信息安全风险评估报告

xxxxx公司信息安全风险评估报告-可编辑修改 -历史版本编制、审核、批准、发布实施、分发信息记录表版本号编制人 /创建日期审核人 /审核日期批准人 /批准日期发布日期 /实施日期分发编号xxxxxxxxxxxxv1.02017.2.162017.2.162017.2.162017/2/16原稿xxxxxxxxxxxv1.12017/9/15修订稿2017.9.152017.9.152017.9.15/一. 风险项目综述1. 企业名称 : xxxxx 公司2. 企业概况： xxxxx公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持与服务的企业。3. isms 方针： 预防为主，共筑信息安全；完善管理，赢得顾客信赖。4. isms 范围：计算机应用软件开发，网络安全产品设计/开发，系统集成及服务的信息安全管理。二. 风险评估目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平 ,进行本次风险评估。三. 风险评估日期：2017-9-10至 2017-9-15四. 评估小组成员xxxxxxx 。-可编辑修改 -五. 评估方法综述1、首先由信息安全管理小组牵头组建风险评估小组；2、通过咨询公司对风险评估小组进行相关培训；3、根据我们的信息安全方针、范围制定信息安全风险管理程序，以这个程序作为我们风险评估的依据和方法；4、各部门识别所有的业务流程，并根据这些业务流程进行资产识别，对识别的资产进行打分形成重要资产清单；5、对每个重要资产进行威胁、脆弱性识别并打分，并以此得到资产的风险等级；6、根据风险接受准则得出不可接受风险，并根据标准iso27001:2013的附录 a 制定相关的风险控制措施；7、对于可接受的剩余风险向公司领导汇报并得到批准。六. 风险评估概况根据第一阶段审核结果，修订了信息安全风险管理程序，根据新修订程序文件，再次进行了风险评估工作从 2017 年 9 月 10 日开始进入风险评估阶段，到2017 年 9 月 15 日止基本工作告一段落。主要工作过程如下：1.2017-9-10 2017-9-10，风险评估培训；-可编辑修改 -2. 2017-9-11 2017-9-11，公司评估小组制定信息安全风险管理程序，制定系统化的风险评估方法；3. 2017-9-12 2017-9-12，本公司各部门识别本部门信息资产，并对信息资产进行等级评定，其中资产分为物理资产、软件资产、数据资产、文档资产、无形资产，服务资产等共六大类；4. 2017-9-13 2017-9-13，本公司各部门编写风险评估表，识别信息资产的脆弱性和面临的威胁，评估潜在风险，并在 isms 工作组内审核；5. 2017-9-14 2017-9-14，本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表；6. 2017-9-15 2017-9-15，各部门修订风险评估表，识别重大风险，制定控制措施；isms 工作组组织审核，并最终汇总形成本报告。.七. 风险评估结果统计本次风险评估情况详见各部门“风险评估表”，其中共识别出资产190 个，重要资产115 个，信息安全风险115 个，不可接受风险42 个.表 1资产面临的威胁和脆弱性汇总表八 风险处理计划根据本次风险评估结果，对不可接受风险进行处理。在选取控制措施和方法时，结合公司财力、物力和资 产重要度等级等各种因素，制定了风险处理计划。公司各部门针对不可接受风险，公司组织各部门制定风险 处置计划，经各部门讨论确认，管理者代表批准后实施。风险处置计划制定情况详见风险处置计划。九.残余风险-可编辑修改 -在采取相关管理和技术措施后，经再次风险评估，不可接受风险采取措施后的残余风见各部门信息安全残余风险