風(fēng)險評估報告風(fēng)險評估報告范本_第1頁
風(fēng)險評估報告風(fēng)險評估報告范本_第2頁
風(fēng)險評估報告風(fēng)險評估報告范本_第3頁
風(fēng)險評估報告風(fēng)險評估報告范本_第4頁
風(fēng)險評估報告風(fēng)險評估報告范本_第5頁
已閱讀5頁,還剩6頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

本文格式為Word版,下載可任意編輯——風(fēng)險評估報告風(fēng)險評估報告范本

文件編號:

風(fēng)險評估報告

version:1.0

編制人:日期:

審核人:日期:

批準(zhǔn)人日期:

受控狀態(tài):

目次

1.目的(4)

2.適用范圍(4)

2.1風(fēng)險評估的范圍包括:(4)

2.2風(fēng)險評估所涉及的業(yè)務(wù)活動包括:(4)

3.風(fēng)險評估引用文件(4)

3.1風(fēng)險評估引用文件包括(4)

4.風(fēng)險評估程序及準(zhǔn)那么(5)

4.1風(fēng)險評估打定階段:(5)

4.2資產(chǎn)清點階段:(5)

4.3風(fēng)險評估階段(6)

5.風(fēng)險評估結(jié)果(7)

5.1可采納及不成采納風(fēng)險劃分標(biāo)準(zhǔn)(7)

5.2信息安好風(fēng)險概況(7)

5.3各部門細(xì)致風(fēng)險概況(8)

6.風(fēng)險操縱措施選擇(9)

1.目的

本次風(fēng)險評估是公司為建立信息安好管理體系所舉行的初始風(fēng)險評估,其目的通過系統(tǒng)地識別公司核心業(yè)務(wù)以及支持性業(yè)務(wù)所面臨的風(fēng)險,并根據(jù)風(fēng)險評估準(zhǔn)那么,對不成采納的風(fēng)險舉行確定。

2.適用范圍

2.1風(fēng)險評估的范圍包括:

公司所屬部門、子公司。

2.2風(fēng)險評估所涉及的業(yè)務(wù)活動包括:

2.2.1與公司核心業(yè)務(wù)相關(guān)的全體業(yè)務(wù)過程,包括:

軟件外包服務(wù)

信息服務(wù)外包

軟件設(shè)計與開發(fā)

系統(tǒng)解決方案設(shè)計與維護(hù)

2.2.2與公司支持性業(yè)務(wù)相關(guān)的全體業(yè)務(wù)過程,包括:

企業(yè)內(nèi)部信息化管理過程

品質(zhì)管理

財務(wù)與人力資源

IT網(wǎng)絡(luò)服務(wù)

行政后勤

2.3風(fēng)險評估時間

2022年4月12日至2022年5月13日。

3.風(fēng)險評估引用文件

3.1風(fēng)險評估引用文件包括

1)ISO27001:2022信息安好管理實施指南

2)ISO27002:2022信息安好管理體系模范

3)ISO27001實施指南–風(fēng)險評估與風(fēng)險管理指南

4.風(fēng)險評估程序及準(zhǔn)那么

4.1風(fēng)險評估打定階段:

4.1.1風(fēng)險評估打定階段主要完成以下工作:

1)組建風(fēng)險評估團(tuán)隊

2)建立風(fēng)險評估準(zhǔn)那么

3)舉行風(fēng)險評估培訓(xùn)和研討

4.1.2信息中心作為公司信息安好管理的職能部門,負(fù)責(zé)組織本次風(fēng)險評估,并組建了風(fēng)險評估團(tuán)隊,風(fēng)險評估團(tuán)隊成員主要來自各部門的信息安好員。

4.1.3風(fēng)險評估準(zhǔn)那么參照ISO27001風(fēng)險評估與風(fēng)險管理指南編制,并結(jié)合考慮公司的特點,主要風(fēng)險評估準(zhǔn)那么包括:

1)資產(chǎn)重要性評估準(zhǔn)那么

2)要挾及脆弱性評分準(zhǔn)那么

3)風(fēng)險判定準(zhǔn)那么

4)風(fēng)險評估過程使用的各類模版

4.1.4在風(fēng)險評估過程中使用了一系列模板,這些模版包括:

1)各部門資產(chǎn)清單模版

2)資產(chǎn)匯總模版

2)資產(chǎn)重要性評估模版

3)要挾及脆弱性對照表

4)風(fēng)險評估表模版

4.2資產(chǎn)清點階段:

4.2.1風(fēng)險評估的第一個步驟是針對評估范圍的全體重要的信息資產(chǎn)分類與清點,根據(jù)BS7799風(fēng)險評估與管理指南中的建議,將重要的信息資產(chǎn)分為以下幾類:

