03风险评估报告

1、信息平安及隐私风险评估报告QR 2020.10报告日期：2020年10月31日一、风险评估综述1企业名称*科技2、信息平安管理体系方针全员参与、明确责任、预防为主、快速响应、风险管控、持续改进。3、信息平安风险评估范围公司信息平安管理体系范围覆盖的各相关部门及其信息资产。二、风险评估目的通过科学的方法对公司存在隐私风险进行评估，以便于制定出适合的方法，找 到最合适的控制措施来对风险进行控制，以降低风险，到达提高公司隐私信息平安 的目的。三、风险评估日期2020年10月23日至2020年10月31日四、评估小组成员参与本次评估的人员包括管理者代表、各部门经理、信息平安工程组成员。组员：五、评估方

2、法综述评估小组采用定性和定量相结合的方法对公司各方面进行评估。评估流程如下：7编写风险评估报告 6计算、评价风险5估计可能性和影响4识别评价防护措施3识别威胁和脆弱性2识别评价资产1评估准备工作六、评估具体方法及实施1、组织的资产评估方法：a、识别在评估范围内的资产。对于在范围内的每一项资产都要恰当统计；不在 本次评估范围内的资产，也要进行记录；b、要注意资产之间的关联，有时候关联和资产本身同等重要；c、按一定的标准，将信息资产进行恰当的分类，在此基础上进行下一步的风险 评估工作。2、资产重要度评估方法：对资产的等级进行定义，并表示成相对等级的形式:资产 等级标识相对价值范围定义4很高(21,

3、27该类资产假设发生泄露、损坏、丧失或无法使 用，会给组织造成无法挽回或极其严重的损失。3高(15,21会给公司造成重大的经济损失。2般(9,15会给公司造成一定的经济损失。1低0,9不会给公司造成经济损失或只有极低的损失。决定资产重要度时，需要考虑：a、不仅要考虑资产的本钱价格，也要考虑资产对于组织业务的平安重要性, 即根据资产损失所引发的潜在的影响来决定;b、为确保资产重要度的一致性和准确性，建立一个标准的尺度，以明确如何 对资产的重要度进行评估。c、分析和评价资产受到侵害后的保密性、完整性和可用性损失，通过对三个 属性(保密性、完整性、可用性)进行赋值，并取MAX值的方式，确定出资产的重

4、 要度等级。3、资产面临的威胁、威胁可以利用的脆弱性的评估方法：a、分析本公司的信息系统存在威胁。b、综合威胁来源、种类和其他因素后得出威胁列表；c、针对每一项需要保护的信息资产，找出可能面临的威胁。d、在识别资产所面临的威胁时，应该考虑下面三个方面的资料和信息来源：(1)通过过去的平安事件报告或记录，统计各种发生过的威胁和其发生频(2)在公司实际环境中，通过IDS系统获取的威胁发生数据的统计和分析，各种 日志中威胁发生的数据的统计和分析；(3)过去一年或两年来国际机构发布的对于整个社会或待定行业平安威胁发 生频率的统计数据均值。f、按照GB/T 22080-2016 IDT ISO/IEC

5、27001等标准的平安管理要求对现有 的平安管理制度及其执行情况进行检查，发现其中的管理漏洞和缺乏，进行管理脆 弱性识别。g、对网络设备和主机进行人工检查识别技术脆弱性。4、识别与分析控制措施的方法：a、对组织已经采取的控制措施进行识别，并对其有效性进行确认。将控制措 施分为预防性控制措施和保护性控制措施。预防性控制措施可以降低威胁发生的可 能性和减少平安脆弱性，而保护性控制措施可以减少因威胁发生所造成的影响。b、分析控制措施与已经识别出的威胁和脆弱性的关系。5、确定发生的可能性a、可能性指潜在的脆弱性在相关威胁环境下被攻击的可能性b、对可能性进行定义，表示成定性与赋值相对等级的形式。本公司采

6、取五个 级的定义方式:要素标识发生的频率等级威胁利用弱 点导致危害 的可能性很高出现的频率很高（或21次/周）； 或在大多数情况下几乎不可防止；或 可以证实经常发生过5高出现的频率较高（或巳1次/ 月）；或在大多数情况下很启口能会 发生；或可以证实屡次发生过4一般出现的频率中等（或1次/半 年）；或在某种情况下可能会发生； 或被证实曾经发生过3低出现的频率较小；或一般不太可 能发生；或没有被证实发生过2很低威胁几乎不可能发生；仅可能在 非常罕见和例外的情况下发生1c、评估威胁发生的可能性时根据统计数据来判断为威胁发生的频率或概率。重点考虑以下因素的影响：（1）资产的吸引力或资产转化成报酬的容易

7、程度；（2）威胁的动机和能力；（3）脆弱性被利用的难易程度；（4）控制措施的存在和有效性。6、分析发生的影响：a、影响指对威胁和脆弱性一次成功攻击所产生的负面影响。b、确定影响的等级定义，本公司采取五级定义方式：要素标识严重程度等级脆弱性被威 胁利用后的 严重性很高如果被威胁利用，将对公司重要 资产造成重大损害5高如果被威胁利用，将对重要资产 造成一般损害4一般如果被威胁利用，将对一般资产3造成重要损害低如果被威胁利用，将对一般资产 造成一般损害2很低如果被威胁利用，将对资产造成 的损害可以忽略1C、由于资产重要度等级是计算风险值的重要因子，因此确定影响时应该重点考虑攻击对资产本身伤害的严重程

