当前位置:文档之家 › 信息安全评估表

信息安全评估表

  • 格式:doc
  • 大小:269.50 KB
  • 文档页数:23

下载文档原格式

  / 23

合集下载

信息安全风险评估记录表

信息安全风险评估记录表
5
10
4
3
7
70
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
Windows 2003
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
代码控制CVS配置软件
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
0ffice
5
运行错误,无法使用
未及时打补丁
4
4
3
3
6
24
开发人员
10
数据泄密
安全意识欠缺,安全技能欠缺
无杀毒软件
3
6
2
3
5
30
10
无日常维护,打补丁
无法使用
2
4
3
4
7
28
10
硬件以外损坏
无法使用
2
4
3
4
7
28
10
机房不规范
服务器损坏无法使用
5
10
3
1
4
40
10
盗窃
机房不规范
5
10
4
5
9
90
笔记本
10
公司开发软件代码泄密
无拷贝控制
3
6
4
4
8
48
10
人为破环
硬件损坏系统无法正常运行
2
4
3
5
8
32
10
盗窃
10
数据丢失\损坏\篡改
无访问控制

信息安全风险评估调查表

信息安全风险评估调查表
10.安全研发。
5.人员资产情况
.1、信息系统人员情况
岗位名称
岗位描述
人数
兼任人数
填写说明
岗位名称:1、数据录入员;2、软件开发员;3、桌面管理员;4、系统管理员;5、安全管理员;6、数据库管理员;7、网络管理员;8、质量管理员。
6.
文档资产情况
6.1.信息系统安全文档列表
文档类别
文档名称
填写说明
信息系统文档类别:信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档;系统开发程序文件、资料等。
2.2.安全设备情况
安全设备名称
型号(软件/硬件)
物理位置
所属网络区域
IP地址/掩码/网关
系统及运行平台
端口类型及数量
主要用途
是否热备
重要程度
2.3.服务器设备情况
设备名称
型号
物理位置
所属网络区域
IP地址/掩码/网关
操作系统版本/补丁
安装应用系统软件名称
主要业务应用
涉及数据
是否热备
2.4.终端设备情况
检查项
结果
备注
1
信息安全策略
□明确信息安全策略,包括总体目标、范围、原则和安全框架等内容。
□包括相关文件,但内容覆盖不全面。
终端设备名地址/掩码/网关
操作系统
安装应用系统软件名称
涉及数据
主要用途
填写说明
网络设备:路由器、网关、交换机等。
安全设备:防火墙、入侵检测系统、身份鉴别等。
服务器设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等。
终端设备:办公计算机、移动存储设备。
7.
信息系统情况

供应商信息安全风险评估检查表

供应商信息安全风险评估检查表

All areas covered by the **** project must be
2
identified, including but not limited to sensitive raw
materials and equipment areas, storage areas and
warehouse areas, access and transportation routes,
s供ec应ur商ity须po建lic立ie人s, 员reg离ul职ati处on理s a流nd程ot,he至rs,少an要d 关the闭信
息系统帐号和权限,回收存储介质(包含电脑)

2.5
The suppliers must establish a process for employee
1
termination, at least to disable the information
access, such as implement data encryption or data
总得分
leakage prevention.
Subtotal 得分率
Percentage %
1
1 4
50.00%
4、物理与环境安全 4. Physical and environment security
总得分
system accounts and permissions, and return the
Subtotal 得分率
Percentage %
9 90.00%
3、数据和介质管理 3. Data and media management
序号# S/N 3.1

tisax isa自评估表

tisax isa自评估表

tisax isa自评估表摘要:1.引言:简要介绍TISAX(国际安全评估体系)和ISA(信息安全架构)自评估表的意义和目的2.TISAX简介:阐述TISAX的发展背景、在我国的应用场景和重要性3.ISA自评估表概述:介绍ISA自评估表的结构、内容和评估过程4.实施ISA自评估表的步骤:详细说明如何开展ISA自评估,包括筹备阶段、问卷填写、审核和整改等环节5.评估结果与应用:分析ISA自评估表的结果如何指导企业改进信息安全架构,提高安全防护能力6.总结:强调ISA自评估表在提升企业信息安全水平中的重要作用,呼吁更多企业积极参与正文:【引言】在信息化时代,信息安全对企业的重要性不言而喻。

为了确保信息资产的安全,许多企业纷纷采用国际先进的安全评估体系,其中TISAX(国际安全评估体系)和ISA(信息安全架构)自评估表备受瞩目。

本文将简要介绍这两者,并重点阐述如何实施ISA自评估,以帮助企业提升信息安全水平。

【TISAX简介】TISAX(Transport Industry Security Assurance Scheme)是针对交通运输行业的信息安全评估体系,由我国交通运输部提出。

