資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估材料_第1頁
資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估材料_第2頁
資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估材料_第3頁
資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估材料_第4頁
資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估材料_第5頁
已閱讀5頁,還剩4頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

文件編號(hào):ISMS-09-01~07受控控制狀態(tài):受控版本號(hào):V1.0生效日期:2023年1月1日【組織名稱】資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估(ISMS-04-A8-01~07) 編寫審核批準(zhǔn)日期2023年1月1日日期2023年1月1日日期2023年1月1日0.1變更記錄變更日期版本變更說明編寫審核批準(zhǔn)2023年1月4日V1.0創(chuàng)建0.2目錄序號(hào)名稱編號(hào)保存期限部門受控狀態(tài)資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估計(jì)劃ISMS-0901一年管理運(yùn)營部受控信息資產(chǎn)識(shí)別評(píng)價(jià)表ISMS-0902一年管理運(yùn)營部受控重要信息資產(chǎn)識(shí)別評(píng)價(jià)表ISMS-09-02一年管理運(yùn)營部受控信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表ISMS-09-03一年管理運(yùn)營部受控信息安全風(fēng)險(xiǎn)處置報(bào)告ISMS-09-04一年管理運(yùn)營部受控信息安全風(fēng)險(xiǎn)處置計(jì)劃ISMS-09-05一年管理運(yùn)營部受控信息資產(chǎn)風(fēng)險(xiǎn)二次評(píng)估表ISMS-09-06一年管理運(yùn)營部受控信息安全殘余風(fēng)險(xiǎn)確認(rèn)報(bào)告ISMS-09-07一年管理運(yùn)營部受控資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估計(jì)劃編號(hào):ISMS-09-01版本:V1.0評(píng)估目的為了在考慮控制成本與風(fēng)險(xiǎn)平衡的前提下選擇合適的控制目標(biāo)和控制方式,將信息安全風(fēng)險(xiǎn)控制在可接受的水平,進(jìn)行本次風(fēng)險(xiǎn)評(píng)估。評(píng)估依據(jù)ISO/IEC27001:2013標(biāo)準(zhǔn)、管理體系文件評(píng)估方法首先由管理運(yùn)營部牽頭組建風(fēng)險(xiǎn)評(píng)估小組;通過咨詢公司對(duì)風(fēng)險(xiǎn)評(píng)估小組進(jìn)行相關(guān)培訓(xùn);根據(jù)我們的信息安全方針、范圍制定信息安全風(fēng)險(xiǎn)管理程序,以這個(gè)程序作為我們風(fēng)險(xiǎn)評(píng)估的依據(jù)和方法;各部門識(shí)別所有的業(yè)務(wù)流程,并根據(jù)這些業(yè)務(wù)流程進(jìn)行資產(chǎn)識(shí)別,對(duì)識(shí)別的資產(chǎn)進(jìn)行打分形成重要資產(chǎn)清單;對(duì)每個(gè)重要資產(chǎn)進(jìn)行威脅、脆弱性識(shí)別并打分,并以此得到資產(chǎn)的風(fēng)險(xiǎn)等級(jí);評(píng)估小組序號(hào)姓名職責(zé)部門備注A組長(zhǎng)管理運(yùn)營部B組員管理運(yùn)營部C組員智慧城市事業(yè)部D組員采購保障部E組員財(cái)務(wù)資產(chǎn)部F組員安全質(zhì)量部G組員人力資源部評(píng)估時(shí)間2023年1月4日-2023年1月15日評(píng)估日程安排評(píng)估小組時(shí)間安排工作內(nèi)容被評(píng)估部門1月4日9預(yù)備會(huì)議各部門代表A1月4日-1月7日對(duì)管理層進(jìn)行信息資產(chǎn)識(shí)別總經(jīng)理B1月4日-1月7日對(duì)管理運(yùn)營部進(jìn)行信息資產(chǎn)識(shí)別管理運(yùn)營部C1月4日-1月7日對(duì)智慧城市事業(yè)部進(jìn)行信息資產(chǎn)識(shí)別智慧城市事業(yè)部D1月4日-1月7日對(duì)采購保障部進(jìn)行信息資產(chǎn)識(shí)別采購保障部E1月4日-1月7日對(duì)財(cái)務(wù)資產(chǎn)部進(jìn)行信息資產(chǎn)識(shí)別財(cái)務(wù)資產(chǎn)部F1月4日-1月7日對(duì)安全質(zhì)量部進(jìn)行信息資產(chǎn)識(shí)別安全質(zhì)量部G1月4日-1月7日對(duì)人力資源部進(jìn)行信息資產(chǎn)識(shí)別人力資源部ABCDEFG1月8日識(shí)別所有重要信息資產(chǎn)所有ABCDEFG1月11日-1月15日進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。所有ABCDEFG1月18日-1月22日進(jìn)行風(fēng)險(xiǎn)處置所有ABCDEFG1月25日進(jìn)行二次風(fēng)險(xiǎn)評(píng)估所有編制:審批:日期:2023年1月1日

