信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告

深圳市恒雙展業(yè)科技有限公司信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告ISMS-0105-JL07編制：曹飛澎審核：汪倩批準(zhǔn)：汪倩2019年07月21日一、項(xiàng)目綜述1項(xiàng)目名稱：深圳市恒雙展業(yè)科技有限公司信息安全管理體系認(rèn)證項(xiàng)目風(fēng)險(xiǎn)評(píng)估。項(xiàng)目概況：在科技日益發(fā)展的今天，信息系統(tǒng)已經(jīng)成支撐公司業(yè)務(wù)的重要平臺(tái)，信息系統(tǒng)的安全與公司安全直接相關(guān)。為提高本公司的信息安全管理水平，保障公司生產(chǎn)、經(jīng)營(yíng)、服務(wù)和日常管理活動(dòng)，防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的事故，公司開(kāi)展貫徹ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》標(biāo)準(zhǔn)的工作，建立本公司文件化的信息安全管理體系。3ISMS方針：信息安全管理方針：一）信息安全管理機(jī)制1．公司采用系統(tǒng)的方法，按照GB/T22080-2016/ISO/IEC27001:2013建立信息安全管理體系，全面保護(hù)本公司的信息安全。二）信息安全管理組織1．公司總經(jīng)理對(duì)信息安全工作全面負(fù)責(zé)，負(fù)責(zé)批準(zhǔn)信息安全方針，確定信息安全要求，提供信息安全資源。2．公司總經(jīng)理任命管理者代表負(fù)責(zé)建立、實(shí)施、檢查、改進(jìn)信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性。3．在公司內(nèi)部建立信息安全組織機(jī)構(gòu)，信息安全管理委員會(huì)和信息安全協(xié)調(diào)機(jī)構(gòu)，保證信息安全管理體系的有效運(yùn)行。4．與上級(jí)部門(mén)、地方政府、相關(guān)專業(yè)部門(mén)建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動(dòng)態(tài)，獲得對(duì)信息安全管理的支持。三）人員安全1．信息安全需要全體員工的參與和支持，全體員工都有保護(hù)信息安全的職責(zé)，在勞動(dòng)合同、崗位職責(zé)中應(yīng)包含對(duì)信息安全的要求。特殊崗位的人員應(yīng)規(guī)定特別的安全責(zé)任。對(duì)崗位調(diào)動(dòng)或離職人員，應(yīng)及時(shí)調(diào)整安全職責(zé)和權(quán)限。2．對(duì)本公司的相關(guān)方，要明確安全要求和安全職責(zé)。3．定期對(duì)全體員工進(jìn)行信息安全相關(guān)教育，包括技能、職責(zé)和意識(shí)等以提高安全意識(shí)。4．全體員工及相關(guān)方人員必須履行安全職責(zé)，執(zhí)行安全方針、程序和安全措施。四）識(shí)別法律、法規(guī)、合同中的安全1．及時(shí)識(shí)別顧客、合作方、相關(guān)方、法律法規(guī)對(duì)信息安全的要求，采取措施，保證滿足安全要求。五）風(fēng)險(xiǎn)評(píng)估1．根據(jù)本公司業(yè)務(wù)信息安全的特點(diǎn)、法律法規(guī)要求，建立風(fēng)險(xiǎn)評(píng)估程序，確定風(fēng)險(xiǎn)接受準(zhǔn)則。2．采用先進(jìn)的風(fēng)險(xiǎn)評(píng)估技術(shù)，定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，以識(shí)別本公司風(fēng)險(xiǎn)的變化。當(dāng)公司架構(gòu)或環(huán)境發(fā)生重大變化時(shí)隨時(shí)評(píng)估。3．應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險(xiǎn)。六）報(bào)告安全事件1．公司建立報(bào)告信息安全事件的渠道和相應(yīng)的主管部門(mén)。2．全體員工有報(bào)告信息安全隱患、威脅、薄弱點(diǎn)、事件的責(zé)任，一旦發(fā)現(xiàn)信息安全事件，應(yīng)立即按照規(guī)定的途徑進(jìn)行報(bào)告。3．接受信息安全事件報(bào)告的主管部門(mén)應(yīng)記錄所有報(bào)告，及時(shí)做出相應(yīng)的處理，并向報(bào)告人員反饋處理結(jié)果。