信息安全風(fēng)險評估報告

深圳市恒雙展業(yè)科技有限公司信息安全風(fēng)險評估報告ISMS-0105-JL07編制：曹飛澎審核：汪倩批準(zhǔn)：汪倩2019年07月21日一、項目綜述1項目名稱：深圳市恒雙展業(yè)科技有限公司信息安全管理體系認證項目風(fēng)險評估。項目概況：在科技日益發(fā)展的今天，信息系統(tǒng)已經(jīng)成支撐公司業(yè)務(wù)的重要平臺，信息系統(tǒng)的安全與公司安全直接相關(guān)。為提高本公司的信息安全管理水平，保障公司生產(chǎn)、經(jīng)營、服務(wù)和日常管理活動，防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的事故，公司開展貫徹ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》標(biāo)準(zhǔn)的工作，建立本公司文件化的信息安全管理體系。3ISMS方針：信息安全管理方針：一）信息安全管理機制1．公司采用系統(tǒng)的方法，按照GB/T22080-2016/ISO/IEC27001:2013建立信息安全管理體系，全面保護本公司的信息安全。二）信息安全管理組織1．公司總經(jīng)理對信息安全工作全面負責(zé)，負責(zé)批準(zhǔn)信息安全方針，確定信息安全要求，提供信息安全資源。2．公司總經(jīng)理任命管理者代表負責(zé)建立、實施、檢查、改進信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性。3．在公司內(nèi)部建立信息安全組織機構(gòu)，信息安全管理委員會和信息安全協(xié)調(diào)機構(gòu)，保證信息安全管理體系的有效運行。4．與上級部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動態(tài)，獲得對信息安全管理的支持。三）人員安全1．信息安全需要全體員工的參與和支持，全體員工都有保護信息安全的職責(zé)，在勞動合同、崗位職責(zé)中應(yīng)包含對信息安全的要求。特殊崗位的人員應(yīng)規(guī)定特別的安全責(zé)任。對崗位調(diào)動或離職人員，應(yīng)及時調(diào)整安全職責(zé)和權(quán)限。2．對本公司的相關(guān)方，要明確安全要求和安全職責(zé)。3．定期對全體員工進行信息安全相關(guān)教育，包括技能、職責(zé)和意識等以提高安全意識。4．全體員工及相關(guān)方人員必須履行安全職責(zé)，執(zhí)行安全方針、程序和安全措施。四）識別法律、法規(guī)、合同中的安全1．及時識別顧客、合作方、相關(guān)方、法律法規(guī)對信息安全的要求，采取措施，保證滿足安全要求。五）風(fēng)險評估1．根據(jù)本公司業(yè)務(wù)信息安全的特點、法律法規(guī)要求，建立風(fēng)險評估程序，確定風(fēng)險接受準(zhǔn)則。2．采用先進的風(fēng)險評估技術(shù)，定期進行風(fēng)險評估，以識別本公司風(fēng)險的變化。當(dāng)公司架構(gòu)或環(huán)境發(fā)生重大變化時隨時評估。3．應(yīng)根據(jù)風(fēng)險評估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險。六）報告安全事件1．公司建立報告信息安全事件的渠道和相應(yīng)的主管部門。2．全體員工有報告信息安全隱患、威脅、薄弱點、事件的責(zé)任，一旦發(fā)現(xiàn)信息安全事件，應(yīng)立即按照規(guī)定的途徑進行報告。3．接受信息安全事件報告的主管部門應(yīng)記錄所有報告，及時做出相應(yīng)的處理，并向報告人員反饋處理結(jié)果。七）監(jiān)督檢查1．定期對信息安全進行監(jiān)督檢查，包括：日常檢查、專項檢查、技術(shù)性檢查、內(nèi)部審核等。八）業(yè)務(wù)持續(xù)性1．公司根據(jù)風(fēng)險評估的結(jié)果，建立業(yè)務(wù)持續(xù)性計劃，抵消信息系統(tǒng)的中斷造成的影響，防止關(guān)鍵業(yè)務(wù)過程受嚴(yán)重的信息系統(tǒng)故障或者災(zāi)難的影響，并確保能夠及時恢復(fù)。2．定期對業(yè)務(wù)持續(xù)性計劃進行測試和更新。九）違反信息安全要求的懲罰1．對違反信息安全方針、職責(zé)、程序和措施的人員，按規(guī)定進行處理。4.ISMS范圍：公司信息安全管理體系覆蓋的產(chǎn)品、組織（部門）、人員、信息系統(tǒng)和資產(chǎn)。二、風(fēng)險評估目的：為本公司依據(jù)GB/T22080-2016/ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》和GB/T22081-2016/ISO/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系實用規(guī)則》標(biāo)準(zhǔn)建立信息安全管理體系提供策劃依據(jù)，并為信息安全管理體系的運行提供評審的輸入及管理體系的持續(xù)改進提供依據(jù)，進行本次風(fēng)險評估。