信息系统资产评估报告实例.docx
- 文档编号:12504873
- 上传时间:2023-04-19
- 格式:DOCX
- 页数:46
- 大小:39.44KB
信息系统资产评估报告实例.docx
《信息系统资产评估报告实例.docx》由会员分享,可在线阅读,更多相关《信息系统资产评估报告实例.docx(46页珍藏版)》请在冰豆网上搜索。
信息系统资产评估报告实例
密级:
内部
文档编号:
2007002-005
项目编号:
2007002
XX市地税局信息系统
资产评估报告
1概述
根据《XX省人民政府信息化工作办公室关于印发<信息安全风险评估试点工作实施方案>的通知》文件精神,XX省信息安全测评中心承担了XX市地税局“征管信息系统”的风险评估工作。
我中心以建立符合我省情况的风险评估方法、积累风险评估工作经验、培养队伍、协助XX市地税局更深入地了解其信息系统安全现状为目标,通过文档分析、现场访谈、问卷调查、技术评估等方法,对XX市地税局“征管信息系统”进行了全面的信息安全风险评估。
在整个风险评估项目过程中,资产调查是其首要工作。
资产调查过程主要包括资产识别和资产赋值。
一方面,项目组根据资产识别的情况设计出XX市地税局保护对象框架,并在此基础上进行安全体系设计;另一方面,项目组将资产赋值结果用于风险计算,以便准确地表达安全调查的结果。
2信息资产分类和识别
2.1信息资产调查的过程
在本项目中,项目组首先定制了资产调查表,通过访谈方式,对安全管理人员、网络管理人员、主机系统管理人员、应用开发和维护人员等进行了访谈。
逐步地识别XX市地税局信息资产并收集其信息。
随后,项目组通过对信息中心进行扫描,从第二条渠道获得了可扫描系统的系统信息,包括服务器主机、可网管的网络设备、数据库系统和PC机。
通过将上述访谈和扫描的结果进行人工对比,合并和除错,项目组获得所有必要的资产信息。
最后,项目组对所有已识别的资产进行赋值,并编制本报告。
2.2调查范围及方法
资料分类
技术参考点
输出成果
评估范围
评估方式
涉及地税人员
评估人员
硬件资产
主机设备
硬件资产调查表
11台主机
调查访谈、实际核查
赵白、梁志
网络设备
3台设备
调查访谈、实际核查
王维、梁立新、朱宁宁
安全设备
1台设备
调查访谈、实际核查
赵白、梁志
存储设备
1台设备
调查访谈、实际核查
陈修杰、梁立新、朱宁宁
保障设备
6种保障设备
调查访谈、实际核查
赵白、梁志
通讯线路
140条线路
调查访谈、实际核查
陈修杰、梁立新、朱宁宁
软件资产
系统软件
软件资产调查表
11套主机系统
调查访谈、实际核查
赵白、串广义
应用软件
4套应用系统
调查访谈、实际核查
梁志、梁立新、朱宁宁
人员资产
中心人员
人员资产调查表
9人
调查访谈、文档检查
赵白、串广义
数据资产
信息数据
数据资产调查表
征管系统数据
调查访谈、实际核查
赵白、梁立新、朱宁宁
文档资产
资料文档
文档资料调查表
224个相关文档
调查访谈、实际核查
梁立新、朱宁宁
2.3信息资料识别
XX市地税局的信息资产是指在XX市地税局信息系统范围内,具有价值并需要保护的对象。
它可能是以多种形式存在,有无形的、有有形的,有硬件、有软件,有数据,也有服务等。
它们分别具有不同的价值属性和存在特点,存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。
参照国家最新《信息安全风险评估规范》对信息资产的描述和定义,并结合XX市地税局的基本情况,我们将XX市地税局的信息资产分为5类,分别为:
硬件资产、软件资产、数据资产、人员资产、文档资产,以下为本次调查的结果。
2.3.1硬件资产
国家《信息安全风险评估规范》把硬件资产分为以下7大类:
1.网络设备:
路由器、网关、交换机等;
2.计算机设备:
大型机、小型机、服务器、工作站、台式计算机、便携计算机等;
3.存储设备:
磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等;
4.传输线路:
光纤、双绞线等;
5.保障设备:
动力保障设备(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等;
6.安全保障设备:
防火墙、入侵检测系统、身份鉴别等;
7.其他:
打印机、复印机、扫描仪、传真机等。
