信息资产风险评估报告

  • 格式:docx
  • 大小:1.68 MB
  • 文档页数:34

信息资产风险评估报告

Revised by Liu Jing on January 12, 2021

文档信息

项目名称:

项目经理: 文档版本号: 1.3

项目阶段: 文档版本日期: 2008/07/06

质量复审方法:

起草人: 起草日期: 2008/07/01

复审人: 复审日期: 2008/07/03

分发列表

自 日期 电话/传真

2008/07/03

到 行动* 截止日期 电话/传真

复审 2008/07/07

复审 2008/07/07

*行动类别:批准、复审、通知、存档、需要采取行动、参加会议、其他(请指明)

版本历史

版本号 版本日期 修改人 说明

draft 2008/07/01 文档创建

V1.0 2008/07/03 修订

V1.3 2008/07/07 修订

产权说明

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属××有限公司咨询事业部和××有限公司所有,受到有关产权及版权法保护。任何个人、机构未经××有限公司咨询事业部和××有限公司的书面授权许可,不得复制或引用本文档的任何片断,无论通过电子形式或非电子形式。 【最新资料,Word版,可自由编辑!】 目录

文档说明

信息资产风险评估是××信息安全咨询项目的第二阶段的主要工作,××有限公司和××公司信息安全咨询项目相关人员通过信息资产分类分组、信息资产登记、信息资产组威胁和脆弱性识别、风险分析和风险评价等过程,进行了详细的信息资产安全风险评估,评估范围为总部17个部门、山东分公司和广东分公司。

本文档是信息安全风险评估阶段的交付物,目的是描述××的信息资产中存在的风险,并提出了改善建议,为下一阶段具体风险处置措施的实施打好基础。

文档结构

第1章文档说明

对本文档的目的,结构,适用范围,术语等进行了定义和说明。

第2章信息安全风险评估过程

描述××信息资产风险评估的内容与步骤。

第3章信息资产风险评估结果综述

对××信息资产风险评估的结果进行分析,对重要风险提出处置建议。

第4章各部门信息资产风险评估结果

说明××总部各部门和山东、广东两个分公司的重要风险评估结果。

适用范围

本文档为内部文档,适用于××的信息安全工作相关部门的管理层以及信息安全工作人员:

总部业务部门 车险部、水险部、非水险部、再保部、战略管理部、产品精算部、综合开拓部、客户服务部、销售管理部、深圳联系中心

总部IT部门 信息技术部 总部支撑部门 计划财务部、投资部、人力资源部、审计部、办公室、党委办公室

分公司 广东分公司、山东分公司

定义、缩略语、缩写

定义

名词 定义

风险管理

Riskmanagement 风险管理是以可接受成本识别、评估、控制、降低可能影响信息系统风险的过程,通过风险评估识别风险,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降低到一个可以被接受的水平,同时考虑控制费用与风险之间的平衡;风险管理包括风险评估和风险处置两部分.

资产Asset 即信息资产,对组织具有价值的信息或资源,是安全策略保护的对象。

资产组

Assetgroup 又称资产组合,是指具有相同或相近的业务功能的资产组合,如由硬件、软件、配置信息等组成的应用系统资产组,由电子文件、纸质文档组成的信息资产组。

资产价值

Assetvalue 资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。

机密性Confidentiality 数据所具有的特性,即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。

完整性

Integrity 保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。

可用性

Availability 数据或资源的特性,被授权实体按要求能访问和使用数据或资源。

残余风险Residualrisk 采取了安全措施后,仍然可能存在的风险。

威胁Threat 可能导致对系统或组织造成危害的、不希望发生的事故的潜在原因。

脆弱性

Vulnerability 是指可能被威胁所利用的资产或若干资产的弱点,又称弱点。和资产本身的特别和性能有关。

资产组AssetTeam 是具有相同或相近的业务功能的资产的组合。

缩略语

×× ××有限公司

×× ××有限公司

风险评估 信息资产风险评估 信息技术部 ××信息技术部

信息资产风险评估方法、范围与过程

风险评估方法

根据ISMS项目组为××所设计的风险评估方法,并结合风险评估量化参数标准,实施了详细了风险评估,具体方法请参见文档:

