风险评估分析报告.doc
《风险评估分析报告.doc》由会员分享,可在线阅读,更多相关《风险评估分析报告.doc(30页珍藏版)》请在咨信网上搜索。
1、上海ERIC数据系统有限公司记录编号IMSF-005信息安全风险评估报告创立日期4月16日文档密级秘 密更改记录时间更改内容更改人项 目 名 称: 4月16日风险评估报告 被评估公司单位: 上海ERIC数据系统有限公司 参加评估部门:信息安全综合管理委员会 一、风险评估项目概述1.1 工程项目概况1.1.1 建设项目基本信息风险评估版本3日5日更新资产清单及评估项目完毕时间3月5日项目试运营时间2-3月1.2 风险评估实行单位基本状况评估单位名称上海ERIC数据系统有限公司二、风险评估活动概述2.1 风险评估工作组织管理描述本次风险评估工作组织体系(含评估人员构成)、工作原则和采用保密办法。2
2、.2 风险评估工作过程本次评估供耗时2天,采用抽样方式结合现场评估,涉及了公司所有部门及所有产品,已经涉及了位于公司地址位置有关产品。2.3 根据技术原则及有关法规文献本次评估根据法律法规条款有:序号法律、法规及其她规定名称颁布时间实行时间颁布部门1全国人大常委会关于维护互联网安全决定.12.28.12.28全国人大常委会2中华人民共和国计算机信息系统安全保护条例1994.02.181994.02.18国务院第147号令3中华人民共和国计算机信息网络国际联网管理暂行规定1996.02.011996.02.01国务院第195号令4中华人民共和国计算机软件保护条例.12.20.01.01国务院第3
3、39号令5中华人民共和国信息网络传播权保护条例.05.10.07.01国务院第468号令6中华人民共和国计算机信息网络国际联网管理暂行规定实行办法1998.03.061998.03.06国务院信息化工作领导小组7计算机信息网络国际联网安全保护管理办法1997.12.161997.12.30公安部第33号令8计算机信息系统安全专用产品检测和销售允许证管理办法1997.06.281997.12.12公安部第32号令9计算机病毒防治管理办法.03.30.04.26公安部第51号令10恶意软件定义06.2706.27中华人民共和国互联网协会11抵制恶意软件自律公约06.2706.27中华人民共和国互联
4、网协会12计算机信息系统保密管理暂行规定1998.2.261998.02.26国家保密局13计算机信息系统国际联网保密管理规定.01.01.01.01国家保密局14软件产品管理办法.10.08.10.08中华人民共和国工业和信息化部15互联网等信息系统网络传播视听节目管理办法.06.15.10.11国家广播电影电视总局16互联网电子公示服务管理规定.10.08.10.08信息产业部17信息系统工程监理工程师资格管理办法颁布.03.26信息产业部18信息系统工程监理单位资质管理办法.03.26.04.01信息产业部19电子认证服务管理办法.02.04.03.31信息产业部20关于印发国家电子信息
5、产业基地和产业园认定管理办法(试行)告知.03.04.03.04中华人民共和国信息产业部21计算机软件著作权登记收费项目和原则1992.03.161992.04.01机电部计算机软件登记办公室22中华人民共和国互联网络域名管理办法.11.05.12.20信息产业部23中华人民共和国专利法.01.09.02.01全国人民代表大会常务委员24中华人民共和国技术合同法1987.06.231987.06.23国务院科学技术部25关于电子专利申请规定.08.27.10.01国家知识产权局26中华人民共和国著作权法.02.26.02.26全国人大常委会27中华人民共和国著作权法实行条例.08.02.9.1
6、5国务院第359号令28科学技术保密规定1995.01.061995.01.06国家科委、国家保密局29互联网安全保护技术办法规定.12.13.03.01公安部发布30中华人民共和国认证承认条例.09.03.11.1国务院第390号令31中华人民共和国保守国家秘密法.04.29.10.01全国人大常委会32中华人民共和国国家安全法1993.02.221993.02.22全国人大常委会33中华人民共和国商用密码管理条例1999.10.071999.10.07国务院第273号令34消防监督检查规定.4.30.5.1公安部第107号35仓库防火安全管理规则1990.03.221994.04.10中华
7、人民共和国公安部令第6号36地质灾害防治条例.11.24.03.01国务院34号37电力安全生产监管办法.03.09.03.09国家电力监管委员会第2号38中华人民共和国劳动法.06.29.1.1华人民共和国主席令第二十八号39失业保险条例1998.12.261999.01.22国务院40失业保险金申领发放.10.26.01.01劳动和社会保障部41中华人民共和国公司劳动争议解决条例1993.06.111993.08.01国务院2.4 保障与限制条件需要被评估单位提供文档、工作条件和配合人员等必要条件,以及也许限制条件。三、评估对象3.1 评估对象构成与定级3.1.1 网络构造依照提供网络拓扑
