信息系统资产评估报告

《信息系统资产评估报告》由会员分享，可在线阅读，更多相关《信息系统资产评估报告（43页珍藏版）》请在装配图网上搜索。

1、密 级： 内部文档编号：2007002-005项目编号：2007002XXXX 市地税局信息系统市地税局信息系统资产评估报告资产评估报告XX市地税局信息系统资产评估报告第 1 页 共 41 页目目 录录1概述概述.32信息信息资产资产分分类类和和识别识别 .32.1信息资产调查的过程 .32.2调查范围及方法 .42.3信息资料识别.52.3.1硬件资产.52.3.2软件资产.92.3.3数据资产.112.3.4文档资产.122.3.5人员资产.153资产赋值资产赋值方法方法.213.1保密性赋值.223.2完整性赋值.223.3可用性赋值.233.4资产重要性等级 .244XX 市地税局市地

2、税局资产赋值资产赋值 .264.1硬件资产赋值.264.1.1主机设备.264.1.2网络设备.28XX市地税局信息系统资产评估报告第 2 页 共 41 页4.1.3安全设备.294.1.4存储设备.294.1.5保障设备.304.1.6通讯线路.314.2软件资产赋值.324.2.1系统软件.324.2.2应用软件.334.3数据资产赋值.344.4文档资产赋值.354.5人员资产赋值.385地税信息地税信息资产统计资产统计分析分析.405.1资产价值分布.405.2分段价值分布.405.3资产分类对比.41XX市地税局信息系统资产评估报告第 3 页 共 41 页1 概述概述根据XX 省人民

3、政府信息化工作办公室关于印发的通知文件精神，XX 省信息安全测评中心承担了 XX 市地税局“征管信息系统”的风险评估工作。我中心以建立符合我省情况的风险评估方法、积累风险评估工作经验、培养队伍、协助 XX 市地税局更深入地了解其信息系统安全现状为目标，通过文档分析、现场访谈、问卷调查、技术评估等方法，对 XX市地税局“征管信息系统”进行了全面的信息安全风险评估。在整个风险评估项目过程中，资产调查是其首要工作。资产调查过程主要包括资产识别和资产赋值。一方面，项目组根据资产识别的情况设计出 XX 市地税局保护对象框架，并在此基础上进行安全体系设计；另一方面，项目组将资产赋值结果用于风险计算，以便准

4、确地表达安全调查的结果。2 信息资产分类和识别信息资产分类和识别2.1信息资产调查的过程信息资产调查的过程在本项目中，项目组首先定制了资产调查表，通过访谈方式，对安全管理人员、网络管理人员、主机系统管理人员、应用开发和维护人员等进行了访谈。逐步地识别 XX 市地税局信息资产并收集其信息。随后，项目组通过对信息中心进行扫描，从第二条渠道获得了可扫描系统的系统信息，包括服务器主机、可网管的网络设备、数据库系统和 PC 机。通过将上述访谈和扫描的结果进行人工对比，合并和除错，项目组获得所有必要的资产信息。XX市地税局信息系统资产评估报告第 4 页 共 41 页最后，项目组对所有已识别的资产进行赋值，

5、并编制本报告。2.2调查范围及方法调查范围及方法资料分类技术参考点输出成果评估范围评估方式涉及地税人员评估人员主机设备11 台主机调查访谈、实际核查赵白、梁志网络设备3 台设备调查访谈、实际核查王维、梁立新、朱宁宁安全设备1 台设备调查访谈、实际核查赵白、梁志存储设备1 台设备调查访谈、实际核查陈修杰、梁立新、朱宁宁保障设备6 种保障设备调查访谈、实际核查赵白、梁志硬件资产通讯线路硬件资产调查表140 条线路调查访谈、实际核查陈修杰、梁立新、朱宁宁系统软件11 套主机系统调查访谈、实际核查赵白、串广义软件资产应用软件软件资产调查表4 套应用系统调查访谈、实际核查梁志、梁立新、朱宁宁人员资产中心

6、人员人员资产调查表9 人调查访谈、文档检查赵白、串广义数据资产信息数据数据资产调查表征管系统数据调查访谈、实际核查赵白、梁立新、朱宁宁文档资资料文档文档资料224 个相关调查访谈、实际核梁立新、XX市地税局信息系统资产评估报告第 5 页 共 41 页产调查表文档查朱宁宁2.3信息资料识别信息资料识别XX 市地税局的信息资产是指在 XX 市地税局信息系统范围内，具有价值并需要保护的对象。它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有数据，也有服务等。它们分别具有不同的价值属性和存在特点，存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。参照国家最新信息安全风险评估规范对

7、信息资产的描述和定义，并结合XX 市地税局的基本情况，我们将 XX 市地税局的信息资产分为 5 类，分别为：硬件资产、软件资产、数据资产、人员资产、文档资产，以下为本次调查的结果。2.3.1 硬件硬件资产资产国家信息安全风险评估规范把硬件资产分为以下 7 大类：1.网络设备：路由器、网关、交换机等；2.计算机设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等；3.存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等；4.传输线路：光纤、双绞线等；5.保障设备：动力保障设备（UPS、变电设备等）、空调、保险柜、文件柜、门禁、消防设施等；6.安全保障设备：防火墙、入侵检测系统、身份

