已识别安全措施模板.docx
上海观安信息技术股份有限公司己识别的安全措施模板TSC-RA-4-07本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属上海观安信息技术股份有限公司和客户公司所有,受到有关产权及版权法保护。任何个人、机构未经上海观安信息技术股份有限公司和客户公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。修订历史记录版本号拟制人/修改人拟制/修改日期审批人更改原因主要更改内容(写要点即可)VLO陈芳2019-10-26李俊定稿目录第1章已有安全措施确认(XX企业安全控制现状总结及分析)41.1 访谈汇总41.2 文档审核汇总分析41.3 XX企业现场观察41.4 调查问卷的统计51.5 总体分析评价51.5.1 XX个安全控制域分析61.5.2 XX个控制目标分析81.5.3 XXX个控制措施的分析81.6 安全政策91.6.1 评估结果汇总及分析91.6.2 现状评价101.6.3 安全控制较好方面101.6.4 存在的弱点和威胁10第1章已有安全措施确认(XX企业安全控制现状总结及分析)根据安全控制评估的工作方法,评估主要依据对访谈结果的分析,辅以相关文档、现场观察的审核,对XX企业进行安全控制差距评价。1.1 访谈汇总在安全控制评估中,现场访谈是一个主要的环节,通过设计的访谈问卷,及专家顾问的实际经验,引导被访者真实地反映出目前XX企业安全现状。针对不同的访谈内容,和XX企业不同部门、不同职责的相关人员及管理层进行了全面、深入的交流,访谈范围主要包括:XX企业相关部门。访谈对象的选择主要以XX企业的各部门管理人员为主,信息技术部门为重点,辅以其他项目的关键成员。访谈内容涉及ISOl7799的11个安全控制域,共对XX企业高层领导XX人次。1.2 文档审核汇总分析为了验证访谈结果的真实性,减少访谈结果的误差。对XX企业安全控制方面的策略文档进行了收集、整理,并对部分重要文档进行了的审阅。审阅的内容包括文档的内容、策略文档的体系和策略文档的更新维护。总结如下:1. XX企业的安全制度及规范相对较全面,但在全公司的安全政策上还缺乏明确定义。需要在安全制度需要进一步完善,制度体系方面要加强梳理及宣导。2. XX企业的文档需要增加相关的版本说明及变更控制并对相关文档进行定期更新。本次对XX企业制度文档进行收集,并按IT安全关联程度进行筛选,分别对XX企业制度文档XX篇,分公司制度文档XX篇进行了重点审阅,对其他文档进行阅读。1.3 XX企业现场观察安全控制评估中不仅包括访谈和相关文档的审核,现场观察也是其中比较重要部分,一方面通过现场观察可以进一步的验证评估结论的准确性,另一方面可以发现安全控制其他薄弱环节,是对访谈的有效补充。本次现场观察主要针对XX企业总部及XX家典型分公司进行。主要观察的区域包括:总部及典型分公司机房,总部办公区域。内容包括:物理设施的安全状况,办公人员的电脑桌面管理习惯、安全意识以及第三方人员的访问控制等方面。通过和国内外的最佳实践的比较,总结如下:1 .重点区域(如机房)物理安全设备较齐全,控制措施较好。但有部分机房电力冗余设备缺乏,电缆和网络线缆没有明显分开,且多数电缆没有进行有效的整理,及标记。2 .网路机房的线缆部署不符合布线标准,特别是光纤部署比较混乱,容易造成人为事故。3 .人员暂离办公场所时,没有对使用之电脑及时进行锁屏的习惯,安全意识较薄弱。4 .对第三方人员电脑进入公司网络缺乏安全准入检查,没有相应的访问控制措施。1.4 调查问卷的统计根据评估方法要求,本次安全控制评估还对XX企业XX家寿险和XX家产险分公司进行了网上普查,普查对象为每家分公司IT部门经理,IT技术员,业务部门经理,业务员工等XX人。调查问卷设计了21个问题,其中包括涉及IS017799的19个选择题,涉及期望和改善的2个问答题。共发问卷69*4=276份,实收到有效答卷276份,回收率100%。由于是网上普查,每家分公司结果和真实情况存在一定的偏差,因此本次统计采用求平均的方法来平衡这些差距,尽可能较真实反映现状。1.5 总体分析评价根据本次采用的ISOl7799方法论,对安全控制评估主要分XX个层次,依次为:XX个控制域,XX个控制目标,XX个控制点。因此依次对XX企业的三个层次进行了总结分析。考虑到收集数据的准确性,对XX企业的总体分析以现场评估为主要依据,分公司网上调查作为参考。通过安全控制评估方法,XX企业目前的安全控制总体评价是:XX企业的IT安全控制水平处于中等水平,其中在安全政策、组织信息安全、资产分类管理方面和1S017799的控制目标差距较大,处于较差水平;人力资源安全、访问控制、信息系统获得、开发和维护、业务连续性管理、法律和政策符合性等方面差距一般,处于中等水平;物理环境安全、通信与操作管理、安全事件管理方面差距较小,处于较好水平。