风险评估报告风险评估报告范本

本文格式为Word版，下载可任意编辑——风险评估报告风险评估报告范本

文件编号:

风险评估报告

version：1.0

编制人：日期:

审核人:日期:

批准人日期:

受控状态：

目次

1.目的(4)

2.适用范围(4)

2.1风险评估的范围包括：(4)

2.2风险评估所涉及的业务活动包括：(4)

3.风险评估引用文件(4)

3.1风险评估引用文件包括(4)

4.风险评估程序及准那么(5)

4.1风险评估打定阶段：(5)

4.2资产清点阶段：(5)

4.3风险评估阶段(6)

5.风险评估结果(7)

5.1可采纳及不成采纳风险划分标准(7)

5.2信息安好风险概况(7)

5.3各部门细致风险概况(8)

6.风险操纵措施选择(9)

1.目的

本次风险评估是公司为建立信息安好管理体系所举行的初始风险评估，其目的通过系统地识别公司核心业务以及支持性业务所面临的风险，并根据风险评估准那么，对不成采纳的风险举行确定。

2.适用范围

2.1风险评估的范围包括：

公司所属部门、子公司。

2.2风险评估所涉及的业务活动包括：

2.2.1与公司核心业务相关的全体业务过程，包括：

软件外包服务

信息服务外包

软件设计与开发

系统解决方案设计与维护

2.2.2与公司支持性业务相关的全体业务过程，包括：

企业内部信息化管理过程

品质管理

财务与人力资源

IT网络服务

行政后勤

2.3风险评估时间

2022年4月12日至2022年5月13日。

3.风险评估引用文件

3.1风险评估引用文件包括

1）ISO27001：2022信息安好管理实施指南

2）ISO27002:2022信息安好管理体系模范

3）ISO27001实施指南–风险评估与风险管理指南

4.风险评估程序及准那么

4.1风险评估打定阶段：

4.1.1风险评估打定阶段主要完成以下工作：

1）组建风险评估团队

2）建立风险评估准那么

3）举行风险评估培训和研讨

4.1.2信息中心作为公司信息安好管理的职能部门，负责组织本次风险评估，并组建了风险评估团队，风险评估团队成员主要来自各部门的信息安好员。

4.1.3风险评估准那么参照ISO27001风险评估与风险管理指南编制，并结合考虑公司的特点，主要风险评估准那么包括：

1）资产重要性评估准那么

2）要挟及脆弱性评分准那么

3）风险判定准那么

4）风险评估过程使用的各类模版

4.1.4在风险评估过程中使用了一系列模板，这些模版包括：

1）各部门资产清单模版

2）资产汇总模版

2）资产重要性评估模版

3）要挟及脆弱性对照表

4）风险评估表模版

4.2资产清点阶段：

4.2.1风险评估的第一个步骤是针对评估范围的全体重要的信息资产分类与清点，根据BS7799风险评估与管理指南中的建议，将重要的信息资产分为以下几类：

1）电子信息，包括：数据库及数据文件、系统文件、培训资料等等

2）纸面文件，包括：合同、公司人事档案等

3）软件资产，包括：操作系统、应用系统、开发工具、实用程序等

4）计算机设备，包括：台式电脑、服务器、手提电脑等

5）通讯设备，包括：路由器、交换机、电缆、传真机、电话等

6）存储媒介，包括：磁带、光盘等

7）办公设备，包括：复印机、碎纸机、文件柜等

8）服务，包括：互联网服务、供电服务等

9）人员，包括：公司各职务人员

4.2.2根据上述资产的分类，信息安好办公室组织各部门信息安好员根据以下原那么举行资产清点：

1）确定核心业务过程

2）针对核心业务过程产生和使用的信息资产举行清点

3）根据资产分类原那么，将清点的资产举行分类

4）各部门将清点的资产纳入《信息资产清单》

5）由各部门负责人对《信息资产清单》中所列的资产举行确认签字。

4.2.3信息安好办公室对各部门举行的资产清单举行审查确认，并最终将全体的资产举行汇总成公司总的信息资产清单。

4.2.4由于服务、办公设备、媒介资产各个部门是共同的，因此，在举行资产重要性评估时，将这三类资产举行了合并。

4.2.5细致的资产清单参见《信息资产清单（公司汇总）》

4.3风险评估阶段

4.3.1风险评估主要体验以下几个阶段

1）资产重要性评分

2）要挟和脆弱性识别

3）要挟及脆弱性评分

4）风险排序

4.3.2资产重要性评分主要考虑信息安好的三个方面，即：保密性，完整性和可用性，资产重要性评分标准参见《风险评估准那么》。

4.3.3要挟的识别主要考虑来自三个方面的要挟，即：自然的要挟、人为的要挟以及以意外产生的要挟，脆弱性将主要考虑资产本身以及管理中的漏洞。并根据要挟来确定相关的脆弱性会否被利用而产生风险。要挟和脆弱性关联性已经事先研讨并确定成《要挟和脆弱性矩阵表》，参见《要挟脆弱性矩阵表》。

