03風(fēng)險評估報告

1、信息平安及隱私風(fēng)險評估報告QR 2020.10報告日期：2020年10月31日一、風(fēng)險評估綜述1企業(yè)名稱*科技2、信息平安管理體系方針全員參與、明確責(zé)任、預(yù)防為主、快速響應(yīng)、風(fēng)險管控、持續(xù)改進。3、信息平安風(fēng)險評估范圍公司信息平安管理體系范圍覆蓋的各相關(guān)部門及其信息資產(chǎn)。二、風(fēng)險評估目的通過科學(xué)的方法對公司存在隱私風(fēng)險進行評估，以便于制定出適合的方法，找 到最合適的控制措施來對風(fēng)險進行控制，以降低風(fēng)險，到達提高公司隱私信息平安 的目的。三、風(fēng)險評估日期2020年10月23日至2020年10月31日四、評估小組成員參與本次評估的人員包括管理者代表、各部門經(jīng)理、信息平安工程組成員。組員：五、評估方

2、法綜述評估小組采用定性和定量相結(jié)合的方法對公司各方面進行評估。評估流程如下：7編寫風(fēng)險評估報告 6計算、評價風(fēng)險5估計可能性和影響4識別評價防護措施3識別威脅和脆弱性2識別評價資產(chǎn)1評估準(zhǔn)備工作六、評估具體方法及實施1、組織的資產(chǎn)評估方法：a、識別在評估范圍內(nèi)的資產(chǎn)。對于在范圍內(nèi)的每一項資產(chǎn)都要恰當(dāng)統(tǒng)計；不在 本次評估范圍內(nèi)的資產(chǎn)，也要進行記錄；b、要注意資產(chǎn)之間的關(guān)聯(lián)，有時候關(guān)聯(lián)和資產(chǎn)本身同等重要；c、按一定的標(biāo)準(zhǔn)，將信息資產(chǎn)進行恰當(dāng)?shù)姆诸?，在此基礎(chǔ)上進行下一步的風(fēng)險 評估工作。2、資產(chǎn)重要度評估方法：對資產(chǎn)的等級進行定義，并表示成相對等級的形式:資產(chǎn) 等級標(biāo)識相對價值范圍定義4很高(21,

3、27該類資產(chǎn)假設(shè)發(fā)生泄露、損壞、喪失或無法使 用，會給組織造成無法挽回或極其嚴(yán)重的損失。3高(15,21會給公司造成重大的經(jīng)濟損失。2般(9,15會給公司造成一定的經(jīng)濟損失。1低0,9不會給公司造成經(jīng)濟損失或只有極低的損失。決定資產(chǎn)重要度時，需要考慮：a、不僅要考慮資產(chǎn)的本錢價格，也要考慮資產(chǎn)對于組織業(yè)務(wù)的平安重要性, 即根據(jù)資產(chǎn)損失所引發(fā)的潛在的影響來決定;b、為確保資產(chǎn)重要度的一致性和準(zhǔn)確性，建立一個標(biāo)準(zhǔn)的尺度，以明確如何 對資產(chǎn)的重要度進行評估。c、分析和評價資產(chǎn)受到侵害后的保密性、完整性和可用性損失，通過對三個 屬性(保密性、完整性、可用性)進行賦值，并取MAX值的方式，確定出資產(chǎn)的重

4、 要度等級。3、資產(chǎn)面臨的威脅、威脅可以利用的脆弱性的評估方法：a、分析本公司的信息系統(tǒng)存在威脅。b、綜合威脅來源、種類和其他因素后得出威脅列表；c、針對每一項需要保護的信息資產(chǎn)，找出可能面臨的威脅。d、在識別資產(chǎn)所面臨的威脅時，應(yīng)該考慮下面三個方面的資料和信息來源：(1)通過過去的平安事件報告或記錄，統(tǒng)計各種發(fā)生過的威脅和其發(fā)生頻(2)在公司實際環(huán)境中，通過IDS系統(tǒng)獲取的威脅發(fā)生數(shù)據(jù)的統(tǒng)計和分析，各種 日志中威脅發(fā)生的數(shù)據(jù)的統(tǒng)計和分析；(3)過去一年或兩年來國際機構(gòu)發(fā)布的對于整個社會或待定行業(yè)平安威脅發(fā) 生頻率的統(tǒng)計數(shù)據(jù)均值。f、按照GB/T 22080-2016 IDT ISO/IEC

