信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告書模板

1、WORD 整理版XXXXX 公司信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告專業(yè)資料學(xué)習(xí)參考?xì)v史版本編制、審核、批準(zhǔn)、發(fā)布實(shí)施、分發(fā)信息記錄表WORD 整理版編制人 /審核人 /批準(zhǔn)人 /發(fā)布日期 /分發(fā)編版本號(hào)創(chuàng)建日期審核日期批準(zhǔn)日期實(shí)施日期號(hào)XXXXXXXXXXXX2017/2/16V1.02017.2.162017.2.16原稿2017.2.16XXXXXXXXXXX2017/9/15V1.12017.9.152017.9.15修訂稿2017.9.15/一 .風(fēng)險(xiǎn)項(xiàng)目綜述1. 企業(yè)名稱 : 專XXXXX業(yè)資料學(xué)習(xí)參公考司2. 企業(yè)概況： XXXXX 公司是一家致力于計(jì)算機(jī)軟件產(chǎn)品的開發(fā)與銷售、計(jì)算機(jī)信息系統(tǒng)集成

2、及技術(shù)支持與WORD 整理版服務(wù)的企業(yè)。3. ISMS方針：預(yù)防為主，共筑信息安全；完善管理，贏得顧客信賴。4. ISMS范圍：計(jì)算機(jī)應(yīng)用軟件開發(fā)，網(wǎng)絡(luò)安全產(chǎn)品設(shè)計(jì) / 開發(fā)，系統(tǒng)集成及服務(wù)的信息安全管理。二 . 風(fēng)險(xiǎn)評(píng)估目的為了在考慮控制成本與風(fēng)險(xiǎn)平衡的前提下選擇合適的控制目標(biāo)和控制方式，將信息安全風(fēng)險(xiǎn)控制在可接受的水平 , 進(jìn)行本次風(fēng)險(xiǎn)評(píng)估。三 . 風(fēng)險(xiǎn)評(píng)估日期：2017-9-10 至 2017-9-15四 .評(píng)估小組成員XXXXXXX。五 .評(píng)估方法綜述1、首先由信息安全管理小組牽頭組建風(fēng)險(xiǎn)評(píng)估小組；2、通過咨詢公司對(duì)風(fēng)險(xiǎn)評(píng)估小組進(jìn)行相關(guān)培訓(xùn)；3、根據(jù)我們的信息安全方針、 范圍制定信息安

3、全風(fēng)險(xiǎn)管理程序，以這個(gè)程序作為我們風(fēng)險(xiǎn)評(píng)估的依據(jù)和方法；4、各部門識(shí)別所有的業(yè)務(wù)流程， 并根據(jù)這些業(yè)務(wù)流程進(jìn)行資產(chǎn)識(shí)別，對(duì)識(shí)別的資產(chǎn)進(jìn)行打分形成重要資產(chǎn)清單；5、對(duì)每個(gè)重要資產(chǎn)進(jìn)行威脅、脆弱性識(shí)別并打分，并以此得到資產(chǎn)的風(fēng)險(xiǎn)等級(jí)；6、根據(jù)風(fēng)險(xiǎn)接受準(zhǔn)則得出不可接受風(fēng)險(xiǎn)，并根據(jù)標(biāo)準(zhǔn)ISO27001:2013 的附錄 A 制定相關(guān)的風(fēng)險(xiǎn)控制措施；7、對(duì)于可接受的剩余風(fēng)險(xiǎn)向公司領(lǐng)導(dǎo)匯報(bào)并得到批準(zhǔn)。六 . 風(fēng)險(xiǎn)評(píng)估概專業(yè)況資料學(xué)習(xí)參考根據(jù)第一階段審核結(jié)果，修訂了信息安全風(fēng)險(xiǎn)管理程序，根據(jù)新修訂程序文件，再次進(jìn)行了風(fēng)險(xiǎn)評(píng)估工作WORD 整理版從 2017 年 9 月 10 日開始進(jìn)入風(fēng)險(xiǎn)評(píng)估階段，到 20

4、17 年 9 月 15 日止基本工作告一段落。主要工作過程如下：1. 2017-9-10 2017-9-10 ，風(fēng)險(xiǎn)評(píng)估培訓(xùn)；2. 2017-9-11 2017-9-11 ，公司評(píng)估小組制定信息安全風(fēng)險(xiǎn)管理程序 ，制定系統(tǒng)化的風(fēng)險(xiǎn)評(píng)估方法；3. 2017-9-12 2017-9-12 ，本公司各部門識(shí)別本部門信息資產(chǎn)，并對(duì)信息資產(chǎn)進(jìn)行等級(jí)評(píng)定，其中資產(chǎn)分為物理資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)、文檔資產(chǎn)、無形資產(chǎn)，服務(wù)資產(chǎn)等共六大類；4. 2017-9-13 2017-9-13 ，本公司各部門編寫風(fēng)險(xiǎn)評(píng)估表，識(shí)別信息資產(chǎn)的脆弱性和面臨的威脅，評(píng)估潛在風(fēng)險(xiǎn)，并在 ISMS工作組內(nèi)審核；5. 2017-9-

