信息安全風(fēng)險評估報告

1、XXXXX公司信息平安風(fēng)險評估報告歷史版本編制、審核、批準(zhǔn)、發(fā)布實施、分發(fā)信息記錄表版本號編制人/創(chuàng)立日期審核人/精審核日期謎批準(zhǔn)人/批準(zhǔn)日期發(fā)布日期/實施日期分發(fā)編號V1.0XXXX2021.2.16XXXX2021.2.16XXXX2021.2.162021/2/16原稿V1.1XXX2021.9.15XXXX2021.9.15XXXX2021.9.152021/9/15修訂稿/一.風(fēng)險工程綜述1. 企業(yè)名稱：XXXXX 公司2. 企業(yè)概況：XXXXX公司是一家致力于計算機軟件產(chǎn)品的開發(fā)與銷售、計算機信息系統(tǒng)集成及技術(shù)支持與 效勞的企業(yè)。3. ISMS方針：預(yù)防為主，共筑信息平安；完善管理

2、，贏得顧客信賴。4. ISMS范圍：計算機應(yīng)用軟件開發(fā)，網(wǎng)絡(luò)平安產(chǎn)品設(shè)計 /開發(fā)，系統(tǒng)集成及效勞的信息平安管理。風(fēng)險評估目的為了在考慮控制本錢與風(fēng)險平衡的前提下選擇適宜的控制目標(biāo)和控制方式，將信息平安風(fēng)險控制在可 接受的水平 , 進行本次風(fēng)險評估。三 . 風(fēng)險評估日期：2021-9-10 至 2021-9-15四 . 評估小組成員XXXXXX。五 . 評估方法綜述1、首先由信息平安管理小組牽頭組建風(fēng)險評估小組；2、通過咨詢公司對風(fēng)險評估小組進行相關(guān)培訓(xùn)；3、根據(jù)我們的信息平安方針、 范圍制定信息平安風(fēng)險管理程序， 以這個程序作為我們風(fēng)險評估的依據(jù)和方 法；4、各部門識別所有的業(yè)務(wù)流程， 并根據(jù)

3、這些業(yè)務(wù)流程進行資產(chǎn)識別， 對識別的資產(chǎn)進行打分形成重要資產(chǎn) 清單；5、對每個重要資產(chǎn)進行威脅、脆弱性識別并打分，并以此得到資產(chǎn)的風(fēng)險等級；6、 根據(jù)風(fēng)險接受準(zhǔn)那么得出不可接受風(fēng)險，并根據(jù)標(biāo)準(zhǔn)£027001:2021的附錄A制定相關(guān)的風(fēng)險控制措施;7、對于可接受的剩余風(fēng)險向公司領(lǐng)導(dǎo)匯報并得到批準(zhǔn)。六 . 風(fēng)險評估概況 根據(jù)第一階段審核結(jié)果，修訂了信息平安風(fēng)險管理程序，根據(jù)新修訂程序文件，再次進行了風(fēng)險評估工作 從2021年9月10日開始進入風(fēng)險評估階段，到 20 1 7年9月1 5日止根本工作告一段落。主要工作過程如 下：1. 2021-9-10 2021-9-10 ，風(fēng)險評估培訓(xùn);

4、精選2. 2021-9-11 2021-9-11 ，公司評估小組制定?信息平安風(fēng)險管理程序? ，制定系統(tǒng)化的風(fēng)險評估方法;3. 2021-9-12 2021-9-12，本公司各部門識別本部門信息資產(chǎn)，并對信息資產(chǎn)進行等級評定，其中資產(chǎn)分為 物理資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)、文檔資產(chǎn)、無形資產(chǎn)，效勞資產(chǎn)等共六大類；4. 2021-9-132021-9-13，本公司各部門編寫風(fēng)險評估表，識別信息資產(chǎn)的脆弱性和面臨的威脅，評估潛在 風(fēng)險，并在ISMS工作組內(nèi)審核；5. 2021-9-142021-9-14 ，本公司各部門實施人員、部門領(lǐng)導(dǎo)或其指定的代表人員一起審核風(fēng)險評估表；6. 2021-9-1520