8、鉴别等；7.其他：打印机、复印机、扫描仪、传真机等。根据 XX 市地税局实际情况并结合信息安全风险评估规范，我们把 XX 市地税局的硬件资产分为以下 6 大类进行分别的调查识别：XX市地税局信息系统资产评估报告第 6 页 共 41 页1.主机设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等；2.网络设备：路由器、网关、交换机等；3.安全设备：和信息安全相关的设备；4.存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等；5.传输线路：光纤、双绞线等；6.保障设备：动力保障设备（UPS、变电设备等）、空调、保险柜、文件柜、门禁、消防设施等。2.3.1.1主机设备主机设备序序号号

9、设备设备名称名称硬件型号硬件型号硬件配置硬件配置IPIP 地址地址操作系操作系统统用途用途说说明明1SJZ_NODE1IBM RS6000RS64 III750MHZ*4 8*512MB*2 18.2GB*2XX.20.225.1AIX征管业务系统数据库2SJZ_NODE2IBM RS6000RS64 III750MHZ*4 8*512MB*2 18.2GB*3XX.20.225.3AIX征管业务系统数据库3ZG-APP1IBM x440XEON 2.4G*2 4GB 36.4GB*2 XX.20.225.19Win2000 SRV征管业务系统应用4SJAPP2IBM x440XEON XX.

10、20.225.21Win2000 SRV征管业务系统应用XX市地税局信息系统资产评估报告第 7 页 共 41 页2.4G*2 4GB 36.4GB*2 5SJAPP3IBM x440XEON 2.4G*2 4GB 36.4GB*2 XX.20.225.23Win2000 SRV征管业务系统应用6SJAPP4IBM x440XEON 2.4G*2 4GB 36.4GB*2 XX.20.225.25Win2000 SRV征管业务系统应用7sjdc1IBM x440XEON 2.4G*2 4GB 36.4GB*2 XX.20.225.10Win2000 SRVDC 主域控制器8sjdc2IBM x4

11、40XEON 2.4G*2 4GB 36.4GB*2 XX.20.225.11Win2000 SRVDC 主域控制器9IBM x366XEON 2.8G*4 4GB 72GB*3XX.20.225.71Win2000 SRV税收管理员应用10sjz-oa-webHP D360XEON 3.0G*2 2GB 72GB*2 XX.20.224.10（11）Win2000 SRVwww 服务器11sjzds-odpsHP D360XEON 3.0G*2 2GB 72GB*2 XX.20.224.19（9）Win2000 SRV公文流转服务器/瑞星杀毒服务器XX市地税局信息系统资产评估报告第 8 页

12、共 41 页12HP D360XEON 3.0G*2 2GB 72GB*2 XX.168.10.2Win2000 SRV互联网服务器2.3.1.2网络设备网络设备序号序号设备设备名称名称IPIP 地址地址硬件型号硬件型号出出产产厂商厂商用途用途安装日期安装日期1sj7513XX.20.231.254Cisco 7513思科核心路由器2003 年 5月2sj4506XX.20.231.1Cisco 4506思科核心交换机2003 年 5月3f5XX.20.225.18f5f5负载均衡器2005 年 9月2.3.1.3安全设备安全设备序号序号设备设备名称名称设备设备形形态态IPIP 地址地址出出产

13、产厂商厂商品牌品牌用途用途1IPS硬件XX.20.225.251绿盟冰之眼IPS2.3.1.4存储设备存储设备序号序号设备设备名称名称IPIP 地址地址硬件型号硬件型号出出产产厂商厂商品牌品牌操作系操作系统统用途用途1sjnasXX.20.225.165194-226IBMnas 200Windows 2000 Srv磁盘阵列2.3.1.5保障设备保障设备序号序号设备设备名称名称物理地址物理地址硬件型号硬件型号出出产产厂商厂商品牌品牌用途用途XX市地税局信息系统资产评估报告第 9 页 共 41 页1UPS机房UL33-0600LEmerson network powerEMERSON停电时供机

14、房所有设备电源2空调机房S23DW001HIROSSHIROSS机房制冷设备3防雷配电柜VAL-MSPhcenixPHCENIX机房防雷设备4视频监控器机房ARES机房视频监控5动力、环境监测机房机房电力、防水监控6气体消防系统机房LD-KP06海湾安全技术有限公司GST机房自动消防系统2.3.1.6通讯线路通讯线路用用户户名称名称线线路供路供应应商商端口速率端口速率单单位位责责任人任人网通2M*115各税务所各单位市局网通8M*25各县（市）区局各单位2.3.2 软软件件资产资产国家信息安全风险评估规范把软件资产分为以下 3 大类：XX市地税局信息系统资产评估报告第 10 页 共 41 页1

