1、 密级:内部公开ISMS风险评估报告(版本号:v1.0)拟制人_XX_ 日期_XX_审核人_XX_ 日期_XX_批准人_XX_ 日期_XX_XX2010-12-161 介绍1.1 目的本文档的目的是对XXXISO27001项目启动至风险评估阶段结束所做的工作进行总结和归纳,在此基础上针对XXX现有的信息资产存在的风险进行分析和评估,并以此为依据开展下一步工作,即制订出完善的XXX信息安全管理体系。1.2 背景从2010年9月开始,XXX启动ISO 27001项目建立信息安全管理体系,并且按照标准的流程定义进行风险评估。风险分析是安全管理体系建设过程第二个阶段的任务,本文档是这个任务的输出。1.
2、3 范围本文档为内部文档,适用于XXX业务部门与支撑部:业务部门:营销中心、市场中心、金融创新中心、保险产品线、基金项目组、银行合作部、渠道发展部。支撑部门:管理中心、财务中心、运营中心、产品技术中心、战略规划部。1.4 定义、缩略语、缩写公司业务部与支撑部:XXX业务发展与业务支撑部信息安全:对信息资产机密性、完整性和可用性的保护。ISMS:信息安全管理体系现状报告:公司客户服务与支撑部ISMS现状调研与差距分析报告信息资产:信息借助媒介存在,对于企业来说,就成为信息资产。信息资产分类包括:人员资产、硬件资产、环境设施、软件资产、数据资产、服务资产、无形资产七大类。2 风险评估综述2.1 风
3、险评估过程本次风险评估整体上分为资产识别和风险分析两个大的阶段:第一阶段:信息资产识别。这个阶段的工作任务描述如下:i. 以部门为单位根据职能特点详细统计信息资产,在系统的整理和归纳基础上对信息资产进行分类和CIA赋值,确定信息资产价值并形成资产清单;各部门信息资产清单,参见公司信息资产登记表。ii. 根据以上的分析结果确定进行风险评估的信息资产范围。第二阶段:风险分析。这个阶段的工作任务描述如下:iii. 识别针对信息资产存在的信息安全威胁。所谓威胁是指可能对保护资产产生破坏影响的因素,一般认为是某个威胁源利用某种手段产生威胁。威胁包括软硬件故障、物理环境、黑客攻击、物理攻击等;iv. 识别
4、、分析和整理风险评估范围内信息资产存在的弱点。弱点可能会被威胁源利用而对信息资产产生威胁。弱点可能包括流程、政策等方面的管理弱点,也可能包括技术设计与实现缺陷、软件漏洞等方面的技术弱点;v. 基于各部门的信息资产清单识别和评估信息资产的信息安全风险,并结合信息资产所面临的威胁和弱点计算得出风险值,形成信息资产风险清单。综合以上工作,形成风险评估报告。2.2 风险评估方法XXX信息安全的风险评估方法基于国际标准ISO/IEC 27001:2005信息安全管理体系规范。在国际标准ISO/IEC 27001:2005信息安全管理体系规范中,所谓信息安全是指保护信息资产的保密性、完整性和可用性。一个安
5、全的信息资产在这三个方面均应处于良好的受控状态,信息安全的风险就是指信息资产在保密性、完整性和可用性方面受到损失的可能。整个风险分析评估过程如下图所示:计划和准备识别并评价资产评估威胁评估弱点评估现有控制影响大小可能性评价风险推荐对策评估信息资产所面临的安全风险经过识别威胁、识别弱点、风险确定三个关键步骤。2.3 识别威胁威胁是利用弱点侵害资产的外在因素。威胁大致可分为软硬件故障、物理环境威胁、恶意代码和病毒、黑客攻击等类别,每类威胁中都会有许多常见的威胁形式。评估者基于每项信息资产(组)结合弱点,找到可能遭受的威胁。一个弱点可能遭到多种威胁,同时,一个威胁可能来源于多个弱点。威胁类别威胁示例
6、T01 软硬件故障T02 物理环境威胁断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、水灾、地震等环境问题和自然灾害T03 恶意代码和病毒T04 黑客攻击利用黑客工具和技术,例如侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵T05 物理攻击物理接触、物理破坏T06 越权或滥用通过采用一些措施,超越自己的权限访问了本来无权访问的资源;或者滥用自己的职权,做出破坏信息系统的行为T07 管理不到位T08 无作为或操作失误由于应该执行而没有执行相应的操作,或无意地执行了错误的操作,对系统造成影响T09 信息化建设不足缺少专业的业务系统、业务
