胁数据采集5 5.2威胁描述与分析5 5.2.1 威胁源分析5 5.2.2 威胁行为分析5 5.2.3 威胁能量分析5 5.3威胁赋值5
六、脆弱性识别与分析5 6.1常规脆弱性描述5 6.1.1 管理脆弱性5 6.1.2 网络脆弱性5 6.1.3系统脆弱性5 6.1.4应用脆弱性5 6.1.5数据处理和存储脆弱性6 6.1.6运行维护脆弱性6 6.1.7灾备与应急响应脆弱性6 6.1.8物理脆弱性6 6.2脆弱性专项检测6 6.2.1木马病毒专项检查6 6.2.2渗透与攻击性专项测试6 6.2.3关键设备安全性专项测试6 6.2.4设备采购和维保服务专项检测6 6.2.5其他专项检测6 6.2.6安全保护效果综合验证6 6.3脆弱性综合列表6 七、风险分析6 7.1关键资产的风险计算结果6 7.2关键资产的风险等级7 7.2.1 风险等级列表7
附件: 国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式 项目名称: 项目建设单位: 风险评估单位: 年月日
目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)
5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)
信息化建设风险评估报告格式 项目名称: 项目建设单位: 风险评估单位: 年月日
目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)
5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)
信息资产赋值定义 1.为什么要进行信息资产的赋值? 在完成信息资产的识别形成完整的信息资产表之后,为了明确对资产的保护,同时为了接下来对风险值的计算,有必要对资产的价值进行评估,其价值大小不仅仅是考虑其自身的价值,还要考虑其业务的相关性和一定条件下的潜在价值。资产价值常常是以安全事件发生时所产生的潜在业务影响来衡量,安全事件会导致资产机密性、完整性和可用性的损失,从而导致企业资金、市场份额、企业形象的损失。为了资产评估的一致性与准确性,我们建立一套资产价值的评估标准,对每一种资产和每一种可能的损失,例如机密性、完整性和可用性的损失,都可以赋予一个价值。但采用精确的方式给资产赋值是较困难的一件事,一般采用定性的方式,按照资产的价值评估标准将资产的价值划分为不同等级。经过资产的识别与估价后,组织应根据资产价值大小,进一步确定要保护的关键资产。 在评估过程,为了保证没有资产被忽略和遗漏,应该先确定信息安全体系范围,建立资产的评审边界。评估资产最简单的方式是列出组织业务过程中、安全管理体系范围内所有具有价值的资产,然后对资产赋予一定的价值,这种价值应该反映资产对组织业务运营的重要性,并以对业务的潜在影响程度表现出来。例如,资产价值越大,由于泄露、修改、损害、不可用等安全事件对组织业务的潜在影响就越大。基于组织业务需要的资产的识别与估价,是建立信息安全体系,确定风险的重要一步。 2.如何进行信息资产赋值? 在对资产赋予价值时,一方面要考虑资产购买成本及维护成本,另一方面主要考虑当这种资产的机密性、完整性、可用性受到损害时,对业务运营的负面影响程度。在信息安全管理中,并不是直接采用资产的账面价值,而是采用以定性分级的方式建立资产的相对价值,以相对价值来作为确定重要资产的依据和为这种资产的保护投入多大资源的依据。 对资产的赋值不仅要考虑资产本身的价值,更重要的是要考虑资产的安全状况对于组织的重要性,即由资产在其CIA三个安全属性上的达成程度决定。依据CIA属性分级的标准对资产在机密性、完整性和可用性上的达成程度进行分析,并在此基础上得出一个综合结果——信息资产的价值。
1、风险评估概述 1.1风险评估概念 信息安全风险评估是参照风险评估标准和管理规,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、标准《信息系统安全等级评测准则》等法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等面存在的脆弱性为诱因的信息安全风险评估综合法及操作模型。 1.2风险评估相关 资产,任对组织有价值的事物。 威胁,指可能对资产或组织造成损害的事故的潜在原因。例如,组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。 脆弱点,是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思,使用简短易被猜测的口令、操作系统本身有安全漏洞等。 风险,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害饿潜在可能性,即特定威胁事件发生的可能性与后果的结合。风险评估,对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。