15、.系统软件：操作系统、语句包、工具软件、各种库等；2.应用软件：外部购买的应用软件，外包开发的应用软件等；3.源程序：各种共享源代码、自行或合作开发的各种代码等。根据 XX 市地税局实际情况并结合信息安全风险评估规范，我们把 XX 市地税局的软件资产分为以下 2 大类进行分别的调查识别：1.系统软件：操作系统、语句包、工具软件、各种库等；2.应用软件：外部购买的应用软件，外包开发的应用软件等。2.3.2.1系统软件系统软件序号序号系系统统名名称称版本号版本号对应对应主机主机资产资产应应用服用服务务出出产产厂商厂商软软件服件服务务期限期限1windows 2000 serverXX.20.225

16、.19tcp/ip 8020 8090 80Microsoft是2windows 2000 serverXX.20.225.21tcp/ip 8020 8090 80Microsoft是3windows 2000 serverXX.20.225.23tcp/ip 8020 8090 80Microsoft是4windows 2000 serverXX.20.225.25tcp/ip 8020 8090 80Microsoft是5windows 2000 serverXX.20.225.10tcp/ipMicrosoft是6windows 2000 serverXX.20.225.11tcp/i

17、p Microsoft是XX市地税局信息系统资产评估报告第 11 页 共 41 页7windows 2000 serverXX.20.225.14tcp/ip 110 25 80Microsoft是8AIX4.3.3XX.20.225.1tcp/ipIbm是9AIX4.3.3XX.20.225.3tcp/ipIbm是10Oracle9.2.0.1XX.20.225.1tcp/ip 1521甲骨文是11Oracle9.2.0.1XX.20.225.3tcp/ip 1521甲骨文是2.3.2.2应用软件应用软件序序号号应应用用软软件名称件名称对应对应主机主机资产资产应应用服用服务务软软件版件版本号

18、本号出出产产厂商厂商1XX 地税税收征收管理系统XX.20.225.19tcp/ip 8020 8090 802005 版北京华安通联有限责任公司2XX 地税税收征收管理系统XX.20.225.21tcp/ip 8020 8090 802005 版北京华安通联有限责任公司3XX 地税税收征收管理系统XX.20.225.23tcp/ip 8020 8090 802005 版北京华安通联有限责任公司4XX 地税税收征收管理系统XX.20.225.25tcp/ip 8020 8090 802005 版北京华安通联有限责任公司2.3.3 数据数据资产资产国家信息安全风险评估规范把数据资产定义为保存在信

19、息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等根据 XX 市地税局实际情况并结合信息安全风险评估规范，我们把 XX 市地税局数据资产的评估范围设定在核心征管系统的数据库数据。XX市地税局信息系统资产评估报告第 12 页 共 41 页序号序号数据名称数据名称用途用途分分发发范范围围对应对应主机主机资产资产应应用服用服务务数据期限数据期限1税收征管相关资料反映纳税人相关情况地税系统内部XX.20.225.1 XX.20.225.3税收征管系统10 年2.3.4 文档文档资产资产国家信息安全风险评估规范文档资产定义为纸质的各种文件，如传真、电报、财务报

20、告、发展计划等。根据 XX 市地税局实际情况并结合信息安全风险评估规范，我们把 XX 市地税局的文档资产的评估范围设定在信息中心现存的重要的文档、规范、制度及培训手册等。此次共整理 224 个各类文档，从中提取出 31 个文档作为此次文档资产评估范围。序序号号文档年份文档年份文档名称文档名称用途用途存放方式存放方式12006XX 地税计算机系统管理制度系统管理制度纸质文档与电子档22006系统数据库口令管理系统管理制度纸质文档与电子档32004XX 市地方税务局信息化星级管理办法管理制度纸质文档与电子档42004XX 市地方税务局 2004 年信息化建设实施方案管理制度纸质文档与电子档5200

21、4信息化主要建设项目实行统一审批管理管理制度纸质文档与电子档XX市地税局信息系统资产评估报告第 13 页 共 41 页62004关于成立信息化工作领导小组管理制度纸质文档与电子档72004XX 市地方税务局基层局机房维护管理制度管理制度纸质文档与电子档82004XX 市地方税务局计算机使用维护管理制度管理制度纸质文档与电子档92004XX 市地方税务局网络安全管理制度管理制度纸质文档与电子档102004XX 市地方税务局网络运行维护管理制度管理制度纸质文档与电子档112004XX 市地方税务局应用软件维护管理（暂行）办法 2004-7-29管理制度纸质文档与电子档122004信息化星级管理办法

22、管理制度纸质文档与电子档132004XX 地税计算机系统管理制度(定稿)管理制度纸质文档与电子档142004XX 地税市局机房维护制度管理制度纸质文档与电子档152006应用软件维护制度 22 号文管理制度纸质文档与电子档1620072007 年信息化工作要点（定稿)管理制度纸质文档与电子档172007XX 市基层单位兼职信息化管理管理制度纸质文档与XX市地税局信息系统资产评估报告第 14 页 共 41 页人员职责(新）电子档182007信息化星级管理办法 2007管理制度纸质文档与电子档192006XX 地税市局征管数据库备份系统维护管理办法管理制度纸质文档与电子档202005XX 地税市局

