信息安全风险评估报告书

信息安全风险评估报告书

ID:21373469

大小:77.00 KB

页数:7页

时间:2018-10-21

信息安全风险评估报告书_第1页
信息安全风险评估报告书_第2页
信息安全风险评估报告书_第3页
信息安全风险评估报告书_第4页
信息安全风险评估报告书_第5页
资源描述:

《信息安全风险评估报告书》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、XXXXX公司信息安全风险评估报告历史版本编制、审核、批准、发布实施、分发信息记录表版本号编制人/创建日期审核人/审核日期批准人/批准日期发布日期/实施日期分发编号V1.0XXXX2017.2.16XXXX2017.2.16XXXX2017.2.162017/2/16原稿V1.1XXX2017.9.15XXXX2017.9.15XXXX2017.9.152017/9/15修订稿////////////////////////////////一.风险项目综述1.企业名称:XXXXX公司2.企业概况:XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持与服务的企

2、业。1.ISMS方针:预防为主,共筑信息安全;完善管理,赢得顾客信赖。2.ISMS范围:计算机应用软件开发,网络安全产品设计/开发,系统集成及服务的信息安全管理。一.风险评估目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,进行本次风险评估。二.风险评估日期:2017-9-10至2017-9-15三.评估小组成员XXXXXXX。四.评估方法综述1、首先由信息安全管理小组牵头组建风险评估小组;2、通过咨询公司对风险评估小组进行相关培训;3、根据我们的信息安全方针、范围制定信息安全风险管理程序,以这个程序作为我们风险评估的依据和方法;4、

3、各部门识别所有的业务流程,并根据这些业务流程进行资产识别,对识别的资产进行打分形成重要资产清单;5、对每个重要资产进行威胁、脆弱性识别并打分,并以此得到资产的风险等级;6、根据风险接受准则得出不可接受风险,并根据标准ISO27001:2013的附录A制定相关的风险控制措施;7、对于可接受的剩余风险向公司领导汇报并得到批准。五.风险评估概况根据第一阶段审核结果,修订了信息安全风险管理程序,根据新修订程序文件,再次进行了风险评估工作从2017年9月10日开始进入风险评估阶段,到2017年9月15日止基本工作告一段落。主要工作过程如下:1.2017-9-10~2017-9-10,风险评估培训;

4、2.2017-9-11~2017-9-11,公司评估小组制定《信息安全风险管理程序》,制定系统化的风险评估方法;3.2017-9-12~2017-9-12,本公司各部门识别本部门信息资产,并对信息资产进行等级评定,其中资产分为物理资产、软件资产、数据资产、文档资产、无形资产,服务资产等共六大类;4.2017-9-13~2017-9-13,本公司各部门编写风险评估表,识别信息资产的脆弱性和面临的威胁,评估潜在风险,并在ISMS工作组内审核;5.2017-9-14~2017-9-14,本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表;6.2017-9-15~2017-9-1

5、5,各部门修订风险评估表,识别重大风险,制定控制措施;ISMS工作组组织审核,并最终汇总形成本报告。.七.风险评估结果统计本次风险评估情况详见各部门“风险评估表”,其中共识别出资产190个,重要资产115个,信息安全风险115个,不可接受风险42个.表1资产面临的威胁和脆弱性汇总表资产分类威胁脆弱性名称文档资产丢失存储不当导致无法检索文件管理不当泄密员工信息保密意识不够没有设置登录口令涉密信息无加密措施火灾易燃烧偷盗文件存放区域防护不当数据资产丢失存储不当导致无法检索没有进行备份误操作将其删除泄密员工信息保密意识不够电脑没有设置登录口令或者屏幕保护文件未进行加密权限设置不合理篡改无备份策

6、略非法访问弱身份验证机制恶意代码和病毒未安装杀毒软件杀毒软件设置不合理杀毒软件未及时更新对网站下载或上传控制不当软件资产恶意代码和网络攻击软件存在漏洞未及时安装补丁运行故障、意外错误设计缺陷,使用、保护措施不当未及时安装补丁信息丢失无备份恶意代码和病毒未安装杀毒软件杀毒软件设置不合理杀毒软件未及时更新对网站下载或上传控制不当软件故障设计缺陷,使用、保护措施不当非法访问弱身份验证机制泄密员工信息保护意识不够没有设置登录口令权限设置不合理涉密信息无加密措施硬件资产非授权使用设备物理保护措施不当设备故障设备使用和管理不当丢失设备管理不当保管不善非法访问、网络攻击防火墙或入侵检测软件配置不合理权

7、限设置不合理弱身份验证机制恶意代码、病毒杀毒软件更新不及时杀毒软件设置不正确没有安装入侵检测软件断电UPS持续时间不能满足要求UPS不能定期维护异常断电设备维护不当储存电能不够设计缺陷线路不通布线不规范服务资产非法访问、网络攻击防火墙或入侵检测软件配置不合理权限设置不合理弱身份验证机制恶意代码、病毒杀毒软件更新不及时杀毒软件设置不正确没有安装入侵检测软件八.风险处理计划根据本次风险评估结果,对不可接受风险进行处理。在选取控制措施和方

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。