风险评估也称为风险分析,就是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的法,去顶资产风险等级和优先控制顺序。 2、风险评估的发展现状 2.1信息安全风险评估在美国的发展 第一阶段(60-70年代)以计算机为对象的信息保密阶段1067年11月到1970年2月,美国国防科学委员会委托兰德公司、迈特公司(MITIE)及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究,分析。作为第一次比较大规模的风险评估。 特点: 仅重点针对了计算机系统的保密性问题提出要求,对安全的评估只限于保密性,且重点在于安全评估,对风险问题考虑不多。 第二阶段(80-90年代)以计算机和网络为对象的信息系统安全保护阶段 评估对象多为产品,很少延拓至系统,婴儿在格意义上扔不是全面的风险评估。 第三阶段(90年代末,21世纪初)以信息系统为对象的信息保障阶段 随着信息保障的研究的深入,保障对象明确为信息和信息系统;保障能力明确来源于技术、管理和人员三个面;逐步形成了风险评估、自评估、认证认可的工作思路。
企业名称: 项目名称: 融资额度: 担保期限: 是否反担保: 贷款银行: 企业地址: 负责人: 联系电话: 风险分值: 承保意见: 部门负责人: 部门: 职务: 岗位: 姓名: 时间: 年 月 日 第 页,共 页 *生产经营资质 分值12 科 目 分值 评分标准 失分情况 风险描述 备 注 营业执照 组织机构代码证 税务登记证 行业许可证 技术团队 管理团队 生产团队 营销团队 厂房 设备 仓库 办公生产场地 *股权结构分值12 股东信息 出资情况 变动情况 用途与还款15分 贷款额度 用途 还款计划 *反担保措施24分 固定资产 流动资产 无形资产 *财务制度与报 表15分 现金流量表 资产负债表 损益表
企业名称: 项目名称: 融资额度: 担保期限: 是否反担保: 贷款银行: 企业地址: 负责人: 联系电话: 风险分值: 承保意见: 部门负责人: 部门: 职务: 岗位: 姓名: 时间: 年 月 日 第 页,共 页 生产经营状况6分 试运行期间 成熟期 衰退期 *债权债 务情况7 分 最大债务 到期债务 负债总量和负债率 应收账目额度 坏账率 连带责任债权 连带责任债务 征信报告9分 企业社会信用 法人征信报告 企业金融征信 总分值 风险评估专员 说明: 1、带*的栏目,属于企业基本情况为重点评估对象。 2、评估辅助项目,作为企业成长与发展前景的评估。 3、反担保栏目,是重中之重的评估对象。 4、生产经营资质、股权结构、反担保、财务报表与财务制度、反担保、债权债务情况栏目,作为风险评估的重点占整个评分值的百分之七十。作为基本合格的风险贷款担保基础。达不到则不能给予融资担保服务。 5、用途与还款计划、生产经营状况与市场、征信等作为企业的辅助申请条件,参考价值在百分之三十。作为是否全额度担保的参考价值,也是还款能力的最后保障。
附件: 信息安全风险评估报告格式 项目名称: 项目建设单位: 风险评估单位: 年月日
目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)
5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)
中国工商银行个人客户风险评估表 〖填表说明〗:根据中国银行业监督管理委员会《商业银行个人理财业务管理暂行办法》和《商业银行个人理财业务风险管理指引》和中国证券监督管理委员会的相关规定,请您填写以下评估问卷,我行承诺对您的个人资料进行保密。为了确保评估结果的客观性,本表评估标准恕不公开。 客户姓名: 性别: 婚姻状况: 1、您的家庭年收入为? 5万元以下 5—20万元 20—50万元 50—100万元 100万元以上 2、您的投资目的是? 子女教育费,退休计划 个人目标(如置业、购车) 让财富保值增值 3、您期望的投资理财回报是?(附注:高回报附带高风险) 跟银行存款利率大体相同 比定期存款利率稍高 远超过定期存款利率 4、您的年龄是? 18—30 31—40 41—50 51—60 高于61岁 5、未来五年,您预计自己每月可拿出多少资金用于投资理财? 预计未来每月可投资金额会减少(比如:退休) 预计未来每月可投资金额跟现在大体相同 预计未来每月可投资金额比现在高 6、如果您要参与投资理财,您打算购买理财产品(含基金,下同)的资金占个人总资产的百分之几? 25%以下 25%—50% 51%—75%
