ISO27001-2013信息安全连续性和影响分析报告.doc

　　 信息安全连续性和影响分析报告 目录 TOC \o 1-3 \h \z \u 1. 概述 1 2. 级别划分定义 1 3. 关键信息安全活动影响分析 2 4. 关键功能与恢复时间目标 3 5. 影响关键信息安全的风险分析 5 6. 处理方案 6 7. 关键信息安全恢复所需资源 7 8. 研发部批准决议 8 PAGE 6 TOC \o 1-3 \h \z \u 概述 信息安全影响分析 目标 通过信息安全影响分析，识别出研发部的关键信息安全以及这些关键信息安全所面临的风险，确认客户可接受的最大停顿时间。当风险发生时，为了使信息安全活动能够持续运作，明确恢复信息安全所依赖的重要组件，并针对各类风险制定相应的处理方案。 适用范围 公司研发部 级别划分定义 1）信息安全关键性级别的划分 级别 取值 描述 高 1 此信息安全/功能对公司极其重要，关键性级别极高，一旦此信息安全/功能中断将会给公司极大的冲击与影响。 中 2 此信息安全/功能对公司比较重要，关键性级别中，一旦此信息安全/功能中断将会给公司一定的冲击与影响。 低 3 此信息安全/功能对公司的重要性一般，关键性级别低，一旦此信息安全/功能中断给公司带来的冲击与影响一般。 2）信息安全影响程度级别（B）的划分： 级别 取值 描述 高 5 资产的安全性遭破坏后，可能导致公司关键信息安全长时间（二天以上）的中断，相关的活动均受到影响，公司信誉、经济受到严重的损失。 中 3 资产的安全性遭破坏后，可能导致公司关键信息安全短时间中断（一天之内），造成一定的损失。 低 1 资产的安全性遭破坏后，可能导致公司信息安全的不正常运作，相关损失较少。 3）威胁发生可能性（P）的级别划分： 级别 取值 标准描述 高 5 从威胁的驱动因素来看，该风险很有可能会发生；或 以前曾经发生过多次；或 以前发生数次，并且该安全事件呈上升趋势。 中 3 过去曾发生过该风险；或 虽然没有发生，但没有控制措施到位； 低 1 过去很少发生；或 已经有控制措施到位 4）信息安全影响的总体评价公式：U＝P＊B 关键信息安全活动影响分析 项目 关键信息安全/功能 所属部门 信息安全影响分析 yyy系统 研发部 此信息安全/功能对公司重要，关键性级别高，一旦此信息安全/功能中断将会给公司比较大的冲击与影响：无法支持内部审计工作的信息化处理 OA 研发部 此信息安全/功能对公司重要，关键性级别高，一旦此信息安全/功能中断将会给公司比较大的冲击与影响 邮件系统 研发部 此信息安全/功能对公司比较重要，关键性级别中，一旦此信息安全/功能中断将会给公司一定的冲击与影响。 网络 研发部 此信息安全/功能对公司比较重要，关键性级别极高，一旦此信息安全/功能中断将会给公司一定的冲击与影响。 关键功能与恢复时间目标 项目 功能 描述 级别 可接受的最大停顿时间/恢复时间目标 网络 总部内部、总部与办事处网络互联，信息共享 1 22工作日 系统 系统功能简述 2 25工作日 OA系统 OA 2 25工作日 邮件系统 接收邮件 3 25工作日 影响关键信息安全的风险分析 项目 风险 威胁发生可能性（P） 信息安全影响程度级别（B） 总体评价（U） 火灾 3 5 15 水灾 1 5 5 爆炸 1 5 5 地震 1 5 5 突发公共卫生事件（如SARS） 3 3 9 电力中断（2天以上） 1 5 5 恶劣天气（如沙尘暴） 3 1 3 病毒大规模爆发 1 3 3 外包人员集体辞职 1 3 3 拒绝服务攻击 1 3 3 网站被黑(数据不可用或被篡改) 3 3 9 关键服务器宕机 1 5 5 公司机密/绝密级信息泄密 1 5 5 其它重大自然灾难 1 5 5 处理方案 项目 风险 总体评价（U） 处理方案 火灾 15 参照《信息安全连续性计划》 水灾 5 参照《信息安全连续性计划》 爆炸 5 参照《信息安全连续性计划》 地震 5 参照《信息安全连续性计划》 突发公共卫生事件（如SARS） 9 总部机房实行24小时值班制度，人员无法进入现场时，可通过VPN实现控制 电力中断 5 总部机房UPS在正常使用情况下，可坚持至少4个小时；如电力仍未恢复，将由运维组联系，尽快租赁一台发电车。 恶劣天气（如沙尘暴） 3 总部机房实行24小时值班制度，人员无法进入现场时，可通过VPN实现控制 病毒大规模爆发 3 公司各服务器及客户端安装统一的防病毒软件，并时时更新，一旦出现病毒爆发的情况，立即将该类设备断网，对病毒进行清除后再接入网。 外包人员集体辞职 3 整理完备的操作手册及应急手册，在选取供应商时保留1~2个作为候选。 拒绝