ISMS风险评估报告 修改.doc

ISMS（信息安全管理体系）风险评估报告一、实施范围和时间本公司ISMS所涉及的相关部门以及相关业务活动。本此风险评估的实施时间为2015年3月16日至2015年3月20日。二、风险评估方法参照ISO/IEC27001和ISO/IEC27002标准，以及GB/T 20984-2007信息安全技术信息安全风险评估规范等，依据公司的信息系统管理制度确定的评估方法。三、风险评估工作组经信息中心批准，此次风险评估工作成员如下：评估工作组组长：徐守福评估工作组成员：李宝明、万 兵 、黄 鹏、李富强、徐欣广、赵之勇、杨雪芹四、风险评估结果4.1信息资产清单各部门的信息资产清单见部门信息资产清单。4.2重要资产面临威胁和脆弱性汇总重要资面临的威胁和脆弱性分别见附件一和附件二。4.3风险结果统计本次风险评估，共识别出信息安全风险9个，不可接受的风险2个，具体如下：风险等级种类个数说明很高0不可接受风险高0中等1低8可接受风险很低0五、风险处理计划风险处理计划见附件四附件一：重要资产面临的威胁汇总表表1-1：重要硬件资产威胁识别表重要资产威胁识别表硬件资产资产名称资产描述威胁类部门台式机网关服务器FTP/Web服务器应用、存储、数据库服务器操作失误信息中心滥用权限系统漏洞攻击设备硬件故障社会工程威胁维护错误未授权访问系统资源物理访问失控高温宕机系统负载过载机架式服务器Mail服务器操作失误各业务单位滥用权限系统漏洞攻击设备硬件故障社会工程威胁维护错误未授权访问系统资源物理访问失控高温宕机系统负载过载笔记本电脑办公电脑木马后门攻击各业务单位设备硬件故障网络病毒传播未授权访问系统资源台式机办公电脑木马后门攻击各业务单位设备硬件故障网络病毒传播未授权访问系统资源表1-2 重要应用系统资产威胁识别表重要资产威胁识别表应用系统序号资产名称威胁类部门1ERP业务系统;OA办公系统；银联系统；数据库系统篡改用户或业务数据信息各业务单位控制和破坏用户或业务数据滥用权限泄漏秘密信息数据篡改探测窃密未授权访问未授权访问系统资源用户或业务数据的窃取2防火墙系统操作失误信息中心访问控制策略管理不当维护错误未授权访问资源原发抵赖表1-3 重要文档和数据资产威胁识别表重要资产威胁识别表文档和数据序号资产名称威胁类部门1OA文档中心资料滥用权限信息中心未授权访问资源2ERP数据字典，数据库文件滥用权限信息中心未授权访问资源3项目实施资料滥用权限信息中心未授权访问资源表1-4 重要人力资源资产威胁识别表重要资产威胁识别表人力资源序号资产名称威胁类部门1机房管理员社会工程威胁信息中心2服务器管理员社会工程威胁信息中心附件二：重要资产面临的脆弱性汇总表表 2-1 重要资产脆弱性汇总表序号资产名称脆弱性名称1台式机（FTP/Web服务器）台式机（网关服务器）台式机（银联服务器）安装与维护缺乏管理操作系统补丁未及时安装操作系统存在弱口令操作系统的口令策略没有启用操作系统的帐户锁定策略没有启用操作系统开放多余服务缺少电磁防护物理访问控制欠缺设备性能不足2机架式服务器（Mail服务器）安装与维护缺乏管理操作系统补丁未及时安装操作系统存在弱口令操作系统的口令策略没有启用操作系统的帐户锁定策略没有启用操作系统开放多余服务缺少电磁防护物理访问控制欠缺3笔记本电脑操作系统补丁未安装操作系统开放多余服务操作系统存在弱口令操作系统的口令策略没有启用病毒码无法自动更新操作系统的帐户锁定策略没有启用4台式机操作系统补丁未安装病毒码无法自动更新操作系统开放多余服务5ERP业务系统;OA办公系统；银联系统；数据库系统未设