版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
本文格式為Word版,下載可任意編輯——風(fēng)險評估報告風(fēng)險評估報告范本
文件編號:
風(fēng)險評估報告
version:1.0
編制人:日期:
審核人:日期:
批準(zhǔn)人日期:
受控狀態(tài):
目次
1.目的(4)
2.適用范圍(4)
2.1風(fēng)險評估的范圍包括:(4)
2.2風(fēng)險評估所涉及的業(yè)務(wù)活動包括:(4)
3.風(fēng)險評估引用文件(4)
3.1風(fēng)險評估引用文件包括(4)
4.風(fēng)險評估程序及準(zhǔn)那么(5)
4.1風(fēng)險評估打定階段:(5)
4.2資產(chǎn)清點階段:(5)
4.3風(fēng)險評估階段(6)
5.風(fēng)險評估結(jié)果(7)
5.1可采納及不成采納風(fēng)險劃分標(biāo)準(zhǔn)(7)
5.2信息安好風(fēng)險概況(7)
5.3各部門細(xì)致風(fēng)險概況(8)
6.風(fēng)險操縱措施選擇(9)
1.目的
本次風(fēng)險評估是公司為建立信息安好管理體系所舉行的初始風(fēng)險評估,其目的通過系統(tǒng)地識別公司核心業(yè)務(wù)以及支持性業(yè)務(wù)所面臨的風(fēng)險,并根據(jù)風(fēng)險評估準(zhǔn)那么,對不成采納的風(fēng)險舉行確定。
2.適用范圍
2.1風(fēng)險評估的范圍包括:
公司所屬部門、子公司。
2.2風(fēng)險評估所涉及的業(yè)務(wù)活動包括:
2.2.1與公司核心業(yè)務(wù)相關(guān)的全體業(yè)務(wù)過程,包括:
軟件外包服務(wù)
信息服務(wù)外包
軟件設(shè)計與開發(fā)
系統(tǒng)解決方案設(shè)計與維護(hù)
2.2.2與公司支持性業(yè)務(wù)相關(guān)的全體業(yè)務(wù)過程,包括:
企業(yè)內(nèi)部信息化管理過程
品質(zhì)管理
財務(wù)與人力資源
IT網(wǎng)絡(luò)服務(wù)
行政后勤
2.3風(fēng)險評估時間
2022年4月12日至2022年5月13日。
3.風(fēng)險評估引用文件
3.1風(fēng)險評估引用文件包括
1)ISO27001:2022信息安好管理實施指南
2)ISO27002:2022信息安好管理體系模范
3)ISO27001實施指南–風(fēng)險評估與風(fēng)險管理指南
4.風(fēng)險評估程序及準(zhǔn)那么
4.1風(fēng)險評估打定階段:
4.1.1風(fēng)險評估打定階段主要完成以下工作:
1)組建風(fēng)險評估團(tuán)隊
2)建立風(fēng)險評估準(zhǔn)那么
3)舉行風(fēng)險評估培訓(xùn)和研討
4.1.2信息中心作為公司信息安好管理的職能部門,負(fù)責(zé)組織本次風(fēng)險評估,并組建了風(fēng)險評估團(tuán)隊,風(fēng)險評估團(tuán)隊成員主要來自各部門的信息安好員。
4.1.3風(fēng)險評估準(zhǔn)那么參照ISO27001風(fēng)險評估與風(fēng)險管理指南編制,并結(jié)合考慮公司的特點,主要風(fēng)險評估準(zhǔn)那么包括:
1)資產(chǎn)重要性評估準(zhǔn)那么
2)要挾及脆弱性評分準(zhǔn)那么
3)風(fēng)險判定準(zhǔn)那么
4)風(fēng)險評估過程使用的各類模版