七）監(jiān)督檢查1．定期對(duì)信息安全進(jìn)行監(jiān)督檢查，包括：日常檢查、專項(xiàng)檢查、技術(shù)性檢查、內(nèi)部審核等。八）業(yè)務(wù)持續(xù)性1．公司根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，建立業(yè)務(wù)持續(xù)性計(jì)劃，抵消信息系統(tǒng)的中斷造成的影響，防止關(guān)鍵業(yè)務(wù)過(guò)程受嚴(yán)重的信息系統(tǒng)故障或者災(zāi)難的影響，并確保能夠及時(shí)恢復(fù)。2．定期對(duì)業(yè)務(wù)持續(xù)性計(jì)劃進(jìn)行測(cè)試和更新。九）違反信息安全要求的懲罰1．對(duì)違反信息安全方針、職責(zé)、程序和措施的人員，按規(guī)定進(jìn)行處理。4.ISMS范圍：公司信息安全管理體系覆蓋的產(chǎn)品、組織（部門(mén)）、人員、信息系統(tǒng)和資產(chǎn)。二、風(fēng)險(xiǎn)評(píng)估目的：為本公司依據(jù)GB/T22080-2016/ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》和GB/T22081-2016/ISO/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系實(shí)用規(guī)則》標(biāo)準(zhǔn)建立信息安全管理體系提供策劃依據(jù)，并為信息安全管理體系的運(yùn)行提供評(píng)審的輸入及管理體系的持續(xù)改進(jìn)提供依據(jù)，進(jìn)行本次風(fēng)險(xiǎn)評(píng)估。三、風(fēng)險(xiǎn)評(píng)估日期：2019/07/01-07/11四、評(píng)估小組成員：曹飛澎張小波嚴(yán)玉成五、評(píng)估方法：本次信息安全風(fēng)險(xiǎn)評(píng)估采用定量的方法對(duì)資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)自身價(jià)值、信息類別、保密性、完整性、可用性、法律法規(guī)合同及其它要求的符合性方面進(jìn)行分類賦值，綜合考慮資產(chǎn)在自身價(jià)值、保密性、完整性、可用性和法律法規(guī)合同上的達(dá)成程度，在此基礎(chǔ)上得出綜合結(jié)果，根據(jù)制定的重要資產(chǎn)評(píng)價(jià)準(zhǔn)則，確定重要資產(chǎn)。對(duì)重要資產(chǎn)的威脅及薄弱點(diǎn)進(jìn)行識(shí)別，并對(duì)威脅利用薄弱點(diǎn)發(fā)生安全事件的可能性，以及在資產(chǎn)自身價(jià)值、保密性、完整性、可用性、法律法規(guī)合同的符合性方面的潛在影響，并考慮現(xiàn)有的控制措施，進(jìn)行賦值分析，確定風(fēng)險(xiǎn)等級(jí)和接受程度。資產(chǎn)（Asset）是組織要保護(hù)的資產(chǎn)，它包括硬件、軟件、系統(tǒng)、數(shù)據(jù)、文檔、服務(wù)、人力資源等。威脅（Threat）是指可能對(duì)資產(chǎn)或組織造成損害的事故的潛在原因。它可能是人為的，也可能是非人為的；可能是無(wú)意失誤，也可能是惡意攻擊。薄弱點(diǎn)（Vulnerability）是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點(diǎn)。它們不直接對(duì)資產(chǎn)造成危害，但薄弱點(diǎn)可能被環(huán)境中的威脅所利用從而危害資產(chǎn)的安全。風(fēng)險(xiǎn)（Risk）是特定的威脅利用資產(chǎn)的一種或一組薄弱點(diǎn)，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。資產(chǎn)、威脅、薄弱點(diǎn)及控制的任何變化都可能帶來(lái)風(fēng)險(xiǎn)的變化，因此，為了降低安全風(fēng)險(xiǎn)，應(yīng)對(duì)環(huán)境或系統(tǒng)的變化進(jìn)行監(jiān)視以便及時(shí)采取有效措施加以控制或防范。控制措施（Controls）是阻止威脅、降低風(fēng)險(xiǎn)、控制事故影響、檢測(cè)事故及實(shí)施恢復(fù)的一系列實(shí)踐、程序或機(jī)制。在風(fēng)險(xiǎn)計(jì)算時(shí)，考慮了資產(chǎn)的重要程度，威脅利用薄弱點(diǎn)導(dǎo)致安全事件發(fā)生的可能性，安全事件一旦發(fā)生對(duì)資產(chǎn)的影響程度，以及已采取控制措施的有效性。根據(jù)所計(jì)算的風(fēng)險(xiǎn)值確定風(fēng)險(xiǎn)等級(jí)。綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響，制訂了風(fēng)險(xiǎn)接受準(zhǔn)則。對(duì)可接受風(fēng)險(xiǎn)保持已有的安全措施；對(duì)不可接受風(fēng)險(xiǎn)，則采取安全措施以降低、控制風(fēng)險(xiǎn)。具體的方法詳見(jiàn)《信息安全風(fēng)險(xiǎn)管理程序》。評(píng)估過(guò)程：本公司在建立信息安全管理體系的過(guò)程中，進(jìn)行了初步風(fēng)險(xiǎn)評(píng)估，通過(guò)初評(píng)識(shí)別了影響本公司生產(chǎn)、經(jīng)營(yíng)、服務(wù)和日常管理的重要信息系統(tǒng)。在此基礎(chǔ)上確定了詳細(xì)進(jìn)行風(fēng)險(xiǎn)評(píng)估的系統(tǒng)范圍，確定了風(fēng)險(xiǎn)評(píng)估方法。在相關(guān)部門(mén)的組織下，成立了風(fēng)險(xiǎn)評(píng)估小組，編制了風(fēng)險(xiǎn)評(píng)估計(jì)劃。由各部門(mén)提供資產(chǎn)清單，由風(fēng)險(xiǎn)評(píng)估小組統(tǒng)一進(jìn)行風(fēng)險(xiǎn)評(píng)估工作：1） 各部門(mén)對(duì)本部門(mén)的資產(chǎn)進(jìn)行了識(shí)別，并交由風(fēng)險(xiǎn)評(píng)估小組對(duì)資產(chǎn)進(jìn)行了賦值，識(shí)別出重要資產(chǎn)；2） 根據(jù)資產(chǎn)所處的環(huán)境進(jìn)行了威脅的識(shí)別；3） 針對(duì)每一威脅所對(duì)應(yīng)的薄弱點(diǎn)進(jìn)行識(shí)別；4） 對(duì)目前已有的安全控制進(jìn)行了確認(rèn)；5） 針對(duì)每一威脅利用薄弱點(diǎn)對(duì)于資產(chǎn)價(jià)值、保密性、完整性、可用性、合規(guī)性等方面造成的潛在影響進(jìn)行了評(píng)價(jià)。6） 根據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》中風(fēng)險(xiǎn)等級(jí)的評(píng)定原則，確定風(fēng)險(xiǎn)的等級(jí)六、風(fēng)險(xiǎn)評(píng)估概況本項(xiàng)目涉及的部門(mén)：綜合部、軟件部、軟件部、業(yè)務(wù)部本項(xiàng)目涉及的流程或系統(tǒng)：計(jì)算機(jī)應(yīng)用軟件系統(tǒng)開(kāi)發(fā)所涉及的信息安全管理風(fēng)險(xiǎn)情況部門(mén)類別綜合管理部技術(shù)部銷售部總計(jì)信息資產(chǎn)數(shù)量29321273重要資產(chǎn)數(shù)量（重要程度≥3）2120849高風(fēng)險(xiǎn)項(xiàng)數(shù)量（風(fēng)險(xiǎn)等級(jí)≥3）1520641七總結(jié)本次評(píng)估按GB/T22080-2016/ISO/IEC27001:2013和GB/T22081-2016/ISO/IEC27002:2013的要求，由資產(chǎn)的所有者進(jìn)行，各部門(mén)領(lǐng)導(dǎo)給予了最終的確認(rèn)。通過(guò)以上風(fēng)險(xiǎn)評(píng)估，本公司的主要信息資產(chǎn)為信息系統(tǒng)數(shù)據(jù)、涉密文檔資料；主要風(fēng)險(xiǎn)為3級(jí)風(fēng)險(xiǎn)，涉及信息系統(tǒng)安全管理方面、涉密文檔管理方面。其中由于公司處于成長(zhǎng)階段，將即時(shí)通訊軟件的控制和人員流動(dòng)的風(fēng)險(xiǎn)申請(qǐng)了殘余風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)會(huì)隨著公司的逐步發(fā)展而降低。隨著新的應(yīng)用系統(tǒng)的不斷投入使用，信息化程度越來(lái)越高，以及員工信息安全意識(shí)的提高，可能會(huì)對(duì)風(fēng)險(xiǎn)有新的認(rèn)識(shí)或產(chǎn)生新的風(fēng)險(xiǎn)，因此應(yīng)按規(guī)定周期連續(xù)進(jìn)行風(fēng)險(xiǎn)評(píng)估。附加說(shuō)明：本次評(píng)估是本公司第一次風(fēng)險(xiǎn)評(píng)估，資產(chǎn)評(píng)估人員缺乏大量的原始數(shù)據(jù)和豐富的評(píng)估經(jīng)驗(yàn)，因此未發(fā)現(xiàn)的風(fēng)險(xiǎn)可能依然存在于信息安全管理中，因此在體系策劃