1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 行业资料
  5. 公共安全/安全评价

信息安全资产识别与风险评估表.xlsVIP

信息安全资产识别与风险评估表.xls

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    3.4风险级别定义表

    3.3

    3.2威胁脆弱性列表

    3.1资产价值设定表

    2.6其他风险评估

    2.5第三方服务风险评估

    2.4人员风险评估

    2.3信息资产风险评估

    2.2软件风险评估

    2.1硬件风险评估

    1.6其他

    1.5服务

    1.4人员

    1.3信息资产

    1.2软件

    1.1硬件

    目录

    supsys

    一、信息资产清单

    二、风险评估表

    三、配置项

    编号

    类别

    编号

    硬件

    软件

    威胁、脆弱性系数表

    人员

    服务

    1.1硬件(计算机硬件、路由器,交换机。硬件防火墙。程控交换机、布线、备份存储、电源、空调、保险柜、文件柜、门禁、消防设施等)

    返回目录

    资产类别

    资产描述

    责任人

    部门

    使用范围

    机密性等级

    完整性等级

    可用性等级

    业务影响

    资产价值

    资产等级

    重要资产

    资产编号

    名称

    保存/IP地址

    系统软件:操作系统、语言包、工具软件、各种库等

    应用软件:外部购买的应用软件,外包开发的应用软件等

    应用系统:使用的邮件、代码管理、开发平台等

    1.3信息资产(存在电子媒介的各种数据资料,包括源代码、数据库数据,各种数据资料、系统文档、运行管理过程、计划、报告、用户手册、纸质文档等)

    资产名称

    资产信息

    1.4人员(各级人员和雇主、合同方雇员)

    姓名

    岗位/职务

    关键工作

    1.5服务(第三方厂家服务、物业、电信、第三方咨询等)

    联系方式

    由公司外企业和个人提供的服务

    备注

    企业形象、客户关系、商业秘密、知识产权等

    2.1IT设备风险评估

    威胁

    脆弱点

    目前控制措施

    可能性

    影响性

    风险值Ia*H*T*V

    风险等级

    风险处置计划

    整改结果跟踪

    控制措施有效性H

    威胁严重性T

    资产等级Ia

    脆弱性程度

    V

    改进措施

    完成日期

    措施落实状况

    整改后风险评估

    检查情况

    检查人

    控制措施有效性

    H

    脆弱性程度V

    风险值

    办公电脑

    2.2软件与系统风险评估

    序号

    整改日期

    威胁严重性

    脆弱性程度

    是否残余风险

    2.3数据风险评估

    2.4人力资源风险评估

    2.5第三方服务风险评估

    2.6其他资产风险评估

    安全属性

    安全属性等级

    保密性

    包含可对社会公开的信息,公用的信息处理设备和系统资源等

    包含仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成损害

    包含组织的一般性秘密,其泄露会使组织的安全和利益受到损害

    包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害

    包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性影响,如果泄漏会造成灾难性的损害

    完整性

    完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略

    完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,可以忍受,对业务冲击轻微,容易弥补

    完整性价值中等,未经授权的修改或破坏会对组织造成影

    响,对业务冲击明显,但可以弥补

    完整性价值较高,未经授权的修改或破坏会对组织造成重大影,对业务冲击严重,比较难以弥补

    完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补

    可用性

    可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25%

    可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上

    可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上

    可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上

    可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上

    不会造成公司核心业务停顿

    公司核心业务停顿0-4小时以上

    公司核心业务停顿4-12个小时

    公司核心业务停顿12-24个小时

    公司核心业务停顿24个小时以上

    资产价值=保密性等级+完整性等级+可用性等级+业务影响等级

    划分重要资产等级标准:大于等于3级为重要资产

    资产值

    1-4

    4——8

    8——12

    12——16

    16-18

    脆弱性

    风险描述

    硬件资产

    计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等

    管理不到位,制度执行不严格

    缺少明确的域管理策略

    工作计算机没有统一加入公司管理域,DC管理功能不能正常发挥,不能有效管理客户端环境的风险

    非授权使用计算机

    缺少统一的桌面管理策略

    工作计算机没有统一设置屏保和使用密码恢复桌面,造成非授权使用的风险

    非授权安装软件

    没有明确的授权使用软件列表

    工作计算机、笔记本使用的授权软件没有统一明确的列表和要求,非授权安装软件的风险。

    USB端口被非法使用

    USB端口未做安全处理

    计算机USB端口没有控制,利用USB端口非授权复制数据的风险

    机箱被非法开启

    机箱没有安全控制

    机箱没有控制,造成信息泄露,硬件损坏不可用的风险

    您可能关注的文档

    最近下载

    文档评论(0)

    159****7880 + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >