ISO27001-2013信息安全管理体系风险评估报告

1、ISO27001-2013 信息安全管理体系风险评估报告一、实施范围和时间本公司 ISMS所涉及的相关部门以及相关业务活动。 本此风险评估的实施时间为 2019年3月16日至 2019年3月20日。二、风险评估方法参照 ISO/IEC27001 和 ISO/IEC27002 标准，以及 GB/T 20984-2007 信息安全技术信息安 全风险评估规范等，依据公司的信息系统管理制度确定的评估方法。三、风险评估工作组经信息中心批准，此次风险评估工作成员如下：评估工作组组长： xxx评估工作组成员： xxx 、xxx 、xxx 、xx四、风险评估结果4.1 信息资产清单 各部门的信息资产清单见部门

2、信息资产清单。4.2 重要资产面临威胁和脆弱性汇总 重要资面临的威胁和脆弱性分别见附件一和附件二。4.3 风险结果统计本次风险评估，共识别出信息安全风险 9 个，不可接受的风险 2 个，具体如下：风险等级种类个数说明很高0不可接受风险高0中等1低8可接受风险很低0五、风险处理计划 风险处理计划见附件四附件一：重要资产面临的威胁汇总表表 1-1 ：重要硬件资产威胁识别表重要资产威胁识别表硬件资产资产名称资产描述威胁类部门台式机网关服务器FTP/Web服务器应用、存储、数据库 服务器操作失误信息中心滥用权限系统漏洞攻击设备硬件故障社会工程威胁维护错误未授权访问系统资源物理访问失控高温宕机系统负载过

3、载机架式服 务器Mail 服务器操作失误各业务单位滥用权限系统漏洞攻击设备硬件故障社会工程威胁维护错误未授权访问系统资源物理访问失控高温宕机系统负载过载笔记本电 脑办公电脑木马后门攻击各业务单位设备硬件故障网络病毒传播未授权访问系统资源台式机办公电脑木马后门攻击各业务单位设备硬件故障网络病毒传播未授权访问系统资源表 1-2 重要应用系统资产威胁识别表重要资产威胁识别表应用系统序号资产名称威胁类部门1ERP业务系统 ;OA办公系统； 银联系统； 数据库系统篡改用户或业务数据信息各业务单位控制和破坏用户或业务数据滥用权限泄漏秘密信息数据篡改探测窃密未授权访问未授权访问系统资源用户或业务数据的窃取2

4、防火墙系统操作失误信息中心访问控制策略管理不当维护错误未授权访问资源原发抵赖表 1-3 重要文档和数据资产威胁识别表重要资产威胁识别表文档和数据序号资产名称威胁类部门1OA文档中心资料滥用权限信息中心未授权访问资源2ERP数据字典，数滥用权限信息中心据库文件未授权访问资源3项目实施资料滥用权限信息中心未授权访问资源表 1-4 重要人力资源资产威胁识别表重要资产威胁识别表人力资源序号资产名称威胁类部门1机房管理员社会工程威胁信息中心2服务器管理员社会工程威胁信息中心附件二：重要资产面临的脆弱性汇总表表 2-1 重要资产脆弱性汇总表序号 资产名称脆弱性名称1台式机（ FTP/Web服务器） 台式机

5、（网关服务器） 台式机（银联服务器）安装与维护缺乏管理操作系统补丁未及时安装操作系统存在弱口令操作系统的口令策略没有启用操作系统的帐户锁定策略没有 启用操作系统开放多余服务缺少电磁防护物理访问控制欠缺设备性能不足2机架式服务器（ Mail 服务 器）安装与维护缺乏管理操作系统补丁未及时安装操作系统存在弱口令操作系统的口令策略没有启用操作系统的帐户锁定策略没有 启用操作系统开放多余服务缺少电磁防护物理访问控制欠缺3笔记本电脑操作系统补丁未安装操作系统开放多余服务操作系统存在弱口令操作系统的口令策略没有启用病毒码无法自动更新操作系统的帐户锁定策略没有 启用4台式机操作系统补丁未安装病毒码无法自动更

