信息系统安全风险评估报告

Forpersonaluseonlyinstudyandresearch;notforcommercialuse蒄蕿荿xx有限公司螆记录编号节005羁信息系统安全风险评估报告蝿创建日期蒇2015年8月16日聿文档密级芈羃莄蒂蚇蚃膂薀肇更改记录蒄时间芃更改内容虿更改人蒆膄莄肁羆羅膂腿虿蚅项目名称：XXX风险评估报告膃被评估公司单位：XXX有限公司薂参与评估部门：XXXX委员会肈蒅羁蚀一、风险评估项目概述蒈1.1工程项目概况膆1.1.1建设项目基本信息肂螈风险评估版本袇201X年8日5日更新的资产清单及评估袆项目完成时间肃201X年8月5日膁项目试运行时间莆2015年1-6月蚆袁1.2风险评估实施单位基本情况艿评估单位名称螆XXX有限公司莇羂二、风险评估活动概述薂2.1风险评估工作组织管理葿描述本次风险评估工作的组织体系（含评估人员构成）、工作原则和采取的保密措施。袃2.2风险评估工作过程羃本次评估供耗时2天，采取抽样的的方式结合现场的评估，涉及了公司所有部门及所有的产品，已经包括了位于公司地址位置的相关产品。螀2.3依据的技术标准及相关法规文件衿本次评估依据的法律法规条款有：薄序号螁法律、法规及其他要求名称袈颁布时间芈实施时间莄颁布部门袂1膁全国人大常委会关于维护互联网安全的决定螇2000.12.28肄2000.12.28羄全国人大常委会艿2膇中华人民共和国计算机信息系统安全保护条例袅1994.02.18螁1994.02.18蚁国务院第147号令薆3薅中华人民共和国计算机信息网络国际联网管理暂行规定螂1996.02.01螀1996.02.01芀国务院第195号令莅4袄中华人民共和国计算机软件保护条例袈2001.12.20虿2002.01.01肆国务院第339号令蚁5芁中华人民共和国信息网络传播权保护条例膈2006.05.10袆2006.07.01蚂国务院第468号令荿6薈中华人民共和国计算机信息网络国际联网管理暂行规定实施办法薇1998.03.06螄1998.03.06螁国务院信息化工作领导小组羇7芇计算机信息网络国际联网安全保护管理办法薁1997.12.16袀1997.12.30蒆公安部第33号令螃8薃计算机信息系统安全专用产品检测和销售许可证管理办法羈1997.06.28袆1997.12.12薄公安部第32号令蚄9莀计算机病毒防治管理办法蕿2000.03.30芄2000.04.26蒁公安部第51号令葿10罿恶意软件定义肄2007．06.27薃2007．06.27袁中国互联网协会莈11螅抵制恶意软件自律公约薄2007．06.27羀2007．06.27袇中国互联网协会蒅12莁计算机信息系统保密管理暂行规定莂1998.2.26芇1998.02.26芆国家保密局蒃13蒀计算机信息系统国际联网保密管理规定蚆2000.01.01羆2000.01.01蒄国家保密局蕿14荿软件产品管理办法螆2000.10.08节2000.10.08羁中华人民共和国工业和信息化部蝿15蒇互联网等信息系统网络传播视听节目管理办法莃2004.06.15聿2004.10.11芈国家广播电影电视总局羃16莄互联网电子公告服务管理规定蒂2000.10.08蚇2000.10.08蚃信息产业部膂17薀信息系统工程监理工程师资格管理办法肇2003年颁布蒄2003.03.26芃信息产业部虿18蒆信息系统工程监理单位资质管理办法膄2003.03.26莄2003.04.01肁信息产业部羆19羅电子认证服务管理办法膂2009.02.04腿2009.03.31虿信息产业部蚅20膃关于印发《国家电子信息产业基地和产业园认定管理办法（试行）》的通知薂2008.03.04肈2008.03.04蒅中华人民共和国信息产业部羁21蚀计算机软件著作权登记收费项目和标准蒈1992.03.16膆1992.04.01肂机电部计算机软件登记办公室螈22袇中国互联网络域名管理办法袆2004.11.05肃2004.12.20膁信息产业部莆23蚆中华人民共和国专利法袁2010.01.09