1、XXXXX公司信息安全風險評估報告歷史版本編制、審核、批準、發布實施、分發信息記錄表版本號編制人/審核人/批準人/發布日期/分發編創建日期審核日期批準日期實施日期號V1.0XXXX2017.2.16XXXX2017.2.16XXXX2017.2.162017/2/16原稿V1.1XXX2017.9.15XXXX2017.9.15XXXX2017.9.152017/9/15修訂稿/一. 風險項目綜述1. 企業名稱：XXXXX 公司2. 企業概況：XXXXX公司是一家致力于計算機軟件產品的開發與銷售、計算機信息系統集成及技術支持與服務的企業。3. ISMS方針：預防為主，共筑信息安全；完善管理，贏

2、得顧客信賴。4. ISMS范圍：計算機應用軟件開發，網絡安全產品設計 /開發，系統集成及服務的信息安全管理。二. 風險評估目的為了在考慮控制成本與風險平衡的前提下選擇合適的控制目標和控制方式，將信息安全風險控制在可 接受的水平，進行本次風險評估。三. 風險評估日期：2017-9-10 至 2017-9-15四. 評估小組成員XXXXXXX五. 評估方法綜述1、首先由信息安全管理小組牽頭組建風險評估小組；2、通過咨詢公司對風險評估小組進行相關培訓；3、根據我們的信息安全方針、范圍制定信息安全風險管理程序，以這個程序作為我們風險評估的依據和方 法；4、各部門識別所有的業務流程，并根據這些業務流程進

3、行資產識別， 對識別的資產進行打分形成重要資產 清單；5、對每個重要資產進行威脅、脆弱性識別并打分，并以此得到資產的風險等級；6、 根據風險接受準則得出不可接受風險，并根據標準£027001:2013的附錄A制定相關的風險控制措施;7、對于可接受的剩余風險向公司領導匯報并得到批準。六. 風險評估概況根據第一階段審核結果，修訂了信息安全風險管理程序，根據新修訂程序文件，再次進行了風險評估工作從2017年9月10日開始進入風險評估階段，到2017年9月15日止基本工作告一段落。主要工作過程如下：1. 2017-9-10 2017-9-10 ，風險評估培訓；2. 2017-9-11 201

4、7-9-11 ，公司評估小組制定信息安全風險管理程序，制定系統化的風險評估方法;3. 2017-9-12 2017-9-12，本公司各部門識別本部門信息資產，并對信息資產進行等級評定，其中資產分為 物理資產、軟件資產、數據資產、文檔資產、無形資產，服務資產等共六大類；4. 2017-9-132017-9-13，本公司各部門編寫風險評估表，識別信息資產的脆弱性和面臨的威脅，評估潛在 風險，并在ISMS工作組內審核；5. 2017-9-142017-9-14 ，本公司各部門實施人員、部門領導或其指定的代表人員一起審核風險評估表；6. 2017-9-152017-9-15 ，各部門修訂風險評估表，識

5、別重大風險，制定控制措施；ISMS工作組組織審核，并最終匯總形成本報告。七. 風險評估結果統計本次風險評估情況詳見各部門“風險評估表”，其中共識別出資產190個，重要資產115個，信息安全風 險115個，不可接受風險42個.表1資產面臨的威脅和脆弱性匯總表資產分類威脅脆弱性名稱文檔資產丟失存儲不當導致無法檢索文件管理不當泄密員工信息保密意識不夠沒有設置登錄口令涉密信息無加密措施火災易燃燒資產分類威脅脆弱性名稱偷盜文件存放區域防護不當數據資產丟失存儲不當導致無法檢索沒有進行備份誤操作將其刪除泄密員工信息保密意識不夠電腦沒有設置登錄口令或者屏幕保護文件未進行加密權限設置不合理篡改無備份策略非法訪問

6、弱身份驗證機制惡意代碼和病毒未安裝殺毒軟件殺毒軟件設置不合理殺毒軟件未及時更新對網站下載或上傳控制不當軟件資產惡意代碼和網絡攻擊軟件存在漏洞未及時安裝補丁運行故障、意外錯誤設計缺陷，使用、保護措施不當未及時安裝補丁信息丟失無備份惡意代碼和病毒未安裝殺毒軟件殺毒軟件設置不合理殺毒軟件未及時更新對網站下載或上傳控制不當軟件故障設計缺陷，使用、保護措施不當非法訪問弱身份驗證機制泄密員工信息保護意識不夠沒有設置登錄口令權限設置不合理涉密信息無加密措施硬件資產非授權使用設備物理保護措施不當資產分類威脅脆弱性名稱設備故障設備使用和管理不當丟失設備管理不當保管不善非法訪問、網絡攻擊防火墻或入侵檢測軟件配置不

7、合理權限設置不合理弱身份驗證機制惡意代碼、病毒殺毒軟件更新不及時殺毒軟件設置不正確沒有安裝入侵檢測軟件斷電UPS持續時間不能滿足要求UPS不能定期維護異常斷電設備維護不當儲存電能不夠設計缺陷線路不通布線不規范服務資產非法訪問、網絡攻擊防火墻或入侵檢測軟件配置不合理權限設置不合理弱身份驗證機制惡意代碼、病毒殺毒軟件更新不及時殺毒軟件設置不正確沒有安裝入侵檢測軟件八. 風險處理計劃根據本次風險評估結果，對不可接受風險進行處理。在選取控制措施和方法時，結合公司財力、物力和資 產重要度等級等各種因素，制定了風險處理計劃。公司各部門針對不可接受風險，公司組織各部門制定風險 處置計劃，經各部門討論確認，管理者代表批準后實施。風險處置計劃制定情況詳見風險處置計劃九. 殘余風險在采取相關管理和技術措施后，經再次風險