7、系统功能不齐全等T10 泄密T11 信息不准确包括信息被篡改、信息错误、信息不准确、信息源不准确T12 抵赖不承认收到的信息和所作的操作和交易T13 盗窃或丢失盗窃、丢失T14 资源不足财务、设备、人员等投入不足T15 人员变动T16 违法或违规行为各种违反法律、法规、内部规章制度的行为T17 外包来自于业务外包及外包人员的威胁T19 社会灾难T20 其它其它类型威胁对威胁程度进行赋值,赋值标准如下:赋值等级描述5极高威胁发生的可能性极高,或威胁掌握着足够多的资源,或威胁具有非常强烈的动机,或在内外部环境中该威胁频繁发生或造成极大的影响和损失。4高威胁发生的可能性较高,或威胁掌握着比较多的资源
8、,或威胁具有比较强烈的动机,或在内外部环境中该威胁比较多的发生或造成比较大的影响与损失。3中威胁发生的可能性中等,或威胁掌握着一定的资源,或威胁具有一定的动机,或在内外部环境中该威胁发生的频率以及造成的影响及损失程度一般。2低威胁发生的可能性较低,或威胁掌握的资源较低,或威胁具有的动机较低,或该威胁在内外部发生的频率较低,造成的影响及损失较低。1极低威胁发生的可能性极低,该威胁几乎没有掌握任何资源,或该威胁几乎没有动机,或该威胁在内外部环境中几乎没有发生过,或没有造成任何明显的影响及损失。2.4 弱点识别弱点是信息资产本身存在的某种缺陷,一旦被外部威胁利用,可能使信息资产受到损害。评估者需要根
9、据每项信息资产(组)和其对应的威胁,找到可能被利用的弱点。通过本步骤尽可能多的识别每项信息资产(组)可能被威胁利用的弱点,下表为常见弱点清单,评估员应尽可能通过多种手段来识别资产本身具有的弱点。序号弱点类别弱点示例1V01 硬件弱点2V02 网络弱点网络架构设计问题(如二层架构)、未进行VLAN划分、未进行网络隔离、未要求相关方公司接入本公司网络采用对等或足够的安全控制措施3V03 操作系统弱点操作系统版本太老、操作系统软件存在BUG、操作系统缺乏统一的配置规范4V04 应用系统弱点应用系统版本太老、应用系统软件存在BUG5V05 信息弱点电子信息易复制、易篡改、易泄露,纸质信息易携带、水淋、
10、火烧,实体信息体积小易携带等6V06 环境设施弱点建筑物设计不合理、建筑不牢固,房间未安装门禁、未随手关门,缺少文件柜或柜子未上锁/加锁,钥匙管理人员不祥,机房空间不足、无防雷、无防静电措施等7V07 服务弱点服务提供不及时、服务质量不达标等8V08 组织弱点组织架构设置不合理、组织未发挥作用、组织的薪资结构设计不合理、组织内部门或人员职责界定不清楚等9V09 人员弱点人员配置不足、人员工作能力不足、人员安全意识不足等10V10 无形资产弱点企业文化僵化、不重视商誉/知识产权保护11V11 流程弱点流程执行力度不足、流程设计不合理、流程执行缺乏监督、流程缺乏定期评审和完善12V12 管理弱点存
11、在管理盲点、缺乏激励机制、考核机制不足13V13 开发弱点未收集安全需求、安全需求不足、软件开发架构设计缺陷等14V14 测试弱点测试人力不足、缺乏专业测试工具、测试用例太少等15V15 其它弱点其它弱点对弱点程度进行赋值,赋值标准如下:赋值等级描述5极高没有任何有效控制措施,或有控制措施但完全没有有效执行,此项弱点在程度和范围上还在进一步扩大,需要花费相当大的资源进行控制措施完善。4高没有形成固定的有效控制措施,只有部分零散的控制措施,对此项弱点的控制措施执行效果不理想,还需要比较大的资源进行控制措施完善。3中已形成比较固定的控制措施,该控制措施在比较大的程度上是有效的,还需要投入一定的资源
12、进行标准化、体系化与规范化。2低已形成比较体系化的控制措施,该控制措施基本上能够有效地执行,需要比较少的资源进行标准化、体系化与规范化。1极低已形成比较体系化的控制措施,该控制措施执行效果比较理想,基本上不需要投入资源进行完善。2.5 风险确定风险是由于某特定的威胁利用一个或一组信息资产技术和管理上的弱点导致信息资产(或业务)损失或者破坏的潜在可能性。评估者通过识别威胁和弱点确定资产的风险,下表为列举常见的风险类别和风险示例:序号风险类型风险示例1R01 物理环境风险火灾、水灾、机房漏水、冰冻等自然灾难,物理建筑结构设计或施工问题导致建筑物易毁损、靠近山体/水库/危险物品等易受到导致建筑物毁损
13、,靠近交通枢纽等易受到群体事件冲击2R02 主机安全风险黑客攻击、硬件故障、操作系统故障、操作系统版本太老、操作系统未升级更新补丁、缺乏统一配置规范、配置错误、配置信息泄露、未启动日志审计、日志审计开启不齐全、日志无审计或无备份、帐户口令外露或丢失等3R03 应用安全风险黑客攻击、应用故障、应用软件运行缓慢或不稳定等4R04 网络安全风险黑客攻击、网络瘫痪、网络震荡等5R05 终端安全风险终端软硬件故障6R06 泄密敏感信息被非授权人员访问、获取或盗取等7R07 篡改或仿造制造假数据、篡改数据、伪造数据等破坏信息完整性的行为8R08 盗窃或丢失盗窃、丢失、抢劫等9R09 违法/违规风险贪污、腐