艿2010.02.01螆全国人民代表大会常务委员莇24羂中华人民共和国技术合同法薂1987.06.23葿1987.06.23袃国务院科学技术部羃25螀关于电子专利申请的规定衿2010.08.27薄2010.10.01螁国家知识产权局袈26芈中华人民共和国著作权法莄2010.02.26袂2010.02.26膁全国人大常委会螇27肄中华人民共和国著作权法实施羄艿2002.9.15膇国务院第359号令条例2002.08.02袅28科学技术保密规定1995.01.061995.01.06国家科委、国家保密局29互联网安全保护技术措施规定2005.12.132006.03.01公安部发布30中华人民共和国认证认可条例2003.09.032003.11.1国务院第390号令31中华人民共和国保守国家秘密法2010.04.292010.10.01全国人大常委会32中华人民共和国国家安全法1993.02.221993.02.22全国人大常委会33中华人民共和国商用密码管理条例1999.10.071999.10.07国务院第273号令34消防监督检查规定2009.4.302009.5.1公安部第107号35仓库防火安全管理规则1990.03.221994.04.10中华人民共和国公安部令第6号36地质灾害防治条例2003.11.242004.03.01国务院3９4号37《电力安全生产监管办法》2004.03.092004.03.09国家电力监管委员会第2号38中华人民共和国劳动法2007.06.292008.1.1华人民共和国主席令第二十八号39失业保险条例1998.12.261999.01.22国务院40失业保险金申领发放2001.10.262001.01.01劳动和社会保障部41中华人民共和国企业劳动争议1993.06.111993.08.01国务院处理条例2.4保障与限制条件需要被评估单位提供的文档、工作条件和配合人员等必要条件，以及可能的限制条件。三、评估对象3.1评估对象构成与定级3.1.1网络结构根据提供的网络拓扑图，进行结构化的审核。3.1.2业务应用本公司涉及的数据中心运营及服务活动。3.1.3子系统构成及定级N/A3.2评估对象等级保护措施按照工程项目安全域划分和保护等级的定级情况，分别描述不同保护等级保护范围内的子系统各自所采取的安全保护措施，以及等级保护的测评结果。根据需要，以下子目录按照子系统重复。3.2.1XX子系统的等级保护措施根据等级测评结果，XX子系统的等级保护管理措施情况见附表一。根据等级测评结果，XX子系统的等级保护技术措施情况见附表二。四、资产识别与分析4.1资产类型与赋值4.1.1资产类型按照评估对象的构成，分类描述评估对象的资产构成。详细的资产分类与赋值，以附件形式附在评估报告后面，见附件3《资产类型与赋值表》。4.1.2资产赋值填写《资产赋值表》。大类详细分类举例文档和数据经营规划中长期规划等经营计划等组织情况组织变更方案等组织机构图等组织变更通知等组织手册等规章制度各项规程、业务手册等人事制度人事方案等人事待遇资料等录用计划等离职资料等中期人员计划等人员构成等人事变动通知等培训计划等培训资料等财务信息预决算（各类投资预决算)等业绩（财务报告)等中期财务状况等资金计划等成本等财务数据的处理方法（成本计算方法和系统，会计管理审查等经营分析系统，减税的方法、规程)等营业信息市场调查报告（市场动向，顾客需求，其它本公司动向及对这些情况的分析方法和结果)等商谈的内容、合同等报价等客户名单等营业战略（有关和其它本公司合作销售、销售途径的确定及变更，对代理商的政策等情报)等退货和投诉处理（退货的品名、数量、原因及对投诉的处理方法)等供应商信息等技术信息试验/分析数据（本公司或者委托其它单位进行的试验/分析)等研究成果（本公司或者和其它单位合作研究开发的技术成果)等科技发明的内容（专利申请书以及有关的资料/试验数据)等开发计划书等新产品开发的体制、组织（新品开发人员的组成，业务分担，技术人员的配置等)技术协助的有关内