ISO27001最新版信息風(fēng)險評估表

"XXX有限公司

信息風(fēng)險評估表",,,,,,,,,,,

編制部門：風(fēng)險識別小組日期:202X.01.08批準(zhǔn):XXA/0,,,,,,,,,,,

,,,,,,,,,,,,

資產(chǎn)類別,資產(chǎn),威脅詳述,脆弱性詳述,現(xiàn)有控制措施說明,資產(chǎn)價值,影響,可能性,風(fēng)險值,風(fēng)險等級,優(yōu)先級,

,,,,,,,,,,,,

,,,,,,,,,,,,

硬件,辦公電腦,軟硬件故障,電腦使用時間過長；軟件沒有定期更新,"1.現(xiàn)有電腦配置較高;

2.制定網(wǎng)絡(luò)安全管理規(guī)定，電腦定期殺毒，軟件及時升級；

3.單獨存放；在辦公區(qū)域內(nèi)使用，裝有空調(diào)，定期打掃；

4.有口令管理系統(tǒng)；

5.采用屏幕保護措施；6.信息及時備份。

7.公司內(nèi)部有監(jiān)控系統(tǒng)，有保安人員24小時值班。",4,3,2,24,中,中,

,,惡意代碼、網(wǎng)絡(luò)攻擊,缺少定期替換計劃、容易受到電壓不穩(wěn)定的侵?jǐn)_、不充分的維護/存儲媒體的錯誤安裝、存儲沒有保護,,4,2,1,8,低,低,

,,物理環(huán)境影響（溫度過高、靜電、灰塵、潮濕、溫度、）、物理攻擊（物理破壞或盜竊）,物理環(huán)境控制達不到要求,,4,2,1,8,低,低,

,,越權(quán)使用,沒有口令系統(tǒng)或者口令系統(tǒng)不強壯；沒有采用屏幕保護措施,,4,1,2,8,低,低,

,,內(nèi)網(wǎng)病毒的感染及網(wǎng)絡(luò),帶刻錄的光驅(qū)、USB接口,,4,2,1,8,低,低,

,路由器,硬件故障,使用時間過長,"1.放置在獨立機房，鑰匙專人保管；在辦公區(qū)域內(nèi)使用，裝有空調(diào)；

2..公司內(nèi)部有監(jiān)控系統(tǒng)，有保安人員24小時值班。",3,2,1,6,低,低,

,,物理環(huán)境影響（溫度過高、靜電、灰塵、潮濕、溫度、鼠蟻蟲害）、物理攻擊（物理破壞或盜竊）,物理環(huán)境控制達不到要求,,3,2,2,12,低,低,

,交換機,硬件故障,使用時間過長,"1.放置在獨立機房，鑰匙專人保管；在辦公區(qū)域內(nèi)使用，裝有空調(diào)；

2.公司內(nèi)部有監(jiān)控系統(tǒng)，有保安人員24小時值班。",3,2,1,6,低,低,

,,物理環(huán)境影響（溫度過高、靜電、灰塵、潮濕、溫度、鼠蟻蟲害）、物理攻擊（物理破壞或盜竊）,物理環(huán)境控制達不到要求,,3,2,2,12,低,低,

,辦公區(qū)域,資料損壞或丟失，或私自翻閱/缺乏安全意識，處理時不小心,使用時間過長,"1.專人負(fù)責(zé)保管，建立制度，加強檢查，在辦公區(qū)域內(nèi)使用，裝有空調(diào)；定期打掃

2.公司內(nèi)部有監(jiān)控系統(tǒng)，有保安人員24小時值班。",3,2,1,6,低,低,

,,物理環(huán)境影響（溫度過高、靜電、灰塵、潮濕、溫度）、物理攻擊（物理破壞或盜竊）,物理環(huán)境控制達不到要求,,3,2,2,12,低,低,

軟件,操作系統(tǒng),設(shè)備硬件故障、傳輸設(shè)備故障、存儲媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障等,沒有軟件測試或測試不充分、軟件中存在眾所周知的缺陷、開發(fā)人員的說明不清,"1、軟件在專用服務(wù)器單獨儲存，專人保管