4.1.4在風(fēng)險評估過程中使用了一系列模板,這些模版包括:
1)各部門資產(chǎn)清單模版
2)資產(chǎn)匯總模版
2)資產(chǎn)重要性評估模版
3)要挾及脆弱性對照表
4)風(fēng)險評估表模版
4.2資產(chǎn)清點階段:
4.2.1風(fēng)險評估的第一個步驟是針對評估范圍的全體重要的信息資產(chǎn)分類與清點,根據(jù)BS7799風(fēng)險評估與管理指南中的建議,將重要的信息資產(chǎn)分為以下幾類:
1)電子信息,包括:數(shù)據(jù)庫及數(shù)據(jù)文件、系統(tǒng)文件、培訓(xùn)資料等等
2)紙面文件,包括:合同、公司人事檔案等
3)軟件資產(chǎn),包括:操作系統(tǒng)、應(yīng)用系統(tǒng)、開發(fā)工具、實用程序等
4)計算機(jī)設(shè)備,包括:臺式電腦、服務(wù)器、手提電腦等
5)通訊設(shè)備,包括:路由器、交換機(jī)、電纜、傳真機(jī)、電話等
6)存儲媒介,包括:磁帶、光盤等
7)辦公設(shè)備,包括:復(fù)印機(jī)、碎紙機(jī)、文件柜等
8)服務(wù),包括:互聯(lián)網(wǎng)服務(wù)、供電服務(wù)等
9)人員,包括:公司各職務(wù)人員
4.2.2根據(jù)上述資產(chǎn)的分類,信息安好辦公室組織各部門信息安好員根據(jù)以下原那么舉行資產(chǎn)清點:
1)確定核心業(yè)務(wù)過程
2)針對核心業(yè)務(wù)過程產(chǎn)生和使用的信息資產(chǎn)舉行清點
3)根據(jù)資產(chǎn)分類原那么,將清點的資產(chǎn)舉行分類
4)各部門將清點的資產(chǎn)納入《信息資產(chǎn)清單》
5)由各部門負(fù)責(zé)人對《信息資產(chǎn)清單》中所列的資產(chǎn)舉行確認(rèn)簽字。
4.2.3信息安好辦公室對各部門舉行的資產(chǎn)清單舉行審查確認(rèn),并最終將全體的資產(chǎn)舉行匯總成公司總的信息資產(chǎn)清單。
4.2.4由于服務(wù)、辦公設(shè)備、媒介資產(chǎn)各個部門是共同的,因此,在舉行資產(chǎn)重要性評估時,將這三類資產(chǎn)舉行了合并。
4.2.5細(xì)致的資產(chǎn)清單參見《信息資產(chǎn)清單(公司匯總)》
4.3風(fēng)險評估階段
4.3.1風(fēng)險評估主要體驗以下幾個階段
1)資產(chǎn)重要性評分
2)要挾和脆弱性識別
3)要挾及脆弱性評分
4)風(fēng)險排序
4.3.2資產(chǎn)重要性評分主要考慮信息安好的三個方面,即:保密性,完整性和可用性,資產(chǎn)重要性評分標(biāo)準(zhǔn)參見《風(fēng)險評估準(zhǔn)那么》。
4.3.3要挾的識別主要考慮來自三個方面的要挾,即:自然的要挾、人為的要挾以及以意外產(chǎn)生的要挾,脆弱性將主要考慮資產(chǎn)本身以及管理中的漏洞。并根據(jù)要挾來確定相關(guān)的脆弱性會否被利用而產(chǎn)生風(fēng)險。要挾和脆弱性關(guān)聯(lián)性已經(jīng)事先研討并確定成《要挾和脆弱性矩陣表》,參見《要挾脆弱性矩陣表》。
4.3.4根據(jù)《要挾和脆弱性矩陣表》,針對所識別的每項資產(chǎn),將根據(jù)要挾和脆弱性矩陣表確定資產(chǎn)概括的要挾和脆弱性,并同時考慮目前已有的操縱措施,舉行要挾和脆弱性評分,
要挾和脆弱性評分標(biāo)準(zhǔn)參見《風(fēng)險評估準(zhǔn)那么》。