75%以上 7、您希望您的投资目标在多长时间内实现? 1年以下 1—2年 3—5年 5年以上 8、以下哪项最能说明您的投资经验? 经验有限:除存款、国债,我几乎没有其他投资经验。 经验适度:我有一些投资经验,但希望得到专业人士的进一步帮助。 经验丰富:我是活跃且有经验的投资者,希望自行进行投资决策。 9、以下哪项是适合您的投资风格? 无风险:不希望本金承担风险 保守:希望保守投资,回报高于定期存款 稳健:希望以平衡的投资方式,寻求资金的较高收益和成长性 进取:希望赚取高回报,能接受为期较长期间的负面波动,包括本金损失 10、当您购买的投资理财产品价值出现负收益时,您的反映是: 明显焦虑 稍有焦虑 可以接受 无所谓 11、您可承受的价值波动幅度? 能够承受本金50%以上亏损 能够承受本金20—50%的亏损 能够承受本金10%以内的亏损 不能够承受本金损失 12、您是否已充分了解拟购买的投资理财产品的类型、风险、期限、收益计算方式以及提前终止的约定? 是 否 13、对于不保本型理财产品,银行不承诺保证本金安全,您可能在产品到期收回本金并拿到较高收益,也可能无法获得任何收益且无法收回全部本金。对上述情况您是否了解并接受? 是 否 14、投资于代客境外理财产品,从您签署认购协议起至产品到期,您可能会面临汇率风险,您的投资本金会因此面临损失的可能。对于上述风险,您是否已经清楚地了解并且能够接受? 是
ISO27001风险评估程序 1目的 为了对公司的信息资产进行风险评估和风险控制,评估组织信息资产所面临的风险并对风险实施有效控制,以确保风险被降低或消除,特制定本程序。 2适用范围 本程序适用于适用于对公司的信息资产进行风险评估和风险控制。 3职责与权限 3.1信息安全委员会 ?制定资产评估准则,确定风险评估方法; ?负责对控制目标、控制措施的有效性进行监督和评审。 ?确定风险评估的范围; ?指导各部门进行风险评估; ?汇总和分析风险评估结果,作出风险评价; ?制定风险处理计划,向信息安全委员会提交信息安全风险评估报告。 3.3各部门 ?各部门资产负责人按规定维护相关资产。 ?识别并列出跟本部门业务有关的资产; ?对本部门资产进行风险评估。 4风险评估程序和工作流程 4.1风险评估与管理 4.1.1过程识别 在ISMS范围内,各部门识别本部门涉及的主要业务过程及使用的各类信息资产。 4.1.2风险评估
风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。即风险分析和风险评价的全过程。 4.1.3风险管理 风险管理是识别、控制、消除、减小可能影响信息系统资源的不确定事件的过程。指导和控制一个组织的风险的协调的活动。 4.1.4风险评估方法 结合公司在风险评估时投入的时间、人力、成本等各方面的因素,公司采用基本风险评估方法。基本的风险评估方法是指应用直接和简易的方法达到基本的安全水平,就能满足组织及其业务环境的所有要求。公司采用这种方法使得组织在识别和评估基本安全需求的基础上,通过建立相应的信息安全管理体系,获得对信息资产的基本保护。 4.1.5风险评估与风险管理的区分 风险管理是把整个组织内的风险降低到可接受水平的整个过程。 ?是一个持续的周期,通常以一定的间隔重新开始来更新流程中各个地区阶段的数据 ?是一个持续循环、不断上升的过程。 风险评估是确定组织面临的风险并确定其优先级的过程,是风险管理流程中最必须、最谨慎的一个过程。 ?当潜在的与安全相关的事件在企业内发生时,如变动业务方法、发现新的漏洞等, 组织都可能会启动风险评估。 4.2 风险评估实施流程 总要求:组织应根据整体业务活动和风险,建立、实施、运行、监视、评审、保持并改进文件化的ISMS。
XXXXXXXX信息系统 信息安全风险评估报告模板 项目名称: 项目建设单位: 风险评估单位: ****年**月**日
目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)
5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)
ISO27001信息安全风险评估控制手册 1 目的 本程序规定了DXC所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估认知DXC的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持DXC持续性发展,以满足DXC信息安全管理方针的要求。 2 范围 本程序适用于信息安全管理体系(ISMS)范围内信息安全风险评估活动。 3 相关文件 无 4 职责 4.1 管理者代表负责组织成立风险评估小组。 4.2 风险评估小组负责编制信息安全风险评估计划,确认评估结果,形成《信息安全风险评估报告》。 5 程序 5.1 风险评估前准备 5.1.1 管理者代表牵头成立风险评估小组,小组成员至少应该包含:负责信息安全管理体系的成员。 5.1.2 风险评估小组制定信息安全风险评估计划,下发各内审员。 5.1.3 必要时应对各内审员进行风险评估相关知识和表格填写的培训。
