信息安全风险评估报告和风险处理计划.docx

XX 有限公司版 本A0文件编号生效日期XX XX 有限公司 版 本 A0 文件编号 生效日期 XX XX 版本更改类型生效日期 版本 更改类型 生效日期 更改内容 信息安全风险评估报告和风险处理计划 会签部门： 品质： 采购： 工程： 业务： 研发： IT： 生产： PMC： 行政： 财务： 制作： 审核： 批准： 一、实施范围和时间 本公司信息安全管理体系所涉及的相关部门以及相关业务活动。 本此风险评估的实施时间为XXXX 年XX 月 XX 日至XXXX 年XX 月 XX 日。 二、风险评估方法 参照 ISO/IEC27001 和 ISO/IEC27002 标准，以及《信息安全技术信息安全风险评估规范》(GB/T20984-2007)等，依据公司的《信息安全风险评估管理程序》(版本号： )确定的评估方法。 三、风险评估工作组 经信息安全领导办公室(或委员会)批准，此次风险评估工作成员如下： 评估工作组组长：XXX 评估工作组成员：XXXX、XXXX…… 四、风险评估结果 信息资产清单 各部门的信息资产清单见部门信息资产清单。 重要资产面临威胁和脆弱性汇总 重要资面临的威胁和脆弱性分别见附件一和附件二。 风险结果统计 本次风险评估，共识别出信息安全风险XX 个，不可接受的风险XX 个，具体如下： 风险等级种类 个数 说明 很高 高 不可接受风险 中等低 很低 五、风险处理计划 风险处理计划见附件三六、附件： 附件一：重要资产面临的威胁汇总表 可接受风险 表 1-1：重要硬件资产威胁识别表 重要资产威胁识别表－－硬件资产 资产名称资产描述 资产名称 资产描述 威胁类 台式机 网关/SVN 服务器 操作失误 Bugzilla/FTP/Web 服 滥用权限 务器 Trac 服务器 系统漏洞攻击设备硬件故障 社会工程威胁 维护错误 未授权访问系统资源 物理访问失控 电磁干扰 系统负载过载 机架式服务 Mail 服务器 操作失误 器 滥用权限 系统漏洞攻击 设备硬件故障 社会工程威胁 笔记本电脑 台式机 维护错误 未授权访问系统资源物理访问失控 电磁干扰 系统负载过载木马后门攻击设备硬件故障网络病毒传播 未授权访问系统资源社会工程威胁 木马后门攻击设备硬件故障网络病毒传播 未授权访问系统资源社会工程威胁 表 1-2 重要应用系统资产威胁识别表 重要资产威胁识别表－－应用系统 序号 资产名称 威胁类 部门 1 SVN 业务系统 篡改用户或业务数据信息 控制和破坏用户或业务数据 滥用权限泄漏秘密信息 数据篡改 探测窃密 未授权访问 未授权访问系统资源 用户或业务数据的窃取 2 Iptables 防火墙系统 操作失误 访问控制策略管理不当 维护错误 未授权访问资源 原发抵赖 表 1-3 重要文档和数据资产威胁识别表重要资产威胁识别表－－文档和数据 序号 资产名称 威胁类 部门 1 DVB-J 项目开发资料 滥用权限 开发部 未授权访问资源 2 DVB-J 项目开发文件 滥用权限 未授权访问资源 开发部 3 总务相关资料 滥用权限 总务部 未授权访问资源 表 1-4 重要人力资源资产威胁识别表重要资产威胁识别表－－人力资源 序号 资产名称 威胁类 部门 1 机房管理员 社会工程威胁 2 服务器管理员 社会工程威胁 3 社会工程威胁 附件二：重要资产面临的脆弱性汇总表 表 2-1 重要资产脆弱性汇总表 序号 资产名称 脆弱性名称 台式机（Bugzilla/FTP/Web 安装与维护缺乏管理 服务器） 操作系统补丁未及时安装台式机（网关/SVN服务器） 操作系统存在弱口令 台式机（Trac服务器） 操作系统的口令策略没有启用 操作系统的帐户锁定策略没有启用操作系统开放多余服务 缺少电磁防护 物理访问控制欠缺设备性能不足 机架式服务器（Mail服务器） 安装与维护缺乏管理 操作系统补丁未及时安装操作系统存在弱口令 操作系统的口令策略没有启用 操作系统的帐户锁定策略没有启用操作系统开放多余服务 缺少电磁防护 物理访问控制欠缺 笔记本电脑 操作系统补丁未安装 笔记本电脑 操作系统开放多余服务 操作系统存在弱口令 操作系统的口令策略没有启用病毒码无法自动更新 操作系统的帐户锁定策略没有启用 台式机 操作系统补丁未安装 病毒码无法自动更新 操作系统开放多余服务 SVN 业务系统 未设置用户登录失败门限与超过门限后的处理措施 无法保证用户使用的口令达到一定的质量要求 无法检测存储的重要信息、数据是否出现完整性错误重要信息、数据无加密措施，以明文传输 Iptables 防火墙系统 安全保障设备的其它配置不当 安装与维护缺乏管理 缺少操作规程和职责管理未启用日志功能 DVB-J 项目开发资料 没有访问控制策略或未实施 信息资产没有清晰的分类标志 DVB-J