6、新操作系统开放多余服务5ERP业务系统 ; OA办公系统； 银联系统； 数据库系统未设置用户登录失败门限与超 过门限后的处理措施无法保证用户使用的口令达到 一定的质量要求无法检测存储的重要信息、 数据 是否出现完整性错误重要信息、数据无加密措施， 以 明文传输6防火墙系统安全保障设备的其它配置不当安装与维护缺乏管理缺少操作规程和职责管理未启用日志功能7OA文档中心资料没有访问控制策略或未实施信息资产没有清晰的分类标志8ERP数据字典，数据库文 件没有访问控制策略或未实施信息资产没有清晰的分类标志9项目实施资料没有访问控制策略或未实施信息资产没有清晰的分类标志10机房管理员没有适当的奖惩规则没有

7、正式的保密协议11服务器管理员没有适当的奖惩规则没有正式的保密协议12硬件科长没有适当的奖惩规则没有正式的保密协议附件三：风险评估问题列表分类风险评估发现改进建议信息安全公司用户密码安全策略尚待完善， 未通过系统强制手段 对 NC 系统及其操作系统及数据库用户密码策略 （如密 码长度、复杂度、有效期等）进行合理设置。建立完善的密码策略，对密码 长度、复杂度、有效期、错误 登陆的次数等进行合理的规 定，并在实际工作中通过系统 手段对用友 NC 系统及其操作 系统和数据库层面密码策略进 行设置。信息安全公司尚未针对信息系统超级用户建立完善的管理制度， 实际工作中，由于制度的缺失，出现了如下问题：

8、1 ）未对 NC 系统及其操作系统和数据库层面的管理员 进行有效的职责分离；2 ） NC 系统及其操作系统层面存在超级用户共享现象； 3 ）未对 NC 系统及其操作系统和数据库层面的超级用 户操作进行有效的监控和记录。建立完善的用户账号管理制 度，明确对超级用户的管理规 定；同时，建立针对用友 NC 系统及其操作系统和数据库层 面管理员的职责分离机制，并 禁止共享超级用户。信息安全公司尚未对 NC 系统及其操作系统和数据库层面的用户 账号和操作权限进行定期审阅。指派专人定期审阅用友 NC 系 统及其操作系统和数据库层面 的用户账号和操作权限，重点 复核换岗及离职人员的账号删 除、禁用及权限变更

9、情况，并 对复核结果进行记录。信息安全审计期间内公司未按制度要求外来人员访问机房前进 行登记并得到相关管理层的授权。所有外来人员访问机房须经过 IT 部门领导的审批，由专人陪 同，并做好登记工作。信息安全公司计算机机房的物理安全措施尚待完善： 机房内部未 安装必要的烟感探测器和灭火器。针对计算机机房配以必要的物 理安全措施，安装烟感探测器 和自动灭火装置（非液体）等 设备。运行维护公司尚未妥善保存 NC 系统数据备份结果的检查记录。建立备份复核机制，指派专人 对用友 NC 系统的备份结果进 行检查， 并妥善保留检查记录。运行维护公司尚未制定正式的灾难恢复计划并定期演练。制定正式的灾难恢复计划，

10、定 期（至少每年一次）演练，并 保留相关的书面记录。运行维护公司尚未制定正式的批处理程序管理流程， 未妥善保存 NC 系统批处理程序运行结果的检查记录。建立正式的批处理程序管理规定，制定批处理程序清单，安排专人每日检查相关程序的执行情况，对发现的异常及时处 理，同时保留相关的书面记录。运行维护公司尚未建立第三方服务商管理制度， 未对第三方服务 水平进行评价。建立 IT 服务商建立评价机制， 定期对服务水平进行评价，形 成评价报告，并跟踪和记录改进情况。附件四：风险处理计划根据本次风险评估结果，对不可接受的风险进行处理。在选取控制措施和方法时，结合 公司的财力、物力和资产的重要度等各种因素，制定如下风险处理计划。该计划已经信息安全领导办公室审核批准。风险处理计划序 号资产名称风险风险处 理选项风险处理措 施责任人计划 完成 时间1台式机（网关服务器） 台式机 （FTP/Web服务器） 机架式服务器（ Mail 服 务器）操作系统补 丁未及时安 装降低实施定期升 级补丁xxxx物理访问控 制欠缺安装机房门 禁系统xxxx2台式机（银