信息安全风险评估报告
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XXXXX公司
信息安全风险评估报告
历史版本编制、审核、批准、发布实施、分发信息记录表
版本号编制人/
创建日期
审核人/
审核日期
批准人/
批准日期
发布日期/
实施日期
分发编
号
V1.0 XXXX XXXX XXXX 2017/2/16 原稿
V1.1 XXX XXXX XXXX 2017/9/15 修订稿/ / / /
/ / / /
/ / / /
/ / / /
/ / / /
/ / / /
/ / / /
/ / / /
一. 风险项目综述
1.企业名称: XXXXX公司
2.企业概况:XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持
与服务的企业。
3.ISMS方针:预防为主,共筑信息安全;完善管理,赢得顾客信赖。
4.ISMS范围:计算机应用软件开发,网络安全产品设计/开发,系统集成及服务的信息安全管理。
二. 风险评估目的
为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,进行本次风险评估。
三. 风险评估日期:
2017-9-10至2017-9-15
四. 评估小组成员
XXXXXXX。
五. 评估方法综述
1、首先由信息安全管理小组牵头组建风险评估小组;
2、通过咨询公司对风险评估小组进行相关培训;
3、根据我们的信息安全方针、范围制定信息安全风险管理程序,以这个程序作为我们风险评估的依据
和方法;
4、各部门识别所有的业务流程,并根据这些业务流程进行资产识别,对识别的资产进行打分形成重要
资产清单;
5、对每个重要资产进行威胁、脆弱性识别并打分,并以此得到资产的风险等级;
6、根据风险接受准则得出不可接受风险,并根据标准ISO27001:2013的附录A制定相关的风险控制措
施;
7、对于可接受的剩余风险向公司领导汇报并得到批准。
六. 风险评估概况
根据第一阶段审核结果,修订了信息安全风险管理程序,根据新修订程序文件,再次进行了风险评估工
作从2017年9月10日开始进入风险评估阶段,到2017年9月15日止基本工作告一段落。主要工作过程如下:
1.2017-9-10 ~ 2017-9-10,风险评估培训;
2.2017-9-11 ~ 2017-9-11,公司评估小组制定《信息安全风险管理程序》,制定系统化的风险评估方法;
3.2017-9-12 ~ 2017-9-12,本公司各部门识别本部门信息资产,并对信息资产进行等级评定,其中资产分
为物理资产、软件资产、数据资产、文档资产、无形资产,服务资产等共六大类;
4.2017-9-13 ~ 2017-9-13,本公司各部门编写风险评估表,识别信息资产的脆弱性和面临的威胁,评估潜
在风险,并在ISMS工作组内审核;
5.2017-9-14 ~ 2017-9-14,本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表;
6. 2017-9-15 ~ 2017-9-15,各部门修订风险评估表,识别重大风险,制定控制措施;ISMS工
作组组织审核,并最终汇总形成本报告。
.
七. 风险评估结果统计
本次风险评估情况详见各部门“风险评估表”,其中共识别出资产190个,重要资产115个,信息安全风险115个,不可接受风险42个.
表1 资产面临的威胁和脆弱性汇总表
资产分类威胁脆弱性名称
文档资产丢失
存储不当导致无法检索
文件管理不当
泄密
员工信息保密意识不够
没有设置登录口令
涉密信息无加密措施火灾易燃烧
偷盗文件存放区域防护不当
数据资产丢失
存储不当导致无法检索
没有进行备份
误操作将其删除
泄密
员工信息保密意识不够
电脑没有设置登录口令或者屏幕保护
文件未进行加密
权限设置不合理
篡改无备份策略
非法访问弱身份验证机制
恶意代码和病毒
未安装杀毒软件
杀毒软件设置不合理
杀毒软件未及时更新
对网站下载或上传控制不当
软件资产恶意代码和网络攻击
软件存在漏洞
未及时安装补丁
运行故障、意外错误
设计缺陷,使用、保护措施不当
未及时安装补丁
信息丢失无备份
恶意代码和病毒
未安装杀毒软件
杀毒软件设置不合理
杀毒软件未及时更新
对网站下载或上传控制不当
软件故障设计缺陷,使用、保护措施不当非法访问弱身份验证机制
泄密
员工信息保护意识不够
没有设置登录口令
权限设置不合理
涉密信息无加密措施
硬件资产非授权使用设备物理保护措施不当设备故障设备使用和管理不当
丢失
设备管理不当
保管不善
非法访问、网络攻击防火墙或入侵检测软件配置不合理权限设置不合理
弱身份验证机制
恶意代码、病毒杀毒软件更新不及时杀毒软件设置不正确没有安装入侵检测软件
断电UPS持续时间不能满足要求UPS不能定期维护
异常断电设备维护不当储存电能不够设计缺陷
线路不通布线不规范
服务资产非法访问、网络攻击
防火墙或入侵检测软件配置不合理
权限设置不合理
弱身份验证机制
恶意代码、病毒
杀毒软件更新不及时
杀毒软件设置不正确
没有安装入侵检测软件
八.风险处理计划
根据本次风险评估结果,对不可接受风险进行处理。在选取控制措施和方法时,结合公司财力、物力和
资产重要度等级等各种因素,制定了风险处理计划。公司各部门针对不可接受风险,公司组织各部门制定《风险处置计划》,经各部门讨论确认,管理者代表批准后实施。风险处置计划制定情况详见《风险处置计划》。
九. 残余风险
在采取相关管理和技术措施后,经再次风险评估,不可接受风险采取措施后的残余风见各部门《信息安全
残余风险评估表》。对于中等及以上的残余风险,若确定为接受的,需要经过管理者代表批准。
根据残余风险评估结果,采取措施后,残余风险等级均为低,经评审确定这些残余风险均为可接受风险。