根据XX市地税局实际情况并结合《信息安全风险评估规范》,我们把XX市地税局的硬件资产分为以下6大类进行分别的调查识别:
1.主机设备:
大型机、小型机、服务器、工作站、台式计算机、便携计算机等;
2.网络设备:
路由器、网关、交换机等;
3.安全设备:
和信息安全相关的设备;
4.存储设备:
磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等;
5.传输线路:
光纤、双绞线等;
6.保障设备:
动力保障设备(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等。
2.3.1.1主机设备
序号
设备名称
硬件型号
硬件配置
IP地址
操作系统
用途说明
1
SJZ_NODE1
IBMRS6000
RS64III750MHZ*48*512MB*218.2GB*2
XX.20.225.1
AIX
征管业务系统数据库
2
SJZ_NODE2
IBMRS6000
RS64III750MHZ*48*512MB*218.2GB*3
XX.20.225.3
AIX
征管业务系统数据库
3
ZG-APP1
IBMx440
XEON2.4G*24GB36.4GB*2
XX.20.225.19
Win2000SRV
征管业务系统应用
4
SJAPP2
IBMx440
XEON2.4G*24GB36.4GB*2
XX.20.225.21
Win2000SRV
征管业务系统应用
5
SJAPP3
IBMx440
XEON2.4G*24GB36.4GB*2
XX.20.225.23
Win2000SRV
征管业务系统应用
6
SJAPP4
IBMx440
XEON2.4G*24GB36.4GB*2
XX.20.225.25
Win2000SRV
征管业务系统应用
7
sjdc1
IBMx440
XEON2.4G*24GB36.4GB*2
XX.20.225.10
Win2000SRV
DC主域控制器
8
sjdc2
IBMx440
XEON2.4G*24GB36.4GB*2
XX.20.225.11
Win2000SRV
DC主域控制器
9
IBMx366
XEON2.8G*44GB72GB*3
XX.20.225.71
Win2000SRV
税收管理员应用
10
sjz-oa-web
HPD360
XEON3.0G*22GB72GB*2
XX.20.224.10(11)
Win2000SRV
www服务器
11
sjzds-odps
HPD360
XEON3.0G*22GB72GB*2
XX.20.224.19(9)
Win2000SRV
公文流转服务器/瑞星杀毒服务器
12
HPD360
XEON3.0G*22GB72GB*2
XX.168.10.2
Win2000SRV
互联网服务器
2.3.1.2网络设备
序号
设备名称
IP地址
硬件型号
出产厂商
用途
安装日期
1
sj7513
XX.20.231.254
Cisco7513
思科
核心路由器
2003年5月
2
sj4506
XX.20.231.1
Cisco4506
思科
核心交换机
2003年5月
3
f5
XX.20.225.18
f5
f5
负载均衡器
2005年9月
2.3.1.3安全设备
序号
设备名称
设备形态
IP地址
出产厂商
品牌
用途
1
IPS
硬件
XX.20.225.251
绿盟
冰之眼
IPS
2.3.1.4存储设备
序号
设备名称
IP地址
硬件型号
出产
厂商
品牌
操作系统
用途
1
sjnas
XX.20.225.16
5194-226
IBM
nas200
Windows2000Srv
磁盘阵列
2.3.1.5保障设备
序号
设备名称
物理地址
硬件型号
出产厂商
品牌
用途
1
UPS
机房
UL33-0600L
Emersonnetworkpower
EMERSON
停电时供机房所有设备电源
2
空调
机房
S23DW001
HIROSS
HIROSS
机房制冷设备
3
防雷
配电柜
VAL-MS
Phcenix
PHCENIX
机房防雷设备
4
视频监控器
机房
ARES
机房视频监控
5
动力、环境监测
机房
机房电力、防水监控
6
气体消防系统
机房
LD-KP06
海湾安全技术有限公司
GST
机房自动消防系统
2.3.1.6通讯线路