三、風(fēng)險評估日期：2019/07/01-07/11四、評估小組成員：曹飛澎張小波嚴(yán)玉成五、評估方法：本次信息安全風(fēng)險評估采用定量的方法對資產(chǎn)進行識別，并對資產(chǎn)自身價值、信息類別、保密性、完整性、可用性、法律法規(guī)合同及其它要求的符合性方面進行分類賦值，綜合考慮資產(chǎn)在自身價值、保密性、完整性、可用性和法律法規(guī)合同上的達成程度，在此基礎(chǔ)上得出綜合結(jié)果，根據(jù)制定的重要資產(chǎn)評價準(zhǔn)則，確定重要資產(chǎn)。對重要資產(chǎn)的威脅及薄弱點進行識別，并對威脅利用薄弱點發(fā)生安全事件的可能性，以及在資產(chǎn)自身價值、保密性、完整性、可用性、法律法規(guī)合同的符合性方面的潛在影響，并考慮現(xiàn)有的控制措施，進行賦值分析，確定風(fēng)險等級和接受程度。資產(chǎn)（Asset）是組織要保護的資產(chǎn)，它包括硬件、軟件、系統(tǒng)、數(shù)據(jù)、文檔、服務(wù)、人力資源等。威脅（Threat）是指可能對資產(chǎn)或組織造成損害的事故的潛在原因。它可能是人為的，也可能是非人為的；可能是無意失誤，也可能是惡意攻擊。薄弱點（Vulnerability）是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點。它們不直接對資產(chǎn)造成危害，但薄弱點可能被環(huán)境中的威脅所利用從而危害資產(chǎn)的安全。風(fēng)險（Risk）是特定的威脅利用資產(chǎn)的一種或一組薄弱點，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。資產(chǎn)、威脅、薄弱點及控制的任何變化都可能帶來風(fēng)險的變化，因此，為了降低安全風(fēng)險，應(yīng)對環(huán)境或系統(tǒng)的變化進行監(jiān)視以便及時采取有效措施加以控制或防范?？刂拼胧–ontrols）是阻止威脅、降低風(fēng)險、控制事故影響、檢測事故及實施恢復(fù)的一系列實踐、程序或機制。在風(fēng)險計算時，考慮了資產(chǎn)的重要程度，威脅利用薄弱點導(dǎo)致安全事件發(fā)生的可能性，安全事件一旦發(fā)生對資產(chǎn)的影響程度，以及已采取控制措施的有效性。根據(jù)所計算的風(fēng)險值確定風(fēng)險等級。綜合考慮風(fēng)險控制成本與風(fēng)險造成的影響，制訂了風(fēng)險接受準(zhǔn)則。對可接受風(fēng)險保持已有的安全措施；對不可接受風(fēng)險，則采取安全措施以降低、控制風(fēng)險。具體的方法詳見《信息安全風(fēng)險管理程序》。評估過程：本公司在建立信息安全管理體系的過程中，進行了初步風(fēng)險評估，通過初評識別了影響本公司生產(chǎn)、經(jīng)營、服務(wù)和日常管理的重要信息系統(tǒng)。在此基礎(chǔ)上確定了詳細進行風(fēng)險評估的系統(tǒng)范圍，確定了風(fēng)險評估方法。在相關(guān)部門的組織下，成立了風(fēng)險評估小組，編制了風(fēng)險評估計劃。由各部門提供資產(chǎn)清單，由風(fēng)險評估小組統(tǒng)一進行風(fēng)險評估工作：1） 各部門對本部門的資產(chǎn)進行了識別，并交由風(fēng)險評估小組對資產(chǎn)進行了賦值，識別出重要資產(chǎn)；2） 根據(jù)資產(chǎn)所處的環(huán)境進行了威脅的識別；3） 針對每一威脅所對應(yīng)的薄弱點進行識別；4） 對目前已有的安全控制進行了確認；5） 針對每一威脅利用薄弱點對于資產(chǎn)價值、保密性、完整性、可用性、合規(guī)性等方面造成的潛在影響進行了評價。6） 根據(jù)《信息安全風(fēng)險評估管理程序》中風(fēng)險等級的評定原則，確定風(fēng)險的等級六、風(fēng)險評估概況本項目涉及的部門：綜合部、軟件部、軟件部、業(yè)務(wù)部本項目涉及的流程或系統(tǒng)：計算機應(yīng)用軟件系統(tǒng)開發(fā)所涉及的信息安全管理風(fēng)險情況部門類別綜合管理部技術(shù)部銷售部總計信息資產(chǎn)數(shù)量29321273重要資產(chǎn)數(shù)量（重要程度≥3）2120849高風(fēng)險項數(shù)量（風(fēng)險等級≥3）1520641七總結(jié)本次評估按GB/T22080-2016/ISO/IEC27001:2013和GB/T22081-2016/ISO/IEC27002:2013的要求，由資產(chǎn)的所有者進行，各部門領(lǐng)導(dǎo)給予了最終的確認。通過以上風(fēng)險評估，本公司的主要信息資產(chǎn)為信息系統(tǒng)數(shù)據(jù)、涉密文檔資料；主要風(fēng)險為3級風(fēng)險，涉及信息系統(tǒng)安全管理方面、涉密文檔管理方面。其中由于公司處于成長階段，將即時通訊軟件的控制和人員流動的風(fēng)險申請了殘余風(fēng)險，這些風(fēng)險會隨著公司的逐步發(fā)展而降低。隨著新的應(yīng)用系統(tǒng)的不斷投入使用，信息化程度越來越高，以及員工信息安全意識的提高，可能會對風(fēng)險有新的認識或產(chǎn)生新的風(fēng)險，因此應(yīng)按規(guī)定周期連續(xù)進行風(fēng)險評估。附加說明：本次評估是本公司第一次風(fēng)險評估，資產(chǎn)評估人員缺乏大量的原始數(shù)據(jù)和豐富的評估經(jīng)驗，因此未發(fā)現(xiàn)的風(fēng)險可能依然存在于信息安全管理中，因此在體系策劃