14、败、老鼠仓等违反法律、监管部门要求的行为10R10 人员风险人员能力不足、人员安全意识不足、人员故意行为、人员误操作或不作为11R11 外包风险缺乏外包策略、重要业务外包、外包服务质量不符合要求等、外包人员传播或外泄项目信息12R12 影响工作效率或质量工作效率下降、工作质量下降等13R13 规范/流程风险缺乏规范或流程、规范或流程执行不力、规范或流程执行缺乏监督、规范或流程设计不合理、规范或流程陈旧等14R14 开发风险安全需求不足、安全需求未经过充分评审、缺乏统一的开发规范、软件开发架构设计不合理等15R15 测试风险测试不充分、测试人员能力不足、缺乏专业的测试工具等16R16 上线/变更
15、风险上线/变更缺乏评审、上线或变更评审不足、上线/变更缺乏回退计划等17R17 社会灾难社会无序、动乱等风险18R18 硬件风险硬件自身固有风险,如:硬件可靠性、老化、性能等造成的主机不可用风险19R19 其它风险其它风险类别2.6 风险计算风险是资产价值、威胁和可能性的函数,即:风险=资产价值*威胁*弱点。根据此公式计算出资产的风险值。2.7 风险可接受标准风险等级可分为高(分数为:65125),,中 (分数为:3264)和低 (分数为:131)三个等级。风险等级决定风险的可接受标准和必要的风险处理行为,仅当风险等级为低的风险才可被接受,下表为风险等级与之对应的必要风险处理行动。等级分数颜色
16、区域可接受标准低131绿色区域可接受的风险等级,落在此区域的风险可不必采取任何纠正预防措施或控制措施。中3264黄色区域待处理的风险等级,落在此区域的风险是否处理需要依据:在限定时间内,企业能提供的资源是否满足处理此风险所需要的资源;或者处理此风险的代价不大于此风险发生后带来的损失。若落在此区域的风险可接受或受资源的限制无法处理,必须要将其提交给管理层批准。高65125红色区域无法接受的风险等级,落在此区域的风险必须要在限定的时间采取措施控制来减轻或降低此区域的风险。3 资产结果识别3.1 资产总和结果汇总本次实施范围内的信息资产共7项,这里所说的资产项和传统意义上的资产数不同,可以根据组织的
17、需求将某一类资产划为一项资产。如:信息资产、硬件资产等。全部信息资产在各部门的分布如下表所示:资产类别项目管理部质量部基金项目组基础产品电信产品线银行合作&BD核心平台行业应用系统部风险合规与安全部技术管理行政教育产品线&保险产品线信息安全部销售中心销售支持产品支持人力行政部市场部运营中心财务部标准管理开放平台总和软件24235242263823393235732103信息2243312251112513434254733118无形资产00000000010000000000001环境设施00000000400000002000006人员233233337323232333331363服务00
18、103010010000001200009硬件25425443467533453937413132总和81414104711141394272091114191319161921811432所有部门信息资产,系统部最多,共有94项,其它部门相对较少,均在20项以内,各部门信息资产所占比例见下图:在软件、信息、无形资产、环境设施、人员、服务、硬件、7类资产中,硬件所占比例比较大,无形资产所占比例少小,具体各类资产所占比例如下图所示:3.2 【项目管理部】资产汇总【项目管理部】全部信息资产共8项。其中软件、信息、无形资产、环境设施、人员、服务、硬件、7类中各项资产数量的数量如下表所示:软件信息无形
19、资产环境设施人员服务硬件总计资产总数220020283.3 【质量部】资产汇总【质量部】全部信息资产共14项。其中软件、信息、无形资产、环境设施、人员、服务、硬件、7类中各项资产数量的数量如下表所示:软件信息无形资产环境设施人员服务硬件总计资产总数4200305143.4 【基金项目组】资产汇总【基金项目组】全部信息资产共14项。其中软件、信息、无形资产、环境设施、人员、服务、硬件、7类中各项资产数量的数量如下表所示:软件信息无形资产环境设施人员服务硬件总计资产总数2400314143.5 【基础产品】资产汇总【基础产品】全部信息资产共10项。其中软件、信息、无形资产、环境设施、人员、服务、硬