23、征管数据库备份系统维护手册维护手册纸质文档与电子档212006XX 地税数据复制系统使用维护手册维护手册纸质文档与电子档222006XX 地税数据复制系统维护管理办法（试行）管理制度纸质文档与电子档2320052005 版征管系统税务登记说明书（一）征管软件说明书纸质文档与电子档2420052005 版征管系统申报征收说明书（二）征管软件说明书纸质文档与电子档2520052005 版征管系统税收计会说明书（三）征管软件说明书纸质文档与电子档2620052005 版征管系统税务管理说明书（四）征管软件说明书纸质文档与电子档2720052005 版征管系统征收管理说明书（五）征管软件说明书纸质文档

24、与电子档2820052005 版征管系统文书审批说明书（六）征管软件说明书纸质文档与电子档XX市地税局信息系统资产评估报告第 15 页 共 41 页2920052005 版征管系统基层查询说明书（七）征管软件说明书纸质文档与电子档3020052005 版征管系统设置说明书（八）征管软件说明书纸质文档与电子档3120052005 版征管系统典型业务说明书（九）征管软件说明书纸质文档与电子档2.3.5 人人员资产员资产国家信息安全风险评估规范人员资产定义为掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目主管等。根据 XX 市地税局实际情况并结合信息安全风险评估规范，我们把 XX

25、 市地税局的人员资产的评估范围设定在信息中心在职工作人员。信息中心在职人员共有 13 人，主要进行高级管理的主任或副级的人员有三人，重要系统管理人员为六人。因此，此次人员资产的评估范围是信息中心高级管理人员及重要资产管理人员共九人。序号序号人人员员名称名称所属所属部部门门人人员员职务职务人人员职责员职责1XXX信息中心主任1 负责全面工作。2 负责全系统信息化建设规划和实施方案的组织制定工作。3 负责协调组织全系统信息化建设规划和方案的实施工作。4 负责信息化队伍建设工作。5 完成领导交办的其他工作。XX市地税局信息系统资产评估报告第 16 页 共 41 页2XXX信息中心副主任1主管软件维护

26、工作。2主管软件试点和推广工作。3主管办公自动化工作。4主管安全防范工作。5完成领导交办的其他工作。3XXX信息中心副主任1主管网络维护工作。2主管系统运维工作。3主管软件开发工作。4主管综合工作。5完成领导交办的其他工作。4XXX信息中心组长1负责网络管理工作2负责系统维护工作3负责 DC1、DC2 服务器的硬件及系统的维护4负责 FTP 服务器的硬件及软件的维护5负责 NAS 服务器的硬件及数据备份的管理与维护6负责 Exchange 服务器的硬件及邮件系统的维护7负责辅助应用系统的硬件及操作系统的升级与维护8负责机房空调维护工作9负责消防系统维护工作10负责机房环境监控工作11负责软件开

27、发的前期开发工作XX市地税局信息系统资产评估报告第 17 页 共 41 页12领导安排的其他工作5XXX信息中心科员1. 负责市局办公网站的框架规划、版式设计及组织编写网站程序。2. 负责办公网站的部署实施与程序维护。3. 负责办公网站的信息发布工作的技术指导和培训。4. 负责市局办公网站的数据备份及服务器日常管理。5. 负责全系统计算机防病毒工作的维护工作，定时升级防病毒软件。6. 负责监控全系统下级防计算机病毒中心，督导客户端及时升级查杀。7. 负责全系统每年的计算机安全培训工作。8. 负责长安办公楼的办公网站服务器的资源管理。9完成领导交办的其他工作。XX市地税局信息系统资产评估报告第

28、18 页 共 41 页6XXX信息中心科员1.负责机房 UPS 维护工作2.负责 UPS 电池维护工作3.负责机房强电维护工作4.负责机房 KVM 维护工作5.负责主控室设备维护工作6.负责软件开发的后期工作7.负责 1721 层电脑维护及局域网维护工作8.负责弱电井设备维护工作9.负责视频会议会前调试和维护工作10.负责数据分析工作7XXX信息中心科员1. 负责有关网络的日常事务性维护；2. 负责市局中心端内、外网网络设备故障的排除；3. 负责 CDMA 线路故障的排除；4. 负责市局内、外网监控与管理；5. 与有关同志共同负责网络建设项目；6. 与有关同志共同负责有关网络知识的培训；7.

29、协助基层单位分析网络故障；8. 协调网通、基层局排除广域网线路故障；9. 了解网络现状，适时向领导提出网络发展规划；10. 领导交办的其它工作。XX市地税局信息系统资产评估报告第 19 页 共 41 页8XXX信息中心科员1负责小型机硬件维护、调试及保养2负责小型机操作系统 AIX 的升级、维护3负责征管系统后台 Oracle 数据库的日常维护、数据备份、状态监控及性能调优4负责征管系统应用服务器的硬件及操作系统的维护及升级5负责 DC1、DC2 服务器的硬件及系统的维护6负责 Exchange 服务器的硬件及邮件系统的维护7负责 FTP 服务器的硬件及软件的维护8负责 NAS 服务器的硬件及