1)電子信息,包括:數(shù)據(jù)庫及數(shù)據(jù)文件、系統(tǒng)文件、培訓(xùn)資料等等

2)紙面文件,包括:合同、公司人事檔案等

3)軟件資產(chǎn),包括:操作系統(tǒng)、應(yīng)用系統(tǒng)、開發(fā)工具、實用程序等

4)計算機(jī)設(shè)備,包括:臺式電腦、服務(wù)器、手提電腦等

5)通訊設(shè)備,包括:路由器、交換機(jī)、電纜、傳真機(jī)、電話等

6)存儲媒介,包括:磁帶、光盤等

7)辦公設(shè)備,包括:復(fù)印機(jī)、碎紙機(jī)、文件柜等

8)服務(wù),包括:互聯(lián)網(wǎng)服務(wù)、供電服務(wù)等

9)人員,包括:公司各職務(wù)人員

4.2.2根據(jù)上述資產(chǎn)的分類,信息安好辦公室組織各部門信息安好員根據(jù)以下原那么舉行資產(chǎn)清點:

1)確定核心業(yè)務(wù)過程

2)針對核心業(yè)務(wù)過程產(chǎn)生和使用的信息資產(chǎn)舉行清點

3)根據(jù)資產(chǎn)分類原那么,將清點的資產(chǎn)舉行分類

4)各部門將清點的資產(chǎn)納入《信息資產(chǎn)清單》

5)由各部門負(fù)責(zé)人對《信息資產(chǎn)清單》中所列的資產(chǎn)舉行確認(rèn)簽字。

4.2.3信息安好辦公室對各部門舉行的資產(chǎn)清單舉行審查確認(rèn),并最終將全體的資產(chǎn)舉行匯總成公司總的信息資產(chǎn)清單。

4.2.4由于服務(wù)、辦公設(shè)備、媒介資產(chǎn)各個部門是共同的,因此,在舉行資產(chǎn)重要性評估時,將這三類資產(chǎn)舉行了合并。

4.2.5細(xì)致的資產(chǎn)清單參見《信息資產(chǎn)清單(公司匯總)》

4.3風(fēng)險評估階段

4.3.1風(fēng)險評估主要體驗以下幾個階段

1)資產(chǎn)重要性評分

2)要挾和脆弱性識別

3)要挾及脆弱性評分

4)風(fēng)險排序

4.3.2資產(chǎn)重要性評分主要考慮信息安好的三個方面,即:保密性,完整性和可用性,資產(chǎn)重要性評分標(biāo)準(zhǔn)參見《風(fēng)險評估準(zhǔn)那么》。

4.3.3要挾的識別主要考慮來自三個方面的要挾,即:自然的要挾、人為的要挾以及以意外產(chǎn)生的要挾,脆弱性將主要考慮資產(chǎn)本身以及管理中的漏洞。并根據(jù)要挾來確定相關(guān)的脆弱性會否被利用而產(chǎn)生風(fēng)險。要挾和脆弱性關(guān)聯(lián)性已經(jīng)事先研討并確定成《要挾和脆弱性矩陣表》,參見《要挾脆弱性矩陣表》。

4.3.4根據(jù)《要挾和脆弱性矩陣表》,針對所識別的每項資產(chǎn),將根據(jù)要挾和脆弱性矩陣表確定資產(chǎn)概括的要挾和脆弱性,并同時考慮目前已有的操縱措施,舉行要挾和脆弱性評分,

要挾和脆弱性評分標(biāo)準(zhǔn)參見《風(fēng)險評估準(zhǔn)那么》。

4.3.5每個資產(chǎn)在確定要挾、脆弱性評分后,考慮資產(chǎn)重要性,將計算出資產(chǎn)面臨的不同風(fēng)險的分值,并對每一資產(chǎn)所面臨的不同要挾舉行排序。

5.風(fēng)險評估結(jié)果

5.1可采納及不成采納風(fēng)險劃分標(biāo)準(zhǔn)

根據(jù)風(fēng)險評估準(zhǔn)那么的要求,資產(chǎn)的風(fēng)險值分為五個等級:低、中低、中、中高、高,對評分為低、中低的風(fēng)險,建議為可采納的風(fēng)險,即可不考慮采取相關(guān)的操縱措施,而對評分為中、中高及高的風(fēng)險,建議為不成采納的風(fēng)險,并需要考慮采取相應(yīng)的操縱措施。

5.2信息安好風(fēng)險概況

5.2.1由于業(yè)務(wù)的繁雜性,以及客戶的不同要求,不同部門所面臨的風(fēng)險是不同的,有些風(fēng)險在一些部門是可采納的,但有些風(fēng)險在另一些部門卻是不成采納的。