用户名称
线路供应商
端口速率
单位
责任人
市局
网通
2M*115
各税务所
各单位
网通
8M*25
各县(市)区局
各单位
2.3.2软件资产
国家《信息安全风险评估规范》把软件资产分为以下3大类:
1.系统软件:
操作系统、语句包、工具软件、各种库等;
2.应用软件:
外部购买的应用软件,外包开发的应用软件等;
3.源程序:
各种共享源代码、自行或合作开发的各种代码等。
根据XX市地税局实际情况并结合《信息安全风险评估规范》,我们把XX市地税局的软件资产分为以下2大类进行分别的调查识别:
1.系统软件:
操作系统、语句包、工具软件、各种库等;
2.应用软件:
外部购买的应用软件,外包开发的应用软件等。
2.3.2.1系统软件
序号
系统名称
版本号
对应主机资产
应用服务
出产厂商
软件服务期限
1
windows
2000server
XX.20.225.19
tcp/ip8020809080
Microsoft
是
2
windows
2000server
XX.20.225.21
tcp/ip8020809080
Microsoft
是
3
windows
2000server
XX.20.225.23
tcp/ip8020809080
Microsoft
是
4
windows
2000server
XX.20.225.25
tcp/ip8020809080
Microsoft
是
5
windows
2000server
XX.20.225.10
tcp/ip
Microsoft
是
6
windows
2000server
XX.20.225.11
tcp/ip
Microsoft
是
7
windows
2000server
XX.20.225.14
tcp/ip1102580
Microsoft
是
8
AIX
4.3.3
XX.20.225.1
tcp/ip
Ibm
是
9
AIX
4.3.3
XX.20.225.3
tcp/ip
Ibm
是
10
Oracle
9.2.0.1
XX.20.225.1
tcp/ip1521
甲骨文
是
11
Oracle
9.2.0.1
XX.20.225.3
tcp/ip1521
甲骨文
是
2.3.2.2应用软件
序号
应用软件名称
对应主机资产
应用服务
软件版本号
出产厂商
1
XX地税税收征收管理系统
XX.20.225.19
tcp/ip8020809080
2005版
北京华安通联有限责任公司
2
XX地税税收征收管理系统
XX.20.225.21
tcp/ip8020809080
2005版
北京华安通联有限责任公司
3
XX地税税收征收管理系统
XX.20.225.23
tcp/ip8020809080
2005版
北京华安通联有限责任公司
4
XX地税税收征收管理系统
XX.20.225.25
tcp/ip8020809080
2005版
北京华安通联有限责任公司
2.3.3数据资产
国家《信息安全风险评估规范》把数据资产定义为保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等
根据XX市地税局实际情况并结合《信息安全风险评估规范》,我们把XX市地税局数据资产的评估范围设定在核心征管系统的数据库数据。
序号
数据名称
用途
分发范围
对应主机资产
应用服务
数据期限
1
税收征管相关资料
反映纳税人相关情况
地税系统内部
XX.20.225.1XX.20.225.3
税收征管系统
10年
2.3.4文档资产
国家《信息安全风险评估规范》文档资产定义为纸质的各种文件,如传真、电报、财务报告、发展计划等。
根据XX市地税局实际情况并结合《信息安全风险评估规范》,我们把XX市地税局的文档资产的评估范围设定在信息中心现存的重要的文档、规范、制度及培训手册等。
此次共整理224个各类文档,从中提取出31个文档作为此次文档资产评估范围。
序号
文档年份
文档名称
用途
存放方式
1
2006
XX地税计算机系统管理制度
系统管理制度
纸质文档与电子档
2
2006
系统数据库口令管理
系统管理制度
纸质文档与电子档
3
2004
XX市地方税务局信息化星级管理办法
管理制度
纸质文档与电子档
4
2004
XX市地方税务局2004年信息化建设实施方案
管理制度
纸质文档与电子档
5
2004
信息化主要建设项目实行统一审批管理
