1、=WORD完整版-可編輯-專業(yè)資料分享【最新整理，下載后即可編輯】XXXXX公司信息安全風險評估報告歷史版本編制、審核、批準、發(fā)布實施、分發(fā)信息記錄表版本號編制人/創(chuàng)建日期審核人/審核日期批準人/批準日期發(fā)布日期/實施日期分發(fā)編號V1.0XXXX2017.2.16XXXX2017.2.16XXXX2017.2.162017/2/16原稿V1.1XXX2017.9.15XXXX2017.9.15XXXX2017.9.152017/9/15修訂稿/-完整版學習資料分享=WORD完整版-可編輯-專業(yè)資料分享=/一.風險項目綜述1 .企業(yè)名稱：XXXXX公司2,企業(yè)概況：XXXXX公司是一家致力于計算

2、機軟件產(chǎn)品的開發(fā)與銷售、計算機信息系統(tǒng)集成及技術(shù)支持與服務(wù)的企業(yè)。3. ISMS方針：預防為主，共筑信息安全；完善管理，贏得顧客信賴。4. ISMS范圍：計算機應(yīng)用軟件開發(fā)，網(wǎng)絡(luò)安全產(chǎn)品設(shè)計/開發(fā)，系統(tǒng)集成及服務(wù)的信息安全管理。二,風險評估目的為了在考慮控制成本與風險平衡的前提下選擇合適的控制目標和控制方式，將信息安全風險控制在可接受的水平，進行本次風險評估。三,風險評估日期：2017-9-10至2017-9-15四,評估小組成員XXXXXXX。5 .評估方法綜述-完整版學習資料分享:WORD完整版-可編輯-專業(yè)資料分享1、首先由信息安全管理小組牽頭組建風險評估小組；2、通過咨詢公司對風險評估

3、小組進行相關(guān)培訓；3、根據(jù)我們的信息安全方針、范圍制定信息安全風險管理程序，以這個程序作為我們風險評估的依據(jù)和方法；4、各部門識別所有的業(yè)務(wù)流程，弁根據(jù)這些業(yè)務(wù)流程進行資產(chǎn)識別，對識別的資產(chǎn)進行打分形成重要資產(chǎn)清單；5、對每個重要資產(chǎn)進行威脅、脆弱性識別弁打分，弁以此得到資產(chǎn)的風險等級；6、根據(jù)風險接受準則得出不可接受風險，弁根據(jù)標準ISO27001:2013的附錄A制定相關(guān)的風險控制措施；7、對于可接受的剩余風險向公司領(lǐng)導匯報弁得到批準。6 .風險評估概況根據(jù)第一階段審核結(jié)果，修訂了信息安全風險管理程序，根據(jù)新修訂程序文件，再次進行了風險評估工作從2017年9月10日開始進入風險評估階段，到

4、2017年9月15日止基本工作告一段落。主要工作過程如下：1. 2017-9-102017-9-10風險評估培訓；2. 2017-9-112017-9-11公司評估小組制定信息安全風險管理程序，制定系統(tǒng)化的風險評估方法；3. 2017-9-122017-9-12本公司各部門識別本部門信息資產(chǎn)，弁對信息資產(chǎn)進行等級評定，其中資產(chǎn)分為物理資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)、文檔資產(chǎn)、無形資產(chǎn)，服務(wù)資產(chǎn)等共六大類；-完整版學習資料分享=WORD完整版-可編輯-專業(yè)資料分享=4. 2017-9-132017-9-13本公司各部門編寫風險評估表，識別信息資產(chǎn)的脆弱性和面臨的威脅，評估潛在風險，弁在ISMS工作組內(nèi)

5、審核；5. 2017-9-142017-9-14本公司各部門實施人員、部門領(lǐng)導或其指定的代表人員一起審核風險評估表；6. 2017-9-152017-9-15各部門修訂風險評估表，識別重大風險，制定控制措施；ISMS工作組組織審核，弁最終匯總形成本報告。七.風險評估結(jié)果統(tǒng)計本次風險評估情況詳見各部門“風險評估表”，其中共識別出資產(chǎn)190個，重要資產(chǎn)115個，信息安全風險115個，不可接受風險42個.表1資產(chǎn)面臨的威脅和脆弱性匯總表資產(chǎn)分類威脅脆弱性名稱文檔資產(chǎn)丟失存儲不當導致無法檢索文件管理不當泄密員工信息保密意識不夠沒有設(shè)置登錄口令涉密信息無加密措施火災(zāi)易燃燒偷盜文件存放區(qū)域防護不當數(shù)據(jù)資產(chǎn)

6、丟失存儲不當導致無法檢索沒有進行備份誤操作將其刪除-完整版學習資料分享:WORD完整版-可編輯-專業(yè)資料分享資產(chǎn)分類威脅脆弱性名稱泄密員工信息保密意識不夠電腦沒有設(shè)置登錄口令或者屏幕保護文件未進行加密權(quán)限設(shè)置不合理篡改無備份策略非法訪問弱身份驗證機制惡意代碼和病毒未安裝殺毒軟件殺毒軟件設(shè)置不合理殺毒軟件未及時更新對網(wǎng)站下載或上傳控制不當軟件資產(chǎn)惡意代碼和網(wǎng)絡(luò)攻擊軟件存在漏洞未及時安裝補丁運行故障、意外錯誤設(shè)計缺陷，使用、保護措施不當未及時安裝補丁信息丟失無備份惡意代碼和病毒未安裝殺毒軟件殺毒軟件設(shè)置不合理殺毒軟件未及時更新對網(wǎng)站下載或上傳控制不當軟件故障設(shè)計缺陷，使用、保護措施不當非法訪問弱身

7、份驗證機制泄密員工信息保護意識不夠沒有設(shè)置登錄口令權(quán)限設(shè)置不合理涉密信息無加密措施硬件資產(chǎn)非授權(quán)使用設(shè)備物理保護措施不當-完整版學習資料分享=WORD完整版-可編輯-專業(yè)資料分享=資產(chǎn)分類威脅脆弱性名稱設(shè)備故障設(shè)備使用和管理不當丟失設(shè)備管理不當保管不善非法訪問、網(wǎng)絡(luò)攻擊防火墻或入侵檢測軟件配置不合理權(quán)限設(shè)置不合理弱身份驗證機制惡意代碼、病毒殺毒軟件更新不及時殺毒軟件設(shè)置不正確沒有安裝入侵檢測軟件斷電UPS持續(xù)時間不能滿足要求UPS不能定期維護異常斷電設(shè)備維護不當儲存電能不夠設(shè)計缺陷線路不通布線不規(guī)范服務(wù)資產(chǎn)非法訪問、網(wǎng)絡(luò)攻擊防火墻或入侵檢測軟件配置不合理權(quán)限設(shè)置不合理弱身份驗證機制惡意代碼、病毒殺毒軟件更新不及時殺毒軟件設(shè)置不正確沒有安裝入侵檢測軟件八.風險處理計劃根據(jù)本次風險評估結(jié)果，對不可接受風險進行處理。在選取控制措施和方法時，結(jié)合公司財力、物力和資產(chǎn)重要度等級等各種因素，制定了風險處理計劃。公司各部門針對不可接受風險，公司組織各部門制定風險處置計劃，經(jīng)各部門討論確認，管理者代表-完整版學習資料分享=WORD完整版-可編輯-專業(yè)資料分享=批準后實施。風險處置計劃制定情況詳見風險處置計劃九.殘余風險在采取相關(guān)管理和技術(shù)措施后，經(jīng)再次風險評