5.2信息资产的识别 5.2.1风险评估小组通过电子邮件向各内审员发放《信息资产分类参考目录》、《重要信息资产判断准则》、《信息资产识别表》,同时提出信息资产识别的要求。 5.2.2 各内审员参考《信息资产分类参考目录》识别DXC信息资产,并填写《信息资产识别表》,根据《重要信息资产判断准则》判断其是否是重要信息资产,经该区域负责人审核确认后,在风险评估计划规定的时间内提交风险评估小组审核汇总。 5.2.3 风险评估小组对各内审员填写的《信息资产识别表》进行审核,确保没有遗漏重要的信息资产,形成DXC的《重要信息资产清单》,并交由文档管理员处存档。 5.3 重要信息资产风险等级评估 5.3.1 应对《重要信息资产清单》中的所有资产进行风险评估, 评估应考虑威胁事件发生的可能性和威胁事件发生后对信息资产造成的影响程度两方面因素。 5.3.2 风险评估小组向各内审员分发《重要信息资产风险评估表》、《信息安全威胁参考表》、《信息安全薄弱点参考表》、《事件发生可能性等级对照表》、《事件可能影响程度等级对照表》。 5.3.3 各内审员根据资产本身所处的环境条件,参考《信息安全威胁参考表》识别每个信息资产所面临的威胁,针对每个威胁,识别目前已有的控制;并参考《信息安全薄弱点参考表》识别可能被该威胁所利用的薄弱点;在考虑现有的控制前提下,参考《事件发生可能性等级对照表》判断每项重要信息资产所面临威胁发生的可能性;参考《事件可能影响程度等级对照表》,判断威胁利用薄弱点可能使信息资产保密性、完整性或可用性丢失所产生的影响程度等级。将结果填写在《重要信息资产风险评估表》上,提交风险评估小组审核汇总。 5.3.4 风险评估小组考虑DXC整体的信息安全要求,对各内审员填写的《重要信息资产风险评估表》进行审核,确保风险评估水平的一致性,确保没有遗漏重要信息安全风险。如果对评估结果进行修改,应该和负责该资产的内审员进行沟通并获得该区域副总经理的确认。5.3.5 风险评估小组根据《信息安全风险矩阵计算表》计算风险等级,完成各内审员识别的《重要信息资产风险评估表》,并递交给文档管理员进行存档。
附件: 信息系统 信息安全风险评估报告格式 项目名称: 项目建设单位: 风险评估单位: 年月日 目录 一、风险评估项目概述 ................................................................................... 错误!未定义书签。 1.1工程项目概况........................................................................................... 错误!未定义书签。 1.1.1 建设项目基本信息......................................................................... 错误!未定义书签。 1.1.2 建设单位基本信息......................................................................... 错误!未定义书签。 ........................................................................................................................... 错误!未定义书签。 1.2风险评估实施单位基本情况 .............................................................. 错误!未定义书签。 二、风险评估活动概述 ................................................................................... 错误!未定义书签。 2.1风险评估工作组织管理........................................................................ 错误!未定义书签。 2.2风险评估工作过程 ................................................................................. 错误!未定义书签。 2.3依据的技术标准及相关法规文件..................................................... 错误!未定义书签。 2.4保障与限制条件 ...................................................................................... 错误!未定义书签。 三、评估对象 ...................................................................................................... 错误!未定义书签。 3.1评估对象构成与定级............................................................................. 错误!未定义书签。