表格1:XX企业安全控制评价表安全政策组织信息安全人力资源安全资产管理物理和环境安全访问控制通讯及操作管理信息系统获得、开发和维护业务连续性管理信息安全事件管理法律和政策符合性口较差口中等口较好1.5.1 XX个安全控制域分析对XX个安全控制域评估具体的分析方法是:在每个安全控制方面,设计了若干问题,每个问题提供了四种选择答案:完全符合、基本符合、部分符合、不符合。分别对XX企业相应人员进行访谈,逐一解释问题的含义,被访者给出与该问题的一些事实情况,然后由XX记录。同时还将根据目前XX企业的相关文档分析、现场观察分析,得出相关问题的答案,并依据对答案的量化分析得出X×企业安全控制现状的水平。根据XX设计的量化分析模型:完全符合的权值为10,基本符合的权值为20,部分符合权值为30,不符合的权值为40。安全控制值=(完全符合乂10+基本符合乂20+部分符合*30+不符合*40)/100安全控制评价级别:好(0-19.9)较好(20-24.9)中等(25-29.9)较差(30-34.9)差(>=35)根据对XX企业相关答案得统计、分析,得出XX企业在IS017799各个部分分值和IS017799最佳实践的对比:其中IS017799标准为10分,处于中心区域,和其距离越近,说明安全控制越好,反之越差。表格2:XX企业安全控制现状分析表安全域评价现状分析加强措施安全政策;组织信息安全;资产管理方面较差安全政策、制度上缺乏系统,组织上无相应保证,意识上认识不够,执行上缺少监督加快相关制度、组织建设,加强各种策略、制度的培训及宣导人力资源安全;访问控制;信息系统获得、开发和维护;业务连续性管理;法律和政策符合性中等制度上不完善,执行效果上不够好,缺乏必要的检查,缺乏相应制度的更新、改进上加快完善各种制度及标准,建立必要的检查监督机制物理和环境安全;通信与操作管理;信息较好制度上较健全,执行效果较好,检查及审加强信息安全检查、审计等技术手段,建安全事件管理方面计上不全面专业,制度更新、改进方面不及时立合理的更新、改进机制1.5.2 XX个控制目标分析通过对以上XX个控制域的分析,可以总体反映XX企业的安全控制水平及存在的主要问题。XX个控制目标的比例图也基本可以反映XX企业在XX个控制域的结果。从图表显示×X企业在控制目标方面多数集中在基本符合(50-70%符合度)和部分符合(30-50%符合度)区间里,反映出XX企业在大多数的安全控制目标做了一部分工作,但还有许多方面急需加1.5.3 XXX个控制措施的分析从XXX个控制措施的比例图表显示,控制措施的完全符合度和基本符合度要明显高于XX个控制目标的比例,之间存在着一定的差距。这反映出XX企业目前是为了控制目标制定了一些控制措施,但从控制目标图中没有相对应的比例显示,因此推断出XX企业的控制措施较多,但效果不理想,在执行上出现了某些问题,需要引起XX企业的注意。并在今后制度的可行性,有效的检查、审计机制,合理的奖惩机制上加以改进及完善。(具体数据见附录四)图表6:XX企业XX个控制措施符合度图1.6 安全政策安全政策目标:关于制定和推行的信息安全政策,管理层应制定的一个明确的安全政策方向,并通过在整个组织中发布和维护的信息安全政策,表明自己对信息安全的支持和保护责任。同时需要让公司员工充分了解并遵循这些安全政策。1.6.1评估结果汇总及分析安全政策符合度30. 00%0. 00%50. 00%合合合 符符符合 全本分符 完基部不图表7:安全政策符合度1.6.2现状评价通过对XX企业在安全政策方面的现状评估,得出结果如下:表格3:×x企业安全政策评价序号控制域完全符合基本符合部分符合不符合总计1安全政策O安全控制值0%现状评价1. 6.3安全控制较好方面根据评估结果显示,XX企业在安全政策方面总体偏差,控制好的主要体现在以下几方面:1 .安全政策的实施和推行已经得到管理层的高度重视和大力的支持。2 .目前XX企业的各项安全规章制度较全,有较好的制度基础。1.6.4存在的弱点和威胁表格4:安全政策弱点、威胁列表弱点弱点赋值威胁威胁赋值影响描述XX企业的安全政策和规章制度不够清晰和完整。3无恶意内部人员、恶意内部人员、第三方人员3缺乏完整的信息安全体系,容易引起责任不明确,无章可循或无法操作。)XX企业的安全政策或规章制度发布了,但是大多数员工都不清楚这3无恶意内部人员、第三方人员3安全政策的实施和推行困难些策略,执行力度不够。没有经常对已公布的安全管理策略或规章进行回顾,检查和发现其中不合适的地方。2无恶意内部人员、第三方人员2造成安全管理策略的部分失效或过期维护信息系统的安全是每个员工的责任,××企业对此没有作明确清晰的明文规定,大部分员工不是非常清楚。2无恶意内部人员、恶意内部人员、第三方人员3由于部分员工没有认识到安全的重要性,而提升组织内部潜在的安全隐患没有建立和执行各类人员的管理、考核和监督制度。2无恶意内部人员、恶意内部人员、第三方人员2组织内部没有对各类人员进行定期的监督和考核,无法提高员工工作积极性)
