××有限公司信息安全咨询项目××信息资产风险评估报告.docx

信息资产风险评估报告 信息安全咨询项目 ××有限公司 文档信息 项目名称: 项目经理: 文档版本号: 1.3 项目阶段: 文档版本日期: 2008/07/06 质量复审方法: 起草人: 起草日期: 2008/07/01 复审人: 复审日期: 2008/07/03 分发列表 自 日期 电话/传真 2008/07/03 (086)‐1351028332 9 到 行动* 截止日期 电话/传真 复审 2008/07/07 复审 2008/07/07 *行动类别: 批准、复审、通知、存档、需要采取行动、参加会议、其他（请指明） 版本历史 版 本 版本日期 修改人 说明 号 draft 2008/07/01 文档创建 V1.0 2008/07/03 修订 V1.3 2008/07/07 修订 信息安全咨询项目 ××信息资产风险评估报告 版 本 版本日期  修改人  说明 号 产权说明 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属××有限公司咨询事业部和××有限公司所有，受到有关产权及版权法保护。任何个人、机构未经××有限公司咨询事业部和××有限公司的书面授权许可，不得复制或引用本文档的任何片断，无论通过电子形式或非电子形式。 目 录 文档说明 2 1.1. 文档结构 2 1.2. 适用范围 3 1.3. 定义、缩略语、缩写 3 1.3.1. 定义 3 1.3.2. 缩略语 3 信息资产风险评估方法、范围与过程 3 2.1. 风险评估方法 3 2.2. 风险评估范围 3 2.3. 风险评估过程 4 信息资产风险评估综述 5 3.1. ××信息资产组识别与登记 5 3.2. ××风险评估结果综述 11 3.3. 主要信息资产风险和处置措施建议 12 4. 各部门信息资产风险评估结果16 4.1. 信息技术部风险评估结果 16 4.1.1. 风险评估结果统计 16 4.1.2. 主要风险列表 17 文档说明 信息资产风险评估是××信息安全咨询项目的第二阶段的主要工作，××有限公司和××公司信息安全咨询项目相关人员通过信息资产分类分组、信息资产登记、信息资产组威胁和脆弱性识别、风险分析和风险评价等过程，进行了详细的信息资产安全风险评估，评估范围为总部 17 个部门、山东分公司和广东分公司。 本文档是信息安全风险评估阶段的交付物，目的是描述××的信息资产中存在的风险，并提出了改善建议，为下一阶段具体风险处置措施的实施打好基础。文档结构 1 章 文档说明 对本文档的目的，结构，适用范围，术语等进行了定义和说明。 2 章 信息安全风险评估过程 描述××信息资产风险评估的内容与步骤。 第 3 章 信息资产风险评估结果综述 对××信息资产风险评估的结果进行分析，对重要风险提出处置建议。 页号： 2 of 24 信息安全咨询项目 ××信息资产风险评估报告 第 4 章 各部门信息资产风险评估结果 说明××总部各部门和山东、广东两个分公司的重要风险评估结果。 适用范围 本文档为内部文档，适用于××的信息安全工作相关部门的管理层以及信息安全工作人员： 总部业务部门 车险部、水险部、非水险部、再保部、战略管理部、产品精算部、 综合开拓部、客户服务部、销售管理部、深圳联系中心 总部 IT 部门 信息技术部 总部支撑部门 计划财务部、投资部、人力资源部、审计部、办公室、党委办公室 分公司 广东分公司、山东分公司 定义、缩略语、缩写 定义 名词 定义 风险管理 风险管理是以可接受成本识别、评估、控制、降低可能影响信息系 Risk management 统风险的过程，通过风险评估识别风险，通过制定信息安全方针， 采取适当的控制目标与控制方式对风险进行控制，使风险被避免、 转移或降低到一个可以被接受的水平，同时考虑控制费用与风险之 间的平衡；风险管理包括风险评估和风险处置两部分. 资产 Asset 即信息资产，对组织具有价值的信息或资源，是安全策略保护的对 象。 资产组 又称资产组合，是指具有相同或相近的业务功能的资产组合，如由 Asset group 硬件、软件、配置信息等组成的应用系统资产组，由电子文件、纸 质文档组成的信息资产组。 资产价值 资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是 Asset value 进行资产识别的主要内容。 机 密 性 数据所具有的特性，即表示数据所达到的未提供或未泄露给未授权 Confidentiality 的个人、过程或其他实体的程度。 完整性 保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完 Integrity 整性和系统完整性。 可用性 数据或资源的特性，被授权实体按要求能访问和使用数据或资源。 Availability 残