5、27001等標(biāo)準(zhǔn)的平安管理要求對現(xiàn)有 的平安管理制度及其執(zhí)行情況進行檢查，發(fā)現(xiàn)其中的管理漏洞和缺乏，進行管理脆 弱性識別。g、對網(wǎng)絡(luò)設(shè)備和主機進行人工檢查識別技術(shù)脆弱性。4、識別與分析控制措施的方法：a、對組織已經(jīng)采取的控制措施進行識別，并對其有效性進行確認(rèn)。將控制措 施分為預(yù)防性控制措施和保護性控制措施。預(yù)防性控制措施可以降低威脅發(fā)生的可 能性和減少平安脆弱性，而保護性控制措施可以減少因威脅發(fā)生所造成的影響。b、分析控制措施與已經(jīng)識別出的威脅和脆弱性的關(guān)系。5、確定發(fā)生的可能性a、可能性指潛在的脆弱性在相關(guān)威脅環(huán)境下被攻擊的可能性b、對可能性進行定義，表示成定性與賦值相對等級的形式。本公司采

6、取五個 級的定義方式:要素標(biāo)識發(fā)生的頻率等級威脅利用弱 點導(dǎo)致危害 的可能性很高出現(xiàn)的頻率很高（或21次/周）； 或在大多數(shù)情況下幾乎不可防止；或 可以證實經(jīng)常發(fā)生過5高出現(xiàn)的頻率較高（或巳1次/ 月）；或在大多數(shù)情況下很啟口能會 發(fā)生；或可以證實屢次發(fā)生過4一般出現(xiàn)的頻率中等（或1次/半 年）；或在某種情況下可能會發(fā)生； 或被證實曾經(jīng)發(fā)生過3低出現(xiàn)的頻率較??；或一般不太可 能發(fā)生；或沒有被證實發(fā)生過2很低威脅幾乎不可能發(fā)生；僅可能在 非常罕見和例外的情況下發(fā)生1c、評估威脅發(fā)生的可能性時根據(jù)統(tǒng)計數(shù)據(jù)來判斷為威脅發(fā)生的頻率或概率。重點考慮以下因素的影響：（1）資產(chǎn)的吸引力或資產(chǎn)轉(zhuǎn)化成報酬的容易

7、程度；（2）威脅的動機和能力；（3）脆弱性被利用的難易程度；（4）控制措施的存在和有效性。6、分析發(fā)生的影響：a、影響指對威脅和脆弱性一次成功攻擊所產(chǎn)生的負面影響。b、確定影響的等級定義，本公司采取五級定義方式：要素標(biāo)識嚴(yán)重程度等級脆弱性被威 脅利用后的 嚴(yán)重性很高如果被威脅利用，將對公司重要 資產(chǎn)造成重大損害5高如果被威脅利用，將對重要資產(chǎn) 造成一般損害4一般如果被威脅利用，將對一般資產(chǎn)3造成重要損害低如果被威脅利用，將對一般資產(chǎn) 造成一般損害2很低如果被威脅利用，將對資產(chǎn)造成 的損害可以忽略1C、由于資產(chǎn)重要度等級是計算風(fēng)險值的重要因子，因此確定影響時應(yīng)該重點考慮攻擊對資產(chǎn)本身傷害的嚴(yán)重程