4.3.4根据《要挟和脆弱性矩阵表》，针对所识别的每项资产，将根据要挟和脆弱性矩阵表确定资产概括的要挟和脆弱性，并同时考虑目前已有的操纵措施，举行要挟和脆弱性评分，

要挟和脆弱性评分标准参见《风险评估准那么》。

4.3.5每个资产在确定要挟、脆弱性评分后，考虑资产重要性，将计算出资产面临的不同风险的分值，并对每一资产所面临的不同要挟举行排序。

5.风险评估结果

5.1可采纳及不成采纳风险划分标准

根据风险评估准那么的要求，资产的风险值分为五个等级：低、中低、中、中高、高，对评分为低、中低的风险，建议为可采纳的风险，即可不考虑采取相关的操纵措施，而对评分为中、中高及高的风险，建议为不成采纳的风险，并需要考虑采取相应的操纵措施。

5.2信息安好风险概况

5.2.1由于业务的繁杂性，以及客户的不同要求，不同部门所面临的风险是不同的，有些风险在一些部门是可采纳的，但有些风险在另一些部门却是不成采纳的。

5.2.2根据各部门风险评估的结果，将各部门风险根据以下原那么举行合并，合并的结果参见《信息安好风险一览表》。

a)至少两个部门都存在的风险

b)与公司核心业务的信息安好相关的风险

c)根据不同的资产类别举行风险划分

5.2.3从整改难度、资金投入方面考虑，需要高层关注的不成采纳风险包括：

a)由于缺乏业务连续性筹划（例如灾难恢复筹划），当发生通讯中断、重大灾难

发生时，导致各类信息资产受损，使得业务无法举行。

b)未经允许，肆意安装计算机应用程序现象泛滥，轻易导致信息网络感染木马和

病毒，也轻易由于使用盗版软件而引起诉讼。

c)上网行为对比混乱，难以管理和举行统计，访问不健康网站行为无法实时察觉

和阻断，也可能通过网络泄密公司敏感信息。

d)外部计算机非法接入内部网络，造成信息安好隐患。

e)通过Modem拨号、ADSL拨号和无线拨号等私自建立网络连接，造成单位内部网

络存在安好隐患

f)MSN/等即时通讯工具管理，无法对外发邮件无法的监控。

g)人员异动处境管理问题（人员退出工程的账号密码管理问题、门禁卡管理问题，

更加是临时权限管理）

h)公司的消防问题，更加是机房消防问题，无物理安好措施。

5.2.4公司网络目前存在一系列的安好漏洞，包括：

a)网络设备操作系统安好配置漏洞

中心机房核心交换机只有功能性的配置，几乎没有考虑安好配置，例如：时间同步、安好审计痕迹。操作系统的密码没有使用安好密码。

路由器的根本安好配置没有考虑（例如：访问操纵列表、针对不同网站的过滤、端口全部开启（应根据访问需求来确定路由器端口）

b)访问权限管理的漏洞

公网静态IP地址滥用，几乎没有受控。

操作系统、应用系统访问权限没有明确的规定。

c)网络链接纳理的漏洞

除GE、三条外部链路外，全体对日专线均直接连接到交换机，没有经过防火墙。

与ISP外网接口交换机没有规律关断，全体端口都可利用

远程诊断端口没有任何养护措施

d)计算机房、物理安好区域的漏洞

计算机房目前缺乏明确的技术安好标准，也不完全符合国家标准要求，例如：独立的空间、避雷装置、更加的消防系统等

开发办公区重要的计算机及网络设备没有任何养护措施

缺乏对物理安好区域统一规划、门禁系统授权操纵等

5.3各部门细致风险概况

由于各部门所面临的信息安好风险不一，因此，供给了一份细致的各部门资产风险（不成采纳的风险：中、中高、高级）汇总表。根据该表的估统计结果，公司各部门总体的不成采纳风险数量及针对的资产类别统计如下：

按资产类别：

按风险类别：

6.风险操纵措施选择

6.1.1根据上述风险统计结果，全体不成采纳的风险均应考虑采取操纵措施，但采取操纵措施应考虑以下的优先分级：

1）中级风险--具有风险，需要引起留神，并考虑采取操纵措施

2）中高级风险--具有显著，需要引起重视，并考虑连忙采取操纵措施

3）风险程度--需要引起更加的重视，并务必采