30、数据备份的管理与维护9负责辅助应用系统的硬件及操作系统的升级与维护10负责培训环境的硬件及操作系统的升级与维护11负责车船税征收管理软件、建安房地产软件相关设备维护及软件运行管理12负责软件开发工作13领导安排的其他工作XX市地税局信息系统资产评估报告第 20 页 共 41 页9XXX信息中心科员1. 负责征管软件的运行维护工作.2. 负责个人所得税软件的运行维护工作.3. 负责网上报税软件的运行维护工作.4. 负责决策支持系统的运行维护工作.5. 负责法制软件的运行维护工作.6. 负责人事管理软件维护工作.7. 负责其它软件的维护工作.8. 负责应用软件的试点测试工作,做好方案制定、培训和试

31、点软件技术问题搜集、分析、解答工作。9. 负责应用软件的推广工作，做好方案制定、培训和技术问题分析、解答工作。10. 完成其它工作。XX市地税局信息系统资产评估报告第 21 页 共 41 页3 资产赋值方法资产赋值方法信息资产价值有别于资产的帐面价值和重置价值，而是指资产在安全方面的相对价值。本文中所指的信息资产价值全部都表示相对价值。进行资产估价时，不仅要考虑资产的帐面价值，更重要的是考虑资产对于组织商务或业务的重要性，即资产损失所引发潜在的商务或业务的影响来决定，例如导致业务中断、资金和市场份额的损失、企业形象的损害等直接和间接的经济损失。为确保资产估价的一致性和准确性，应建立一个资产的价

32、值尺度，即资产评价标准，以明确如何对资产进行赋值。信息资产分别具有不同的安全属性，机密性、完整性和可用性分别反映了资产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性，可以得出一个能够基本反映资产价值的定性的数值。在信息资产估价时，主要对资产的这三个安全属性分别赋予价值，以此反映出信息资产的价值。密性、完整性和可用性的定义如下：保密性：确保只有经过授权的人才能访问信息。如果信息或者服务被无关甚至怀有恶意的人获得，则表明该资产的保密性受到了损害。完整性：保护信息和信息的处理方法准确而完整；如果信息或者服务在传递过程中因为系统故障或者恶意的方法

33、导致被修改，并引起错误，则表明该资产的完整性受到了损害。可用性：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。如果信息非正常丢失或者服务非正常中断，则表明该资产的可用性受到了损害。XX市地税局信息系统资产评估报告第 22 页 共 41 页保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此，有必要对组织中的资产进行识

34、别。3.1保密性赋值保密性赋值根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。表提供了一种保密性赋值的参考。资产保密性赋值表资产保密性赋值表赋值标识定义5很高包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的损害 4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3中等组织的一般性秘密，其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害1很低可对社会公开的信息，公用的信息处理设备和系统

35、资源等3.2完整性赋值完整性赋值根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上缺失时对整个组织的影响。表提供了一种完整性赋值的参考。XX市地税局信息系统资产评估报告第 23 页 共 41 页资产完整性赋值表资产完整性赋值表赋值标识定义5很高完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补。4高完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，较难弥补。3中等完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补。2低完整性价值较低，未经授

36、权的修改或破坏会对组织造成轻微影响，对业务冲击轻微，容易弥补。1很低完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略。3.3可用性赋值可用性赋值根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上应达成的不同程度。表 4 提供了一种可用性赋值的参考。资产可用性赋值表资产可用性赋值表赋值标识定义5很高可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度 99.9%以上，或系统不允许中断。4高可用性价值较高，合法使用者对信息及信息系统的可用度达到每天 90%以上，或系统允许中断时间小于 10min。XX市地税局信息系统资产评估报告第

37、 24 页 共 41 页3中等可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上，或系统允许中断时间小于 30min。2低可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上，或系统允许中断时间小于 60min。1很低可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间低于 25%。3.4资产重要性等级资产重要性等级资产价值应依据资产在保密性、完整性和可用性上的赋值等级，经过综合评定得出。综合评定方法可以根据自身的特点，选择对资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果；也可以根据资产保密性、

38、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。加权方法可根据组织的业务特点确定。本标准中，为与上述安全属性的赋值相对应，根据最终赋值将资产划分为五级，级别越高表示资产越重要，也可以根据组织的实际情况确定资产识别中的赋值依据和等级。表中的资产等级划分表明了不同等级的重要性的综合描述。评估者可根据资产赋值结果，确定重要资产的范围，并主要围绕重要资产进行下一步的风险评估。资产等级及含义描述资产等级及含义描述等级标识描述5很高非常重要，其安全属性破坏后可能对组织造成非常严重的损失。4高重要，其安全属性破坏后可能对组织造成比较严重的损失。XX市地税局信息系统资产评估报告第 25 页

39、 共 41 页3中比较重要，其安全属性破坏后可能对组织造成中等程度的损失。2低不太重要，其安全属性破坏后可能对组织造成较低的损失。1很低不重要，其安全属性破坏后对组织造成导很小的损失，甚至忽略不计。XX市地税局信息系统资产评估报告第 26 页 共 41 页4 XX 市地税局资产赋值市地税局资产赋值4.1硬件资产赋值硬件资产赋值4.1.1 主机主机设备设备保密性赋值：数据库主机中运行的是核心应用征管系统的数据库，保密性设为 5；DC 域控制器为征管系统提供集中身份验证，保密性为 4；征管应用服务器为核心应用系统，保密性设为 3；税收管理应用，为内部应用服务器，保密性设为 3；WWW 服务器为发布

