風險評估工具

風險評估工具公司內(nèi)部編號：（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-**網(wǎng)安資產(chǎn)識別工具工作內(nèi)容：1．識別信息資產(chǎn)，進行合理分類2．確定每類信息資產(chǎn)的安全需求3．為每類信息資產(chǎn)的重要性賦值評估日志：單位名稱：資產(chǎn)識別負責人：評估人：評估日期/時間：信息資產(chǎn)賦值定義：資產(chǎn)賦值經(jīng)綜合考慮后的財務價值對于業(yè)務的重要性級別11?100元12101?1,000元231,001?10,000元3410,001?100,000元45100,001?1,000,000元561,000,001?10,000,000元6710,000,001?100,000,000元78100,000,001?1,000,000,000元81,000,000,001?10,000,000,0009元910,000,000,001?100,000,000,00010元10資產(chǎn)識別登記表資產(chǎn)識別記錄表

項目名稱或編號表格付號資產(chǎn)識別活動信息日期起止時間訪談者訪談對象及說明地點說明記錄信息所屬業(yè)務業(yè)務編號所屬類別類別編號資產(chǎn)名稱資產(chǎn)編號IP地址物理位置功能描述機密性要求完整性要求可用性要求重要程度安全控制措施負責人備注資產(chǎn)識別記錄表項目名稱或編號表格付號資產(chǎn)識別活動信息日期起止時間訪談者訪談對象及說明地點說明記錄信息所屬業(yè)務業(yè)務編號所屬類別類別編號資產(chǎn)名稱資產(chǎn)編號IP地址物理位置功能描述機密性要求完整性要求可用性要求重要程度安全控制措施負責人備注**網(wǎng)安威脅識別工具

工作內(nèi)容：1．威脅識別；2．威脅分類；3．威脅賦值；4．構建威脅場景評估日志：單位名稱：資產(chǎn)識別負責人：評估人：評估日期/時間：威脅來源值定義：威脅來源危險性級別描述威脅來源值威脅源事例動機低風險：低攻擊動機，低攻擊能力1缺乏培訓的內(nèi)部員工無意錯誤、編程錯誤和數(shù)據(jù)錄入錯誤等中低風險：低攻擊動機，咼攻擊能力2外部黑客挑戰(zhàn)性、虛榮心或游戲的心理中等風險：咼攻擊動機，低攻擊能力3內(nèi)部黑客好奇或財務問題等咼風險：咼攻擊動機，咼攻擊能力4惡意攻擊者破壞信息、金錢驅動等極咼風險：極咼攻擊動機，咼攻擊能力5恐怖分子報復等威脅影響程度賦值定義影響程度值定義

1單個工作小組或部門受到影響，對企業(yè)經(jīng)營過程沒有或有非常輕微的影響2一個或更多的部門受到影響，對完成工作任務有輕微的延遲3兩個或更多的部門或一個業(yè)務單元受到影響，對完成工作任務有4到6個小時的延遲4兩個或更多的業(yè)務單元受到影響，對完成工作任務有1到2天的延遲5企業(yè)的整個工作任務受到影響。計算公式識別：t=+T=叫遼=()]/+.}威脅來源值Ts影響程度值Ti綜合威脅值t威脅統(tǒng)計記錄工具威脅統(tǒng)計表資產(chǎn)編號資產(chǎn)名稱(在此填入資產(chǎn)名稱)威脅編威脅類威脅子威脅名威脅來源影響程度綜合威脅號別類稱值Ts值Ti值t自然威1脅

火災溫度過熱地震臺風灰塵2環(huán)境威脅技術故障斷電硬件故障數(shù)據(jù)存儲介質失效化學物質泄露漏水3人為威脅管理缺陷對使用沒有進

行授權管理對資源使用沒有進行控制對筆記本電腦用戶的改變沒有進行管理人為錯誤因工作疏忽而損壞設備和數(shù)據(jù)違反安全管理

規(guī)早制度清潔工人和第三方職員導致的損害對信息系統(tǒng)的不恰當使用故意行為對設備或附件的破壞對數(shù)據(jù)或軟件的篡改偷竊未授權

的使用計算機病毒計算機蠕蟲木馬程序小計匯總結果值威脅人員訪談記錄工具威脅人員訪談記錄表項目名稱或編號表格編號訪談活動信息日期起止時間訪談者訪談對象及說明地點說明記錄信息受損資產(chǎn)資產(chǎn)描述和類別現(xiàn)象描述威脅主體威脅來源

方式和途徑結果和影響技術脆弱性缺失或薄弱的控制措施后續(xù)的補救措施備注威脅工具檢測記錄工具威脅工具檢測記錄項目名稱或編號表格編號檢測活動信息日期起止時間檢測者配合人員檢測方式位置說明記錄信息受損資產(chǎn)資產(chǎn)描述和類別現(xiàn)象描述威脅主體威脅來源方式和途徑

結果和影響技術脆弱性缺失或薄弱的控制措施建議的補救措施原始數(shù)據(jù)備注潛在威脅分析記錄工具潛在威脅分析記錄表項目名稱或編號表格編號分析活動信息起止日期起止時間分析人員輔助人員分析結果記錄受損資產(chǎn)資產(chǎn)描述和類別現(xiàn)象描述威脅主體威脅來源方式和途徑潛在結果

潛在影響技術脆弱性缺失或薄弱的控制措施外部數(shù)據(jù)建議的補救措施備注**網(wǎng)安脆弱性識別工具工作內(nèi)容：1．脆弱性識別；2．識別結果整理與展示3．脆弱性賦值；評估日志：單位名稱：資產(chǎn)識別負責人：評估人：評估日期/時間：脆弱性分類表:類型識別對象識別內(nèi)容技術脆弱性物理環(huán)境從機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護、通信線路的防護、機房區(qū)域防護、機房設備管理等方面進行識別網(wǎng)絡結構從網(wǎng)絡結構設計、邊界保護、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡設備安全配置等方面進行識別

系統(tǒng)軟件（含操作系統(tǒng)及系統(tǒng)服務）從補丁安裝、物理保護、用戶賬號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置（初始化）、注冊表加固、網(wǎng)絡安全、系統(tǒng)管理等方面進行識別數(shù)據(jù)庫軟件從補丁安裝、鑒別機制、口令機制、訪問控制、網(wǎng)絡和服務設置、備份恢復機制、審計機制等方面進行識別應用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進行識別應用系統(tǒng)從審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機制、密碼保護等方面進行識別管理脆弱性技術管理從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務連續(xù)性等方面進行識別組織管理從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進行識別脆弱性分級定義：脆弱性值定義3脆弱性嚴重程度高，需要立即整改或加固脆弱性嚴重程度中，需要予以高度重視，并在一定時間內(nèi)2進行整改或加固脆弱性嚴重程度低，需要予以關注，并在適當時候加以整1改和加固脆弱性評分標準：基本度量值計算公式和相關參數(shù)

訪問向量本地遠程訪問復雜性高低鑒權需要不需要機密性影響無0部分全部機密性影響權重值正常機密性致性可用性致性影響無0部分全部致性影響權重值正常機密性致性可用性

可用性影響無0部分全部可用性影響權重值正常機密性致性可用性基本度量值Round_to_l_dec