风险评估报告由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“风险评估报告用”。
风险评估过程主要包括:“数据采集、安全评测、安全分析、报告处理”
一、数据采集方法有:问卷调查、人员访谈、漏洞扫描、渗透性测试等
1、问卷调查:下图是微软的Microsoft Security Aement Tool一款风险评估应用程序,目的是提供一些与信息技术(IT)基础架构中的安全最佳经验有关的信息和建议。此应用程序是专为拥有 50 到 500 台台式机和(或)100 到 1,000 名员工的组织设计的。它首先采集一些信息(已问卷调查的形式),如下图所示。通过填写一些配置信息(图左上),然后通过它的一套算法最后生成一个报告。
产生的分析报表:
2、人员访谈也可以以调查问卷的形式作为系统参数的输入配置
3、漏洞扫描、渗透性测试等数据可以通过漏洞扫描器等检测工具获得,输入本系统
二、安全评测、安全分析、报告处理等都属于本系统的功能,并采用前面数据采集得到的数据
目前常见的自动化风险评估工具还包括:
CORA —— CORA(Cost-of-Risk Analysis)是由国际安全技术公司(International Security Technology, Inc.。
术语简称:
可以用微软的那种方式采集得到,下面简称micro-style
下面是我们产生的评估报告大体的初步的框架
风险评估报告
1.1工程项目概况(micro-style)1.1.1建设项目基本信息 1.1.2建设单位基本信息
一、风险评估项目概述
二、风险评估的目标
三、风险评估的依据(技术标准及相关法规文件)
四、风险评估的范围(评估对象)
3.1评估对象构成及定级
3.1.1网络结构(micro-style)3.2.2业务应用(micro-style)
3.3.3子系统构成及定级(在3.1.1和3.2.2基础上根据国家标准对该系统安全等级定级,不同的等级采用不同的安全评估方法,最后采取的措施也不一样)3.2评估对象等级保护措施(已采取的安全措施)(micro-style)
五、风险评估的内容
3.1资产识别(对组织有价值的信息或资源)
3.1.1资产种类(micro-style)
3.1.1.1数据(保存在信息媒介上的各种数据资料)
3.1.1.2软件(系统软件、应用软件、源程序)3.1.1.3硬件(网络设备、计算机设备、存储设备、安全设备、其他)
3.1.1.4服务(信息服务、网络服务、办公服务)3.1.1.5人员(掌握重要信息和核心业务的人员)3.1.1.6其它
3.1.2资产赋值(最终得到一个资产赋值列表)通过一定的算法
3.1.2.1资产完整性赋值 3.1.2.2资产可用性赋值 3.1.2.3资产保密性赋值
3.1.3关键资产说明(得出关键资产列表)3.2威胁识别
3.2.1威胁来源(micro-style)
3.2.1.1环境因素(环境危害或自然灾害、软硬件通信线路方面的故障等)
3.2.1.2人为因素(恶意人员、非恶意人员)
3.2.3威胁源描述与分析
3.2.3.1威胁源分析(软硬件故障、物理环境影
响、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改抵赖)(威胁源分析表)(micro-style)
3.2.3.2威胁行为分析(威胁行为分析表)
3.2.2威胁赋值(通过一定的算法)3.3脆弱性识别
3.3.1技术脆弱性(漏洞扫描器、渗透性工具等得到的数据->micro-style)
3.3.1.1物理环境的脆弱性 3.3.1.2网络结构 3.3.1.3系统软件 3.3.1.4应用中间件 3.3.1.5应用系统
3.3.2管理脆弱性(micro-style)3.3.2.1技术管理 3.3.2.2组织管理 3.3.3脆弱性赋值
六、风险分析
4.1风险评估模型(通过不同的风险评估模型得到的系统安全等级是不一样的)
4.2风险结果判断(等级评定,采用中国标准)
七、风险导致的可能事件(可以涵盖在威胁、脆弱性章节中)
八、风险补救措施(处理计划,依据是中国国家标准)
九、附录
统计图表等信息(柱形图等)
本系统采用典型的基于知识的分析方法和定量、定性分析方法
图表生成、趋势分析„„ 简单报告的生成 详细报告的生成
风险评估报告根据财政部《行政事业单位内部控制报告管理制度(试行)》和单位《内部控制管理制度》有关规定,开展了对单位各部门的风险评估活动,现将结果报告如下:一、风险评估活动......
安徽省阜阳市颍州区鼓楼街道前进社区 综合灾害风险评估分析报告按照2012年《全国创建防灾减灾示范社区标准》的具体要求,根据社区综合灾害风险隐患排查和评估程序,对社区综合......
风险评估报告针对前期调研报告,启动市场有如下风险:一、前期投入的风险费用预算,包括基础设施建设(房租,设备,人员储备),针对租房和设备,等前期调研结束确定启动该项目方案的时候,再另......
关于马鞍山至天津市道路交通安全评估报告市运管局客运科:马鞍山市华东旅游客运有限公司,申请发一趟目的地为厦门市的包车业务,包车单位为厦门春山秋水国际旅行社。由于这段时间......
刀豆文库小编为你整合推荐7篇风险评估报告,也许这些就是您需要的文章,但愿刀豆文库能带给您一些学习、工作上的帮助。......