5、21-9-15 ，各部門修訂風(fēng)險評估表，識別重大風(fēng)險，制定控制措施；ISMS工作組組織審核，并最終匯總形本錢報告。七. 風(fēng)險評估結(jié)果統(tǒng)計本次風(fēng)險評估情況詳見各部門“風(fēng)險評估表，其中共識別出資產(chǎn)190個，重要資產(chǎn)115個，信息平安風(fēng) 險115個，不可接受風(fēng)險42個.表1資產(chǎn)面臨的威脅和脆弱性匯總表資產(chǎn)分類威脅脆弱性名稱文檔資產(chǎn)喪失存儲不當(dāng)導(dǎo)致無法檢索文件管理不當(dāng)泄密員工信息保密意識不夠沒有設(shè)置登錄口令涉密信息無加密措施火災(zāi)易燃燒偷盜文件存放區(qū)域防護不當(dāng)數(shù)據(jù)資產(chǎn)喪失存儲不當(dāng)導(dǎo)致無法檢索沒有進行備份誤操作將其刪除泄密精選員工信息保密意識不夠電腦沒有設(shè)置登錄口令或者屏幕保護文件未進行加密權(quán)限設(shè)置不合理

6、資產(chǎn)分類威脅脆弱性名稱篡改無備份策略非法訪問弱身份驗證機制惡意代碼和病毒未安裝殺毒軟件殺毒軟件設(shè)置不合理殺毒軟件未及時更新對網(wǎng)站下載或上傳控制不當(dāng)軟件資產(chǎn)惡意代碼和網(wǎng)絡(luò)攻擊軟件存在漏洞未及時安裝補丁運行故障、意外錯誤設(shè)計缺陷，使用、保護措施不當(dāng)未及時安裝補丁信息喪失無備份惡意代碼和病毒未安裝殺毒軟件殺毒軟件設(shè)置不合理殺毒軟件未及時更新對網(wǎng)站下載或上傳控制不當(dāng)軟件故障設(shè)計缺陷，使用、保護措施不當(dāng)非法訪問弱身份驗證機制泄密員工信息保護意識不夠沒有設(shè)置登錄口令權(quán)限設(shè)置不合理涉密信息無加密措施硬件資產(chǎn)非授權(quán)使用設(shè)備物理保護措施不當(dāng)設(shè)備故障設(shè)備使用和管理不當(dāng)喪失設(shè)備管理不當(dāng)保管不善非法訪問、網(wǎng)絡(luò)攻擊防火

7、墻或入侵檢測軟件配置不合理權(quán)限設(shè)置不合理弱身份驗證機制惡意代碼、病毒精選殺毒軟件更新不及時殺毒軟件設(shè)置不正確沒有安裝入侵檢測軟件斷電UPS持續(xù)時間不能滿足要求資產(chǎn)分類威脅脆弱性名稱UPS不能定期維護異常斷電設(shè)備維護不當(dāng)儲存電能不夠設(shè)計缺陷線路不通布線不標(biāo)準(zhǔn)效勞資產(chǎn)非法訪問、網(wǎng)絡(luò)攻擊防火墻或入侵檢測軟件配置不合理權(quán)限設(shè)置不合理弱身份驗證機制惡意代碼、病毒殺毒軟件更新不及時殺毒軟件設(shè)置不正確沒有安裝入侵檢測軟件八. 風(fēng)險處理方案根據(jù)本次風(fēng)險評估結(jié)果，對不可接受風(fēng)險進行處理。在選取控制措施和方法時，結(jié)合公司財力、物力和資 產(chǎn)重要度等級等各種因素，制定了風(fēng)險處理方案。公司各部門針對不可接受風(fēng)險，公司組織各部門制定?風(fēng)險 處置方案?，經(jīng)各部門討論確認，管理者代表批準(zhǔn)后實施。風(fēng)險處置方案制定情況詳見?風(fēng)險處置方案?九. 剩余風(fēng)險在采取相關(guān)管理和技術(shù)措施后，經(jīng)再次風(fēng)險評估，