5、14 2017-9-14 ，本公司各部門實(shí)施人員、部門領(lǐng)導(dǎo)或其指定的代表人員一起審核風(fēng)險(xiǎn)評(píng)估表；6. 2017-9-15 2017-9-15，各部門修訂風(fēng)險(xiǎn)評(píng)估表，識(shí)別重大風(fēng)險(xiǎn)，制定控制措施；ISMS工作組組織審核，并最終匯總形成本報(bào)告。.七.風(fēng)險(xiǎn)評(píng)估結(jié)果統(tǒng)計(jì)本次風(fēng)險(xiǎn)評(píng)估情況詳見各部門“風(fēng)險(xiǎn)評(píng)估表” ，其中共識(shí)別出資產(chǎn) 190 個(gè)，重要資產(chǎn) 115 個(gè)，信息安全風(fēng)險(xiǎn) 115 個(gè)，不可接受風(fēng)險(xiǎn) 42 個(gè) .表 1資產(chǎn)面臨的威脅和脆弱性匯總表資產(chǎn)分類威脅脆弱性名稱存儲(chǔ)不當(dāng)導(dǎo)致無法檢索丟失文件管理不當(dāng)員工信息保密意識(shí)不夠文檔資產(chǎn)泄密沒有設(shè)置登錄口令涉密信息無加密措施專業(yè)資料學(xué)習(xí)參考火災(zāi)易燃燒WORD

6、 整理版資產(chǎn)分類威脅脆弱性名稱偷盜文件存放區(qū)域防護(hù)不當(dāng)存儲(chǔ)不當(dāng)導(dǎo)致無法檢索丟失沒有進(jìn)行備份誤操作將其刪除員工信息保密意識(shí)不夠泄密電腦沒有設(shè)置登錄口令或者屏幕保護(hù)文件未進(jìn)行加密數(shù)據(jù)資產(chǎn)權(quán)限設(shè)置不合理篡改無備份策略非法訪問弱身份驗(yàn)證機(jī)制未安裝殺毒軟件惡意代碼和病毒殺毒軟件設(shè)置不合理殺毒軟件未及時(shí)更新對(duì)網(wǎng)站下載或上傳控制不當(dāng)惡意代碼和網(wǎng)絡(luò)攻擊軟件存在漏洞未及時(shí)安裝補(bǔ)丁運(yùn)行故障、意外錯(cuò)誤設(shè)計(jì)缺陷，使用、保護(hù)措施不當(dāng)未及時(shí)安裝補(bǔ)丁信息丟失無備份未安裝殺毒軟件惡意代碼和病毒殺毒軟件設(shè)置不合理軟件資產(chǎn)殺毒軟件未及時(shí)更新對(duì)網(wǎng)站下載或上傳控制不當(dāng)軟件故障設(shè)計(jì)缺陷，使用、保護(hù)措施不當(dāng)非法訪問弱身份驗(yàn)證機(jī)制員工信息

7、保護(hù)意識(shí)不夠泄密沒有設(shè)置登錄口令權(quán)限設(shè)置不合理專業(yè)資料學(xué)習(xí)參考涉密信息無加密措施硬件資產(chǎn)非授權(quán)使用設(shè)備物理保護(hù)措施不當(dāng)WORD 整理版資產(chǎn)分類威脅脆弱性名稱設(shè)備故障設(shè)備使用和管理不當(dāng)丟失設(shè)備管理不當(dāng)保管不善防火墻或入侵檢測(cè)軟件配置不合理非法訪問、網(wǎng)絡(luò)攻擊權(quán)限設(shè)置不合理弱身份驗(yàn)證機(jī)制殺毒軟件更新不及時(shí)惡意代碼、病毒殺毒軟件設(shè)置不正確沒有安裝入侵檢測(cè)軟件斷電UPS持續(xù)時(shí)間不能滿足要求UPS不能定期維護(hù)異常斷電設(shè)備維護(hù)不當(dāng)儲(chǔ)存電能不夠設(shè)計(jì)缺陷線路不通布線不規(guī)范防火墻或入侵檢測(cè)軟件配置不合理非法訪問、網(wǎng)絡(luò)攻擊權(quán)限設(shè)置不合理服務(wù)資產(chǎn)弱身份驗(yàn)證機(jī)制殺毒軟件更新不及時(shí)惡意代碼、病毒殺毒軟件設(shè)置不正確沒有安裝

8、入侵檢測(cè)軟件八 風(fēng)險(xiǎn)處理計(jì)劃根據(jù)本次風(fēng)險(xiǎn)評(píng)估結(jié)果，對(duì)不可接受風(fēng)險(xiǎn)進(jìn)行處理。在選取控制措施和方法時(shí)，結(jié)合公司財(cái)力、物力和資產(chǎn)重要度等級(jí)等各種因素，制定了風(fēng)險(xiǎn)處理計(jì)劃。公司各部門針對(duì)不可接受風(fēng)險(xiǎn)，公司組織各部門制定風(fēng)險(xiǎn)處置計(jì)劃，經(jīng)各部門討論確認(rèn)，管理者代表批準(zhǔn)后實(shí)施。風(fēng)險(xiǎn)處置計(jì)劃制定情況詳見風(fēng)險(xiǎn)處置計(jì)劃。九 . 殘余風(fēng)險(xiǎn)在采取相關(guān)管理和技術(shù)措施后，經(jīng)再次風(fēng)險(xiǎn)評(píng)估，不可接受風(fēng)險(xiǎn)采取措施后的殘余風(fēng)見各部門信息安全殘專業(yè)資料學(xué)習(xí)參考余風(fēng)險(xiǎn)評(píng)估表。對(duì)于中等及以上的殘余風(fēng)險(xiǎn)，若確定為接受的, 需要經(jīng)過管理者代表批準(zhǔn)。根據(jù)殘余風(fēng)險(xiǎn)評(píng)估結(jié)果，采取措施后，殘余風(fēng)險(xiǎn)等級(jí)均為低，經(jīng)評(píng)審確定這些殘余風(fēng)險(xiǎn)均為可接受風(fēng)險(xiǎn)。山水是一部書，WORD 整理版枝枝葉葉的文字間，聲聲鳥鳴是抑揚(yáng)頓挫的標(biāo)點(diǎn)