ISMS风险评估报告修改.docxVIP

ISMS （信息安全管理体系）风险评估报告 一、 实施范围和时间 本公司ISMS所涉及的相关部门以及相关业务活动。 本此风险评估的实施时间为2015年3月16日至2015年3月20日。 二、 风险评估方法 参照TS0/TEC27001和TS0/TEC27002标准，以及《GB/T 20984-2007信息安全技术信息 安全风险评佔规范》等，依据公司的《信息系统管理制度》确定的评佔方法。 三、 风险评估工作组 经信息中心批准，此次风险评估工作成员如下： 评估工作组组长：徐守福 评估工作组成员：李宝明、万兵、黄鹏、李富强、徐欣广、赵之勇、杨雪芹 四、 风险评估结果 4. 1信息资产清单 各部门的信息资产清单见部门信息资产清单。 4. 2重要资产面临威胁和脆弱性汇总 重要资面临的威胁和脆弱性分别见附件一 ?和附件二。 4. 3风险结果统计 本次风险评估，共识别出信息安全风险9个，不可接受的风险2个，具休如下： 风险等级种类 个数 说明 很高 0 不可接受风险 高 0 中等 1 低 8 可接受风险 很低 0 五、风险处理计划 风险处理计划见附件四 附件一：重要资产面临的威胁汇总表 表1-1:重要硬件资产威胁识别表 重要资产威胁识别表一一硕件资产 资产名称 资产描述 威胁类 部门 台式机 网关服务器 FTP/Web服务器 应用、存储、数据库 服务器 操作失误 信息屮心 滥用权限 系统漏洞攻击 设备硬件故障 社会工程威胁 维护错误 未授权访问系统资源 物理访问失控 高温宕机 系统负载过载 机架式服 务器 Ma订服务器 操作失误 各业务单位 滥用权限 系统漏洞攻击 设备駛件故障 社会工程威胁 维护错误 未授权访问系统资源 物理访问失控 高温宕机 系统负载过载 笔记本电 脑 办公电脑 木马后门攻击 各业务单位 设备硬件故障 网络病毒传播 未授权访问系统资源 台式机 办公电脑 木马后门攻击 各业务单位 设备硕件故障 网络病毒传播 未授权访问系统资源  表1-2重要应用系统资产威胁识别表 重要资产威胁识别表一一应用系统 序号 资产名称 威胁类 部门 1 ERP业务系统; 0A办公系统； 银联系统； 数据库系统 篡改用户或业务数据信息 各业务单位 控制和破坏用户或业务数据 滥用权限泄漏秘密信息 数据篡改 探测窃密 未授权访问 未授权访问系统资源 用户或业务数据的窃取 2 防火墙系统 操作失误 信息中心 访问控制策略管理不当 维护错误 未授权访问资源 原发抵赖 表1-3重要文档和数据资产威胁识别表 重要资产威胁识别表一一文档和数据 序号 资产名称 威胁类 部门 1 0A文档中心资料 滥用权限 信息屮心 未授权访问资源 2 ERP数据字典,数 据库文件 滥用权限 信息中心 未授权访问资源 3 项目实施资料 滥用权限 信息中心 未授权访问资源 表1-4重要人力资源资产威胁识别表 重要资产威胁识别表一一人力资源 序号 资产名称 威胁类 部门 1 机房管理员 社会工程威胁 信息中心 2 服务器管理员 社会工程威胁 信息屮心 附件二：重要资产面临的脆弱性汇总表 表2-1重要资产脆弱性汇总表 序号 资产名称 脆弱性名称 1 台式机（FTP/Web服务器） 台式机（网关服务器） 台式机（银联服务器） 安装与维护缺乏管理 操作系统补丁未及时安装 操作系统存在弱口令 操作系统的口令策略没有启用 操作系统的帐户锁定策略没有 启用 操作系统开放多余服务 缺少电磁防护 物理访问控制欠缺 设备性能不足 2 机架式服务器（Mail服务 器） 安装与维护缺乏管理 操作系统补丁未及时安装 操作系统存在弱口令 操作系统的口令策略没有启用 操作系统的帐户锁定策略没冇 启用 操作系统开放多余服务 缺少电磁防护 物理访问控制欠缺 3 笔记本电脑 操作系统补丁未安装 操作系统开放多余服务 操作系统存在弱口令 操作系统的口令策略没有启用 病毒码无法自动更新 操作系统的帐户锁定策略没有 启用 4 台式机 操作系统补丁未安装 病毒码无法口动更新 操作系统开放多余服务 5 ERP业务系统； 0A办公系统； 银联系统； 数据库系统 未设置用户登录失败门限与超 过门限后的处理措施 无法保证用户使用的口令达到 一定的质量要求 无法检测存储的重要信息、数据 是否出现完整性错误 重要信息、数据无加密措施，以 明文传输 6 防火墙系统 安全保障设备的其它配置不当 安装与维护缺乏管理 缺少操作规程和职责管理  未启用日总功能 7 0A文档中心资料 没有访问控制策略或未实施 信息资产没有清晰的分类标志 8 ERP数据字典，数据库文 件 没有访问控制策略或未实施 信息资产没有清晰的分类标志 9 项目实施资料 没有访问控制策略或未实施 信息资产没有清晰的分类标志 10 机房管理员 没有适当的奖惩规则 没有止式的