欢迎来到冰点文库! | 帮助中心 分享价值,成长自我!
冰点文库

热门搜索:

上传文档
冰点文库
上传文档 加入VIP,免费下载
全部分类
  • 临时分类>
  • IT计算机>
  • 经管营销>
  • 医药卫生>
  • 自然科学>
  • 农林牧渔>
  • 人文社科>
  • 工程科技>
  • PPT模板>
  • 求职职场>
  • 解决方案>
  • 总结汇报>
  • 首页
  • 专题
  • 公告
  • 加入VIP,免费下载
    • ImageVerifierCode 换一换
    首页 冰点文库 > 资源分类 > DOC文档下载
    分享到微信 分享到微博 分享到QQ空间

    ISMS风险评估及风险处理计划.doc

    • 资源ID:13523711       资源大小:131KB        全文页数:7页
    • 资源格式: DOC        下载积分:15金币
    快捷下载 游客一键下载
    账号登录下载
    微信登录下载
    三方登录下载: 微信开放平台登录 QQ登录
    二维码
    微信扫一扫登录
    下载资源需要15金币
    邮箱/手机:
    温馨提示:
    快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
    如填写123,账号就是123,密码也是123。
    支付方式: 支付宝    微信支付   
    验证码:   换一换

    加入VIP,免费下载
     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    1、下载资料失败解决办法   
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    ISMS风险评估及风险处理计划.doc

    1、德信诚培训网ISMS风险评估及风险处理计划一、实施范围和时间本公司ISMS所涉及的相关部门以及相关业务活动。本此风险评估的实施时间为XXXX年XX月XX日至XXXX年XX月XX日。二、风险评估方法参照ISO/IEC27001和ISO/IEC27002标准,以及信息安全技术信息安全风险评估规范(GB/T20984-2007)等,依据公司的信息安全风险评估管理程序(版本号: )确定的评估方法。三、风险评估工作组经信息安全领导办公室(或委员会)批准,此次风险评估工作成员如下:评估工作组组长:XXX评估工作组成员:XXXX、XXXX四、风险评估结果4.1信息资产清单各部门的信息资产清单见部门信息资产清

    2、单。4.2重要资产面临威胁和脆弱性汇总重要资面临的威胁和脆弱性分别见附件一和附件二。4.3风险结果统计本次风险评估,共识别出信息安全风险XX个,不可接受的风险XX个,具体如下:风险等级种类个数说明很高不可接受风险高中等低可接受风险很低五、风险处理计划风险处理计划见附件三附件一:重要资产面临的威胁汇总表表1-1:重要硬件资产威胁识别表重要资产威胁识别表硬件资产资产名称资产描述威胁类部门台式机网关/SVN服务器Bugzilla/FTP/Web服务器Trac服务器操作失误滥用权限系统漏洞攻击设备硬件故障社会工程威胁维护错误未授权访问系统资源物理访问失控电磁干扰系统负载过载机架式服务器Mail服务器操

    3、作失误滥用权限系统漏洞攻击设备硬件故障社会工程威胁维护错误未授权访问系统资源物理访问失控电磁干扰系统负载过载笔记本电脑木马后门攻击设备硬件故障网络病毒传播未授权访问系统资源社会工程威胁台式机木马后门攻击设备硬件故障网络病毒传播未授权访问系统资源社会工程威胁表1-2 重要应用系统资产威胁识别表重要资产威胁识别表应用系统序号资产名称威胁类部门1SVN业务系统篡改用户或业务数据信息控制和破坏用户或业务数据滥用权限泄漏秘密信息数据篡改探测窃密未授权访问未授权访问系统资源用户或业务数据的窃取2Iptables防火墙系统操作失误访问控制策略管理不当维护错误未授权访问资源原发抵赖表1-3 重要文档和数据资产

    4、威胁识别表重要资产威胁识别表文档和数据序号资产名称威胁类部门1DVB-J项目开发资料滥用权限开发部未授权访问资源2DVB-J项目开发文件滥用权限开发部未授权访问资源3总务相关资料滥用权限总务部未授权访问资源表1-4 重要人力资源资产威胁识别表重要资产威胁识别表人力资源序号资产名称威胁类部门1机房管理员社会工程威胁2服务器管理员社会工程威胁3社会工程威胁附件二:重要资产面临的脆弱性汇总表表 2-1 重要资产脆弱性汇总表序号资产名称脆弱性名称1台式机(Bugzilla/FTP/Web服务器)台式机(网关/SVN服务器)台式机(Trac服务器)安装与维护缺乏管理操作系统补丁未及时安装操作系统存在弱口

    5、令操作系统的口令策略没有启用操作系统的帐户锁定策略没有启用操作系统开放多余服务缺少电磁防护物理访问控制欠缺设备性能不足2机架式服务器(Mail服务器)安装与维护缺乏管理操作系统补丁未及时安装操作系统存在弱口令操作系统的口令策略没有启用操作系统的帐户锁定策略没有启用操作系统开放多余服务缺少电磁防护物理访问控制欠缺3笔记本电脑笔记本电脑操作系统补丁未安装操作系统开放多余服务操作系统存在弱口令操作系统的口令策略没有启用病毒码无法自动更新操作系统的帐户锁定策略没有启用4台式机操作系统补丁未安装病毒码无法自动更新操作系统开放多余服务5SVN业务系统未设置用户登录失败门限与超过门限后的处理措施无法保证用户

    6、使用的口令达到一定的质量要求无法检测存储的重要信息、数据是否出现完整性错误重要信息、数据无加密措施,以明文传输6Iptables防火墙系统安全保障设备的其它配置不当安装与维护缺乏管理缺少操作规程和职责管理未启用日志功能7DVB-J项目开发资料没有访问控制策略或未实施信息资产没有清晰的分类标志8DVB-J项目开发文件没有访问控制策略或未实施信息资产没有清晰的分类标志9总务相关资料没有访问控制策略或未实施信息资产没有清晰的分类标志10机房管理员没有适当的奖惩规则没有正式的保密协议11服务器管理员没有适当的奖惩规则没有正式的保密协议12总务经理没有适当的奖惩规则没有正式的保密协议附件三:风险处理计划

    7、根据本次风险评估结果,对不可接受的风险进行处理。在选取控制措施和方法时,结合公司的财力、物力和资产的重要度等各种因素,制定如下风险处理计划。该计划已经信息安全领导办公室审核批准。风险处理计划序号资产名称风险风险处理选项风险处理措施责任人计划完成时间1台式机(网关/SVN服务器)台式机(Bugzilla/FTP/Web服务器)机架式服务器(Mail服务器)操作系统补丁未及时安装降低实施定期升级补丁物理访问控制欠缺安装机房门禁系统2台式机(Trac服务器)设备性能不足重新分配台式机的服务器功能; 优化系统配置操作系统补丁未及时安装实施定期升级补丁物理访问控制欠缺机械锁安装机房门禁系统3笔记本电脑(XXX)笔记本电脑(XXX)台式机(XXX)病毒码无法自动更新升级系统防毒软件更多免费资料下载请进:好好学习社区


    注意事项

    本文(ISMS风险评估及风险处理计划.doc)为本站会员主动上传,冰点文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰点文库(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    copyright@ 2008-2023 冰点文库 网站版权所有

    经营许可证编号:鄂ICP备19020893号-2


    收起
    在线客服
    意见反馈
    返回顶部
    展开
    QQ交谈
    返回顶部