它借鉴了国际先进的安全评估方法,结合我国交通运输行业的实际情况制定而成。

TISAX旨在提升交通运输行业信息系统的安全防护能力,保障国家信息安全。

在我国,许多交通运输企业已开始采用TISAX进行信息安全评估。

【ISA自评估表概述】ISA(Information Security Architecture)自评估表是一种针对企业信息安全架构的评估工具。

它通过对企业的信息安全策略、组织架构、技术措施、管理流程等方面进行全面评估,为企业提供了一套量化的评价体系。

ISA自评估表分为五个等级,分别为:不满足、部分满足、基本满足、满足和优秀。

企业可以根据评估结果,明确自身信息安全架构的薄弱环节,有针对性地进行改进。

【实施ISA自评估表的步骤】1.筹备阶段:企业应成立ISA评估小组,明确评估目标和范围,并制定详细的评估计划。

信息安全风险评估表

信息安全风险评估表

信息安全风险评估表
精心整理
表1:基本信息调查
1.硬件资产情况
1.1.网络设备情况
网络设备名称、型号、物理位置、所属网络区域、IP地
址/掩码/网关、系统软件及版本、端口类型及数量、主要用途、是否热备、重要程度。

1.2.安全设备情况
安全设备名称、型号、软件/硬件位置、所属网络区域、
IP地址/掩码/网关、操作系统版本/补丁、安装应用系统软件名称、主要业务应用、涉及数据、是否热备。

1.3.服务器设备情况
服务器设备型号、物理位置。

1.4.终端设备情况
终端设备名称、型号、物理位置、所属网络、设备数量、IP地址/掩码/网关、操作系统版本。

2.软件资产情况
2.1.系统软件情况
系统软件名称、版本、开发商、软件厂商、硬件/软件平台、C/S或B/S模式、B/S硬件平台、涉及数据、涉及应用系统、现有用户数量、主要用户角色。

2.2.应用软件情况
应用系统软件名称、涉及数据。

3.文档资产情况
3.1.信息系统安全文档列表
信息系统文档类别、文档名称。

4.信息系统情况
4.1、系统网络拓扑图
网络结构图要求:标识网络设备、服务器设备和主要终端设备及其名称;标识服务器设备的IP地址;标识网络区域划分等情况。

信息安全风险评估表

信息安全风险评估表
资产的类型、赋值、所处位置相同时,可合在一起进行风险评估。 2.威胁、脆弱性统一赋值原则
资产的类型、所处位置相同,但资产赋值不同时,若采取的控制措施相 同,威胁及脆弱性的赋值基本保持一致。 3.残余风险赋值原则
如果风险可接受,暂不采取除现有控制措施以外的控制措施时,残余风 险与风险值一致。
的参考说明。
附录2-威胁、脆弱性对照表 附录3-风险等级对照表
按照资产类别排序的威胁、脆弱性对照表,用于资产风险 识风别险。计算结果对应风险等级的参照表,用于确定风险级别 。
资产识别 资产赋值 风险评估
注意事项
信息系统包含的资产主要指与信息系统直接相关的资产,如 信息:信息系统上传输的数据、信息系统的设计开发文档 软件:信息系统正常运行所需的应用、中间件、数据库、操作系统等 硬件:信息系统正常运行所需的服务器、小型机、磁盘柜等 关键活动包含的资产主要指活动进行所必须的6类资产,如 硬件:各部门用于存储、处理、传输日常办公及客户信息的各种设备和介 质,例 如移动硬盘、台式机、计算机等。 软件:各种本部门安装使用的软件,包括操作系统、中间件、数据库、应用 软件、工具应用软件、终端安全软件等。 信息:括各种业务相关的电子类及纸质的文件资料,可按照部门现有文件明 细列举。 人员:本部门各种对信息资产进行使用、操作和支持的人员角色,含为部门 提供各种服务的外部人员(例如长期驻场外包人员)。 物理环境:承载硬件资产和信息资产的设施。非计算机硬件类的实体。 服务:各种本部门通过购买方式获取的,或者需要支持部门特别提供的,支 持或协助日常业务进行的服务。
信息安全风险评估清单
编 号1 步骤1-业务影响分析
2 步骤2-资产清单 3 步骤3-风险清单 4 步骤4-风险处置计划
文档目录及说明

