ISO27001：2013质量部信息安全风险评估记录

ISO27001-2013信息安全管理体系风险和机遇识别评价分析及应对措施控制程序1.目的和范围为了规定公司所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估本公司的信息安全风险，选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持业务持续性发展，以满足信息安全管理方针的要求，特制订本制度。

本制度适用信息安全管理体系范围内信息安全风险评估活动。

2.引用文件1)下列文件中的条款通过本制度的引用而成为本制度的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本制度，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本制度。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)ISO/IEC 27005:2008《信息技术-安全技术-风险管理》5)《GB/T 20984-2007信息安全风险评估指南》3.职责和权限1)信息安全管理领导小组：负责汇总确认《信息安全风险评估表》，并根据评估结果形成《信息安全风险评估报告》和《残余风险批示报告》。

2)公司全体员工：在信息安全管理领导小组协调下，负责本部门使用或管理的资产的识别和风险评估；负责本部门所涉及的资产的具体安全控制工作。

信息安全管理员在本部门信息资产发生变更时，需要及时清点和评估，并报送信息安全管理领导小组更新《信息安全风险评估表》。

4.风险管理方法通过定义风险管理方法，明确风险接受准则与等级，确保能产生可比较且可重复的风险评估结果。

（如图1）风险管理流程图图1风险管理流程图4.1.风险识别通过进行风险识别活动，识别了以下内容：1)识别了信息安全管理体系范围内的资产及其责任人；2)识别了资产所面临的威胁；3)识别了可能被威胁利用的脆弱点；4)识别了丧失保密性、完整性和可用性可能对资产造成的影响。

Information technology- Security techniques-Information security management systems-Requirements 信息技术-安全技术-信息安全管理体系-要求Foreword前言ISO (the International Organization for Standardization) and IEC (the International Electro technical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.ISO（国际标准化组织）和IEC（国际电工委员会）是为国际标准化制定专门体制的国际组织。

风险评估报告1.风险评估结论此次风险评估，以部门为评估单位。

评估共发现信息安全风险109个，经分析，确定109个风险中，86个为可以接受，23个为不可接受。

为消除不可接受的风险，相应的处理措施如下：1）督导风险责任部门针对流程的缺失制定切实可行的流程管理规范；2）设立责任人对风险点进行管理；3）信息安全体系负责人对识别的风险点加强监督检查；4）将风险设置为体系目标管理，并每季度进行不间断追踪；5）普及信息安全知识，加强信息安全管理制度的培训，培养信息安全管理核心人员。

2评估工作概述公司于20xx年3月16日至5月15日开展了信息安全风险自评估工作，本次风险评估工作以质量与运营管理部牵头开展，人力资源行政部、BPO业务中心、研发中心、技术中心、高管层参与了该项工作。

本次对研发中心、BPO业务中心，人力资源行政部、技术中心和质量与运营管理部五个部门进行了信息安全风险识别与评估。

3 评估依据和标准1) 信息安全技术信息安全风险评估规范（GB/T20984-2007）2) 信息技术——信息安全管理实施规范（ISO/IEC 27001:2005）3) 信息技术——信息安全管理实施细则（ISO/IEC 27002:2005）4) NK-MS-ISM-P01《信息资产管理规定》5) NK-MS-ISM-P02《风险管理过程文件》6) NK-MS-ISM-P05《法律合规性管理规定》4 风险评估4.1资产识别与评审本次以上次资产识别为基础，对涉及的部门进行了资产的更新，详见资产识别与评估表4.2识别并评价弱点弱点是资产本身存在的某种缺陷，一旦被外部威胁所利用，就可能使资产受到损害。

风险管理者需要识别每项资产本身所具有的弱点。

识别弱点之后，还需要确定弱点被利用后的严重性，严重性评价标准如下表：4.3识别并评价威胁威胁是利用弱点而侵害资产的外在因素。

威胁大致可分为人员威胁、系统威胁、环境威胁和自然威胁等几类，每一类里面都会有许多威胁形式。

ISO27001：2013信息安全风险管理程序XXXXXXXXX有限责任公司信息安全风险管理程序[XXXX-B-01]V1.0变更履历1 目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平，特制定本程序。

2 范围本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。

3 职责3.1 综合部负责牵头成立风险评估小组。

3.2 风险评估小组负责编制《信息安全风险评估计划》，确认评估结果，形成《信息安全风险评估报告》。

3.3 各部门负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉及的资产的具体安全控制工作。

4 相关文件《信息安全管理手册》《商业秘密管理程序》5 程序5.1 风险评估前准备5.1.1 成立风险评估小组综合部牵头成立风险评估小组，小组成员应包含信息安全重要责任部门的成员。

