信息系统安全风险评估.xls

建议 分析 计算 措施 技术 管理 威胁 价值 数据 软件 硬件 系统 目录 企业名称： 服务供应商： 文档信息： 管理人： 保密级别： 版本编号： 扩散范围： 高 1.0 版本记录： 版本编号 版本日期 修改者 修改者所属 说明 目录： （请点击所需之条目） 返回目录 客户机基本信息，包括不同硬件、操作系统、功能分类的客户机数量等状况 备注 企业WAN、LAN、WLAN、Internet、VPN、IP规划、网管系统等 数量 硬件 软件 数据 与各部门业务相关的各类应用系统和服务 编号 系统 通用名称 部门 负责人 联络信息 系统名称 应用功能 硬件型号 硬件信息 操作系统 数据库 应用软件 网络类型 网络描述 信息是否需要保密？ 保密等级？ 信息泄露的后果？ 信息完整是否重要？ 是否有验证机制？ 信息被破坏的后果？ 系统的重要性等级？ 不可用的最长时限？ 有否灾难恢复程序？ 系统被破坏的后果？ 单价 用途 业务类型 物理位置 IP地址 系统信息 应用信息 维护人员 管理策略 破坏后所受影响 资产编号 资产信息 机密性赋值 完整性赋值 可用性赋值 资产价值 计算机硬件、路由器、交换机、硬件防火墙、程控交换机、布线、备份存储设备等 应用软件、系统软件、开发工具和资源库等 服务器基本信息汇总，包括基本硬件、操作系统、网络标识、服务与应用等 估值 资产评估 威胁评估 威胁来源/威胁种类/威胁值（严重性+可能性） 资产类型/特定资产 自然灾害 地震、洪水、台风、爆炸 火灾、雷击 环境事故 静电、潮湿、鼠害、灰尘 断电 系统故障 硬件故障 网络中断 环境控制措施失效 软件故障 容量超载 无恶意内部人员 误操作 无意识信息泄露 密码/密钥泄露 恶意内部人员 恶意软件 抵赖 通信监听 未授权访问 盗窃 恶意破坏 管理员权限滥用 恶意外部人员 黑客攻击 离职员工恶意攻击 社会工程攻击 威胁 调查资产可用性、完整性和保密性被破坏后可能造成的影响，并根据影响的大小为资产进行相对赋值 分析存在的威胁种类以及来源；评估资产所面临的每种威胁发生的严重性和可能性，并计算威胁值 脆弱性评估 盗窃/恶意破坏 管理 技术 存在电子媒介中的各种数据资料，包括源代码、数据库、文档、运行管理规程、计划、报告、手册等 对安全管理的脆弱性进行识别评估，分析每种脆弱性被利用的可能性及影响的严重度，并计算脆弱性值 采用安全扫描、现场检查、问卷调查、人工询问等方式对网络设备、操作系统和关键软件的脆弱性进行技术识别，分析每种脆弱性被利用的可能性及影响的严重度，并计算脆弱性值 信息系统安全风险评估 资产类型或特定资产 安全管理脆弱性分类 /脆弱点 /资产脆弱性赋值 技术脆弱性分类 /脆弱点 /资产脆弱性赋值 安全措施 对被评估信息系统采取的安全措施进行识别，并对安全措施采取后的有效性进行分析 措施 本企业风险评估工作小组及服务供应商工作小组 风险分析 分析 计算 风险管理 建议 返回目录 系统标识 联系信息 系统描述 硬件平台 软件平台 网络环境 机密性要求 完整性要求 可用性要求 第二管理员 硬件信息 购买日期 返回目录 编号 软件信息 购买日期 数量 单价 用途 业务类型 依赖的主机 依赖的系统 产生数据 应用信息 维护人员 管理策略 破坏后所受影响 备注 数据信息 依赖的软件 泄密后所受影响 损害后所受影响 返回目录 资产对象编号 资产名称描述 建议措施 资产001 资产002 资产003 资产004 … … 已有安全措施分类 /具体安全措施 /防范脆弱性的有效性赋值 根据威胁、脆弱性、资产价值、以及已有安全措施的评估，进行风险的计算 资产类型或特定资产 风险计算值 风险描述 影响的资产 风险等级 根据风险计算的结果，进行风险分析，确认每种风险及影响的资产与严重度 根据风险分析的结果，提出改进措施的建议及优先等级 优先等级 1.00 2.00 3.00 4.00 5.00 6.00 7.00 8.00 9.00 10.00 11.00 12.00