密 级: 内部 文档编号:2007002-005
项目编号:2007002
XX市地税局信息系统
资产评估报告
XX市地税局信息系统资产评估报告
目 录
1 2
概述 .......................................................................................................... 3 信息资产分类和识别 ................................................................................. 3
2.1 2.2 2.3
信息资产调查的过程 ................................................................................................. 3 调查范围及方法 ........................................................................................................ 4 信息资料识别 ............................................................................................................ 5 硬件资产 ............................................................................................................... 5 软件资产 ............................................................................................................... 9 数据资产 .............................................................................................................. 11 文档资产 ............................................................................................................. 12 人员资产 ............................................................................................................. 15
2.3.1 2.3.2 2.3.3 2.3.4 2.3.5
3 资产赋值方法 .......................................................................................... 21
3.1 3.2 3.3 3.4
保密性赋值 ............................................................................................................. 22 完整性赋值 ............................................................................................................. 22 可用性赋值 ............................................................................................................. 23 资产重要性等级 ...................................................................................................... 24
4 XX市地税局资产赋值 ............................................................................. 26
4.1
硬件资产赋值 .......................................................................................................... 26 主机设备 ............................................................................................................. 26 网络设备 ............................................................................................................. 28 安全设备 ............................................................................................................. 29 存储设备 ............................................................................................................. 29
4.1.1 4.1.2 4.1.3 4.1.4
第 1 页 共 41 页
XX市地税局信息系统资产评估报告
4.1.5 4.1.6 4.2
保障设备 ............................................................................................................. 30 通讯线路 ............................................................................................................. 31
软件资产赋值 .......................................................................................................... 32 系统软件 ............................................................................................................. 32 应用软件 ............................................................................................................. 33
4.2.1 4.2.2 4.3 4.4 4.5
数据资产赋值 .......................................................................................................... 34 文档资产赋值 .......................................................................................................... 35 人员资产赋值 .......................................................................................................... 38
5 地税信息资产统计分析 ............................................................................ 40
5.1 5.2 5.3
资产价值分布 .......................................................................................................... 40 分段价值分布 .......................................................................................................... 40 资产分类对比 .......................................................................................................... 41
第 2 页 共 41 页
XX市地税局信息系统资产评估报告
1 概述
根据《XX省人民政府信息化工作办公室关于印发<信息安全风险评估试点工作实施方案>的通知》文件精神,XX省信息安全测评中心承担了XX市地税局“征管信息系统”的风险评估工作。我中心以建立符合我省情况的风险评估方法、积累风险评估工作经验、培养队伍、协助XX市地税局更深入地了解其信息系统安全现状为目标,通过文档分析、现场访谈、问卷调查、技术评估等方法,对XX市地税局“征管信息系统”进行了全面的信息安全风险评估。
在整个风险评估项目过程中,资产调查是其首要工作。资产调查过程主要包括资产识别和资产赋值。一方面,项目组根据资产识别的情况设计出XX市地税局保护对象框架,并在此基础上进行安全体系设计;另一方面,项目组将资产赋值结果用于风险计算,以便准确地表达安全调查的结果。
2 信息资产分类和识别
2.1 信息资产调查的过程
在本项目中,项目组首先定制了资产调查表,通过访谈方式,对安全管理人员、网络管理人员、主机系统管理人员、应用开发和维护人员等进行了访谈。逐步地识别XX市地税局信息资产并收集其信息。
随后,项目组通过对信息中心进行扫描,从第二条渠道获得了可扫描系统的系统信息,包括服务器主机、可网管的网络设备、数据库系统和PC机。
通过将上述访谈和扫描的结果进行人工对比,合并和除错,项目组获得所有必要的资产信息。
最后,项目组对所有已识别的资产进行赋值,并编制本报告。
第 3 页 共 41 页
XX市地税局信息系统资产评估报告
2.2 调查范围及方法
资料分类 技术参考点 输出成果 主机设备 评估范围 11台主机 评估方式 调查访谈、实际核查 涉及地税人员 评估人员 赵白、梁志 王维、梁立网络设备 3台设备 调查访谈、实际核查 新、朱宁宁 安全设备 1台设备 调查访谈、实际核查 赵白、梁志 陈修杰、梁硬件资产硬件资产 存储设备 调查表 宁 保障设备 6种保障设备 调查访谈、实际核查 赵白、梁志 陈修杰、梁通讯线路 140条线路 调查访谈、实际核查 立新、朱宁宁 11套主机系系统软件 软件资产软件资产 调查表 应用软件 4套应用系统 调查访谈、实际核查 新、朱宁宁 人员资产人员资产 中心人员 调查表 数据资产数据资产 信息数据 调查表 据 征管系统数调查访谈、实际核查 新、朱宁宁 9人 调查访谈、文档检查 义 赵白、梁立赵白、串广梁志、梁立统 调查访谈、实际核查 义 赵白、串广1台设备 调查访谈、实际核查 立新、朱宁文档资资料文档 产 文档资料调查表 224个相关调查访谈、实际核查 文档 梁立新、朱宁宁 第 4 页 共 41 页