信息安全风险评估报告

XXXXX信息安全风险评估报告

////V1.0XXXX2017.2.16XXXX2017.2.16XXXX2017.2.162017/2/16V1.1XXX2017.9.15XXXX2017.9.15XXXX2017.9.152017/9/15////////////////////////////////1.企业名称:XXXXX2.XXXXX2.3.ISMS4.ISMS4.2017-9-10 2017-9-15XXXXXXX1235、对每个重要资产进行威胁、脆弱性识别并打分，并以此得到资产的风险等级；6、根据风险接受准则得出不可接受风险，并根据标准ISO27001:2013的附录A制定相关的风险控制措施;7、对于可接受的剩余风险向公司领导汇报并得到批准。六.风险评估概况根据第一阶段审核结果，修订了信息安全风险管理程序，根据新修订程序文件，再次进行了风险评估工作从2017年9月10日开始进入风险评估阶段，到2017年9月15日止基本工作告一段落。主要工作过程如下：2017-9-10~2017-9-10，风险评估培训；2017-9-11~2017-9-11，公司评估小组制定《信息安全风险管理程序》，制定系统化的风险评估方法；2017-9-12~2017-9-12，本公司各部门识别本部门信息资产，并对信息资产进行等级评定，其中资产分为物理资产、软件资产、数据资产、文档资产、无形资产，服务资产等共六大类；2017-9-13~2017-9-13，本公司各部门编写风险评估表，识别信息资产的脆弱性和面临的威胁，评估潜在风险，并在ISMS工作组内审核；2017-9-14~2017-9-14，本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表；2017-9-15~2017-9-15,各部门修订风险评估表，识别重大风险，制定控制措施；ISMS工作组组织审核，并最终汇总形成本报告。190115115个，不可接受风险421

资产分类威胁脆弱性名称恶意代码和病毒未安装杀毒软件杀毒软件设置不合理杀毒软件未及时更新对网站下载或上传控制不当软件故障设计缺陷，使用、保护措施不当非法访问弱身份验证机制泄密员工信息保护意识不够没有设置登录口令权限设置不合理涉密信息无加密措施硬件资产非授权使用设备物理保护措施不当设备故障设备使用和管理不当丢失设备管理不当保管不善非法访问、网络攻击防火墙或入侵检测软件配置不合理权限设置不合理弱身份验证机制恶意代码、病毒杀毒软件更新不及时杀毒软件设置不正确没有安装入侵检测软件断电UPS持续时间不能满足要求UPS不能定期维护异常断电设备维护不当储存电能不够设计缺陷线路不通布线不规范服务资产非法访问、网络攻击防火墙或入侵检测软件配置不合理权限设置不合理弱身份验证机制恶意代码、病毒杀毒软件更新不及时杀毒软件设置不正确没有安装入侵检测软件八．风险处理计划IlllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllrmriiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiinnnD.皿llll