20、件、7类中各项资产数量的数量如下表所示:软件信息无形资产环境设施人员服务硬件总计资产总数3300202103.6 【电信产品线】资产汇总【电信产品线】全部信息资产共47项。其中软件、信息、无形资产、环境设施、人员、服务、硬件、7类中各项资产数量的数量如下表所示:软件信息无形资产环境设施人员服务硬件总计资产总数53100335473.7 【银行合作&BD】资产汇总【银行合作&BD】全部信息资产共11项。其中软件、信息、无形资产、环境设施、人员、服务、硬件、7类中各项资产数量的数量如下表所示:软件信息无形资产环境设施人员服务硬件总计资产总数2200304113.8 【核心平台】资产汇总【核心平台】
21、全部信息资产共14项。其中软件、信息、无形资产、环境设施、人员、服务、硬件、7类中各项资产数量的数量如下表所示:软件信息无形资产环境设施人员服务硬件总计资产总数4200314143.9 【行业应用】资产汇总【行业应用】全部信息资产共13项。其中软件、信息、无形资产、环境设施、人员、服务、硬件、7类中各项资产数量的数量如下表所示:软件信息无形资产环境设施人员服务硬件总计资产总数2500303133.10 【系统部】资产汇总【系统部】全部信息资产共94项。其中软件、信息、无形资产、环境设施、人员、服务、硬件、7类中各项资产数量的数量如下表所示:软件信息无形资产环境设施人员服务硬件总计资产总数261
22、1047046943.11 【风险合规与安全部】资产汇总【风险合规与安全部】全部信息资产共27项。其中软件、信息、无形资产、环境设施、人员、服务、硬件、7类中各项资产数量的数量如下表所示:软件信息无形资产环境设施人员服务硬件总计资产总数31210317273.12 【技术管理】资产汇总【技术管理】全部信息资产共20项。其中软件、信息、无形资产、环境设施、人员、服务、硬件、7类中各项资产数量的数量如下表所示:软件信息无形资产环境设施人员服务硬件总计资产总数8500205203.13 【行政教育产品线&保险产品线】资产汇总【行政教育产品线&保险产品线】全部信息资产共9项。其中软件、信息、无形资产、
23、环境设施、人员、服务、硬件、7类中各项资产数量的数量如下表所示:软件信息无形资产环境设施人员服务硬件总计资产总数210030393.14 【信息安全部】资产汇总【信息安全部】全部信息资产共11项。其中软件、信息、无形资产、环境设施、人员、服务、硬件、7类中各项资产数量的数量如下表所示:软件信息无形资产环境设施人员服务硬件总计资产总数3300203113.15 【销售中心】资产汇总【销售中心】全部信息资产共14项。其中软件、信息、无形资产、环境设施、人员、服务、硬件、7类中各项资产数量的数量如下表所示:软件信息无形资产环境设施人员服务硬件总计资产总数3400304143.16 【销售支持】资产汇
24、总【销售支持】全部信息资产共19项。其中软件、信息、无形资产、环境设施、人员、服务、硬件、7类中各项资产数量的数量如下表所示:软件信息无形资产环境设施人员服务硬件总计资产总数9300205193.17 【产品支持】资产汇总【产品支持】全部信息资产共13项。其中软件、信息、无形资产、环境设施、人员、服务、硬件、7类中各项资产数量的数量如下表所示:软件信息无形资产环境设施人员服务硬件总计资产总数3400303133.18 【人力行政部】资产汇总【人力行政部】全部信息资产共19项。其中软件、信息、无形资产、环境设施、人员、服务、硬件、7类中各项资产数量的数量如下表所示:软件信息无形资产环境设施人员服
25、务硬件总计资产总数2202319193.19 【市场部】资产汇总【市场部】全部信息资产共16项。其中软件、信息、无形资产、环境设施、人员、服务、硬件、7类中各项资产数量的数量如下表所示:软件信息无形资产环境设施人员服务硬件总计资产总数3500323163.20 【运营中心】资产汇总【运营中心】全部信息资产共19项。其中软件、信息、无形资产、环境设施、人员、服务、硬件、7类中各项资产数量的数量如下表所示:软件信息无形资产环境设施人员服务硬件总计资产总数5400307193.21 【财务部】资产汇总【财务部】全部信息资产共21项。其中软件、信息、无形资产、环境设施、人员、服务、硬件、7类中各项资产