管理制度
纸质文档与电子档
6
2004
关于成立信息化工作领导小组
管理制度
纸质文档与电子档
7
2004
XX市地方税务局基层局机房维护管理制度
管理制度
纸质文档与电子档
8
2004
XX市地方税务局计算机使用维护管理制度
管理制度
纸质文档与电子档
9
2004
XX市地方税务局网络安全管理制度
管理制度
纸质文档与电子档
10
2004
XX市地方税务局网络运行维护管理制度
管理制度
纸质文档与电子档
11
2004
XX市地方税务局应用软件维护管理(暂行)办法2004-7-29
管理制度
纸质文档与电子档
12
2004
信息化星级管理办法
管理制度
纸质文档与电子档
13
2004
XX地税计算机系统管理制度(定稿)
管理制度
纸质文档与电子档
14
2004
XX地税市局机房维护制度
管理制度
纸质文档与电子档
15
2006
应用软件维护制度22号文
管理制度
纸质文档与电子档
16
2007
2007年信息化工作要点(定稿)
管理制度
纸质文档与电子档
17
2007
XX市基层单位兼职信息化管理人员职责(新)
管理制度
纸质文档与电子档
18
2007
信息化星级管理办法2007
管理制度
纸质文档与电子档
19
2006
XX地税市局征管数据库备份系统维护管理办法
管理制度
纸质文档与电子档
20
2005
XX地税市局征管数据库备份系统维护手册
维护手册
纸质文档与电子档
21
2006
XX地税数据复制系统使用维护手册
维护手册
纸质文档与电子档
22
2006
XX地税数据复制系统维护管理办法(试行)
管理制度
纸质文档与电子档
23
2005
2005版征管系统税务登记说明书
(一)
征管软件说明书
纸质文档与电子档
24
2005
2005版征管系统申报征收说明书
(二)
征管软件说明书
纸质文档与电子档
25
2005
2005版征管系统税收计会说明书(三)
征管软件说明书
纸质文档与电子档
26
2005
2005版征管系统税务管理说明书(四)
征管软件说明书
纸质文档与电子档
27
2005
2005版征管系统征收管理说明书(五)
征管软件说明书
纸质文档与电子档
28
2005
2005版征管系统文书审批说明书(六)
征管软件说明书
纸质文档与电子档
29
2005
2005版征管系统基层查询说明书(七)
征管软件说明书
纸质文档与电子档
30
2005
2005版征管系统设置说明书(八)
征管软件说明书
纸质文档与电子档
31
2005
2005版征管系统典型业务说明书(九)
征管软件说明书
纸质文档与电子档
2.3.5人员资产
国家《信息安全风险评估规范》人员资产定义为掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目主管等。
根据XX市地税局实际情况并结合《信息安全风险评估规范》,我们把XX市地税局的人员资产的评估范围设定在信息中心在职工作人员。
信息中心在职人员共有13人,主要进行高级管理的主任或副级的人员有三人,重要系统管理人员为六人。
因此,此次人员资产的评估范围是信息中心高级管理人员及重要资产管理人员共九人。
序号
人员名称
所属
部门
人员
职务
人员职责
1
XXX
信息中心
主任
1.负责全面工作。
2.负责全系统信息化建设规划和实施方案的组织制定工作。
3.负责协调组织全系统信息化建设规划和方案的实施工作。
4.负责信息化队伍建设工作。
5.完成领导交办的其他工作。
2
XXX
信息中心
副主任
1.主管软件维护工作。
2.主管软件试点和推广工作。
3.主管办公自动化工作。
4.主管安全防范工作。
5.完成领导交办的其他工作。
3
XXX
信息中心
副主任
1.主管网络维护工作。
2.主管系统运维工作。
3.主管软件开发工作。
4.主管综合工作。
5.完成领导交办的其他工作。
4
XXX
信息中心
组长
1.负责网络管理工作
2.负责系统维护工作
3.负责DC1、DC2服务器的硬件及系统的维护
4.负责FTP服务器的硬件及软件的维护
5.负责NAS服务器的硬件及数据备份的管理与维护
6.负责Exchange服务器的硬件及邮件系统的维护
7.负责辅助应用系统的硬件及操作系统的升级与维护
8.负责机房空调维护工作
9.负责消防系统维护工作
10.负责机房环境监控工作
11.负责软件开发的前期开发工作
