信息系统资产评估报告实例.docVIP

密 级： 内部 文档编号：2007002-005 项目编号：2007002 XX市地税局信息系统 资产评估报告  目 录 1 概述 3 2 信息资产分类和识别 3 2.1 信息资产调查的过程 3 2.2 调查范围及方法 4 2.3 信息资料识别 5 2.3.1 硬件资产 5 2.3.2 软件资产 9 2.3.3 数据资产 11 2.3.4 文档资产 12 2.3.5 人员资产 15 3 资产赋值方法 21 3.1 保密性赋值 22 3.2 完整性赋值 22 3.3 可用性赋值 23 3.4 资产重要性等级 24 4 XX市地税局资产赋值 26 4.1 硬件资产赋值 26 4.1.1 主机设备 26 4.1.2 网络设备 28 4.1.3 安全设备 29 4.1.4 存储设备 29 4.1.5 保障设备 30 4.1.6 通讯线路 31 4.2 软件资产赋值 32 4.2.1 系统软件 32 4.2.2 应用软件 33 4.3 数据资产赋值 34 4.4 文档资产赋值 35 4.5 人员资产赋值 38 5 地税信息资产统计分析 40 5.1 资产价值分布 40 5.2 分段价值分布 40 5.3 资产分类对比 41  概述 根据《XX省人民政府信息化工作办公室关于印发信息安全风险评估试点工作实施方案的通知》文件精神，XX省信息安全测评中心承担了XX市地税局“征管信息系统”的风险评估工作。我中心以建立符合我省情况的风险评估方法、积累风险评估工作经验、培养队伍、协助XX市地税局更深入地了解其信息系统安全现状为目标，通过文档分析、现场访谈、问卷调查、技术评估等方法，对XX市地税局“征管信息系统”进行了全面的信息安全风险评估。 在整个风险评估项目过程中，资产调查是其首要工作。资产调查过程主要包括资产识别和资产赋值。一方面，项目组根据资产识别的情况设计出XX市地税局保护对象框架，并在此基础上进行安全体系设计；另一方面，项目组将资产赋值结果用于风险计算，以便准确地表达安全调查的结果。 信息资产分类和识别 信息资产调查的过程 在本项目中，项目组首先定制了资产调查表，通过访谈方式，对安全管理人员、网络管理人员、主机系统管理人员、应用开发和维护人员等进行了访谈。逐步地识别XX市地税局信息资产并收集其信息。 随后，项目组通过对信息中心进行扫描，从第二条渠道获得了可扫描系统的系统信息，包括服务器主机、可网管的网络设备、数据库系统和PC机。 通过将上述访谈和扫描的结果进行人工对比，合并和除错，项目组获得所有必要的资产信息。 最后，项目组对所有已识别的资产进行赋值，并编制本报告。 调查范围及方法 资料分类 技术参考点 输出成果 评估范围 评估方式 涉及地税人员 评估人员 硬件资产 主机设备 硬件资产调查表 11台主机 调查访谈、实际核查 赵白、梁志 网络设备 3台设备 调查访谈、实际核查 王维、梁立新、朱宁宁 安全设备 1台设备 调查访谈、实际核查 赵白、梁志 存储设备 1台设备 调查访谈、实际核查 陈修杰、梁立新、朱宁宁 保障设备 6种保障设备 调查访谈、实际核查 赵白、梁志 通讯线路 140条线路 调查访谈、实际核查 陈修杰、梁立新、朱宁宁 软件资产 系统软件 软件资产调查表 11套主机系统 调查访谈、实际核查 赵白、串广义 应用软件 4套应用系统 调查访谈、实际核查 梁志、梁立新、朱宁宁 人员资产 中心人员 人员资产调查表 9人 调查访谈、文档检查 赵白、串广义 数据资产 信息数据 数据资产调查表 征管系统数据 调查访谈、实际核查 赵白、梁立新、朱宁宁 文档资产 资料文档 文档资料调查表 224个相关文档 调查访谈、实际核查 梁立新、朱宁宁 信息资料识别 XX市地税局的信息资产是指在XX市地税局信息系统范围内，具有价值并需要保护的对象。它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有数据，也有服务等。它们分别具有不同的价值属性和存在特点，存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。 参照国家最新《信息安全风险评估规范》对信息资产的描述和定义，并结合XX市地税局的基本情况，我们将XX市地税局的信息资产分为5类，分别为：硬件资产、软件资产、数据资产、人员资产、文档资产，以下为本次调查的结果。 硬件资产 国家《信息安全风险评估规范》把硬件资产分为以下7大类： 网络设备：路由器、网关、交换机等； 计算机设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等； 存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等； 传输线路：光纤、双绞线等； 保障设备：动力保障设备（UPS、变