原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
XX公司信息安全风险评估报告
一、信息安全与信息安全风险评估概述
(一)信息安全风险
信息安全风险指信息资产的可用性、保密性、完整性受到破坏的
可能及其对XX公司(下称“XXXX”)造成的负面影响。基于安全风险,
信息安全管理的核心在于通过识别风险、选择对策、实施对策以减缓
风险,最终保证信息资产的保密性、安全性和可用性能够满足XXXX
要求。对于XXXX而言,获得信息和信息系统的稳定支持,是将信息
安全风险降到最低,从而实现投资商业目标的重要保障。
(二)信息安全风险评估
信息安全风险评估是参照XXXX规章制度和风险评估标准,对信
息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行
分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理
措施的过程。
本次信息安全风险评估参考文件有:《XXXX有限责任公司风险管
理办法》、《XXXX有限责任公司风险管理指引》、《XXXX有限责任公司
风险政策指引》、《XXXX有限责任公司固定资产管理办法》、国家标准
《信息系统安全等级评测准则》等。
(三)风险评估相关概念
风险评估涉及如下概念:
1、资产:任何对XXXX有价值的事物,包括计算机硬件、通信设
施、数据库、软件、信息服务和人员等。
1
2、威胁:指可能对资产造成损害的事故的潜在原因。例如,XXXX
的网络系统可能受到来自计算机病毒和黑客攻击的威胁。
3、脆弱点:是指资产或资产组中能被威胁利用的弱点。如员工
缺乏信息安全意识,OA系统本身有安全漏洞等。
4、安全需求:为保证XXXX业务战略的正常运作而在安全措施方
面提出的要求。
5、风险:特定威胁利用资产的脆弱点给资产或资产组带来损害
的潜在可能性。
6、残留风险:在实施安全措施之后仍然存在的风险。
7、风险评估:对信息和信息处理设施的威胁、影响和脆弱点及
三者发生的可能性评估。
二、信息安全风险评估工作设计
(一)信息安全风险评估目的
此次风险评估的目的是全面、准确地了解XXXX的信息管理安全
现状,发现系统的安全问题及其可能的危害,为保证系统的最终安全
提供建议。
(二)信息安全风险评估相关规章制度及技术标准
《XXXX有限责任公司风险管理办法》
《XXXX有限责任公司风险管理指引》
《XXXX有限责任公司风险政策指引》
《XXXX有限责任公司固定资产管理办法》
2
《信息系统安全等级评测准则》
《XXXX有限责任公司员工办公电脑管理办法》
《信息技术、安全技术、信息安全性评估准则》(GB/T18336-2001)
(三)信息安全风险评估方法
本次信息安全风险评估工作主要采用工作人员自查、文档信息挖
掘和评估人员分析三种方式。在此基础上,从筛选资产、研判威胁和
分析脆弱性三个方面进行全面评价。评估方法为风险矩阵测量方法,
在资产、威胁和脆弱性的不同维度上赋值,以此得出较为客观的评估。
(四)信息安全风险评估模型
参考国际标准GB/T18336-2001,建立信息系统风险评估模型如
图:
资产拥信息资产价值
有者
后果
弱点难易程度
风险
威胁可能性
可能性
威胁来
源影响严重性
3
(五)信息安全风险评估实施流程图
文档评论(0)