8、度。d、對資產(chǎn)完整性、可用性和保密性的影響應(yīng)該分別考慮。7、計算風(fēng)險大?。篴、風(fēng)險值=資產(chǎn)等級+威脅性賦值+脆弱性賦值；b、風(fēng)險值根據(jù)5, 6步驟中定義的可能性和影響的賦值進行計算；c、評估的最終目的不是確定風(fēng)險數(shù)值的大小，而是明確不同威脅對資產(chǎn)產(chǎn)生 的風(fēng)險的相對值，即要確定不同風(fēng)險的優(yōu)先次序或等級，我公司風(fēng)險等級定義如下: 1214為高風(fēng)險，911為中風(fēng)險，38為低風(fēng)險。詳細見附錄一、二七、風(fēng)險評估概況1、評估涉及的部門本次風(fēng)險評估由于是公司組織的第一次風(fēng)險評估，因此，本次范圍涉及信息安 全及隱私體系范圍內(nèi)的所有相關(guān)部門。2、評估涉及的流程或系統(tǒng)評估涉及公司生產(chǎn)、運營及信息管理等方面的流程和

9、系統(tǒng)。3、資產(chǎn)情況本次評估主要針對公司與信息相關(guān)的資產(chǎn)，包括：實體資產(chǎn)、軟件資產(chǎn)、信息 資產(chǎn)、人員資產(chǎn)、服務(wù)資產(chǎn)。詳細見附錄一3、風(fēng)險情況公司存在風(fēng)險主要存在于高、中重要等級資產(chǎn)，貫穿于公司人力行政部、系統(tǒng) 運維部、財務(wù)部等各個部門，根據(jù)相關(guān)資產(chǎn)的重要度，結(jié)合威脅和脆弱性將公司存 在的信息隱私平安風(fēng)險劃分為高、中、低三個等級，其中：實體資產(chǎn)低風(fēng)險328個, 中風(fēng)險14個；軟件資產(chǎn)低風(fēng)險240個；信息資產(chǎn)低風(fēng)險309個，中風(fēng)險48個；人員資產(chǎn)低風(fēng)險62個，中風(fēng)險4個；服務(wù)資產(chǎn)低風(fēng)險16個。其中涉及PH風(fēng)險情況 如下表：資產(chǎn)類型名稱位置責(zé)任部門涉及PII信息資產(chǎn)各類銷售合同財務(wù)文件室財務(wù)部姓名、身

10、份證信息資產(chǎn)社保服務(wù)類合同人力文件室人力行政部姓名、身份證、 、社?？?、年齡信息資產(chǎn)薪酬數(shù)據(jù)文檔資料人力文件室人力行政部姓名、工資、年齡、身份證信息資產(chǎn)人事檔案人力文件室人力行政部姓名、生日、性別、滿足、郵箱等信息資產(chǎn)工程合同及報價單銷售文件室品牌拓展姓名、身份證信息資產(chǎn)項FI投標(biāo)書銷售文件室品牌拓展姓名、身份證信息資產(chǎn)客戶服務(wù)策略文檔策略文件室策略中心訂單信息：購買記錄、消費金額、消費產(chǎn)品、頻 次等。信息資產(chǎn)會員信息Ebrand系統(tǒng)研發(fā)中心（1）會員信息：姓名、 、年齡、民族等（2）訂單信息：購買記錄、消費金額、消費產(chǎn) 品、頻次等。八、風(fēng)險處理涉及PH的資產(chǎn)風(fēng)險處理處置情況如下:資產(chǎn)類型名稱

11、位置責(zé)任部門涉及PII潛在的風(fēng)險及處理信息資產(chǎn)各類銷售合同務(wù)文件財務(wù) 部姓名、身份證（1）風(fēng)險：銷售類合同財務(wù)部同事都可以接觸到，存在信息泄露 風(fēng)險。（2）處理：合同專人管理，查閱需要登記。室信息資產(chǎn)社保服務(wù)類合同人 力 文 件 室人力 行政 部姓名、身 份證、電 話、社保 卡、年齡（1）風(fēng)險：人力同事都可以接觸到，存在信息泄露風(fēng)險。（2）處理：由薪酬專人管理，非薪酬責(zé)任管理相關(guān)的人員不允許 查閱。人)人力姓名、工（1）風(fēng)險：人力同事都可以接觸到，存在信息泄露風(fēng)險。信息資產(chǎn)薪酬數(shù)據(jù)文檔資料文行政資、年齡、（2）處理：由薪酬專人管理，非薪酬責(zé)任管理相關(guān)的人員不允許件部身份證查閱。室信息資產(chǎn)人事檔

