信息安全風(fēng)險(xiǎn)評估報(bào)告

1、XXXXX公司文件編號XXXX /ISMS-D-020信息安全風(fēng)險(xiǎn)評估報(bào)告密級保密XXXXX公司信息安全風(fēng)險(xiǎn)評估報(bào)告歷史版本編制、審核、批準(zhǔn)、發(fā)布實(shí)施、分發(fā)信息記錄表版本號編制人/創(chuàng)建日期審核人/審核日期批準(zhǔn)人/批準(zhǔn)日期發(fā)布日期/實(shí)施日期分發(fā)編號V1.0XXXX2017.2.16XXXX2017.2.16XXXX2017.2.162017/2/16原稿V1.1XXX2017.9.15XXXX2017.9.15XXXX2017.9.152017/9/15修訂稿/一. 風(fēng)險(xiǎn)項(xiàng)目綜述1. 企業(yè)名稱: XXXXX公司2. 企業(yè)概況：XXXXX公司是一家致力于計(jì)算機(jī)軟件產(chǎn)品的開發(fā)與銷售、計(jì)算機(jī)信息系統(tǒng)集

2、成及技術(shù)支持與服務(wù)的企業(yè)。3. ISMS方針：預(yù)防為主，共筑信息安全；完善管理，贏得顧客信賴。4. ISMS范圍：計(jì)算機(jī)應(yīng)用軟件開發(fā)，網(wǎng)絡(luò)安全產(chǎn)品設(shè)計(jì)/開發(fā)，系統(tǒng)集成及服務(wù)的信息安全管理。二. 風(fēng)險(xiǎn)評估目的為了在考慮控制成本與風(fēng)險(xiǎn)平衡的前提下選擇合適的控制目標(biāo)和控制方式，將信息安全風(fēng)險(xiǎn)控制在可接受的水平,進(jìn)行本次風(fēng)險(xiǎn)評估。三. 風(fēng)險(xiǎn)評估日期：2017-9-10至2017-9-15四. 評估小組成員XXXXXXX。五. 評估方法綜述1、 首先由信息安全管理小組牽頭組建風(fēng)險(xiǎn)評估小組；2、 通過咨詢公司對風(fēng)險(xiǎn)評估小組進(jìn)行相關(guān)培訓(xùn)；3、 根據(jù)我們的信息安全方針、范圍制定信息安全風(fēng)險(xiǎn)管理程序，以這個程序

3、作為我們風(fēng)險(xiǎn)評估的依據(jù)和方法；4、 各部門識別所有的業(yè)務(wù)流程，并根據(jù)這些業(yè)務(wù)流程進(jìn)行資產(chǎn)識別，對識別的資產(chǎn)進(jìn)行打分形成重要資產(chǎn)清單；5、 對每個重要資產(chǎn)進(jìn)行威脅、脆弱性識別并打分，并以此得到資產(chǎn)的風(fēng)險(xiǎn)等級；6、 根據(jù)風(fēng)險(xiǎn)接受準(zhǔn)則得出不可接受風(fēng)險(xiǎn)，并根據(jù)標(biāo)準(zhǔn)ISO27001:2013的附錄A制定相關(guān)的風(fēng)險(xiǎn)控制措施；7、 對于可接受的剩余風(fēng)險(xiǎn)向公司領(lǐng)導(dǎo)匯報(bào)并得到批準(zhǔn)。六. 風(fēng)險(xiǎn)評估概況根據(jù)第一階段審核結(jié)果，修訂了信息安全風(fēng)險(xiǎn)管理程序，根據(jù)新修訂程序文件，再次進(jìn)行了風(fēng)險(xiǎn)評估工作從2017年9月10日開始進(jìn)入風(fēng)險(xiǎn)評估階段，到2017年9月15日止基本工作告一段落。主要工作過程如下：1. 2017-9-

4、10 2017-9-10，風(fēng)險(xiǎn)評估培訓(xùn)；2. 2017-9-11 2017-9-11，公司評估小組制定信息安全風(fēng)險(xiǎn)管理程序，制定系統(tǒng)化的風(fēng)險(xiǎn)評估方法；3. 2017-9-12 2017-9-12，本公司各部門識別本部門信息資產(chǎn)，并對信息資產(chǎn)進(jìn)行等級評定，其中資產(chǎn)分為物理資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)、文檔資產(chǎn)、無形資產(chǎn)，服務(wù)資產(chǎn)等共六大類；4. 2017-9-13 2017-9-13，本公司各部門編寫風(fēng)險(xiǎn)評估表，識別信息資產(chǎn)的脆弱性和面臨的威脅，評估潛在風(fēng)險(xiǎn)，并在ISMS工作組內(nèi)審核；5. 2017-9-14 2017-9-14，本公司各部門實(shí)施人員、部門領(lǐng)導(dǎo)或其指定的代表人員一起審核風(fēng)險(xiǎn)評估表；6

