《信息安全风险评估报告(完整资料)》由会员分享,可在线阅读,更多相关《信息安全风险评估报告(完整资料)(8页珍藏版)》请在金锄头文库上搜索。
1、-WORD 格式 -可编辑 -专业资料-【最新整理,下载后即可编辑】XXXXX 公司 信息安全风险评估报告历史版本编制、审核、批准、发布实施、分发信息记录表版本号V1.0V1.1编制人/创建日期XXXX2017.2.16XXX2017.9.15/审核人/审核日期XXXX2017.2.16XXXX2017.9.15/批准人/批准日期XXXX2017.2.16XXXX2017.9.15/发布日期/ 实施日期2017/2/162017/9/15/分发编号原稿修订稿-完整版学习资料分享-WORD 格式 -可编辑 -专业资料-/一. 风险项目综述1. 企业名称: XXXXX 公司2. 企业概况:XXXX
2、X 公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持与服务的企业。3. ISMS 方针:预防为主,共筑信息安全;完善管理,赢得顾客 信赖。4. ISMS 范围:计算机应用软件开发,网络安全产品设计/开发, 系统集成及服务的信息安全管理。二. 风险评估目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平 , 进 行本次风险评估。三. 风险评估日期:2017-9-10 至 2017-9-15四. 评估小组成员XXXXXXX。五. 评估方法综述1、 首先由信息安全管理小组牵头组建风险评估小组;-完整版学习资料分享-WORD 格
3、式 -可编辑 -专业资料-2、 通过咨询公司对风险评估小组进行相关培训;3、 根据我们的信息安全方针、范围制定信息安全风险管理程序,以这个程序作为我们风险评估的依据和方法;4、 各部门识别所有的业务流程,并根据这些业务流程进行资产识别,对识别的资产进行打分形成重要资产清单;5、 对每个重要资产进行威胁、脆弱性识别并打分,并以此得 到资产的风险等级;6、 根 据 风 险 接 受 准 则 得 出 不 可 接 受 风 险 , 并 根 据 标 准 ISO27001:2013 的附录 A 制定相关的风险控制措施;7、 对于可接受的剩余风险向公司领导汇报并得到批准。六. 风险评估概况根据第一阶段审核结果,
4、修订了信息安全风险管理程序,根据新修订程序文件,再次进行了风险评估工作从 2017 年 9 月 10日开始进入风险评估阶段,到 2017 年 9 月 15 日止基本工作告 一段落。主要工作过程如下:1. 2017-9-10 2017-9-10 ,风险评估培训;2. 2017-9-11 2017-9-11 ,公司评估小组制定信息安全风险管理 程序,制定系统化的风险评估方法;3. 2017-9-12 2017-9-12 ,本公司各部门识别本部门信息资产,并对信息资产进行等级评定,其中资产分为物理资产、软件资产、数据资产、文档资产、无形资产,服务资产等共六大类;4. 2017-9-13 2017-9
5、-13 ,本公司各部门编写风险评估表,识别信-完整版学习资料分享-WORD 格式 -可编辑 -专业资料-息资产的脆弱性和面临的威胁,评估潜在风险,并在 ISMS 工 作组内审核;5. 2017-9-14 2017-9-14 ,本公司各部门实施人员、部门领导或其 指定的代表人员一起审核风险评估表;6. 2017-9-15 2017-9-15,各部门修订风险评估表,识别重大风险,制定控制措施;ISMS 工作组组织审核,并最终汇总形成本报告。.七. 风险评估结果统计本次风险评估情况详见各部门“风险评估表”,其中共识别出资产 190 个,重要资产 115 个,信息安全风险 115 个,不可接 受风险
6、42 个.表 1 资产面临的威胁和脆弱性汇总表资产分类 威胁 脆弱性名称丢失存储不当导致无法检索 文件管理不当员工信息保密意识不够文档资产 泄密 没有设置登录口令涉密信息无加密措施火灾 易燃烧偷盗 文件存放区域防护不当存储不当导致无法检索丢失 没有进行备份数据资产误操作将其删除泄密-完整版学习资料分享-员工信息保密意识不够 电脑没有设置登录口令资产分类-WORD 格式 -可编辑 -专业资料- 威胁脆弱性名称或者屏幕保护文件未进行加密 权限设置不合理篡改 无备份策略非法访问 弱身份验证机制未安装杀毒软件 杀毒软件设置不合理恶意代码和病毒 杀毒软件未及时更新对网站下载或上传控制 不当恶意代码和网络
7、攻 软件存在漏洞击未及时安装补丁 设计缺陷,使用、保护措软件资产运行故障、意外错误 施不当未及时安装补丁信息丢失 无备份未安装杀毒软件 杀毒软件设置不合理恶意代码和病毒 杀毒软件未及时更新对网站下载或上传控制 不当软件故障设计缺陷,使用、保护措 施不当非法访问 弱身份验证机制员工信息保护意识不够硬件资产泄密非授权使用设备故障丢失-完整版学习资料分享-没有设置登录口令 权限设置不合理 涉密信息无加密措施 设备物理保护措施不当 设备使用和管理不当 设备管理不当资产分类-WORD 格式 -可编辑 -专业资料- 威胁脆弱性名称非法访问、网络攻击保管不善防火墙或入侵检测软件 配置不合理权限设置不合理 弱
8、身份验证机制 杀毒软件更新不及时恶意代码、病毒 杀毒软件设置不正确没有安装入侵检测软件 UPS 持续时间不能满足断电 要求UPS 不能定期维护异常断电 设备维护不当储存电能不够 设计缺陷线路不通 布线不规范防火墙或入侵检测软件非法访问、网络攻击配置不合理 权限设置不合理服务资产弱身份验证机制 杀毒软件更新不及时恶意代码、病毒 杀毒软件设置不正确没有安装入侵检测软件八 风险处理计划根据本次风险评估结果,对不可接受风险进行处理。在选取控制措施和方法时,结合公司财力、物力和资产重要度等级等各种因素,制定了风险处理计划。公司各部门针对不可接受风险,公司组织各部门制定风险处置计划,经各部门讨论确认,管理者代表批准后实施。风险处置计划制定情况详见风险处置计划。 九. 残余风险-完整版学习资料分享-WORD 格式 -可编辑 -专业资料-在采取相关管理和技术措施后,经再次风险评估,不可接受风险采取措施后的残余风见各部门信息安全残余风险评估表。对于中等及以上的残余风险,若确定为接受的 , 需要经过管理者代表批 准。根据残余风险评估结果,采取措施后,残余风险等级均为低, 经评审确定这些残余风险均为可接受风险。-完整版学习资料分享-