12、案人 力 文 件 室人力 行政 部姓名、生 日、性別、 滿足、郵 箱等（1）風(fēng)險：人力同事都可以接觸到，存在信息泄露風(fēng)險。（2）處理：由薪酬專人管理，非薪酬責(zé)任管理相關(guān)的人員不允許 查閱。信息資產(chǎn)工程合同及報價單銷 售 文品牌 拓展姓名、身 份證（1）風(fēng)險：銷售同事都可以接觸到，存在信息泄露風(fēng)險。（2）處理：由銷售助理專人管理，需要查閱須銷售總監(jiān)審批，非 銷售人員不允許查閱。件室信息資產(chǎn)工程投標(biāo)書銷 售 文 件 室品牌 拓展姓名、身份證(1)風(fēng)險：銷售同事都可以接觸到，存在信息泄露風(fēng)險。(2)處理：由銷售助理專人管理，需要查閱須銷售總監(jiān)審批，非 銷售人員不允許查閱。信息資產(chǎn)客戶服務(wù)策略文檔策

13、略 文 件 室策略 中心訂單信 息：購買 記錄、消 費金額、 消費產(chǎn) 品、頻次 等。(1)風(fēng)險：工程同事都可以接觸到，存在信息泄露風(fēng)險。(2)處理：由工程經(jīng)理專人管理，發(fā)送客戶過程中密文發(fā)送，對 文檔存放的地方進行權(quán)限管理，不再權(quán)限范圍內(nèi)的人員不允許查 閱。信息資產(chǎn)會員信息Ebr and 系 統(tǒng)研發(fā) 中心(1)會員 信息：姓 名、 、 年齡、民 族等(2)訂單 信息：購 買記錄、 消費金 額、消費 產(chǎn)品、頻 次等。(1)風(fēng)險：負責(zé)運維的以及開發(fā)同事在系統(tǒng)維護過程中可以接觸 至IJ,存在信息泄露風(fēng)險。(2)處理：對數(shù)據(jù)庫進行權(quán)限管理，只有研發(fā)總監(jiān)級別可接觸， 且每次接觸須走審批報備，經(jīng)CEO審批

14、；數(shù)據(jù)存儲的時限默認(rèn)是持 續(xù)，只要客戶服務(wù)持續(xù)，數(shù)據(jù)持續(xù)存儲，且未經(jīng)客方授權(quán)刪除一律 不允許處置。九、評估總結(jié)通過信息平安風(fēng)險評估能夠全面的發(fā)現(xiàn)公司組織內(nèi)部存在的威脅和脆弱性，識 別出公司存在信息平安風(fēng)險，針對風(fēng)險制定相應(yīng)的控制措施，同時為公司建立一套 風(fēng)險評估的科學(xué)的方法。本次風(fēng)險評估是公司第一次進行全面的信息平安風(fēng)險評估，公司由總經(jīng)理牽頭 建立評估小組，對評估工作進行周密的準(zhǔn)備，首先對公司與信息相關(guān)資產(chǎn)進行識別, 根據(jù)資產(chǎn)的重要度，對資產(chǎn)面臨的威脅和存在的脆弱性進行識別、描述，并對公司 現(xiàn)有的控制措施進行識別、評價。在對風(fēng)險進行分析、評估時，結(jié)合資產(chǎn)的重要度、 威脅、脆弱性評估出風(fēng)險發(fā)生的可能性、影響度，最終對資產(chǎn)