40、服务器，保密性要求相对比较低，因此设为 2；公文流转及防病毒服务器，承担内部公文流转及防病毒的任务，由于有公文流转，因此设为 4；可用性赋值数据库主机承担征管系统数据查询及数据存储功能，虽然由两台数据库主机分别提供此项功能，但由于平时数据库主机的压力比较高，一台主机如果发生故障有可能影响整个征管系统的应用，因此可用性要求最高，设为 5；DC 域控制器为征管提供身体验证，由两台 DC 控制器分别进行，可能用性要求不是非常高，设为 3；征管应用系统由四台主机分别提供，任何一台或两台主机发生故障，一般不会影响整个系统的应用，因此可用性设为 2；税收管理应用，现阶段没有正式开通，可用性要求不高，设为

41、2；WWW 服务器为发布服务器，只有一台主机提供服务，可用性要求相对较高，XX市地税局信息系统资产评估报告第 27 页 共 41 页设为 4；公文流转及防病毒服务器，承担内部公文流转及防病毒的任务，只有一台主机提供相关服务，可用性要求相对较高，设为 4；完整性赋值数据库承担征管系统数据查询及数据存储功能，数据内容不容被破坏或修改，因此，完整性要求最高，设为 4；DC 域控制器为征管提供身体验证，完整性要求相对较高设为 3；征管应用系统由四台主机分别提供，征管应用是一项流程一项业务，对于流程或业务完整性的要求比较高，因此，设为 4；税收管理应用，是一项应用服务，完整性的要求比较高，设为 4；WW

42、W 服务器为发布服务器，但由于此服务器不是核心应用系统，因此完整性要求不是要求很严格，设为 3公文流转及防病毒服务器，承担内部公文流转及防病毒的任务，公文流转和防病毒都是比较重要的应用服务，完整性要求相对较高，设为 4；具体列表如下：序序号号设备设备名称名称IPIP 地址地址用途用途说说明明保密性保密性可用性可用性完整性完整性资产资产等等级级1SJZ_NODE1XX.20.225.1征管业务系统数据库5442SJZ_NODE1XX.20.225.3征管业务系统数据库5443ZG-APP1XX.20.225.19征管业务系统应用3244SJAPP2XX.20.225.21征管业务系统应用324X

43、X市地税局信息系统资产评估报告第 28 页 共 41 页5SJAPP3XX.20.225.23征管业务系统应用3246SJAPP4XX.20.225.25征管业务系统应用3247sjdc1XX.20.225.10DC 主域控制器4338sjdc2XX.20.225.11DC 主域控制器4339XX.20.225.71税收管理员应用32410sjz-oa-webXX.20.224.10（11）www 服务器24311sjzds-odpsXX.20.224.19（9）公文流转服务器/瑞星杀毒服务器4444.1.2 网网络设备络设备保密性赋值核心路由器、核心交换机上的数据为重要的征管数据，保密性设为

44、 3；F5 负载均衡的数据为重要的征管数据，保密性设为 3；可用性赋值核心路由器、核心交换机是整个设级地税网络的核心网络设备，可用性要求比较高，设为 4F5 负载均衡设备承担为内部四台征管应用提供数据中转，F5 是否可用直接会影响整个征管系统，可用性要求最高，设为 5；完整性赋值核心路由器、核心交换机上的数据为重要的征管数据，因此，完整性要求比较高，设为 4；F5 负载均衡的数据为重要的征管数据，因此，完整性要求比较高，设为 4；XX市地税局信息系统资产评估报告第 29 页 共 41 页序号序号设备设备名称名称IPIP 地址地址用途用途保密性保密性可用性可用性完整性完整性资产资产等等级级1sj

45、7513XX.20.231.254核心路由器3442sj4506XX.20.231.1核心交换机3443f5XX.20.225.18负载均衡器3544.1.3 安全安全设备设备保密性赋值IPS 为入侵防御系统，是一种安全设备，保密性要求比较低，设为 2；可用性赋值IPS 为入侵防御系统，是一种安全设备，作为入侵防御系统，它串连在核心路由与核心交换机之间，IPS 是否可用，直接影响市地税与下面分局或所的数据能信，因此，可用性设为 4完整性赋值IPS 为入侵防御系统，是一种安全设备，完整性要求不是很高，设为 3；序号序号设备设备名称名称IPIP 地址地址保密性保密性可用性可用性完整性完整性资产资产

46、等等级级1IPSXX.20.225.2512434.1.4 存存储设备储设备保密性赋值XX市地税局信息系统资产评估报告第 30 页 共 41 页存储设备存储的是重要数据库数据，保密性要求比较高，设为 4；可用性赋值存储设备对数据库进行备份，可用性要求比较高，设为 4；完整性赋值存储设备对数据库进行备份，如果备份数据有问题，可以进行重新备份，因此完整性的要求不是特别高，设为 3；序号序号设备设备名称名称IPIP 地址地址硬件型号硬件型号出出产产厂商厂商保密性保密性可用性可用性完整性完整性1sjnasXX.20.225.165194-226IBM4434.1.5 保障保障设备设备保密性赋值UPS、