2、進行維護或使用的人員在維護或使用前進行培訓(xùn)

3、軟件實施前進行詳細(xì)的測試

4、制定明確的軟件操作使用規(guī)范

5、安裝殺毒軟件，防毒殺毒

6、根據(jù)崗位分配不同的使用權(quán)限，并要求使用人員設(shè)置密碼

7、與員工簽訂《員工員工保密協(xié)議》；制定《獎懲條例》，對違規(guī)者處罰

8、公司內(nèi)有監(jiān)控系統(tǒng)，有保安

9、制定《網(wǎng)絡(luò)安全管理辦法》，電腦定期殺毒，軟件及時升級

10、信息及時備份",3,2,1,6,低,低,

,,斷電、靜電、灰塵、潮濕、溫度、電磁干擾、洪災(zāi)、火災(zāi)、地震等,物理環(huán)境控制達不到要求,,3,2,1,6,低,低,

,,維護錯誤、操作失誤等,維護或操作人員使用不當(dāng),,3,2,1,6,低,低,

,,管理制度和策略不完善、管理規(guī)程缺失、職責(zé)不明確、監(jiān)督控管機制不健全等,缺乏相關(guān)制度,,3,2,1,6,低,低,

,,病毒、特洛伊木馬、蠕蟲、陷門、間諜軟件、竊聽軟件等,對下載或使用軟件不進行控制,,3,2,1,6,低,低,

,,非授權(quán)訪問網(wǎng)絡(luò)資源、非授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息等,口令未受保護,,3,2,1,6,低,低,

,,網(wǎng)絡(luò)探測和信息采集、漏洞探測、嗅探（帳號、口令、權(quán)限等）、用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運行的控制和破壞等,口令未受保護,,3,2,1,6,低,低,

,,物理接觸、物理破壞、盜竊等,物理環(huán)境控制達不到要求,,3,2,1,6,低,低,

,,內(nèi)部信息泄露、外部信息泄露等,缺少安全意識,,3,2,1,6,低,低,

,,篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息等,口令未受保護,,3,2,1,6,低,低,

,,原發(fā)抵賴、接受抵賴、第三方抵賴等,缺少安全意識,,3,2,2,12,低,低,

,應(yīng)用軟件,惡意代碼造成文件泄密或丟失,系統(tǒng)漏洞或?qū)阂獯a防范不夠,"1.集中存放管理

2.定期數(shù)據(jù)備份

3.文檔一般存儲在辦公區(qū)域，日常環(huán)境衛(wèi)生符合要求

4.設(shè)置防火墻策略

5.對惡意代碼的防范建立要求

6.對文件的訪問設(shè)立權(quán)限分配，并定期評審權(quán)限分配表

7.對口令管理建立明確要求

8.對所有人員進行信息安全意識培訓(xùn)

9.簽訂員工保密協(xié)議及確定懲罰措施

10、有專職人員公配備權(quán)限",3,2,1,6,低,低,

,,越權(quán)訪問（盜取口令、無意）,口令管理系統(tǒng)不夠強壯；訪問權(quán)限分配有誤；,,3,2,1,6,低,低,

,,人員有意或無意泄密,人員安全意識差；人員的道德素質(zhì)差,,3,2,1,6,低,低,

,,未經(jīng)授權(quán)的修改，造成文件誤用,缺乏對文件修改的有效控制機制,,3,2,1,6,低,低,

,,越權(quán)使用,權(quán)限的分配置管理不當(dāng),,3,2,1,6,低,低,

,,丟失,保存不當(dāng)，對下載和使用、存儲沒有保護、對拷貝沒有進行控制,專人保管，與員工簽訂《員工員工保密協(xié)議》；制定《獎懲條例》，對違規(guī)者處罰,3,2,1,6,低,低,

數(shù)據(jù),數(shù)據(jù),惡意代碼造成文件泄密或丟失,系統(tǒng)漏洞或?qū)阂獯a防范不夠,"1.集中存放管理

2.定期數(shù)據(jù)備份

3.文檔一般存儲在辦公區(qū)域，日常環(huán)境衛(wèi)生符合要求

4.設(shè)置防火墻策略

5.對惡意代碼的防范建立要求

6.對文件的訪問設(shè)立權(quán)限分配，并定期評審權(quán)限分配表

7.對口令管理建立明確要求

8.對所有人員進行信息安全意識培訓(xùn)