5.2.2根據(jù)各部門風(fēng)險評估的結(jié)果,將各部門風(fēng)險根據(jù)以下原那么舉行合并,合并的結(jié)果參見《信息安好風(fēng)險一覽表》。

a)至少兩個部門都存在的風(fēng)險

b)與公司核心業(yè)務(wù)的信息安好相關(guān)的風(fēng)險

c)根據(jù)不同的資產(chǎn)類別舉行風(fēng)險劃分

5.2.3從整改難度、資金投入方面考慮,需要高層關(guān)注的不成采納風(fēng)險包括:

a)由于缺乏業(yè)務(wù)連續(xù)性籌劃(例如災(zāi)難恢復(fù)籌劃),當(dāng)發(fā)生通訊中斷、重大災(zāi)難

發(fā)生時,導(dǎo)致各類信息資產(chǎn)受損,使得業(yè)務(wù)無法舉行。

b)未經(jīng)允許,肆意安裝計算機(jī)應(yīng)用程序現(xiàn)象泛濫,輕易導(dǎo)致信息網(wǎng)絡(luò)感染木馬和

病毒,也輕易由于使用盜版軟件而引起訴訟。

c)上網(wǎng)行為對比混亂,難以管理和舉行統(tǒng)計,訪問不健康網(wǎng)站行為無法實時察覺

和阻斷,也可能通過網(wǎng)絡(luò)泄密公司敏感信息。

d)外部計算機(jī)非法接入內(nèi)部網(wǎng)絡(luò),造成信息安好隱患。

e)通過Modem撥號、ADSL撥號和無線撥號等私自建立網(wǎng)絡(luò)連接,造成單位內(nèi)部網(wǎng)

絡(luò)存在安好隱患

f)MSN/等即時通訊工具管理,無法對外發(fā)郵件無法的監(jiān)控。

g)人員異動處境管理問題(人員退出工程的賬號密碼管理問題、門禁卡管理問題,

更加是臨時權(quán)限管理)

h)公司的消防問題,更加是機(jī)房消防問題,無物理安好措施。

5.2.4公司網(wǎng)絡(luò)目前存在一系列的安好漏洞,包括:

a)網(wǎng)絡(luò)設(shè)備操作系統(tǒng)安好配置漏洞

中心機(jī)房核心交換機(jī)只有功能性的配置,幾乎沒有考慮安好配置,例如:時間同步、安好審計痕跡。操作系統(tǒng)的密碼沒有使用安好密碼。

路由器的根本安好配置沒有考慮(例如:訪問操縱列表、針對不同網(wǎng)站的過濾、端口全部開啟(應(yīng)根據(jù)訪問需求來確定路由器端口)

b)訪問權(quán)限管理的漏洞

公網(wǎng)靜態(tài)IP地址濫用,幾乎沒有受控。

操作系統(tǒng)、應(yīng)用系統(tǒng)訪問權(quán)限沒有明確的規(guī)定。

c)網(wǎng)絡(luò)鏈接納理的漏洞

除GE、三條外部鏈路外,全體對日專線均直接連接到交換機(jī),沒有經(jīng)過防火墻。

與ISP外網(wǎng)接口交換機(jī)沒有規(guī)律關(guān)斷,全體端口都可利用

遠(yuǎn)程診斷端口沒有任何養(yǎng)護(hù)措施

d)計算機(jī)房、物理安好區(qū)域的漏洞

計算機(jī)房目前缺乏明確的技術(shù)安好標(biāo)準(zhǔn),也不完全符合國家標(biāo)準(zhǔn)要求,例如:獨立的空間、避雷裝置、更加的消防系統(tǒng)等

開發(fā)辦公區(qū)重要的計算機(jī)及網(wǎng)絡(luò)設(shè)備沒有任何養(yǎng)護(hù)措施

缺乏對物理安好區(qū)域統(tǒng)一規(guī)劃、門禁系統(tǒng)授權(quán)操縱等

5.3各部門細(xì)致風(fēng)險概況

由于各部門所面臨的信息安好風(fēng)險不一,因此,供給了一份細(xì)致的各部門資產(chǎn)風(fēng)險(不成采納的風(fēng)險:中、中高、高級)匯總表。根據(jù)該表的估統(tǒng)計結(jié)果,公司各部門總體的不成采納風(fēng)險數(shù)量及針對的資產(chǎn)類別統(tǒng)計如下:

按資產(chǎn)類別:

按風(fēng)險類別:

6.風(fēng)險操縱措施選擇

6.1.1根據(jù)上述風(fēng)險統(tǒng)計結(jié)果,全體不成采納的風(fēng)險均應(yīng)考慮采取操縱措施,但采取操縱措施應(yīng)考慮以下的優(yōu)先分級:

1)中級風(fēng)險--具有風(fēng)險,需要引起留神,并考慮采取操縱措施

2)中高級風(fēng)險--具有顯著,需要引起重視,并考慮連忙采取操縱措施

3)風(fēng)險程度--需要引起更加的重視,并務(wù)必采

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論