5.1.2 制定计划风险评估小组制定《信息安全风险评估计划》,下发各部门。

5.2 资产赋值5.2.1 部门赋值各部门风险评估小组成员识别本部门资产，并进行资产赋值。

5.2.2 赋值计算资产赋值的过程是对资产在保密性、完整性、可用性和法律法规合同上的达成程度进行分析，并在此基础上得出综合结果的过程。

5.2.3 保密性(C)赋值根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。

保密性分类赋值方法5.2.4 完整性(I)赋值根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。

完整性(I)赋值的方法。

信息安全风险评估报告INFORMATION SECURITY RISK ASSESSMENT REPORT2017年度编制：吴永娟审核：郭晓锋批准：季小秋2017年12月30日信息安全风险评估报告目录一、风险评估目的二、风险评估日期三、评估小组成员四、评估方法1. 综述2．术语3. 资产的识别4. 威胁及薄弱点的识别与评价5. 风险计算/确定风险等级五、风险评估概况1、本项目涉及的部门2、本项目涉及的流程或系统3、资产情况4、风险情况六、总结附加说明，附录：附录一《信息资产清单》。

附录二《重要信息资产清单》。

附录三《信息安全风险评估表》。

附录四《不可接受风险清单》附录五《风险处理计划》。

信息安全风险评估报告一、风险评估目的：为本公司依据GB/T22080-2008 IDT ISO27001:2013《信息技术-安全技术-信息安全管理体系要求》和GB/T22080-2008 IDT ISO27001:2005《信息技术-安全技术-信息安全管理体系实用规则》标准建立信息安全管理体系提供策划依据，并为信息安全管理体系的运行提供评审的输入及管理体系的持续改进提供依据，进行本次风险评估。

二、风险评估日期：2017.12.30三、评估小组成员：王旭、郭晓锋、张佳、吴永娟、张霞四、评估方法：本次信息安全风险评估采用定量的方法对资产进行识别，并对资产自身价值、信息类别、保密性、完整性、可用性、法律法规合同及其它要求的符合性方面进行分类赋值，综合考虑资产在自身价值、保密性、完整性、可用性和法律法规合同上的达成程度，在此基础上得出综合结果，根据制定的重要资产评价准则，确定重要资产。

对信息资产的威胁及薄弱点进行识别，并对威胁利用薄弱点发生安全事件的可能性，以及在资产自身价值、保密性、完整性、可用性、法律法规合同的符合性方面的潜在影响，并考虑现有的控制措施，进行赋值分析，确定风险等级和接受程度。

资产（Asset）是组织要保护的资产，它包括硬件、软件、系统、数据、文档、服务、人力资源等。

信息安全风险评估报告编号：SR-QP-07-5一、 风险评估目的通过信息安全风险评估能够全面的发现公司及信息系统存在的脆弱性及面临的威胁，并识别出公司存在的信息安全风险，并找到最合适的控制措施来对风险进行控制，以降低风险，达到提高公司信息安全水平的目的。

二、 风险评估范围及时间1、评估涉及的部门本次风险评估是公司组织的第一次风险评估，评估范围涉及信息安全体系范围内的所有相关部门。

2、评估涉及的流程或系统本次风险评估涉及公司研发、销售及信息管理等方面的流程和系统及其信息资产。

3、评估时间本次评估时间为：2020.6.10-2020.6.27。

三、 风险评估小组成员参与本次评估的人员包括各部门负责人、信息安全项目组成员。

四、 风险评估过程及方法评估小组采用定性和定量相结合的方法对公司各方面进行评估。

评估流程如下：1、资产识别：1) 识别在评估范围内的资产。

对于在范围内的每一项资产都要恰当统计；不在本次评估范围内的资产，也要进行记录；2)要注意资产之间的关联，有时候关联和资产本身同等重要；3)按一定的标准，将信息资产进行恰当的分类，在此基础上进行下一步的风险评估工作。

2、资产价值评估：对资产等级进行定义，并表示成相对等级的形式，详细请参见《风险评估方法与准则》。

决定资产重要度时，需要考虑：1)不仅要考虑资产的成本价格，也要考虑资产对于组织业务的安全重要性，即根据资产损失所引发的潜在的影响来决定；2)为确保资产重要度的一致性和准确性，建立一个标准的尺度，以明确如何对资产的重要度进行评估。

3)分析和评价资产受到侵害后的保密性、完整性、可用性、业务影响，通过对四个属性（保密性、完整性、可用性、业务影响）进行赋值，并求和的方式，确定出资产的重要度等级。

3、资产面临的威胁、威胁可以利用的脆弱性的评估：1)分析本公司的信息系统存在威胁。

2)综合威胁来源、种类和其他因素后得出威胁列表；3)针对每一项需要保护的信息资产，找出可能面临的威胁。

ISO27001-2013信息安全管理体系
风险评估报告
一、实施范围和时间
本公司ISMS所涉及的相关部门以及相关业务活动。

本此风险评估的实施时间为2019年3月16日至2019年3月20日。

二、风险评估方法
参照ISO/IEC27001和ISO/IEC27002标准，以及《GB/T 20984-2007信息安全技术信息安全风险评估规范》等，依据公司的《信息系统管理制度》确定的评估方法。