1)《××信息资产风险评估方法》

2)《××信息资产风险评估量化参数标准》

风险评估范围

本次信息资产风险评估是由各部门在××顾问指导下进行的自评估,风险评估组织由项目组成员和各部门的信息安全管理员和业务骨干组成。

参与本次风险评估工作的各部门(分公司)和人员如下:

序号 部门 人员

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

参与本次风险评估工作的项目组成员如下:

序号 公司 人员

1 ××

2 ××

风险评估过程

完整的风险管理过程包括风险评估和风险处置两个主要部分,在××信息资产风险评估过程中我们完成了风险评估所涵盖的以下过程:

信息资产识别、分组;

资产和资产资产组赋值; 风险识别与分析;

风险评估;

确定风险可接受标准;

风险控制控制措施建议;

鉴于完整的风险管理过程考虑,建议××在本项目的后续阶段和信息安全管理体系的试运行和正式运行阶段完成风险控制措施的实施、控制措施的有效性测量,并建议在信息安全管理体系试运行结束后进行一次风险评估更新,详见下表:

序号 风险管理过程 过程内容 说明

1 信息资产识别、分组与登记 根据资产分类表,对评估范围内的资产进行识别、分组和登记;信息资产分组一般分为系统、信息、人员、环境设施、外购服务和无形资产6种。 在风险评估阶段已完成

2 资产和资产组赋值 从保密性、完整性和可用性三个方面对信息资产进行赋值。根据组内资产价值的最高值确定整个资产组的价值。 在风险评估阶段已完成

3 风险识别与分析 识别并登记与资产组相关的主要威胁、脆弱性和现有控制措施。 在风险评估阶段已完成

4 风险评价 根据预先定义的赋值标准,对风险发生可能性和风险影响赋值,并通过资产组价值、风险发生可能性和风险影响计算出风险值 在风险评估阶段已完成

5 确定风险可接受标准 根据风险计算结果,确定风险级级别,确定企业可接受的风险值。一般来说,风险可接受标准为中、低风险的分界线。 在风险评估阶段已完成

6 风险控制措施的选择和实施 对于超过风险可接受标准的风险,企业要选择和实施管理或技术控制措施,以减少或降低风险发生的可能性或影响程度。选择风险控制措施要考虑预估的残余风险值。 在风险评估阶段已完成控制措施的选择。实施工作建议在项目的后续阶段和体系试运行中进行。

7 控制措施有效性测量 制订或利用一定的测量方法,对采取的全部或部分控制措施进行测量,以判断控制措施的有效性,并无效或效果不明显的进行整改。 建议在体系试运行阶段进行。控制措施有效性测量方式将在策略的编写阶段完成。

8 风险评估更根据风险评估周期,周期性进行风险建议在体系试运行信息资产风险评估综述

根据项目实施计划,在各部门的大力配合下,自2008年5月中到6月底,ISMS项目组完成了对××总部17个部门和2个分公司信息资产的识别、分类分组、登记和风险评估工作,并确定的××风险可接受标准,对于超过风险可接受标准的风险,提出了控制措施建议。

确定风险数值的大小不是本次风险评估的最终目的,重要的是明确不同威胁对资产所产生的风险高低,要确定不同风险处置的优先次序,对于风险级别高的信息资产应被优先分配资源进行保护,优先进行解决。

各部门反映出的中高风险并不仅仅是该部门存在的风险,有些是××公司层面普遍存在的问题和风险。

现将本次风险评估的总体情况报告如下:

××信息资产组识别与登记

根据对××信息资产的识别与登记的统计结果,××总部和山东、广东两个分公司共有系统资产组、信息资产组、环境设施资产组、外购服务资产组、人员资产组和无形资产组等6大类217个资产组。具体名称与分布如下:

总部/分公司 资产组类别 资产组类别 资产组数量

××总部 系统资产组 33 139

信息资产组 92

环境设施资产组 1

外购服务资产组 8

人员资产组 4

无形资产 1

广分 系统资产组 2 41

信息资产组 31

环境设施资产组 1

外购服务资产组 2

人员资产组 4

无形资产 1

山分 系统资产组 2 42

信息资产组 31

环境设施资产组 1

外购服务资产组 2

人员资产组 4

无形资产 1

合计 221 新 评估与处置 结束后进行。

9 残余风险的处置 对于风险评估更新后,对于仍超过可接受标准的风险可以采取新的控制措施,也可以接受风险。 建议在风险评估更新后进行。