4.3.5每個資產(chǎn)在確定要挾、脆弱性評分后,考慮資產(chǎn)重要性,將計算出資產(chǎn)面臨的不同風(fēng)險的分值,并對每一資產(chǎn)所面臨的不同要挾舉行排序。
5.風(fēng)險評估結(jié)果
5.1可采納及不成采納風(fēng)險劃分標(biāo)準(zhǔn)
根據(jù)風(fēng)險評估準(zhǔn)那么的要求,資產(chǎn)的風(fēng)險值分為五個等級:低、中低、中、中高、高,對評分為低、中低的風(fēng)險,建議為可采納的風(fēng)險,即可不考慮采取相關(guān)的操縱措施,而對評分為中、中高及高的風(fēng)險,建議為不成采納的風(fēng)險,并需要考慮采取相應(yīng)的操縱措施。
5.2信息安好風(fēng)險概況
5.2.1由于業(yè)務(wù)的繁雜性,以及客戶的不同要求,不同部門所面臨的風(fēng)險是不同的,有些風(fēng)險在一些部門是可采納的,但有些風(fēng)險在另一些部門卻是不成采納的。
5.2.2根據(jù)各部門風(fēng)險評估的結(jié)果,將各部門風(fēng)險根據(jù)以下原那么舉行合并,合并的結(jié)果參見《信息安好風(fēng)險一覽表》。
a)至少兩個部門都存在的風(fēng)險
b)與公司核心業(yè)務(wù)的信息安好相關(guān)的風(fēng)險
c)根據(jù)不同的資產(chǎn)類別舉行風(fēng)險劃分
5.2.3從整改難度、資金投入方面考慮,需要高層關(guān)注的不成采納風(fēng)險包括:
a)由于缺乏業(yè)務(wù)連續(xù)性籌劃(例如災(zāi)難恢復(fù)籌劃),當(dāng)發(fā)生通訊中斷、重大災(zāi)難
發(fā)生時,導(dǎo)致各類信息資產(chǎn)受損,使得業(yè)務(wù)無法舉行。
b)未經(jīng)允許,肆意安裝計算機(jī)應(yīng)用程序現(xiàn)象泛濫,輕易導(dǎo)致信息網(wǎng)絡(luò)感染木馬和
病毒,也輕易由于使用盜版軟件而引起訴訟。
c)上網(wǎng)行為對比混亂,難以管理和舉行統(tǒng)計,訪問不健康網(wǎng)站行為無法實時察覺
和阻斷,也可能通過網(wǎng)絡(luò)泄密公司敏感信息。
d)外部計算機(jī)非法接入內(nèi)部網(wǎng)絡(luò),造成信息安好隱患。
e)通過Modem撥號、ADSL撥號和無線撥號等私自建立網(wǎng)絡(luò)連接,造成單位內(nèi)部網(wǎng)
絡(luò)存在安好隱患
f)MSN/等即時通訊工具管理,無法對外發(fā)郵件無法的監(jiān)控。
g)人員異動處境管理問題(人員退出工程的賬號密碼管理問題、門禁卡管理問題,
更加是臨時權(quán)限管理)
h)公司的消防問題,更加是機(jī)房消防問題,無物理安好措施。
5.2.4公司網(wǎng)絡(luò)目前存在一系列的安好漏洞,包括:
a)網(wǎng)絡(luò)設(shè)備操作系統(tǒng)安好配置漏洞
中心機(jī)房核心交換機(jī)只有功能性的配置,幾乎沒有考慮安好配置,例如:時間同步、安好審計痕跡。操作系統(tǒng)的密碼沒有使用安好密碼。
路由器的根本安好配置沒有考慮(例如:訪問操縱列表、針對不同網(wǎng)站的過濾、端口全部開啟(應(yīng)根據(jù)訪問需求來確定路由器端口)
b)訪問權(quán)限管理的漏洞
公網(wǎng)靜態(tài)IP地址濫用,幾乎沒有受控。
操作系統(tǒng)、應(yīng)用系統(tǒng)訪問權(quán)限沒有明確的規(guī)定。
c)網(wǎng)絡(luò)鏈接納理的漏洞
除GE、三條外部鏈路外,全體對日專線均直接連接到交換機(jī),沒有經(jīng)過防火墻。