12.领导安排的其他工作
5
XXX
信息中心
科员
1.负责市局办公网站的框架规划、版式设计及组织编写网站程序。
2.负责办公网站的部署实施与程序维护。
3.负责办公网站的信息发布工作的技术指导和培训。
4.负责市局办公网站的数据备份及服务器日常管理。
5.负责全系统计算机防病毒工作的维护工作,定时升级防病毒软件。
6.负责监控全系统下级防计算机病毒中心,督导客户端及时升级查杀。
7.负责全系统每年的计算机安全培训工作。
8.负责长安办公楼的办公网站服务器的资源管理。
9.完成领导交办的其他工作。
6
XXX
信息中心
科员
1.负责机房UPS维护工作
2.负责UPS电池维护工作
3.负责机房强电维护工作
4.负责机房KVM维护工作
5.负责主控室设备维护工作
6.负责软件开发的后期工作
7.负责17—21层电脑维护及局域网维护工作
8.负责弱电井设备维护工作
9.负责视频会议会前调试和维护工作
10.负责数据分析工作
7
XXX
信息中心
科员
1.负责有关网络的日常事务性维护;
2.负责市局中心端内、外网网络设备故障的排除;
3.负责CDMA线路故障的排除;
4.负责市局内、外网监控与管理;
5.与有关同志共同负责网络建设项目;
6.与有关同志共同负责有关网络知识的培训;
7.协助基层单位分析网络故障;
8.协调网通、基层局排除广域网线路故障;
9.了解网络现状,适时向领导提出网络发展规划;
10.领导交办的其它工作。
8
XXX
信息中心
科员
1.负责小型机硬件维护、调试及保养
2.负责小型机操作系统AIX的升级、维护
3.负责征管系统后台Oracle数据库的日常维护、数据备份、状态监控及性能调优
4.负责征管系统应用服务器的硬件及操作系统的维护及升级
5.负责DC1、DC2服务器的硬件及系统的维护
6.负责Exchange服务器的硬件及邮件系统的维护
7.负责FTP服务器的硬件及软件的维护
8.负责NAS服务器的硬件及数据备份的管理与维护
9.负责辅助应用系统的硬件及操作系统的升级与维护
10.负责培训环境的硬件及操作系统的升级与维护
11.负责车船税征收管理软件、建安房地产软件相关设备维护及软件运行管理
12.负责软件开发工作
13.领导安排的其他工作
9
XXX
信息中心
科员
1.负责征管软件的运行维护工作.
2.负责个人所得税软件的运行维护工作.
3.负责网上报税软件的运行维护工作.
4.负责决策支持系统的运行维护工作.
5.负责法制软件的运行维护工作.
6.负责人事管理软件维护工作.
7.负责其它软件的维护工作.
8.负责应用软件的试点测试工作,做好方案制定、培训和试点软件技术问题搜集、分析、解答工作。
9.负责应用软件的推广工作,做好方案制定、培训和技术问题分析、解答工作。
10.完成其它工作。
3
资产赋值方法
信息资产价值有别于资产的帐面价值和重置价值,而是指资产在安全方面的相对价值。
本文中所指的信息资产价值全部都表示相对价值。
进行资产估价时,不仅要考虑资产的帐面价值,更重要的是考虑资产对于组织商务或业务的重要性,即资产损失所引发潜在的商务或业务的影响来决定,例如导致业务中断、资金和市场份额的损失、企业形象的损害等直接和间接的经济损失。
为确保资产估价的一致性和准确性,应建立一个资产的价值尺度,即资产评价标准,以明确如何对资产进行赋值。
信息资产分别具有不同的安全属性,机密性、完整性和可用性分别反映了资产在三个不同方面的特性。
安全属性的不同通常也意味着安全控制、保护功能需求的不同。
通过考察三种不同安全属性,可以得出一个能够基本反映资产价值的定性的数值。
在信息资产估价时,主要对资产的这三个安全属性分别赋予价值,以此反映出信息资产的价值。
密性、完整性和可用性的定义如下:
⏹保密性:
确保只有经过授权的人才能访问信息。
如果信息或者服务被无关甚至怀有恶意的人获得,则表明该资产的保密性受到了损害。
⏹完整性:
保护信息和信息的处理方法准确而完整;如果信息或者服务在传递过程中因为系统故障或者恶意的方法导致被修改,并引起错误,则表明该资产的完整性受到了损害。
⏹可用性:
确保经过授权的用户在需要时可以访问信息并使用相关信息资产。
如果信息非正常丢失或者服务非正常中断,则表明该资产的可用
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统 资产评估 报告 实例