5、. 2017-9-15 2017-9-15，各部門修訂風(fēng)險(xiǎn)評估表，識別重大風(fēng)險(xiǎn)，制定控制措施；ISMS工作組組織審核，并最終匯總形成本報(bào)告。. 七. 風(fēng)險(xiǎn)評估結(jié)果統(tǒng)計(jì) 本次風(fēng)險(xiǎn)評估情況詳見各部門“風(fēng)險(xiǎn)評估表”，其中共識別出資產(chǎn)190個，重要資產(chǎn)115個，信息安全風(fēng)險(xiǎn)115個，不可接受風(fēng)險(xiǎn)42個.表1 資產(chǎn)面臨的威脅和脆弱性匯總表資產(chǎn)分類威脅脆弱性名稱文檔資產(chǎn)丟失存儲不當(dāng)導(dǎo)致無法檢索文件管理不當(dāng)泄密員工信息保密意識不夠沒有設(shè)置登錄口令涉密信息無加密措施火災(zāi)易燃燒偷盜文件存放區(qū)域防護(hù)不當(dāng)數(shù)據(jù)資產(chǎn)丟失存儲不當(dāng)導(dǎo)致無法檢索沒有進(jìn)行備份誤操作將其刪除泄密員工信息保密意識不夠電腦沒有設(shè)置登錄口令或者屏幕保

6、護(hù)文件未進(jìn)行加密權(quán)限設(shè)置不合理篡改無備份策略非法訪問弱身份驗(yàn)證機(jī)制惡意代碼和病毒未安裝殺毒軟件殺毒軟件設(shè)置不合理殺毒軟件未及時(shí)更新對網(wǎng)站下載或上傳控制不當(dāng)軟件資產(chǎn)惡意代碼和網(wǎng)絡(luò)攻擊軟件存在漏洞未及時(shí)安裝補(bǔ)丁運(yùn)行故障、意外錯誤設(shè)計(jì)缺陷，使用、保護(hù)措施不當(dāng)未及時(shí)安裝補(bǔ)丁信息丟失無備份惡意代碼和病毒未安裝殺毒軟件殺毒軟件設(shè)置不合理殺毒軟件未及時(shí)更新對網(wǎng)站下載或上傳控制不當(dāng)軟件故障設(shè)計(jì)缺陷，使用、保護(hù)措施不當(dāng)非法訪問弱身份驗(yàn)證機(jī)制泄密員工信息保護(hù)意識不夠沒有設(shè)置登錄口令權(quán)限設(shè)置不合理涉密信息無加密措施硬件資產(chǎn)非授權(quán)使用設(shè)備物理保護(hù)措施不當(dāng)設(shè)備故障設(shè)備使用和管理不當(dāng)丟失設(shè)備管理不當(dāng)保管不善非法訪問、網(wǎng)絡(luò)

7、攻擊防火墻或入侵檢測軟件配置不合理權(quán)限設(shè)置不合理弱身份驗(yàn)證機(jī)制惡意代碼、病毒殺毒軟件更新不及時(shí)殺毒軟件設(shè)置不正確沒有安裝入侵檢測軟件斷電UPS持續(xù)時(shí)間不能滿足要求UPS不能定期維護(hù)異常斷電設(shè)備維護(hù)不當(dāng)儲存電能不夠設(shè)計(jì)缺陷線路不通布線不規(guī)范服務(wù)資產(chǎn)非法訪問、網(wǎng)絡(luò)攻擊防火墻或入侵檢測軟件配置不合理權(quán)限設(shè)置不合理弱身份驗(yàn)證機(jī)制惡意代碼、病毒殺毒軟件更新不及時(shí)殺毒軟件設(shè)置不正確沒有安裝入侵檢測軟件8 風(fēng)險(xiǎn)處理計(jì)劃根據(jù)本次風(fēng)險(xiǎn)評估結(jié)果，對不可接受風(fēng)險(xiǎn)進(jìn)行處理。在選取控制措施和方法時(shí)，結(jié)合公司財(cái)力、物力和資產(chǎn)重要度等級等各種因素，制定了風(fēng)險(xiǎn)處理計(jì)劃。公司各部門針對不可接受風(fēng)險(xiǎn)，公司組織各部門制定風(fēng)險(xiǎn)處置計(jì)劃，經(jīng)各部門討論確認(rèn)，管理者代表批準(zhǔn)后實(shí)施。風(fēng)險(xiǎn)處置計(jì)劃制定情況詳見風(fēng)險(xiǎn)處置計(jì)劃。九. 殘余風(fēng)險(xiǎn)在采取相關(guān)管理和技術(shù)措施后，經(jīng)再次風(fēng)