ISO27001：2013风险评估报告.pdfVIP

XXXXXX 有限公司 风险评估报告 （ISO27001-2013） 一、实施范围和时间 本公司 ISMS所涉及的相关部门以及相关业务活动。 本此风险评估的实施时间为 XXXX年 XX 月 XX 日至 XXXX年 XX月 XX 日。 二、 风险评估方法 参照 ISO/IEC27001 标准，以及公司相关管理制度，确定的评估方法。 三、风险评估工作组 经信息安全领导办公室 ( 或委员会 ) 批准，此次风险评估工作成员如下： 评估工作组组长： XXX 评估工作组成员： XXXX、XXXX…… 四、风险评估结果 4.1 信息资产清单 各部门的信息资产清单见部门信息资产清单。 4.2 重要资产面临威胁和脆弱性汇总 重要资面临的威胁和脆弱性分别见附件一和附件二。 4.3 风险结果统计 本次风险评估， 共识别出信息安全风险 XX个，不可接受的风险 XX个，具体 如下： 风险等级种类 个数 说明 很高 高 不可接受风险 中等 XXXXXX 有限公司 低 可接受风险 很低 五、风险处理计划 风险处理计划见附件三。 XXXXXX 有限公司 附件一：重要资产面临的威胁汇总表 表 1-1 ：重要硬件资产威胁识别表 重要资产威胁识别表－－硬件资产 资产名称 资产描述 威胁类 部门 台式机 网关/SVN 服务器 操作失误 Bugzilla/FTP/Web 服务 滥用权限 器 系统漏洞攻击 Trac 服务器 设备硬件故障 社会工程威胁 维护错误 未授权访问系统资源 物理访问失控 电磁干扰 系统负载过载 机 架 式 服 务 Mail 服务器 操作失误 器 滥用权限 系统漏洞攻击 设备硬件故障 社会工程威胁 维护错误 未授权访问系统资源 物理访问失控