與ISP外網(wǎng)接口交換機(jī)沒有規(guī)律關(guān)斷,全體端口都可利用
遠(yuǎn)程診斷端口沒有任何養(yǎng)護(hù)措施
d)計算機(jī)房、物理安好區(qū)域的漏洞
計算機(jī)房目前缺乏明確的技術(shù)安好標(biāo)準(zhǔn),也不完全符合國家標(biāo)準(zhǔn)要求,例如:獨立的空間、避雷裝置、更加的消防系統(tǒng)等
開發(fā)辦公區(qū)重要的計算機(jī)及網(wǎng)絡(luò)設(shè)備沒有任何養(yǎng)護(hù)措施
缺乏對物理安好區(qū)域統(tǒng)一規(guī)劃、門禁系統(tǒng)授權(quán)操縱等
5.3各部門細(xì)致風(fēng)險概況
由于各部門所面臨的信息安好風(fēng)險不一,因此,供給了一份細(xì)致的各部門資產(chǎn)風(fēng)險(不成采納的風(fēng)險:中、中高、高級)匯總表。根據(jù)該表的估統(tǒng)計結(jié)果,公司各部門總體的不成采納風(fēng)險數(shù)量及針對的資產(chǎn)類別統(tǒng)計如下:
按資產(chǎn)類別:
按風(fēng)險類別:
6.風(fēng)險操縱措施選擇
6.1.1根據(jù)上述風(fēng)險統(tǒng)計結(jié)果,全體不成采納的風(fēng)險均應(yīng)考慮采取操縱措施,但采取操縱措施應(yīng)考慮以下的優(yōu)先分級:
1)中級風(fēng)險--具有風(fēng)險,需要引起留神,并考慮采取操縱措施
2)中高級風(fēng)險--具有顯著,需要引起重視,并考慮連忙采取操縱措施
3)風(fēng)險程度--需要引起更加的重視,并務(wù)必采
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024年單飛叉繞線機(jī)項目可行性研究報告
- 青海大學(xué)《交互媒體設(shè)計與制作》2023-2024學(xué)年第一學(xué)期期末試卷
- QC小組活動的持續(xù)改進(jìn)與優(yōu)化
- 青島求實職業(yè)技術(shù)學(xué)院《民政學(xué)概論》2023-2024學(xué)年第一學(xué)期期末試卷
- 品牌國際化的策略與成功案例
- PACS系統(tǒng)的故障診斷與維護(hù)
- 青島農(nóng)業(yè)大學(xué)海都學(xué)院《建筑一般構(gòu)造》2023-2024學(xué)年第一學(xué)期期末試卷
- 青島農(nóng)業(yè)大學(xué)《土木工程施工》2023-2024學(xué)年第一學(xué)期期末試卷
- 智能機(jī)器人技術(shù)的現(xiàn)狀與未來展望
- 關(guān)于皮膚疾病的專業(yè)護(hù)理與保養(yǎng)技巧講座
- 無線測溫設(shè)備施工方案
- DB11T 715-2018 公共汽電車場站功能設(shè)計要求
- 挖掘機(jī)技術(shù)培訓(xùn)
- 2024秋期國家開放大學(xué)??啤豆芾韺W(xué)基礎(chǔ)》一平臺在線形考(形考任務(wù)一至四)試題及答案
- LED電子顯示屏投標(biāo)書三篇
- 森林康養(yǎng) 課件
- 全國網(wǎng)絡(luò)與信息安全管理職業(yè)技能大賽備賽試題及答案
- 畜牧師招聘筆試題及解答(某大型央企)2024年
- 湖北省黃石市2024-2025學(xué)年八年級上學(xué)期10月月考語文題
- 酒店保潔服務(wù)投標(biāo)方案(技術(shù)方案)
- 獨家代理權(quán)的合同
評論
0/150
提交評論