容（协作方，协作内容，协作时间等)教育资料等技术备忘录等软件信息生产管理系统等技术解析系统等计划财务系统等设计书等流程等编码、密码系统等源程序表等其他诉讼或其他有争议案件的内容（民事、无形资产、工伤等纠纷内容)本公司基本设施情况（包括动力设施)等董事会资料（新的投资领域、设备投资计划等)本公司电话簿等本公司安全保卫实施情况及突发事件对策等软件操作系统Windows、Linux等应用软件/系统开发工具、办公软件、网站平台、财务系统等数据库MSSQLServer、MySQL等硬件设备通讯工具传真等传输线路光纤、双绞线等存储媒体磁带、光盘、软盘、U盘等存储设备光盘刻录机、磁带机等文印设备打印机、复印机、扫描仪服务器PCServer、小型机等桌面终端PC、工作站等网络通信设备路由器、交换机、集线器、无线路由器等网络安全设备防火墙、防水墙、IPS等支撑设施UPS、机房空调、发电机等人力资源高层管理人员高层管理人员本公司总/副总经理、总监等中层管理人员部门经理技术管理人员项目经理、项目组长、安全工程师普通技术人员软件工程师、程序员、测试工程师、界面工程师等IT服务人员系统管理员、网络管理员、维护工程师其它人事、行政、财务等人员服务通信ADSL、光纤等房租办公房屋租用托管服务器托管、虚拟主机、邮箱托管法律外聘律师、法律顾问供电照明电、动力电审计财务审计6.2.资产赋值判断准则对资产的赋值不仅要考虑资产的经济价值，更重要的是要考虑资产的安全状况对于系统或组织的重要性，由资产在其三个安全属性上的达成程度决定。资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析，并在此基础上得出综合结果的过程。达成程度可由安全属性缺失时造成的影响来表示，这种影响可能造成某些资产的损害以至危及信息系统，还可能导致经济效益、市场份额、组织形象的损失。6.2.1.机密性赋值根据资产在机密性上的不同要求，将其分为三个不同的等级，分别对应资产在机密性上应达成的不同程度或者机密性缺失时对整个组织的影响。赋值标识定义3高包含组织最重要的秘密，关系未来发展的前途命运，对根本利益有着决定性的影响，如果泄露会造成灾难性的损害，例如直接损失超过100万人民币，或重大项目（合同）失败，或失去重要客户，或关键业务中断3天。2中组织的一般性秘密，其泄露会使组织的安全和利益受到损害，例如直接损失超过10万人民币，或项目（合同）失败，或失去客户，或关键业务中断超过1天。1低可在社会、组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害或不造成伤害。6.2.2.完整性赋值根据资产在完整性上的不同要求，将其分为三个不同的等级，分别对应资产在完整性上缺失时对整个组织的影响。赋值标识定义3高完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，并且难以弥补。例如直接损失超过100万人民币，或重大项目（合同）失败，或失去重要客户。2中完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补。例如直接损失超过10万人民币，或项目（合同）失败，或失去客户。1低完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，甚至可以忽略，对业务冲击轻微，容易弥补。6.2.3.可用性赋值根据资产在可用性上的不同要求，将其分为三个不同的等级，分别对应资产在可用性上的达成的不同程度。赋值标识定义3高可用性价值非常高，合法使用者对资产的可用度达到年度90%以上，或系统不允许中断。2中可用性价值中等，合法使用者对资产的可用度在正常工作时间达到50%以上，或系统允许中断时间小于8工作时。1低可用性价值较低或可被忽略，合法使用者对资产的可用度在正常工作时间达到50%以下，或系统允许中断时间小于24工作时。6.2.4.资产重要性等级资产价值（V）＝机密性价值（C