精心整理
1.2风险评估实施单位基本情况
二、风险评估活动概述
2.1风险评估工作组织管理
描述本次风险评估工作的组织体系(含评估人员构成)、工作原则和采取的保密措施。
2.2
2.3
2.4
3.1
本公司涉及的数据中心运营及服务活动。
3.1.3子系统构成及定级
N/A
3.2评估对象等级保护措施
按照工程项目安全域划分和保护等级的定级情况,分别描述不同保护等级保护范围内的子系统各自所采取的安全保护措施,以及等级保护的测评结果。
根据需要,以下子目录按照子系统重复。
6.2.资产赋值判断准则
对资产的赋值不仅要考虑资产的经济价值,更重要的是要考虑资产的安全状况对于系统或组织的重要性,由资产在其三个安全属性上的达成程度决定。
资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析,并在
此基础上得出综合结果的过程。达成程度可由安全属性缺失时造成的影响来表示,这种影响
可能造成某些资产的损害以至危及信息系统,还可能导致经济效益、市场份额、组
6.2.3.可用性赋值
根据资产在可用性上的不同要求,将其分为三个不同的等级,分别对应资产在可用性上
的达成的不同程度。
4.2重要资产清单及说明
在分析被评估系统的资产基础上,列出对评估单位十分重要的资产,作为风险评估的重点对象,并以清单形式列出如下:
重要资产列表
五、威胁识别与分析
对威胁来源(内部/外部;主观/不可抗力等)、威胁方式、发生的可能性,威胁主体的能力水平等进行列表分析。下面是典型的威胁范本:
5.1威胁数据采集
说明:
判断威胁出现的频率是威胁识别的重要工作,评估者应根据经验和(或)有关的统计数据来进行判断。在风险评估过程中,还需要综合考虑以下三个方面,以形成在某种评估环境中各种威胁出现的频率:
1)以往安全事件报告中出现过的威胁及其频率的统计;
2)实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;
6.3脆弱性综合列表
威胁发生可能性等级对照表
信息安全风险矩阵计算表
说明:
在完成了资产识别、威胁识别、弱点识别,以及对已有安全措施确认后,将采用适
八、综合分析与评价
通过综合的评估,公司现有的风险评估的结果是适宜的、充分的、有效的。
九、整改意见
1.加强各部门对风险处理技巧的培训。
2.对A级风险公司的处理需对各部门进行公示。
附件3:资产类型与赋值表
针对每一个系统或子系统,单独建表
附件5:脆弱性分析赋值表
推荐访问:综合布线保密风险评估报告 评估报告 风险 信息系统安全