47、空调、防雷、气体消防系统均不存在数据和重要的监控信息，因此，保密性设为 1；视频监控系统，由于负责机房视频监控，视频数据有比较强的保密性要求，因此，保密性设为 4；可用性赋值UPS、消防系统分别承担电源保障及机房消防，可用性要求最高，为 4；空调设备有两台，一台出现故障不会很大程度影响机房运行，因此可用性设为 2；防雷设备，由于地税大厦已经做了防雷处理，因此，机房防雷的可用性要求不是很高，设为 2；动力和环境监测系统，不是核心保障设备，可用性设为 2；XX市地税局信息系统资产评估报告第 31 页 共 41 页设频监控系统，负责监控机房日常情况，可用性要求设为 3完整性赋值UPS、消防系统分别承

48、担电源保障及机房消防，设备的完整性直接影响整个机房的运行状态，因此完整性设为 4；空调设备有两台，一台出现故障不会很大程度影响机房运行，因此完整性设为 2；防雷设备，由于地税大厦已经做了防雷处理，因此，机房防雷的完整性要求不是很高，设为 2；动力和环境监测系统，不是核心保障设备，完整性设为 2；设频监控系统，负责监控机房日常情况，完整性要求设为 3序号序号设备设备名称名称硬件型号硬件型号出出产产厂商厂商保密性保密性可用性可用性完整性完整性资产资产等等级级1UPSUL33-0600LEmerson network power1442空调S23DW001HIROSS1223空调S23DW001HI

49、ROSS1224防雷VAL-MS1225视频监控器4336动力、环境监测2227气体消防系LD-KP06144XX市地税局信息系统资产评估报告第 32 页 共 41 页统4.1.6 通通讯线讯线路路保密性赋值8M 县（区）局线路和 2M 所级线路，是市局和各县（区）局级机关进行通讯的线路及市级和各所级机关进行通讯的线路，线路上主要是征管数据，保密性要求为 3；可用性赋值8M 县（区）局线路，是市局和各县（区）局级机关进行通讯的线路及市级，线路上主要是征管数据，可用性要求为 4；2M 所级线路，是市级和各所级机关进行通讯的线路，线路上主要是征管数据，可用性要求为 3；完整性赋值8M 县（区）局线

50、路和 2M 所级线路，是市局和各县（区）局级机关进行通讯的线路及市级和各所级机关进行通讯的线路，线路上主要是征管数据，完整性要求为 2；用用户户名称名称线线路供路供应应商商端口速率端口速率单单位位保密性保密性可用性可用性完整性完整性资产资产等等级级网通2M*115各税务所333市局网通8M*25各县（市）区局3434.2软件资产赋值软件资产赋值4.2.1 系系统软统软件件保密性赋值XX市地税局信息系统资产评估报告第 33 页 共 41 页除控制器上的两个操作系统外，其它 Win2000 操作系统及 IBM AIX 保密性均设为；控制器上的主机系统由于承担用户验证的功能，因此，保密性要求为；数据

51、库系统的保密性为；可用性赋值四台征管应用服务器上的主机系统由于采用了负载均衡，因此，征管应用系统上的操作系统可用性要求较底，为；现台域控制器上的系统，可用性为；公文流转上的主机系统，可用性为主机系统及数据库系统，可用性为；完整性赋值两台域控制系统、四台征管应用主机系统由于都是多台系统提供功能，因此完整性要求均为；公文流转主机系统为单一主机系统，完整性为；IBM AIX主机系统及Oracle数据库系统，完整性为；序号序号系系统统名称名称版本号版本号对应对应主机主机资产资产出出产产厂商厂商保密性保密性可用性可用性完整性完整性资产资产等等级级1Windows2000 serverXX.20.225.

52、19Microsoft3232Windows2000 serverXX.20.225.21Microsoft3233Windows2000 serverXX.20.225.23Microsoft3234Windows2000 serverXX.20.225.25Microsoft3235Windows2000 serverXX.20.225.10Microsoft433XX市地税局信息系统资产评估报告第 34 页 共 41 页6Windows2000 serverXX.20.225.11Microsoft4337windows2000 serverXX.20.225.14Microsoft34

53、48AIX4.3.3XX.20.225.1IBM3449AIX4.3.3XX.20.225.3IBM34410Oracle9.2.0.1XX.20.225.1甲骨文4411Oracle9.2.0.1XX.20.225.3甲骨文444.2.2 应应用用软软件件保密性赋值四套征管应用系统保密性均为；可用性赋值四套征管应用系统，由于采用了集群负载均衡的工作方式，单套可用性要求不高，为；完整性赋值四套征管应用系统，由于为业务应用系统，对业务的完整性要求相对较高，因此设为；序序号号应应用用软软件名称件名称对应对应主机主机资产资产软软件版件版本号本号出出产产厂商厂商保密保密性性可用可用性性完整完整性性资产

54、资产等等级级1XX 地税税收征收管理系统XX.20.225.192005 版北京华安通联有限责任公司4232XX 地税税收征收管理系统XX.20.225.212005 版北京华安通联有限责任公司4233XX 地税税收征XX.20.225.232005 版北京华安通联有423XX市地税局信息系统资产评估报告第 35 页 共 41 页收管理系统限责任公司4XX 地税税收征收管理系统XX.20.225.252005 版北京华安通联有限责任公司4234.3数据资产赋值数据资产赋值保密性赋值税收征管数据保密性要求非常高，设为；可用性赋值税收征管数据可用性要求非常高，设为；完整性赋值税收征管数据完整性要求

