风险评估方案介绍.docx

,根据<信息安全风险评估指南>和GB/T20984->要求,总体评估公司信息化建设风险。、SqlServer、SybaseATX数据库***、主机***、主机***4极光远程安全评估系统可扫描各类操作系统和应用系统AURORA-200网络、主机***5网络综合协议分析仪OptiView网络***与协议分析,网络性能测评INA网络流量监控6网络系统管理,HPOpenView自动发现网络拓扑图、 ,以此为基础进行下一步的风险评估。根据资产的表现形式 ,可将资产分为数据、软件、硬件、文档、服务、人员等类型。一种基于表现形式的资产分类方法分类示例数据保存在信息媒介上的各种数据资料 ,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等软件系统软件:操作系统、语句包、工具软件、各种库等应用软件:外部购买的应用软件,外包开发的应用软件等源程序:各种共享源代码、自行或合作开发的各种代码等硬件网络设备:路由器、网关、交换机等计算机设备:大型机、小型机、服务器、工作站、台式计算机、移动计算机等存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路:光纤、双绞线等保障设备:动力保障设备(UPS变电设备等)、空调、保险柜、文件柜、门禁、消防设施等安全保障设备:防火墙、入侵检测系统、身份验证等其它:打印机、复印机、扫描仪、传真机等服务办公服务:为提高效率而开发的管理信息系统 (MIS),包括各种内部配置管理、文件流转管理等服务网络服务:各种网络设备、设施提供的网络连接服务信息服务:对外依赖该系统开展的各类服务文档纸质的各种文件,如传真、电报、财务报告、发展计划等人员掌握重要信息和核心业务的人员 ,如主机维护主管、网络维护主管及应用项目经理等其它企业形象, ,将其分为五个不同的等级,分别对应资产在机密性上应达成的不同程度或者机密性缺失时对整个组织的影响。资产机密性赋值表赋值标识定义5很高包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害4高包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害3中等组织的一般性秘密,其泄露会使组织的安全和利益受到损害2仅能在组织内部或在组织某一部门内部公开的信息 ,向外扩散有可能对组织的利益造成轻微损害1很低可对杜会公开的信息, ,将其分为五个不同的等级,分别对应资产在完整性上缺失时对整个组织的影响。资产完整性赋值表赋值标识定义5很高完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补。4高完整性价值较高,未经授权的修改或破坏会对组织造成重大影响 ,对业务冲击严重,较难弥补。3中等完整性价值中等,未经授权的修改或破坏会对组织造成影响 ,对业务冲击明显,但能够弥补。2低完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响 ,对业务冲击轻微,容易弥补。1很低完整性价值非常低,未经授权的修改或破坏对组织造成的影响能够忽略 ,对业务冲击能够忽略。 ,将其分为五个不同的等级,分别对应资产在可用性上应达成的不同程度。资产可用性赋值表赋值标识定义5很高可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度 %以上,或系统不允许中断。4高可用性价值较高,合法使用者对信息及信息系统的可用度达到每天 90汕上,或系统允许中断时间小于10分钟。3中等可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70汕上,或系统允许中断时间小于30分钟。2低可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25汕上,或系统允许中断时间小于60分钟。1很低可用性价值能够忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25%