2019年ISO27001信息安全管理体系信息安全风险评估及控制措施表.docx

2019年ISO27001信息安全管理体系信息安全风险评估及控制措施表（ISMS信息安全风险评估）1 评估日期：2019.01.18 资产 资产重要性 固有风险评估 序号 资产名称（标识） 资产类别 功能描述 所属部门 责任人 资产重要性值 保密性(C) 完整性(I) 可用性(A) 法律与法规符合性(L) 威胁表现 威胁程度 脆弱性表现 脆弱程度 固有风险值 固有风险等级 1 总经理 LB1001 主导公司业务 王二 16 5 4 4 3 人身意外 4 可能遭受环境灾害或其他意外事故 5 320 4 2 总经理 LB1001 主导公司业务 王二 16 5 4 4 3 无意泄露公司机密 3 缺乏相关安全操作流程和法律意识 5 240 3 3 总经理PC LB5001 一般办公 王二 13 4 3 3 3 恶意代码（如病毒、逻辑炸弹、木马） 5 缺乏安全意识 5 325 4 4 总经理PC LB5001 一般办公 王二 13 4 3 3 3 系统漏洞 4 缺乏安全意识 5 260 3 5 总经理PC LB5001 一般办公 王二 13 4 3 3 3 系统入侵 4 缺乏安全意识 5 260 3 6 总经理PC LB5001 一般办公 王二 13 4 3 3 3 未经授权的系统访问 4 弱的密码管理 4 208 3 7 总经理PC LB5001 一般办公 综合管理部 王二 13 4 3 3 3 意外断电 3 缺乏意识 4 156 2 8 总经理PC LB5001 一般办公 综合管理部 王二 13 4 3 3 3 丢失 3 丢失 3 117 2 9 总经理PC LB5001 一般办公 综合管理部 王二 13 4 3 3 3 遭盗用 3 被不法分子利用 3 1 10 公司法人章 财务专用章 LB5002 LB5003 公司法人章 财务专用章 综合管理部/财务部 王一/张一 13 4 3 3 3 丢失 4 丢失 4 208 3 11 公司法人章 财务专用章 LB5002 LB5003 公司法人章 财务专用章 综合管理部/财务部 王一/张一 13 4 3 3 3 遭盗用 3 被不法分子利用 3 117 2 12 经理 LB1001 负责公司技术研发工作 软件研发中心 王三 16 5 4 4 3 人员流动 4 被其他更高薪水或职位的公司所聘请 4 256 3 13 经理 LB1001 负责公司技术研发工作 软件研发中心 王三 16 5 4 4 3 兜售公司其重要信息 3 可能被其他公司所利用导致人员被挖走 3 144 2 14 电子邮件数据 LB2001 一般办公 软件研发中心 王三 12 4 3 3 2 设备故障 4 缺乏定期更换计划 5 240 3 15 电子邮件数据 LB2001 一般办公 软件研发中心 王三 12 4 3 3 2 软件本身存在的漏洞 4 缺乏定期更换计划 4 192 2 16 电子邮件数据 LB2001 一般办公 软件研发中心 王三 12 4 3 3 2 丢失 3 丢失 3 108 2 17 电子邮件数据 LB2001 一般办公 软件研发中心 王三 12 4 3 3 2 遭盗用 3 被不法分子利用 4 144 2 18 程序源代码 LB2002 一般办公 软件研发中心 王三 20 5 5 5 5 设备故障 4 缺乏定期更换计划 5 400 4 19 程序源代码 LB2002 一般办公 软件研发中心 王三 20 5 5 5 5 软件本身存在的漏洞 4 缺乏定期更换计划 4 320 4 20 程序源代码 LB2002 一般办公 软件研发中心 王三 20 5 5 5 5 丢失 3 丢失 3 180 2 21 程序源代码 LB2002 一般办公 软件研发中心 王三 20 5 5 5 5 遭盗用 3 被不法分子利用 4 240 3 22 设计文档 LB2003 一般办公 软件研发中心 王三 16 5 4 4 3 设备故障 4 缺乏定期更换计划 5 320 4 23 设计文档 LB2003 一般办公 软件研发中心 王三 16 5 4 4 3 软件本身存在的漏洞 4 缺乏定期更换计划 4 256 3 24 设计文档 LB2003 一般办公 软件研发中心 王三 16 5 4 4 3 丢失 3 丢失 3 144 2 25 设计文档 LB2003 一般办公 软件研发中心 王三 16 5 4 4 3 遭盗用 3 被不法分子利用 4 192 2 26 SVN LB3002 配置管理 软件研发中心 王三 16 5 4 4 3 恶意代码（如病毒、逻辑炸弹、木马） 5 缺乏安全意识 5 400 4 27 OA系统服务器 LB5001 一般办公 软件研发中心 王三 1