三、风险评估工作组
经信息中心批准，此次风险评估工作成员如下：
评估工作组组长：xxx
评估工作组成员：xxx、xxx 、xxx、xx
四、风险评估结果
4.1 信息资产清单
各部门的信息资产清单见部门信息资产清单。

4.2重要资产面临威胁和脆弱性汇总
重要资面临的威胁和脆弱性分别见附件一和附件二。

4.3风险结果统计
本次风险评估，共识别出信息安全风险9个，不可接受的风险2个，具体如下：
五、风险处理计划
风险处理计划见附件四
附件一：重要资产面临的威胁汇总表
表1-1：重要硬件资产威胁识别表
表1-2 重要应用系统资产威胁识别表
附件二：重要资产面临的脆弱性汇总表
表 2-1 重要资产脆弱性汇总表
附件三：风险评估问题列表
附件四：风险处理计划
根据本次风险评估结果，对不可接受的风险进行处理。

在选取控制措施和方法时，结合公司的财力、物力和资产的重要度等各种因素，制定如下风险处理计划。

该计划已经信息安全领导办公室审核批准。

JL0106-03
信息安全检查记录
检查日期2015.2.20 检查人员肖玉兰
行政部
检查项目检查情况问题验证公司信息安全的方针策略、程序、制度执行情况正常
检查对违规员工的处理意见目前尚无严重违规
纠正预防措施实施情况已实施，有记录
相关方保密管理工作有相关规定
安全区域管理情况分区划分，正常
涉密文档的管理正常
检查公司员工档案，新员工入职等审批工作正常
检查员工保密协议签署情况正常
检查关键员工离职流转情况正常
员工的考勤情况
检查审核员工假期的审批工作正常
财
务
部
财务数据管理正常
研发部服务器管理正常网络设施管理正常计算机安全管理正常互联网安全管理正常检查技术工具正常检查各个项目实施资料正常软件安全管理正常数据安全管理正常业务连续性情况正常权限变更情况正常
本次检查主要问题说明：
各部门均能按照信息安全管理体系要求，做好公司信息安全工作，未发现不附合情况，无超越权限，越权使用系统、使用数据的现象，未发生故障事态脆弱事件；未发生非授权的更改存储、处理和传输业务系统；未发生顾客保对于密性抱怨和投诉；未发生受控信息和私密信息泄露事
件。

检查人员：肖玉兰。

ISO27001信息安全体系记录清单ISO规定了信息安全记录的分类和保存期限，具体如下：合同类记录包括合同内容确认的记录、质量保证书等，保存期限为合同结束后3年。

定单类记录包括信息安全管理文件审批表、信息安全文件一览表、文件发放一览表、文件管理的记录等，保存期限为5年。

文件类记录包括文件修改通知单、外来文件清单、文件发布通知单等，保存期限为3年。

信息安全记录类记录包括信息安全记录一览表、记录管理的记录、记录借阅登记表、记录销毁记录表等，保存期限为3年。

信息安全风险评估类记录包括信息安全风险评估计划、信息资产识别与评估表、信息安全风险管理记录等，保存期限为2年。

控制措施有效性测量记录、信息安全测量管理记录、电脑日常检查表、机房环境及设备检查表、个人电脑自检表等记录保存期限为2年。

管理评审类记录包括管理评审记录、管理评审计划、管理评审报告等，保存期限为5年。

会议类记录包括会议签到表、会议记录等，保存期限为2年。

内部审核类记录包括内部审核计划、年度内审核计划、内部审核管理记录、内审检查表、不符合项报告、内部审核实施报告书、纠正措施管理记录、预防措施管理记录、预防措施计划书等，保存期限为3年。

用款申请实施报告书、信息处理设施安装使用管理记录、验收报告、硬件设备登记表等记录保存期限为5年。

第三方服务管理类记录包括第三方保护能力核查表、第三方保密协议、知识产权协议、外部人员入网申请单、第三方工作记录单、第三方服务变更报告等，保存期限为3年。

信息资产识别类记录包括信息资产识别表（文档）、信息资产识别表（硬件）、信息资产识别表（软件）等，保存期限为3年。

信息分类管理记录包括信息安全重要岗位一览表等，保存期限为2年。

以上记录的保存期限和保管部门应严格执行，确保信息安全管理体系的有效运行。

以下是格式正确、删除明显有问题的段落、并进行小幅度改写的文章：信息安全管理制度为确保公司信息安全，保护公司和客户的利益，制定本管理制度。