《信息安全风险评估报告.docx》由会员分享,可在线阅读,更多相关《信息安全风险评估报告.docx(5页珍藏版)》请在第一文库网上搜索。
1、信息安全风险评估报告A/02022年1月7日广东*技术股份有限公司一、风险项目综述1. 企业名称:广东*技术股份有限公司2. ISMS方针:规范信息管理,保障信息安全,提升信息技术,服务公司经营。3. ISMS范围:与计算机应用软件开发,安全技术防范系统设计、施工、维修,计算机信息系统集成及服务相关的信息安全管理活动。二、风险评估目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,进行本次风险评估。三、风险评估日期:2022-1-5 、 2022-1-7!1!评估小组成员信息安全小组成员五、评估方法综述1、首先由人事部牵头组建风险评估小组;2
2、、通过咨询公司对风险评估小组进行相关培训I;3、根据我们的信息安全方针、范围制定信息安全风险管理程序,以这个程序作为我们风险评估的依据和方法;4、资产分类:服务资产、人员资产、软件资产、数据资产、文档资产、无形资产、物理资产;5、各部门识别所有的业务流程,并根据这些业务流程进行资产识别,对识别的资产进行打分形成重要资产清单;6、对每个重要资产进行威胁、脆弱性识别并打分,并以此得到资产的风险等级;7、根据风险接受准则得出不可接受风险,并根据标准IS027001:2013的附录A制定相关的风险控制措施;8、对于可接受的剩余风险向公司领导汇报并得到批准。9、风险计算方法:公式使用:z=f (x*y)
3、 =F而,并对z值进行四舍五入取整得到最终结果。A)安全事件发生的可能性二f (威胁发生频率x脆弱性严重程度)B)安全事件的损失二f (资产价值x脆弱性严重程度)C)安全事件风险值二.安全事件发生的可能性x安全事件的损失10、按照工作计划,ISMS实施工作从2022年1月8日开始进入风险评估阶段,到2022年1月10日止基本工作告一段落。主要工作过程如下:日期时间(天)评估内容2022-1-51部门进行资产清单重要资产风险评估表重新评审2022/1/51确定已评估风险的处置方式,对处置方式定义控制措施和目标。2022/1/61评审或编制风险处理计划,将信息安全风险降低到可接受的程度。2022/
4、1/71编制风险评估报告,对整个风险评估的总结。七、评估总结资产及风险情况信息资产数:188,其中服务资产19项,人员资产26项,软件资产23项,数据资产34项,文档资产42项,无形资产5项,物理资产39项,其中重要信息资产数:43,对信息资产进行多方面评估,共评估出132项风险,综合所有风险,统计结果如下:等级分数风险数量521-250416-200311-15126-1012511-56按部门分布如下:软件部综合部市场部人事部项目管理中心财务部合计信息资产数量31416623018188重要信息资产数量515258843低风险项数量18456152324131中风险项数量0000101高风
5、险项数量00000001.风险评估过程中发现的问题和采取的解决方法在风险评估的过程中,共有1项不可接受风险,分布在项目管理中心,其中风险等级为3的1项。针对这些风险采取了控制措施,降低了风险值,所有不可接受风险均已降至2以下,无不可接受风险。并对这些问题采取了相应的解决办法,具体如下:信息安全风险处理计划质产9性固有风险评估选择控制目标和控制措施剩余风险评估资产名称(标识)资产类别能述功描责任入胁现威表戚胁程度脆弱性表现脆弱程度IS027001附录A条款IS027001附录A控制目标IS027001附录A控制措施采取的措施威胁程度脆弱程度女全事件发生的可能安全事件上的损失残余风险值际施制施效生实实控措有的残余风险等级是否接受工程项目方案数据资产导目施指顶实黄安彬4泄露3缺乏有效的网络使用安全管理43A. 13.1. 1确保网络中信息的安全性并保护支持性信息处理设施。应管理和控制网络.以保护系统中信息和应用程序的安全。安装防护软件.定期检查漏涧。339121032YES编写人/日期:审核人/日期:批准人/日期:
免费区 
