信息安全風險評估報告21565

頁腳內容頁腳內容XXXXX公司

信息安全風險評估報告

歷史版本編制、審核、批準、發(fā)布實施、分發(fā)信息記錄表版本號編制人/創(chuàng)建日期審核人/審核日期批準人/批準日期發(fā)布日期/實施日期分發(fā)編號V1.0XXXX2017.2.16XXXX2017.2.16XXXX2017.2.162017/2/16原稿V1.1XXX2017.9.15XXXX2017.9.15XXXX2017.9.152017/9/15修訂稿////////////////////////////////北京移動網絡運行支撐中心系統(tǒng)安全加固與服務項目北京移動網絡運行支撐中心系統(tǒng)安全加固與服務項目風險項目綜述1.企業(yè)名稱:XXXXX公司企業(yè)概況：XXXXX公司是一家致力于計算機軟件產品的開發(fā)與銷售、計算機信息系統(tǒng)集成及技術支持與服務的企業(yè)。ISMS方針：預防為主，共筑信息安全；完善管理，贏得顧客信賴。ISMS范圍：計算機應用軟件開發(fā)，網絡安全產品設計/開發(fā)，系統(tǒng)集成及服務的信息安全管理。風險評估目的為了在考慮控制成本與風險平衡的前提下選擇合適的控制目標和控制方式，將信息安全風險控制在可接受的水平,進行本次風險評估。風險評估日期：2017-9-10至2017-9-15評估小組成員XXXXXXX。評估方法綜述1、首先由信息安全管理小組牽頭組建風險評估小組；頁腳內容2、通過咨詢公司對風險評估小組進行相關培訓；北京移動網絡運行支撐中心系統(tǒng)安全加固與服務項目北京移動網絡運行支撐中心系統(tǒng)安全加固與服務項目頁腳內容頁腳內容3、根據(jù)我們的信息安全方針、范圍制定信息安全風險管理程序，以這個程序作為我們風險評估的依據(jù)和方法；4、各部門識別所有的業(yè)務流程，并根據(jù)這些業(yè)務流程進行資產識別，對識別的資產進行打分形成重要資產清單；5、對每個重要資產進行威脅、脆弱性識別并打分，并以此得到資產的風險等級；6、根據(jù)風險接受準則得出不可接受風險，并根據(jù)標準ISO27001：2013的附錄A制定相關的風險控制措施；7、對于可接受的剩余風險向公司領導匯報并得到批準。風險評估概況根據(jù)第一階段審核結果，修訂了信息安全風險管理程序，根據(jù)新修訂程序文件，再次進行了風險評估工作從2017年9月10日開始進入風險評估階段，到2017年9月15日止基本工作告一段落。主要工作過程如下：1.2017-9-10~2017-9-10，風險評估培訓；9-11~2017-9-11，公司評估小組制定《信息安全風險管理程序》，制定系統(tǒng)化的風險評估方法；9-12~2017-9-12，本公司各部門識別本部門信息資產，并對信息資產進行等級評定，其中資產分為物理資產、軟件資產、數(shù)據(jù)資產、文檔資產、無形資產，服務資產等共六大類；9-13~2017-9-13，本公司各部門編寫風險評估表，識別信息資產的脆弱性和面臨的威脅，評估潛在風險，并在ISMS工作組內審核;北京移動網絡運行支撐中心系統(tǒng)安全加固與服務項目北京移動網絡運行支撐中心系統(tǒng)安全加固與服務項目5.2017-9-14~2017-9-14，本公司各部門實施人員、部門領導或其指定的代表人員一起審核風險評估表；6.2017-9-15~2017-9-15,各部門修訂風險評估表，識別重大風險，制定控制措施；ISMS工作組組織審核，并最終匯總形成本報告。風險評估結果統(tǒng)計本次風險評估情況詳見各部門“風險評估表”，其中共識別出資產190個，重要資產115個，信息安全風險115個，不可接受風險42個.表1資產面臨的威脅和脆弱性匯總表資產分類威脅脆弱性名稱文檔資產丟失存儲不當導致無法檢索文件管理不當泄密員工信息保密意識不夠沒有設置登錄口令涉密信息無加密措施火災易燃燒頁腳內容偷盜文件存放區(qū)域防護不當威脅脆弱性名稱丟失存儲不當導致無法檢索沒有進行備份誤操作將其刪除泄密員工信息保密意識不夠電腦沒有設置登錄口令或者屏幕保護文件未進行加密權限設置不合理篡改無備份策略非法訪問弱身份驗證機制惡意代碼和病毒未安裝殺毒軟件殺毒軟件設置不合理殺毒軟件未及時更新對網站下載或上傳控制不當惡意代碼和網絡攻擊軟件存在漏洞未及時安裝補丁運行故障、意外錯誤設計缺陷，使用、保護措施不當未及時安裝補丁頁腳內容信息丟失無備份威脅脆弱性名稱惡意代碼和病毒未安裝殺毒軟件殺毒軟件設置不合理殺毒軟件未及時更新對網站下載或上傳控制不當軟件故障設計缺陷，使用、保護措施不當非法訪問弱身份驗證機制泄密員工信息保護意識不夠沒有設置登錄口令權限設置不合理涉密信息無加密措施非授權使用設備物理保護措施不當設備故障設備使用和管理不當丟失設備管理不當保管不善非法訪問、網絡攻擊防火墻或入侵檢測軟件配置不合理權限設置不合理弱身份驗證機制頁腳內容惡意代碼、病毒殺毒軟件更新不及時北京移動網絡運行支撐中心系統(tǒng)安全加固與服務項目北京移動網絡運行支撐中心系統(tǒng)安全加固與服務項目頁腳內容頁腳內容資產分類威脅脆弱性名稱殺毒軟件設置不正確沒有安裝入侵檢測軟件斷電UPS持續(xù)時間不能滿足要求UPS不能定期維護異常斷電設備維護不當儲存電能不夠設計缺陷線路不通布線不規(guī)范服務資產非法訪問、網絡攻擊防火墻或入侵檢測軟件配置不合理權限設置不合理弱身份驗證機制惡意代碼、病毒殺毒軟件更新不及時殺毒軟件設置不正確沒有安裝入侵檢測軟件八．風險處理計劃根據(jù)本次風險評估結果，對不可接受風險進行處理。在選取控制措施和方法時，結合公司財力、物力和資產重要度等級等各種因素，制定了風險處理計劃。公司各部門針對不可接受風險，公司組織各部門制定《風險處置計劃》，經各部門討論確認，管理者代表批準后實施。風險處置計劃制定情況詳見《風險處置計劃》。九.殘余風險在采取相關管理和技術措施