9.簽訂員工保密協(xié)議及確定懲罰措施

",3,2,1,6,低,低,

,,越權(quán)訪問（盜取口令、無意）,口令管理系統(tǒng)不夠強壯；訪問權(quán)限分配有誤；,,3,2,1,6,低,低,

,,人員有意或無意泄密,人員安全意識差；人員的道德素質(zhì)差,,3,2,1,6,低,低,

,,未經(jīng)授權(quán)的修改，造成文件誤用,缺乏對文件修改的有效控制機制,,3,2,1,6,低,低,

,,丟失,保存不當(dāng)，對下載和使用、存儲沒有保護、對拷貝沒有進行控制,專人保管，與員工簽訂《員工保密協(xié)議》；制定《獎懲條例》，對違規(guī)者處罰,3,2,1,6,低,低,

文檔,合同、協(xié)議、規(guī)范制度、員工資料、客戶信息,丟失,保存不當(dāng)，對下載和使用、存儲沒有保護、對拷貝沒有進行控制,專人保管，與員工簽訂《員工保密協(xié)議》；制定《獎懲條例》，對違規(guī)者處罰，掃描備份電子文檔,4,3,2,24,中,中,

,,由于潮濕、溫度、火災(zāi)、地震等原因造成損害,紙質(zhì)文件或一般的存儲介質(zhì)本身易損,定期檢查并妥善保管；專柜存儲,3,2,2,12,低,低,

人員,人員,意外事故、泄密、其他公司競爭,工作壓力大，缺乏鍛煉、行業(yè)知識的匱乏、病假、事假、出差、加班,"1、每周例會，工作分解；

2、企業(yè)文化建設(shè)（節(jié)日晚會，組織旅游活動等）

3、制定崗位說明書明確各崗位職責(zé)

4、雙休制度

5、薪酬、考核及福利體系等",4,4,2,32,高,高,

,,跳槽、辭職,公司不能提供更好的薪酬和發(fā)展空間；員工個人原因、工作壓力大，工作保密性和嚴(yán)謹(jǐn)性較高,"1、企業(yè)文化建設(shè)（節(jié)日晚會，組織旅游活動等）

2、薪酬、考核及福利體系等

3、雙休制",3,2,2,12,低,低,

,,外來人員,沒有及時陪同,外來人員登記，提前通知，專人接待，加強制度管理,3,2,2,12,低,低,

,,休假（病假、事假等）、泄密,員工工作壓力大，缺乏鍛煉；,"1、上級與員工的溝通交流

2、鼓勵員工加強娛樂活動.

3、不提倡加班",3,2,2,12,低,低,

服務(wù),外購服務(wù),網(wǎng)絡(luò)中斷，斷電，不穩(wěn)定/處理時不小心,網(wǎng)絡(luò)、電力中斷對工作產(chǎn)生的影響,保護設(shè)備使其免于由支持性設(shè)施的失效而引起的電源故障和其他中斷。服務(wù)協(xié)議中明確要求，設(shè)備巡檢，規(guī)范操作指南。,3,2,2,12,低,低,

無形資產(chǎn),無形資產(chǎn),"被人盜版銷售或使用,公司利益受損",國內(nèi)知識產(chǎn)權(quán)保護力度較弱,自有軟件已申請知識產(chǎn)權(quán)注冊，加強知識產(chǎn)權(quán)保護,3,2,2,12,低,低,

,,"由于人員工作態(tài)度或工作經(jīng)驗原因,造成工作質(zhì)量/客戶服務(wù)質(zhì)量/部門業(yè)績受影響",人員工作態(tài)度不認(rèn)真或工作經(jīng)驗不啼,"實施獎懲制度，增加培訓(xùn)，提高工作經(jīng)驗,改善工作態(tài)度，",3,2,2,12,低,低,

,,,,,,,,,,,