【組織名稱】信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告文檔信息文檔編號(hào):ISMS-09-04文檔名稱:信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告起草人:審核人:批準(zhǔn)人:生效日期:2023年1月1日發(fā)布范圍:內(nèi)部版本記錄版本號(hào)版本日期修改修改章節(jié)修改記錄V1.02023年1月4日創(chuàng)建新文檔風(fēng)險(xiǎn)評(píng)估目的為了在考慮控制成本與風(fēng)險(xiǎn)平衡的前提下選擇合適的控制目標(biāo)和控制方式,將信息安全風(fēng)險(xiǎn)控制在可接受的水平,進(jìn)行本次風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估日期:2023年1月4日-2023年1月15日評(píng)估小組成員:評(píng)估方法綜述首先由管理運(yùn)營部牽頭組建風(fēng)險(xiǎn)評(píng)估小組;通過咨詢公司對(duì)風(fēng)險(xiǎn)評(píng)估小組進(jìn)行相關(guān)培訓(xùn);根據(jù)我們的信息安全方針、范圍制定信息安全風(fēng)險(xiǎn)管理程序,以這個(gè)程序作為我們風(fēng)險(xiǎn)評(píng)估的依據(jù)和方法;各部門識(shí)別所有的業(yè)務(wù)流程,并根據(jù)這些業(yè)務(wù)流程進(jìn)行資產(chǎn)識(shí)別,對(duì)識(shí)別的資產(chǎn)進(jìn)行打分形成重要資產(chǎn)清單;對(duì)每個(gè)重要資產(chǎn)進(jìn)行威脅、脆弱性識(shí)別并打分,并以此得到資產(chǎn)的風(fēng)險(xiǎn)等級(jí);根據(jù)風(fēng)險(xiǎn)接受準(zhǔn)則得出不可接受風(fēng)險(xiǎn),并根據(jù)標(biāo)準(zhǔn)ISO/IEC27001:2013的附錄A制定相關(guān)的風(fēng)險(xiǎn)控制措施;對(duì)于可接受的剩余風(fēng)險(xiǎn)向公司領(lǐng)導(dǎo)匯報(bào)并得到批準(zhǔn)。風(fēng)險(xiǎn)評(píng)估結(jié)果相關(guān)部門組織了本次風(fēng)險(xiǎn)評(píng)估和討論分析,對(duì)不同類別的信息資產(chǎn)所面臨的威脅,及威脅所利用的脆弱性進(jìn)行了詳細(xì)的分析。各部門對(duì)信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估,并制定風(fēng)險(xiǎn)處置措施。本次資產(chǎn)識(shí)別的統(tǒng)計(jì)結(jié)果見下表:部門管理層管理運(yùn)營部財(cái)務(wù)資產(chǎn)部采購保障部安全質(zhì)量部人力資源部智慧城市事業(yè)部合計(jì)數(shù)目信息資產(chǎn)數(shù)量1063271051093218重要資產(chǎn)數(shù)量(重要程度≥4)101082133872本次風(fēng)險(xiǎn)評(píng)估的統(tǒng)計(jì)結(jié)果見下表:風(fēng)險(xiǎn)等級(jí)低風(fēng)險(xiǎn)中風(fēng)險(xiǎn)高風(fēng)險(xiǎn)1級(jí)2級(jí)3級(jí)合計(jì)風(fēng)險(xiǎn)統(tǒng)計(jì)數(shù)3735072表風(fēng)險(xiǎn)總計(jì)分析表本公司規(guī)定風(fēng)險(xiǎn)評(píng)估結(jié)果中風(fēng)險(xiǎn)等級(jí)=3定義為高風(fēng)險(xiǎn),需要對(duì)信息資產(chǎn)采取一定控制措施進(jìn)行處置,本次風(fēng)險(xiǎn)評(píng)估未識(shí)別出高等級(jí)風(fēng)險(xiǎn)項(xiàng)。附表是本次風(fēng)險(xiǎn)評(píng)估的最終結(jié)果。此附表中沒有給出建議的控制措施。風(fēng)險(xiǎn)等級(jí)的劃分直接參考風(fēng)險(xiǎn)評(píng)估程序。依據(jù)風(fēng)險(xiǎn)評(píng)估程序,我司對(duì)相對(duì)風(fēng)險(xiǎn)等級(jí)為高的一組資產(chǎn)將制定控制計(jì)劃。附表摘要了這組資產(chǎn)的名稱、面臨的威脅、可被威脅利用的脆弱性及計(jì)算出的風(fēng)險(xiǎn)等級(jí)。信息安全殘余風(fēng)險(xiǎn)確認(rèn)報(bào)告ISMS-09-07

依據(jù)ISO/IEC

27001:2022《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》和ISO/IEC

27002:2022《信息技術(shù)-安全技術(shù)-信息安全管理體系實(shí)用規(guī)則》標(biāo)準(zhǔn),以及我公司《信息安全風(fēng)險(xiǎn)管理程序》、《信息安全風(fēng)險(xiǎn)評(píng)估計(jì)劃》,我公司于2023年1月份進(jìn)行了信息安全風(fēng)險(xiǎn)評(píng)估,形成了《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告》,針對(duì)信息安全風(fēng)險(xiǎn),選擇了處理方法,形成了《信息安全風(fēng)險(xiǎn)處理計(jì)劃》,落實(shí)了責(zé)任部門、責(zé)任人和時(shí)間進(jìn)度。

我公司組織了對(duì)《信息安全風(fēng)險(xiǎn)處理計(jì)劃》實(shí)施情況的檢查,經(jīng)檢查信息安全風(fēng)險(xiǎn)處理計(jì)劃已按規(guī)定要求全部實(shí)施。

對(duì)其他信息安全風(fēng)險(xiǎn),采取有效的控制措施后均已降低為低風(fēng)險(xiǎn)(可接受風(fēng)險(xiǎn))。

根據(jù)對(duì)《信息安全風(fēng)險(xiǎn)處理計(jì)劃》的實(shí)施檢查情況,我公司組織了對(duì)信息安全剩余風(fēng)險(xiǎn)的評(píng)估,對(duì)以下風(fēng)險(xiǎn)給予風(fēng)險(xiǎn)接受。

報(bào)告人:報(bào)告日期:2023年1月15日

總經(jīng)理批示經(jīng)過上一階段的風(fēng)險(xiǎn)評(píng)估,制定

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論