信息安全風險評估報告

文件編號密級XXXXX文件編號密級XXXXX公司信息安全風險評估報告XXXX/ISMS-D-020保密XXXXX公司信息安全風險評估報告版本號V1.0版本號V1.0編制人/創(chuàng)立日期XXXX2022.2.16XXX審核人/審核日期XXXX2022.2.16XXXX批準人/批準日期XXXX2022.2.16XXXX公布日期/實施日期分發(fā)編號2022/2/16原稿V1.1 2022/9/15 修訂稿2022.9.152022.9.152022.9.15////////////////////////////////一.風險工程綜述企業(yè)名稱:XXXXX公司企業(yè)概況：XXXXX公司是一家致力于計算機軟件產(chǎn)品的開發(fā)與銷售、計算機信息系統(tǒng)集成及技術(shù)支持與效勞的企業(yè)。ISMS方針：預(yù)防為主，共筑信息安全；完善治理，贏得顧客信任。/開發(fā)，系統(tǒng)集成及效勞的信息安全治理。二.風險評估目的為了在考慮掌握本錢與風險平衡的前提下選擇適宜的掌握目標和掌握方式，將信息安全風險掌握在可承受的水平,進展本次風險評估。三.風險評估日期：2022-9-102022-9-15XXXXXXX。五.評估方法綜述1、首先由信息安全治理小組牽頭組建風險評估小組；2、通過詢問公司對風險評估小組進展相關(guān)培訓；3法；4清單；5、對每個重要資產(chǎn)進展威逼、脆弱性識別并打分，并以此得到資產(chǎn)的風險等級；6、依據(jù)風險承受準則得出不行承受風險，并依據(jù)標準ISO27001:2022的附錄A制定相關(guān)的風險掌握措施；7、對于可承受的剩余風險向公司領(lǐng)導匯報并得到批準。六.風險評估概況依據(jù)第一階段審核結(jié)果，修訂了信息安全風險治理程序，依據(jù)修訂程序文件，再次進展了風險評估工作2022915下：1.2022-9-10~2022-9-10，風險評估培訓；2022-9-11~2022-9-11物理資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)、文檔資產(chǎn)、無形資產(chǎn)，效勞資產(chǎn)等共六大類；ISMS2022-9-14~2022-9-14，本公司各部門實施人員、部門領(lǐng)導或其指定的代表人員一起審核風險評估表；組組織審核，并最終匯總形本錢報告。.七.風險評估結(jié)果統(tǒng)計19011511542表1 資產(chǎn)面臨的威逼和脆弱性匯總表資產(chǎn)分類資產(chǎn)分類威逼喪失文檔資產(chǎn)泄密火災(zāi)泄密數(shù)據(jù)資產(chǎn)篡改非法訪問惡意代碼和病毒軟件資產(chǎn)信息喪失惡意代碼和病毒脆弱性名稱文件治理不當沒有設(shè)置登錄口令易燃燒沒有進展備份誤操作將其刪除員工信息保密意識不夠文件未進展加密無備份策略軟件存在漏洞未準時安裝補丁未準時安裝補丁無備份未安裝殺毒軟件泄密泄密設(shè)備故障喪失非法訪問、網(wǎng)絡(luò)攻擊硬件資產(chǎn)惡意代碼、病毒斷電特別斷電線路不通非法訪問、網(wǎng)絡(luò)攻擊效勞資產(chǎn)惡意代碼、病毒沒有設(shè)置登錄口令權(quán)限設(shè)置不合理涉密信息無加密措施設(shè)備使用和治理不當設(shè)備治理不當保管不善權(quán)限設(shè)置不合理弱身份驗證機制殺毒軟件更不準時殺毒軟件設(shè)置不正確UPS設(shè)計缺陷布線不標準權(quán)限設(shè)置不合理弱身份驗證機制沒有安裝入侵檢測軟件資產(chǎn)分類威逼脆弱性名稱對網(wǎng)站下載或上傳掌握不當軟件故障設(shè)計缺陷，使用、保護措施不當非法訪問弱身份驗證機制員工信息保護意識不夠八．風險處理打算依據(jù)本次風險評估結(jié)果，對不行承受風險進展處理。在選取掌握措施和方法時，結(jié)合公司財力、物力和資產(chǎn)重要度等級等各種因素，制定了風險處理打算。公司各部門針對不行承受風險，公司組織各部門制定《風險九.剩余風險在實行相關(guān)治理和技術(shù)措施后，經(jīng)再次風