風險評估報告-模板.docx

1、一、風險評估目的為本公司依據IS027001:2013信息技術-安全技術-信息安全管理體系要求 和IS027001:2013信息技術-安全技術-信息安全管理體系實用規(guī)則標準建立 信息安全管理體系提供策劃依據，并為信息安全管理體系的運行提供評審的輸入 及管理體系的持續(xù)改進提供依據，進行本次風險評估。二、風險評估日期三、評估小組成員四、評估方法本次信息安全風險評估采用定量的方法對資產進行識別，并對資產自身價值、 信息類別、保密性、完整性、可用性、法律法規(guī)合同及其它要求的符合性方面進 行分類賦值，綜合考慮資產在自身價值、保密性、完整性、可用性和法律法規(guī)合 同上的達成程度，在此基礎上得出綜合結果，根據

2、制定的重要資產評價準則，確 定重要資產。對信息資產的威脅及薄弱點進行識別，并對威脅利用薄弱點發(fā)生安全事件的 可能性，以及在資產自身價值、保密性、完整性、可用性、法律法規(guī)合同的符合 性方面的潛在影響，并考慮現有的控制措施，進行賦值分析，確定風險等級和接 受程度。資產(Asset)是組織要保護的資產，它包括硬件、軟件、系統(tǒng)、數據、文 檔、服務、人力資源等。威脅(Threat)是指可能對資產或組織造成損害的事故的潛在原因。它可能 是人為的，也可能是非人為的；可能是無意失誤，也可能是惡意攻擊。薄弱點(Vulnerability)是指資產或資產組中能被威脅利用的弱點。它們 不直接對資產造成危害，但薄弱點

3、可能被環(huán)境中的威脅所利用從而危害資產的安 全。風險(Risk)是特定的威脅利用資產的一種或一組薄弱點，導致資產的丟失 或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結合。資產、威脅、 薄弱點及控制的任何變化都可能帶來風險的變化，因此，為了降低安全風險，應 對環(huán)境或系統(tǒng)的變化進行監(jiān)視以便及時采取有效措施加以控制或防范?？刂拼胧?Controls)是阻止威脅、降低風險、控制事故影響、檢測事故及 實施恢復的一系列實踐、程序或機制。在風險計算時，考慮了資產的重要程度，威脅利用薄弱點導致安全事件發(fā)生 的可能性，安全事件一旦發(fā)生對資產的影響程度，以及己采取控制措施的有效性。 根據所計算的風險值確定

4、風險等級，并對所有風險計算結果進行等級處理。綜合考慮風險控制成本與風險造成的影響，制定了風險接受準則。對可接受 風險，保持已有的安全措施；對不可接受風險，則采取安全措施以降低、控制風 險。具體的方法，見信息安全風險識別與評價管理程序。評估過程：本公司在建立信息安全管理體系的過程中，確定了風險評估的系統(tǒng)范圍，依 據信息安全風險識別與評價管理程序確定了風險評估方法。在行政部的組織下，成立了本次風險評估小組，編制了風險評估計劃。通過 對各部門內審員的階段式培訓，根據風險評估階段的工作計劃，共同按照下列步 驟完成了風險評估工作：1）各部門對本部門的資產進行了識別，并根據信息安全風險識別與評價管理程序中

5、既定的原則對資產進行了賦值，確定了重要資產；2）根據資產所處的環(huán)境進行了威脅的識別；3）針對每一威脅所對應的薄弱點進行識別；4）對目前己有的安全控制進行了確認；5）針對每一威脅利用薄弱點對于資產價值、保密性、完整性、可用性、 合規(guī)性等方面造成的潛在影響進行了評價。6）根據信息安全風險識別與評價管理程序中風險等級的評價原則, 確定了風險的等級。在整個評估的過程中，風險評估小組對于各部門內審員進行了現場的指導, 對于采集的數據的準確性、完整性、適宜性進行了確認。并對識別及評估的結果 進行了整體的平衡。五、風險評估概況1、本項目涉及的部門2、資產及風險情況六、總結本次評估按照15027001:2013和TS027002的要求，由資產的所有者（各部 門風險評估人員）進行，通過以上風險評估，本公司的主要信息資產為信息系統(tǒng) 數據、人員以及軟硬件；主要風險為2級風險，涉及信息系統(tǒng)安全管理方面、人 員