26、数量的数量如下表所示:软件信息无形资产环境设施人员服务硬件总计资产总数7700304213.22 【标准管理】资产汇总【标准管理】全部信息资产共8项。其中软件、信息、无形资产、环境设施、人员、服务、硬件、7类中各项资产数量的数量如下表所示:软件信息无形资产环境设施人员服务硬件总计资产总数330010183.23 【开放平台】资产汇总【开放平台】全部信息资产共11项。其中软件、信息、无形资产、环境设施、人员、服务、硬件、7类中各项资产数量的数量如下表所示:软件信息无形资产环境设施人员服务硬件总计资产总数2300303114 风险分析结果4.1 全公司风险汇总4.1.1 风险统计结果实施范围内所有
27、信息资产所面临的风险共1221项,所有风险在各部门的数量及所占比例如下面所示:部门状态高风险中风险低风险总计需要处置风险XXX评估阶段00000项目管理部评估阶段020173720质量部评估阶段228265630基金项目组评估阶段031225331基础产品评估阶段025234825电信产品线评估阶段2336510035银行合作&BD评估阶段023285123核心平台评估阶段221466947行业应用评估阶段021194021系统部评估阶段833125341风险合规与安全部评估阶段042458742技术管理评估阶段1485210149行政教育产品线&保险产品线评估阶段016233916信息安全部
28、评估阶段02693526销售中心评估阶段031205131销售支持评估阶段127194728产品支持评估阶段033104333人力行政部评估阶段026154126市场部评估阶段031225331运营中心评估阶段035346935财务部评估阶段242236744标准管理评估阶段010223210开放平台评估阶段124244925合计196265761221669各部门风险所占的比例如下图所示:如上表所示,其中高风险为19项、中风险626项、低风险576项,高中低风险所占比例如下图所示:在所有部门中,信息资产所面临的各类风险数量如下表所示:部门项目管理部质量部基金项目组基础产品电信产品线银行合作&
29、BD核心平台行业应用系统部风险合规与安全部技术管理行政教育产品线&保险产品线信息安全部销售中心销售支持产品支持人力行政部市场部运营中心财务部标准管理开放平台总和R01 物理环境风险00000000900000000000009R02 主机安全风险54570590201922430131165396R03 应用安全风险233203635033033323341459R04 网络安全风险00000000000000000000000R05 终端安全风险234234331433344343331366R06 泄密23363428653139292358572525343030313340402030
30、761R07 篡改或仿造00000000000000000000000R08 盗窃或丢失100010200020101001000211R09 违法/违规风险233203332023232323331351R10 人员风险00000000000000000000000R11 外包风险00000000000000000000000R12 影响工作效率或质量244725532124932324179944134R13 规范/流程风险00000000100000000000001R14 开发风险00000000000000000000000R15 测试风险0000000020000000000000
31、2R16 上线/变更风险00000000000000000000000R17 社会灾难00000000000000000000000R18 硬件风险030060306060002000020028R19 其它风险00000010110000000000003总和375653481005169405387101393551474341536967324912214.1.2 主要风险列表所谓主要风险列表是指高风险和中风险,且是归纳的高中风险。 “”“”“”“”T06 ”V12 R06 “”“”“/”“”T06 ”V12 R03 ”“”“”“/”“”T06 ”V12 R06 “”“”“”“”T04 ”V12 R06 “”“”“”“”T02 V12 R01 “”“”“”“”T13 V12 R06 T07 V14 R15 “T03 V12 R06 “”“”“”“”T02 V06 R01 T07 V14 R15 “”“”“”“
