信息安全風(fēng)險評估報告

XXXXX公司文件編號XXXX/ISMS-D-020信息安全風(fēng)險評估報告密級保密 XXXXX公司信息安全風(fēng)險評估報告歷史版本編制、審核、批準(zhǔn)、發(fā)布實施、分發(fā)信息記錄表版本號編制人/創(chuàng)建日期審核人/審核日期批準(zhǔn)人/批準(zhǔn)日期發(fā)布日期/實施日期分發(fā)編號V1.0XXXX2017.2.16XXXX2017.2.16XXXX2017.2.162017/2/16原稿V1.1XXX2017.9.15XXXX2017.9.15XXXX2017.9.152017/9/15修訂稿////////////////////////////////表1資產(chǎn)面臨的威脅和脆弱性匯總表資產(chǎn)分類威脅脆弱性名稱文檔資產(chǎn)丟失存儲不當(dāng)導(dǎo)致無法檢索文件管理不當(dāng)泄密員工信息保密意識不夠沒有設(shè)置登錄口令涉密信息無加密措施火災(zāi)易燃燒偷盜文件存放區(qū)域防護(hù)不當(dāng)數(shù)據(jù)資產(chǎn)丟失存儲不當(dāng)導(dǎo)致無法檢索沒有進(jìn)行備份誤操作將其刪除泄密員工信息保密意識不夠電腦沒有設(shè)置登錄口令或者屏幕保護(hù)文件未進(jìn)行加密權(quán)限設(shè)置不合理篡改無備份策略非法訪問弱身份驗證機(jī)制惡意代碼和病毒未安裝殺毒軟件殺毒軟件設(shè)置不合理殺毒軟件未及時更新對網(wǎng)站下載或上傳控制不當(dāng)軟件資產(chǎn)惡意代碼和網(wǎng)絡(luò)攻擊軟件存在漏洞未及時安裝補(bǔ)丁運(yùn)行故障、意外錯誤設(shè)計缺陷，使用、保護(hù)措施不當(dāng)未及時安裝補(bǔ)丁信息丟失無備份惡意代碼和病毒未安裝殺毒軟件殺毒軟件設(shè)置不合理殺毒軟件未及時更新對網(wǎng)站下載或上傳控制不當(dāng)軟件故障設(shè)計缺陷，使用、保護(hù)措施不當(dāng)非法訪問弱身份驗證機(jī)制泄密員工信息保護(hù)意識不夠沒有設(shè)置登錄口令權(quán)限設(shè)置不合理涉密信息無加密措施硬件資產(chǎn)非授權(quán)使用設(shè)備物理保護(hù)措施不當(dāng)設(shè)備故障設(shè)備使用和管理不當(dāng)丟失設(shè)備管理不當(dāng)保管不善非法訪問、網(wǎng)絡(luò)攻擊防火墻或入侵檢測軟件配置不合理權(quán)限設(shè)置不合理弱身份驗證機(jī)制惡意代碼、病毒殺毒軟件更新不及時殺毒軟件設(shè)置不正確沒有安裝入侵檢測軟件斷電UPS持續(xù)時間不能滿足要求UPS不能定期維護(hù)異常斷電設(shè)備維護(hù)不當(dāng)儲存電能不夠設(shè)計缺陷線路不通布線不規(guī)范服務(wù)資產(chǎn)非法訪問、網(wǎng)絡(luò)攻擊防火墻或入侵檢測軟件配置不合理權(quán)限設(shè)置不合理弱身份驗證機(jī)制惡意代碼、病毒殺毒軟件更新不及時殺毒軟件設(shè)置不正確沒有安裝入侵檢測軟件風(fēng)險處理計劃根據(jù)本次風(fēng)險評估結(jié)果，對不可接受風(fēng)險進(jìn)行處理。在選取控制措施和方法時，結(jié)合公司財力、物力和資產(chǎn)重要度等級等各種因素，制定了風(fēng)險處理計劃。公司各部門針對不可接受風(fēng)險，公司組織各部門制定《風(fēng)險處置計劃》，經(jīng)各部門討論確認(rèn)，管理者代表批準(zhǔn)后實施。風(fēng)險處置計劃制定情況詳見《風(fēng)險處置計劃》。九.殘余風(fēng)險在采取相關(guān)管理和技術(shù)措施后，經(jīng)再次風(fēng)險評估，不可接受風(fēng)險采取措施后的殘余風(fēng)見各部門《信息安全殘余風(fēng)險評估表》。對于中等及以上的殘余風(fēng)險，若確定為接受