置用户登录失败门限与超过门限后的处理措施无法保证用户使用的口令达到一定的质量要求无法检测存储的重要信息、数据是否出现完整性错误重要信息、数据无加密措施，以明文传输6防火墙系统安全保障设备的其它配置不当安装与维护缺乏管理缺少操作规程和职责管理未启用日志功能7OA文档中心资料没有访问控制策略或未实施信息资产没有清晰的分类标志8ERP数据字典，数据库文件没有访问控制策略或未实施信息资产没有清晰的分类标志9项目实施资料没有访问控制策略或未实施信息资产没有清晰的分类标志10机房管理员没有适当的奖惩规则没有正式的保密协议11服务器管理员没有适当的奖惩规则没有正式的保密协议12硬件科长没有适当的奖惩规则没有正式的保密协议附件三：风险评估问题列表分类风险评估发现改进建议信息安全公司用户密码安全策略尚待完善，未通过系统强制手段对NC系统及其操作系统及数据库用户密码策略（如密码长度、复杂度、有效期等）进行合理设置。建立完善的密码策略，对密码长度、复杂度、有效期、错误登陆的次数等进行合理的规定，并在实际工作中通过系统手段对用友NC系统及其操作系统和数据库层面密码策略进行设置。信息安全公司尚未针对信息系统超级用户建立完善的管理制度，实际工作中，由于制度的缺失，出现了如下问题：1）未对NC系统及其操作系统和数据库层面的管理员进行有效的职责分离；2）NC系统及其操作系统层面存在超级用户共享现象；3）未对NC系统及其操作系统和数据库层面的超级用户操作进行有效的监控和记录。建立完善的用户账号管理制度，明确对超级用户的管理规定；同时，建立针对用友NC系统及其操作系统和数据库层面管理员的职责分离机制，并禁止共享超级用户。 信息安全公司尚未对NC系统及其操作系统和数据库层面的用户账号和操作权限进行定期审阅。指派专人定期审阅用友NC系统及其操作系统和数据库层面的用户账号和操作权限，重点复核换岗及离职人员的账号删除、禁用及权限变更情况，并对复核结果进行记录。信息安全审计期间内公司未按制度要求外来人员访问机房前进行登记并得到相关管理层的授权。所有外来人员访问机房须经过IT部门领导的审批，由专人陪同，并做好登记工作。信息安全公司计算机机房的物理安全措施尚待完善：机房内部未安装必要的烟感探测器和灭火器。针对计算机机房配以必要的物理安全措施，安装烟感探测器和自动灭火装置（非液体）等设备。运行维护公司尚未妥善保存NC系统数据备份结果的检查记录。建立备份复核机制，指派专人对用友NC系统的备份结果进行检查，并妥善保留检查记录。运行维护公司尚未制定正式的灾难恢复计划并定期演练。制定正式的灾难恢复计划，定期（至少每年一次）演练，并保留相关的书面记录。运行维护公司尚未制定正式的批处理程序管理流程，未妥善保存NC系统批处理程序运行结果的检查记录。建立正式的批处理程序管理规定，制定批处理程序清单，安排专人每日检查相关程序的执行情况，对发现的异常及时处理，同时保留相关的书面记录。运行维护公司尚未建立第三方服务商管理制度，未对第三方服务水平进行评价。建立IT服务商建立评价机制，定期对服务水平进行评价，形成评价报告，并跟踪和记录改进情况。 附件四：风险处理计划根据本次风险评估结果，对不可接受的风险进行处理。在选取控制措施和方法时，结合公司的财力、物力和资产的重要度等各种因素，制定如下风险处理计划。该计划已经信息安全领导办公室审核批准。风险处理计划序号资产名称风险风险处理选项风险处理措施责任人计划完成时间1台式机（网关服务器）台式机（FTP/Web服务器）机架式服务器（Mail服务器）操作系统补丁未及时安装降低实施定期升级补丁徐欣广物理访问控制欠缺安装