8、图,进行构造化审核。3.1.2 业务应用我司涉及数据中心运营及服务活动。3.1.3 子系统构成及定级 N/A3.2 评估对象级别保护办法按照工程项目安全域划分和保护级别定级状况,分别描述不同保护级别保护范畴内子系统各自所采用安全保护办法,以及级别保护测评成果。依照需要,如下子目录按照子系统重复。3.2.1 XX子系统级别保护办法依照级别测评成果,XX子系统级别保护管理办法状况见附表一。依照级别测评成果,XX子系统级别保护技术办法状况见附表二。四、资产辨认与分析4.1 资产类型与赋值4.1.1资产类型按照评估对象构成,分类描述评估对象资产构成。详细资产分类与赋值,以附件形式附在评估报告背面,见附
9、件3资产类型与赋值表。4.1.2资产赋值填写资产赋值表。大类详细分类举例文档和数据经营规划中长期规划等经营筹划等组织状况组织变更方案等组织机构图等组织变更告知等组织手册等规章制度各项规程、业务手册等人事制度人事方案等人事待遇资料等录取筹划等离职资料等中期人员筹划等人员构成等人事变动告知等培训筹划等培训资料等财务信息预决算(各类投资预决算)等业绩(财务报告)等中期财务状况等资金筹划等成本等财务数据解决办法(成本计算办法和系统,会计管理审查等经营分析系统,减税办法、规程)等营业信息市场调查报告(市场动向,顾客需求,其他我司动向及对这些状况分析办法和成果)等商谈内容、合同等报价等客户名单等营业战略(
10、关于和其他我司合伙销售、销售途径拟定及变更,对代理商政策等情报)等退货和投诉解决(退货品名、数量、因素及对投诉解决办法)等供应商信息等技术信息实验/分析数据(我司或者委托其他单位进行试验/分析)等研究成果(我司或者和其他单位合伙研究开发技术成果)等科技创造内容(专利申请书以及关于资料/实验数据)等开发筹划书等新产品开发体制、组织(新品开发人员构成,业务分担,技术人员配备等)技术协助关于内容(协作方,协作内容,协作时间等)教诲资料等技术备忘录等软件信息生产管理系统等技术解析系统等筹划财务系统等设计书等流程等编码、密码系统等源程序表等其她诉讼或其她有争议案件内容(民事、无形资产、工伤等纠纷内容)我
11、司基本设施状况(涉及动力设施)等董事会资料(新投资领域、设备投资筹划等)我司电话簿等我司安全保卫实行状况及突发事件对策等软件操作系统Windows、Linux 等应用软件/系统开发工具、办公软件、网站平台、财务系统 等数据库MS SQL Server、MySQL 等硬件设备通讯工具传真等传播线路光纤、双绞线等存储媒体磁带、光盘、软盘、U 盘等存储设备光盘刻录机、磁带机等文印设备打印机、复印机、扫描仪服务器PC Server、小型机等桌面终端PC、工作站等网络通信设备路由器、互换机、集线器、无线路由器等网络安全设备防火墙、防水墙、IPS 等支撑设施UPS、机房空调、发电机等人力资源高层管理人员高
12、层管理人员 我司总/副总经理、总监等中层管理人员部门经理技术管理人员项目经理、项目组长、安全工程师普通技术人员软件工程师、程序员、测试工程师、界面工程师等IT 服务人员系统管理员、网络管理员、维护工程师其他人事、行政、财务等人员服务通信ADSL、光纤等房租办公房屋租用托管服务器托管、虚拟主机、邮箱托管法律外聘律师、法律顾问供电照明电、动力电审计财务审计6.2. 资产赋值判断准则对资产赋值不但要考虑资产经济价值,更重要是要考虑资产安全状况对于系统或组织重要性,由资产在其三个安全属性上达到限度决定。资产赋值过程也就是对资产在机密性、完整性和可用性上达到限度进行分析,并在此基本上得出综合成果过程。达
13、到限度可由安全属性缺失时导致影响来表达,这种影响也许导致某些资产损害以至危及信息系统,还也许导致经济效益、市场份额、组织形象损失。6.2.1. 机密性赋值依照资产在机密性上不同规定,将其分为三个不同级别,分别相应资产在机密性上应达到不同限度或者机密性缺失时对整个组织影响。赋值标记定 义3高包括组织最重要秘密,关系将来发展前程命运,对主线利益有着决定性影响,如果泄露会导致劫难性损害,例如直接损失超过100 万人民币,或重大项目(合同)失败,或失去重要客户,或核心业务中断3天。2中组织普通性秘密,其泄露会使组织安全和利益受到损害,例如直接损失超过10 万人民币,或项目(合同)失败,或失去客户,或核
14、心业务中断超过1 天。1低可在社会、组织内部或在组织某一部门内部公开信息,向外扩散有可能对组织利益导致轻微损害或不导致伤害。6.2.2. 完整性赋值依照资产在完整性上不同规定,将其分为三个不同级别,分别相应资产在完整性上缺失时对整个组织影响。赋值标记定 义3高完整性价值非常核心,未经授权修改或破坏会对组织导致重大或无法接受影响,对业务冲击重大,并也许导致严重业务中断,并且难以弥补。例如直接损失超过100 万人民币,或重大项目(合同)失败,或失去重要客户。2中完整性价值中档,未经授权修改或破坏会对组织导致影响,对业务冲击明显,但可以弥补。例如直接损失超过10 万人民币,或项目(合同)失败,或失去
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 风险 评估 分析 报告
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【天****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【天****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。