GBT22080:2016信息资产风险评估表-综合部

长期病假 泄密 离职
库存现金盘点表、银行对账单及余额 调节表 10
4
金蝶财务软件中的账务数据
4
16
银行系统
4
28
专用电脑
4
容易损毁 容易丢失 非法访问 非法访问 信息不准确 容易变更 容易变更 容易变更 防护措施不力 防护措施不力 管理环节不强 访问控制不严 格 防护措施不力 防护措施不力 管理环节不强 访问控制不严 格 非法访问 非法访问 信息不准确 容易变更 容易变更 容易变更 非法访问 非法访问 信息不准确 容易变更 容易变更 容易变更 非法访问 非法访问 信息不准确 容易变更 容易变更 容易变更 非法访问 非法访问 信息不准确 容易变更 容易变更 容易变更
组织管理 人员管理 人员管理
4 副总、出纳
险评估表
编制日期:2018.04.10 脆弱性等级 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 风险数值表 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 风险级别 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 风险认可 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 处置计划

信息安全风险评估脆弱性识别操作系统脆弱性表格《T》

整性标签应随数据一起流动,系统应保证低完整性的数据不能插入、覆盖到高完整性的数据;
d 对操作系统中处理的数据,应按回退的要求设计相应的 SSOOS 安全功能模块,进行异常情况
的操作序列回退,以确保用户数据的完整性;系统应保证在处理过程中不降低数据完整性的级别;
用户数据保密性
a应确保动态分配与管理的资源,在保持信息安全的情况下被再利用,主要包括:
——自动检查文件与磁盘表面是否完好;
——将磁盘表面的问题自动记录下来;
——随时检查、诊断和修复磁盘上的错误;
——修复扇区交错和扇区流失;
——将数据移到好的扇区;
——可增加硬盘数据备份和修复程序,将硬盘中的数据压缩、备份,并在必要时恢复;
c 在操作系统内部传输的用户数据,如进程间的通信,应提供保证用户数据完整性的功能;完
开发者应针对发现的漏洞及时发布补丁;操作系统的管理者应及时获取、统一管理并及时运
用补丁对操作系统的漏洞进行修补;
SSF数据安全保护
a 实现对输出 SSF 数据可用性、保密性、和完整性保护;
b 实现 SSOOS 内 SSF 数据传输的基本保护、数据分离传输、数据完整性保护;
c 实现 SSF 间的 SSF 数据的一致性和 SSOOS 内 SSF 数据复制的一致性保护;
d 提供设置和升级配置参数的安装机制;在初始化和对与安全有关的数据结构进行保护之前,
应对用户和管理员的安全策略属性应进行定义;
e 应区分普通操作模式和系统维护模式;
f 应防止一个普通用户从未经允许的系统进入维护模式,并应防止一个普通用户与系统内维护
模式交互;从而保证在普通用户访问系统之前,系统能以一个安全的方式进行安装和配置;
改或替换系统提供的实用程序;

信息安全风险评估表

序号 资产名称
功能描述
1 电脑终端
2 应用软件
3 系统软件 4 5 6 7 8 9 10 11 12 13 14
编制:
公司业务处理 公司业务处理 信息处理
所属部门 IT部 IT部 IT部
信息安全风险评估表
资产重要度等级
资产重要性
资产完整性
资产可用性
得 分
固有风险评估
4
3
3
10
1、非法使用 2、发生故障
4
3
3
10
应用软件出错而 中断使用
4
3
3
10
系统软件运行出 错而中断使用
影响等级
破坏程 度
得分 现场控制措施
发生可能性等级
控制措施 发生容易
有效性

得分
风险 等级
风险 等级
计划控制 责任部
措施

1、使用域进行管理权
100% 10 限、密码
2
2
4 40 中
IT部
2、定期维护
100% 10 1、购买优质应用软件
1
2
3 30 中
IT部
100% 100%
10 1、定期系统维护 0
1
2
3 30 中
IT部
1000% 0
100% 0
100% 0
100% 0
100% 0
100% 0
审核:
批准:

