返回
isms风险评估报告修改

isms风险评估报告修改

ID:33876965

大小:63.27 KB

页数:8页

时间:2019-03-01

isms风险评估报告修改_第1页
isms风险评估报告修改_第2页
isms风险评估报告修改_第3页
isms风险评估报告修改_第4页
isms风险评估报告修改_第5页
资源描述:

《isms风险评估报告修改》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、ISMS(信息安全管理体系)风险评估报告一、实施范围和时间本公司ISMS所涉及的相关部门以及相关业务活动。本此风险评估的实施时间为2015年3月16日至2015年3月20日。二、风险评估方法参照TS0/TEC27001和TS0/TEC27002标准,以及《GB/T20984-2007信息安全技术信息安全风险评佔规范》等,依据公司的《信息系统管理制度》确定的评佔方法。三、风险评估工作组经信息中心批准,此次风险评估工作成员如下:评估工作组组长:徐守福评估工作组成员:李宝明、万兵、黄鹏、李富强、徐欣广、赵之勇、杨雪芹四、风险评估结果4.1信

2、息资产清单各部门的信息资产清单见部门信息资产清单。4.2重要资产面临威胁和脆弱性汇总重要资面临的威胁和脆弱性分别见附件一•和附件二。4.3风险结果统计本次风险评估,共识别出信息安全风险9个,不可接受的风险2个,具休如下:风险等级种类个数说明很高0不可接受风险高0中等1低8可接受风险很低0五、风险处理计划风险处理计划见附件四附件一:重要资产面临的威胁汇总表表1-1:重要硬件资产威胁识别表重要资产威胁识别表一一硕件资产资产名称资产描述威胁类部门台式机网关服务器FTP/Web服务器应用、存储、数据库服务器操作失误信息屮心滥用权限系统漏洞攻击

3、设备硬件故障社会工程威胁维护错误未授权访问系统资源物理访问失控高温宕机系统负载过载机架式服务器Ma订服务器操作失误各业务单位滥用权限系统漏洞攻击设备駛件故障社会工程威胁维护错误未授权访问系统资源物理访问失控高温宕机系统负载过载笔记本电脑办公电脑木马后门攻击各业务单位设备硬件故障网络病毒传播未授权访问系统资源台式机办公电脑木马后门攻击各业务单位设备硕件故障网络病毒传播未授权访问系统资源表1-2重要应用系统资产威胁识别表重要资产威胁识别表一一应用系统序号资产名称威胁类部门1ERP业务系统;0A办公系统;银联系统;数据库系统篡改用户或业务数

4、据信息各业务单位控制和破坏用户或业务数据滥用权限泄漏秘密信息数据篡改探测窃密未授权访问未授权访问系统资源用户或业务数据的窃取2防火墙系统操作失误信息中心访问控制策略管理不当维护错误未授权访问资源原发抵赖表1-3重要文档和数据资产威胁识别表重要资产威胁识别表一一文档和数据序号资产名称威胁类部门10A文档中心资料滥用权限信息屮心未授权访问资源2ERP数据字典,数据库文件滥用权限信息中心未授权访问资源3项目实施资料滥用权限信息中心未授权访问资源表1-4重要人力资源资产威胁识别表重要资产威胁识别表一一人力资源序号资产名称威胁类部门1机房管理员

5、社会工程威胁信息中心2服务器管理员社会工程威胁信息屮心附件二:重要资产面临的脆弱性汇总表表2-1重要资产脆弱性汇总表序号资产名称脆弱性名称1台式机(FTP/Web服务器)台式机(网关服务器)台式机(银联服务器)安装与维护缺乏管理操作系统补丁未及时安装操作系统存在弱口令操作系统的口令策略没有启用操作系统的帐户锁定策略没有启用操作系统开放多余服务缺少电磁防护物理访问控制欠缺设备性能不足2机架式服务器(Mail服务器)安装与维护缺乏管理操作系统补丁未及时安装操作系统存在弱口令操作系统的口令策略没有启用操作系统的帐户锁定策略没冇启用操作系统开

6、放多余服务缺少电磁防护物理访问控制欠缺3笔记本电脑操作系统补丁未安装操作系统开放多余服务操作系统存在弱口令操作系统的口令策略没有启用病毒码无法自动更新操作系统的帐户锁定策略没有启用4台式机操作系统补丁未安装病毒码无法口动更新操作系统开放多余服务5ERP业务系统;0A办公系统;银联系统;数据库系统未设置用户登录失败门限与超过门限后的处理措施无法保证用户使用的口令达到一定的质量要求无法检测存储的重要信息、数据是否出现完整性错误重要信息、数据无加密措施,以明文传输6防火墙系统安全保障设备的其它配置不当安装与维护缺乏管理缺少操作规程和职责管理

7、未启用日总功能70A文档中心资料没有访问控制策略或未实施信息资产没有清晰的分类标志8ERP数据字典,数据库文件没有访问控制策略或未实施信息资产没有清晰的分类标志9项目实施资料没有访问控制策略或未实施信息资产没有清晰的分类标志10机房管理员没有适当的奖惩规则没有止式的保密协议11服务器管理员没有适当的奖惩规则没有正式的保密协议12硬件科长没有适当的奖惩规则没有正式的保密协议附件三:风险评估问题列表分类风险评估发现改进建议[口忌女土公司用户密码安全策略尚待完善,未通过系统强制手段对NC系统及其操作系统及数据库用户密码策略(如密码长度、复杂

8、度、有效期等)进行合理设置。建立完善的密码策略,对密码长度、复杂度、有效期、错误登陆的次数等进行合理的规定,并在实际工作中通过系统手段对用友NC系统及其操作系统和数据库层面密码策略进行设置。信息安全公司尚未针对信息系统超

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。