信息安全风险评估报告

1、XXXXX公司信息平安风险评估报告历史版本编制、审核、批准、发布实施、分发信息记录表版本号编制人/创立日期审核人/精审核日期谜批准人/批准日期发布日期/实施日期分发编号V1.0XXXX2021.2.16XXXX2021.2.16XXXX2021.2.162021/2/16原稿V1.1XXX2021.9.15XXXX2021.9.15XXXX2021.9.152021/9/15修订稿/一.风险工程综述1. 企业名称：XXXXX 公司2. 企业概况：XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持与 效劳的企业。3. ISMS方针：预防为主，共筑信息平安；完善管理

2、，赢得顾客信赖。4. ISMS范围：计算机应用软件开发，网络平安产品设计 /开发，系统集成及效劳的信息平安管理。风险评估目的为了在考虑控制本钱与风险平衡的前提下选择适宜的控制目标和控制方式，将信息平安风险控制在可 接受的水平 , 进行本次风险评估。三 . 风险评估日期：2021-9-10 至 2021-9-15四 . 评估小组成员XXXXXX。五 . 评估方法综述1、首先由信息平安管理小组牵头组建风险评估小组；2、通过咨询公司对风险评估小组进行相关培训；3、根据我们的信息平安方针、 范围制定信息平安风险管理程序， 以这个程序作为我们风险评估的依据和方 法；4、各部门识别所有的业务流程， 并根据

3、这些业务流程进行资产识别， 对识别的资产进行打分形成重要资产 清单；5、对每个重要资产进行威胁、脆弱性识别并打分，并以此得到资产的风险等级；6、 根据风险接受准那么得出不可接受风险，并根据标准£027001:2021的附录A制定相关的风险控制措施;7、对于可接受的剩余风险向公司领导汇报并得到批准。六 . 风险评估概况 根据第一阶段审核结果，修订了信息平安风险管理程序，根据新修订程序文件，再次进行了风险评估工作 从2021年9月10日开始进入风险评估阶段，到 20 1 7年9月1 5日止根本工作告一段落。主要工作过程如 下：1. 2021-9-10 2021-9-10 ，风险评估培训;

4、精选2. 2021-9-11 2021-9-11 ，公司评估小组制定?信息平安风险管理程序? ，制定系统化的风险评估方法;3. 2021-9-12 2021-9-12，本公司各部门识别本部门信息资产，并对信息资产进行等级评定，其中资产分为 物理资产、软件资产、数据资产、文档资产、无形资产，效劳资产等共六大类；4. 2021-9-132021-9-13，本公司各部门编写风险评估表，识别信息资产的脆弱性和面临的威胁，评估潜在 风险，并在ISMS工作组内审核；5. 2021-9-142021-9-14 ，本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表；6. 2021-9-1520

5、21-9-15 ，各部门修订风险评估表，识别重大风险，制定控制措施；ISMS工作组组织审核，并最终汇总形本钱报告。七. 风险评估结果统计本次风险评估情况详见各部门“风险评估表，其中共识别出资产190个，重要资产115个，信息平安风 险115个，不可接受风险42个.表1资产面临的威胁和脆弱性汇总表资产分类威胁脆弱性名称文档资产丧失存储不当导致无法检索文件管理不当泄密员工信息保密意识不够没有设置登录口令涉密信息无加密措施火灾易燃烧偷盗文件存放区域防护不当数据资产丧失存储不当导致无法检索没有进行备份误操作将其删除泄密精选员工信息保密意识不够电脑没有设置登录口令或者屏幕保护文件未进行加密权限设置不合理

6、资产分类威胁脆弱性名称篡改无备份策略非法访问弱身份验证机制恶意代码和病毒未安装杀毒软件杀毒软件设置不合理杀毒软件未及时更新对网站下载或上传控制不当软件资产恶意代码和网络攻击软件存在漏洞未及时安装补丁运行故障、意外错误设计缺陷，使用、保护措施不当未及时安装补丁信息丧失无备份恶意代码和病毒未安装杀毒软件杀毒软件设置不合理杀毒软件未及时更新对网站下载或上传控制不当软件故障设计缺陷，使用、保护措施不当非法访问弱身份验证机制泄密员工信息保护意识不够没有设置登录口令权限设置不合理涉密信息无加密措施硬件资产非授权使用设备物理保护措施不当设备故障设备使用和管理不当丧失设备管理不当保管不善非法访问、网络攻击防火

7、墙或入侵检测软件配置不合理权限设置不合理弱身份验证机制恶意代码、病毒精选杀毒软件更新不及时杀毒软件设置不正确没有安装入侵检测软件断电UPS持续时间不能满足要求资产分类威胁脆弱性名称UPS不能定期维护异常断电设备维护不当储存电能不够设计缺陷线路不通布线不标准效劳资产非法访问、网络攻击防火墙或入侵检测软件配置不合理权限设置不合理弱身份验证机制恶意代码、病毒杀毒软件更新不及时杀毒软件设置不正确没有安装入侵检测软件八. 风险处理方案根据本次风险评估结果，对不可接受风险进行处理。在选取控制措施和方法时，结合公司财力、物力和资 产重要度等级等各种因素，制定了风险处理方案。公司各部门针对不可接受风险，公司组织各部门制定?风险 处置方案?，经各部门讨论确认，管理者代表批准后实施。风险处置方案制定情况详见?风险处置方案?九. 剩余风险在采取相关管理和技术措施后，经再次风险评估，