8、度。d、对资产完整性、可用性和保密性的影响应该分别考虑。7、计算风险大小：a、风险值=资产等级+威胁性赋值+脆弱性赋值；b、风险值根据5, 6步骤中定义的可能性和影响的赋值进行计算；c、评估的最终目的不是确定风险数值的大小，而是明确不同威胁对资产产生 的风险的相对值，即要确定不同风险的优先次序或等级，我公司风险等级定义如下: 1214为高风险，911为中风险，38为低风险。详细见附录一、二七、风险评估概况1、评估涉及的部门本次风险评估由于是公司组织的第一次风险评估，因此，本次范围涉及信息安 全及隐私体系范围内的所有相关部门。2、评估涉及的流程或系统评估涉及公司生产、运营及信息管理等方面的流程和

9、系统。3、资产情况本次评估主要针对公司与信息相关的资产，包括：实体资产、软件资产、信息 资产、人员资产、服务资产。详细见附录一3、风险情况公司存在风险主要存在于高、中重要等级资产，贯穿于公司人力行政部、系统 运维部、财务部等各个部门，根据相关资产的重要度，结合威胁和脆弱性将公司存 在的信息隐私平安风险划分为高、中、低三个等级，其中：实体资产低风险328个, 中风险14个；软件资产低风险240个；信息资产低风险309个，中风险48个；人员资产低风险62个，中风险4个；服务资产低风险16个。其中涉及PH风险情况 如下表：资产类型名称位置责任部门涉及PII信息资产各类销售合同财务文件室财务部姓名、身

10、份证信息资产社保服务类合同人力文件室人力行政部姓名、身份证、 、社保卡、年龄信息资产薪酬数据文档资料人力文件室人力行政部姓名、工资、年龄、身份证信息资产人事档案人力文件室人力行政部姓名、生日、性别、满足、邮箱等信息资产工程合同及报价单销售文件室品牌拓展姓名、身份证信息资产项FI投标书销售文件室品牌拓展姓名、身份证信息资产客户服务策略文档策略文件室策略中心订单信息：购买记录、消费金额、消费产品、频 次等。信息资产会员信息Ebrand系统研发中心（1）会员信息：姓名、 、年龄、民族等（2）订单信息：购买记录、消费金额、消费产 品、频次等。八、风险处理涉及PH的资产风险处理处置情况如下:资产类型名称

11、位置责任部门涉及PII潜在的风险及处理信息资产各类销售合同务文件财务 部姓名、身份证（1）风险：销售类合同财务部同事都可以接触到，存在信息泄露 风险。（2）处理：合同专人管理，查阅需要登记。室信息资产社保服务类合同人 力 文 件 室人力 行政 部姓名、身 份证、电 话、社保 卡、年龄（1）风险：人力同事都可以接触到，存在信息泄露风险。（2）处理：由薪酬专人管理，非薪酬责任管理相关的人员不允许 查阅。人)人力姓名、工（1）风险：人力同事都可以接触到，存在信息泄露风险。信息资产薪酬数据文档资料文行政资、年龄、（2）处理：由薪酬专人管理，非薪酬责任管理相关的人员不允许件部身份证查阅。室信息资产人事档

12、案人 力 文 件 室人力 行政 部姓名、生 日、性别、 满足、邮 箱等（1）风险：人力同事都可以接触到，存在信息泄露风险。（2）处理：由薪酬专人管理，非薪酬责任管理相关的人员不允许 查阅。信息资产工程合同及报价单销 售 文品牌 拓展姓名、身 份证（1）风险：销售同事都可以接触到，存在信息泄露风险。（2）处理：由销售助理专人管理，需要查阅须销售总监审批，非 销售人员不允许查阅。件室信息资产工程投标书销 售 文 件 室品牌 拓展姓名、身份证(1)风险：销售同事都可以接触到，存在信息泄露风险。(2)处理：由销售助理专人管理，需要查阅须销售总监审批，非 销售人员不允许查阅。信息资产客户服务策略文档策

13、略 文 件 室策略 中心订单信 息：购买 记录、消 费金额、 消费产 品、频次 等。(1)风险：工程同事都可以接触到，存在信息泄露风险。(2)处理：由工程经理专人管理，发送客户过程中密文发送，对 文档存放的地方进行权限管理，不再权限范围内的人员不允许查 阅。信息资产会员信息Ebr and 系 统研发 中心(1)会员 信息：姓 名、 、 年龄、民 族等(2)订单 信息：购 买记录、 消费金 额、消费 产品、频 次等。(1)风险：负责运维的以及开发同事在系统维护过程中可以接触 至IJ,存在信息泄露风险。(2)处理：对数据库进行权限管理，只有研发总监级别可接触， 且每次接触须走审批报备，经CEO审批

14、；数据存储的时限默认是持 续，只要客户服务持续，数据持续存储，且未经客方授权删除一律 不允许处置。九、评估总结通过信息平安风险评估能够全面的发现公司组织内部存在的威胁和脆弱性，识 别出公司存在信息平安风险，针对风险制定相应的控制措施，同时为公司建立一套 风险评估的科学的方法。本次风险评估是公司第一次进行全面的信息平安风险评估，公司由总经理牵头 建立评估小组，对评估工作进行周密的准备，首先对公司与信息相关资产进行识别, 根据资产的重要度，对资产面临的威胁和存在的脆弱性进行识别、描述，并对公司 现有的控制措施进行识别、评价。在对风险进行分析、评估时，结合资产的重要度、 威胁、脆弱性评估出风险发生的可能性、影响度，最终对资产