55、非常高，设为；序序号号数据名称数据名称用途用途分分发发范范围围对应对应主主机机资产资产保密性保密性可用性可用性完整性完整性资产资产等等级级1税收征管相关资料反映纳税人相关情况地税系统内部XX.20.225.1 XX.20.225.34.4文档资产赋值文档资产赋值保密性赋值XX 地税局信息中心中相关文档均为制度、规范、手册类文档，保密性要求不高，因此，设为；可用性赋值制度、规范、手册类文档可用性要求相对不是特别高，因此，设为；手册类文档，直接指导具体操作，可用性要求相对较高，因此，设为；完整性赋值XX市地税局信息系统资产评估报告第 36 页 共 41 页制度、规范、手册类文档完整要求相对不是特别

56、高，因此，设为；手册类文档，直接指导具体操作，完整性要求相对较高，因此，设为；序序号号文档名称文档名称用途用途保密性保密性可用性可用性完整性完整性资产资产等等级级1XX 地税计算机系统管理制度系统管理制度2系统数据库口令管理系统管理制度3XX 市地方税务局信息化星级管理办法管理制度4XX 市地方税务局 2004 年信息化建设实施方案管理制度5信息化主要建设项目实行统一审批管理管理制度6关于成立信息化工作领导小组管理制度7XX 市地方税务局基层局机房维护管理制度管理制度8XX 市地方税务局计算机使用维护管理制度管理制度9XX 市地方税务局网络安全管理制度管理制度10XX 市地方税务局网络运行维护

57、管理制度管理制度XX市地税局信息系统资产评估报告第 37 页 共 41 页11XX 市地方税务局应用软件维护管理（暂行）办法2004-7-29管理制度12信息化星级管理办法管理制度13XX 地税计算机系统管理制度(定稿)管理制度14XX 地税市局机房维护制度管理制度15应用软件维护制度 22 号文管理制度162007 年信息化工作要点（定稿)管理制度17XX 市基层单位兼职信息化管理人员职责(新）管理制度18信息化星级管理办法 2007管理制度19XX 地税市局征管数据库备份系统维护管理办法管理制度20XX 地税市局征管数据库备份系统维护手册维护手册21XX 地税数据复制系统使用维护手册维护手

58、册22XX 地税数据复制系统维护管理办法（试行）管理制度232005 版征管系统税务登记说明书（一）征管软件说明书XX市地税局信息系统资产评估报告第 38 页 共 41 页242005 版征管系统申报征收说明书（二）征管软件说明书252005 版征管系统税收计会说明书（三）征管软件说明书262005 版征管系统税务管理说明书（四）征管软件说明书272005 版征管系统征收管理说明书（五）征管软件说明书282005 版征管系统文书审批说明书（六）征管软件说明书292005 版征管系统基层查询说明书（七）征管软件说明书302005 版征管系统设置说明书（八）征管软件说明书312005 版征管系统典

59、型业务说明书（九）征管软件说明书4.5人员资产赋值人员资产赋值密性赋值XX 主任作为整个信息中心的主管领导，可以涉及到信息中心的所有重要信息，保密性要求最高设为；副主任级领导及重要设备管理人员，因为可以涉及大部分重要信息，保密性要求相对较高设为；其它普通管理人员，保密要求相对不高设为；XX市地税局信息系统资产评估报告第 39 页 共 41 页可用性赋值XX 主任作为整个信息中心的主管领导，职责要求最高，可用性为；副主任级领导可用性设为；重要设备管理人员可用性设为；一般管理人员可用性设为；其它普通维护人员，保密要求相对不高，设为；完整性赋值XX 主任作为整个信息中心的主管领导，职责要求最高，完整

60、性为；副主任级领导完整性设为；重要设备管理人员完整性设为；一般管理人员完整性设为；序号序号人人员员名称名称所属部所属部门门人人员职务员职务保密性保密性可用性可用性完整性完整性资产资产等等级级1信息中心主任4552信息中心副主任3333信息中心副主任3334信息中心组长3445信息中心科员2446信息中心科员2227信息中心科员2448信息中心科员35559信息中心科员3333XX市地税局信息系统资产评估报告第 40 页 共 41 页关键资产7%重要资产55%普通资产33%次要资产5%关键资产重要资产普通资产次要资产5 地税信息资产统计分析地税信息资产统计分析5.1资产价值分布资产价值分布关键资产重要资产普通资产次要资产54326442745.2分段价值分布分段价值分布硬件资产软件资产XX市地税局信息系统资产评估报告第 41 页 共 41 页数据资产文档资产人员资产5.3资产分类对比资产分类对比05101520253035硬件资产数据资产人员资产数量最低值最高值平均值XX市地税局信息系统资产评估报告第 42 页 共 41 页资产分类数量最低值最高值平均值硬件资产25253.8软件资产15343.7数据资产1555文档资产31343.3人员资产9253.6