信息安全风险评估报告

X X X X X公司信息安全风险评估报告

历史版本编制、审核、批准、发布实施、分发信息记录表

一. 风险项目综述

1.企业名称: XXXXX公司

2.企业概况：XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系

统集成及技术支持与服务的企业。

3.ISMS方针：预防为主，共筑信息安全；完善管理，赢得顾客信赖。

4.ISMS范围：计算机应用软件开发，网络安全产品设计/开发，系统集成及服务的信

息安全管理。

二. 风险评估目的

为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平,进行本次风险评估。

三. 风险评估日期：

2017-9-10至2017-9-15

四. 评估小组成员

XXXXXXX。

A制

再

年9

2.2017-9-11 ~ 2017-9-11，公司评估小组制定《信息安全风险管理程序》，制定系统

化的风险评估方法；

3.2017-9-12 ~ 2017-9-12，本公司各部门识别本部门信息资产，并对信息资产进行

等级评定，其中资产分为物理资产、软件资产、数据资产、文档资产、无形资产，服务资产等共六大类；

4.2017-9-13 ~ 2017-9-13，本公司各部门编写风险评估表，识别信息资产的脆弱性

和面临的威胁，评估潜在风险，并在ISMS工作组内审核；

5.2017-9-14 ~ 2017-9-14，本公司各部门实施人员、部门领导或其指定的代表人员

一起审核风险评估表；

6. 2017-9-15 ~ 2017-9-15，各部门修订风险评估表，识别重大风

险，制定控制措施；ISMS工作组组织审核，并最终汇总形成本报

告。

.

七. 风险评估结果统计

结合公司财力、物力和资产重要度等级等各种因素，制定了风险处理计划。公司各部门针对不可接受风险，公司组织各部门制定《风险处置计划》，经各部门讨论确认，管理者代表批准后实施。风险处置计划制定情况详见《风险处置计划》。

九. 残余风险

在采取相关管理和技术措施后，经再次风险评估，不可接受风险采取措施后的残余风见各部门《信息安全残余风险评估表》。对于中等及以上的残余风险，若确定为接受的,需要经过管理者代表批准。

根据残余风险评估结果，采取措施后，残余风险等级均为低，经评审确定这些残余风险均为可接受风险。