信息安全性评价分表

无相应制度不得分,制度内容不全扣20%~50%标准分
(3)
建立数据库系统管理制度
5
查看相关(版本管理、权限管理、补丁管理、性能管理、可用性管理)制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
(4)
建立生产应用系统管理制度
5
查看相关(上线测试管理、权限管理、运行管理)制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
5
查看系统应急预案制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
2.11.1.4
计算机使用管理制度
20
(1)
制定上网行为管理制度
10
查看相关(访问内容、流量控制、下载管理、信息发布)制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
GB/T 20269-2006《信息安全技术 信息系统安全管理要求》
(5)
建立防病毒系统管理制度
5
查看相关(部署管理、策略管理、监控管理)制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
(6)
建立办公软件系统管理制度
5
查看相关(OA、MIS、MAIL、ERP、WEB)制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
(7)
建立各系统应急预案
10
检查网络配置、记录文档
未配置访问控制策略不得分,配置不合理的酌情扣20%~50%标准分
ቤተ መጻሕፍቲ ባይዱ(6)
重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗
5
检查设备配置、登记记录
无配置扣3分,无登记记录扣2分
(7)
安全区边界拓扑结构是否合理,不应有不经过防火墙的外联链路
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
6.网络设备用户的身份鉴别信息至少应有一种是不可伪造的;应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;应实现设备特权用户的权限分离。
1.3主机安全
序号
控制点项目
安全标准
评估情况
6.应根据信息系统的统一安全策略,实现集中审计,时钟保持与时钟服务器同
步。
1.2.4
边界完整性检查
(S4
1.应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并
对其进行有效阻断;
2.应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
1.2.5
入侵防范(G4)
说明
1.3.1
身份鉴别(S4)
1.应对登录操作系统和数据库系统的用户进行身份标识和鉴别;
2.操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂采取结束会话、限制非法登录次数和自动退出等措施;
4.应设置鉴别警示信息,描述未授权访问可能导致的后果;
3.应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;
4.应对介质分类标识,存储在介质库或档案室中;
5.应利用光、电等技术设置机房防盗报警系统;
6.应对机房设置监控报警系统。
1.1.4
防雷击
1.机房建筑应设置避雷装置;
2.应设置防雷保安器,防止感应雷;
3.机房应设置交流电源地线。
1.1.5
防火
1.机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
1技术要求
1.1物理安全
信息安全评估表
序号
控制点项目
安全标准
评估情况
说明
1.1.1
物理位置的选择
1.机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
2.机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
1.1.2
物理访问控制
1.机房出入口应安排专人值守并配置电子门禁系统,控制、鉴别和记录进入的
1.应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;当检测到攻击行为时,应记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警及自动采取相应动作。
1.2.6
恶意代码防范
(G4)
1.应在网络边界处对恶意代码进行检测和清除;
2.应维护恶意代码库的升级和检测系统的更新。
1.2.7
网络设备防护
(G4)
1.应对登录网络设备的用户进行身份鉴别;
2.应对网络设备的管理员登录地址进行限制;
3.网络设备用户的标识应唯一;
4.主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;
5.身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
5.应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
1.1.7
防静电
1.设备应采用必要的接地防静电措施;
2.机房应采用防静电地板;
3.应采用静电消除器等装置,减少静电的产生。
1.1.8
温湿度控制
机房应设置温湿度自动调节设施,使机房温、湿度的变化在设备运行所允许
的范围之内。
1.1.9
电力供应(A4)
5.应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不
同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
6.应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与
其他网段之间采取可靠的技术隔离手段;
7.应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥
堵的时候优先保护重要主机。
1.2.2
访问控制(G4)
1.应在网络边界部署访问控制设备,启用访问控制功能;
2.应不允许数据带通用协议通过;
3.应根据数据的敏感标记允许或拒绝数据通过;
4.应不开放远程拨号访问功能
1.2.3
安全审计(G4)
1.应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
人员;
2.需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
3.应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;
4.重要区域应配置第二道电子门禁系统,控制、鉴别和记录进入的人员。
1.1.3
防盗窃和防破坏
1.应将主要设备放置在机房内;
2.应将设备或主要部件进行固定,并设置明显的不易除去的标记;
2.审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其
他与审计相关的信息;
3.应能够根据记录数据进行分析,并生成审计报表;
4.应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等;
5.应定义审计跟踪极限的阈值,当存储空间接近极限时,能采取必要的措施,
当存储空间被耗尽时,终止可审计事件的发生;
3.应对关键区域实施电磁屏蔽。
1.2网络安全
序号
控制点项目
安全标准
评估情况
说明
1.2.1
结构安全(G4)
1.应保证网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
2.应保证网络各个部分的带宽满足业务高峰期需要;
3.应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;
4.应绘制与当前运行情况相符的网络拓扑结构图;
5.当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
6.应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有
唯一性;
7.应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别,并且身份
1.应在机房供电线路上配置稳压器和过电压防护设备;
2.应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求;
3.应设置冗余或并行的电力电缆线路为计算机系统供电;
4.应建立备用供电系统。
1.1.10
电磁防护(S4)
1.应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;
2.电源线和通信线缆应隔离铺设,避免互相干扰;
2.机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
序号
控制点
项目
安全标准
评估情况
说明
1.1.6
防水和防潮
1.机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
2.水管安装,不得穿过机房屋顶和活动地板下;
3.应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
4.应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;