信息安全风险评估报告.pdfVIP

2.2017-9-11~2017-9-12

3.2017-9-13~2017-9-14，威胁、脆弱性识别和风险等级

评估；

4.2017-9-15，制定风险控制措施并向领导汇报。

七.风险评估结果

经过风险评估小组的共同努力，我们得出了以下结论：

1.重要资产清单包括：计算机应用软件、网络安全产品、

系统集成和服务；

2.最高风险等级为5，对应的控制措施已经得到了领导的

批准；

3.我们制定的风险控制措施包括：加强系统访问控制、完

善信息备份和恢复机制、加强网络安全监控等。

八.结论与建议

本次风险评估结果表明，我们的信息安全风险控制措施已

经得到了领导的批准，并且我们已经制定了一系列的风险控制

措施，以确保我们的信息安全得到了保障。我们建议继续加强

对信息安全的管理和监控，以确保我们的信息安全得到长期有

效的保障。

2017年9月11日至2017年9月11日期间，公司评

估小组制定了《信息安全风险管理程序》，并制定了系统化的

风险评估方法。

3.在2017年9月12日至2017年9月12日期间，本公司

各部门识别了本部门的信息资产，并对这些资产进行了等级评

定。这些资产分为六大类，包括物理资产、软件资产、数据资

产、文档资产、无形资产和服务资产。

4.在2017年9月13日至2017年9月13日期间，本公司

各部门编写了风险评估表，识别了信息资产的脆弱性和面临的

威胁，评估了潜在风险，并在ISMS工作组内进行了审核。

5.在2017年9月14日至2017年9月14日期间，本公司

各部门实施人员、部门领导或其指定的代表人员一起审核了风

险评估表。

6.在2017年9月15日至2017年9月15日期间，各部门

修订了风险评估表，识别了重大风险，并制定了控制措施。

ISMS工作组组织了审核，并最终汇总形成了本报告。

七。风险评估结果统计

风险评估表”。共识别出

了个资产，其中115个是重要资产，115个是信息安全风

险，42个是不可接受的风险。

表1资产面临的威胁和脆弱性汇总表

资产分类威胁脆弱性名称

物理资产火灾

偷盗

易燃烧

文件存放区域防护不当

软件资产恶意代码和病毒

杀毒软件设置不合理

杀毒软件未及时更新

对网站下载或上传控制不当

软件故障

非法访问

设计缺陷，使用、保护措施不当

弱身份验证机制

泄密

没有设置登录口令

权限设置不合理

涉密信息无加密措施

非授权使用

数据资产篡改

非法访问

电脑没有设置登录口令或者屏幕保护

文件未进行加密

权限设置不合理

无备份策略

弱身份验证机制

未安装杀毒软件

恶意代码和病毒

杀毒软件设置不合理

杀毒软件未及时更新

对网站下载或上传控制不当

恶意代码和网络攻击

硬件资产设备故障

设备物理保护措施不当

设备使用和管理不当

设备管理不当

保管不善

资产分类威胁脆弱性名称

文档资产存储不当导致无法检索

文件管理不当

员工信息保密意识不够

文档资产泄密没有设置登录口令

涉密信息无加密措施

服务资产运行故障、意外错误

信息丢失

未及时安装补丁

无备份

未安装杀毒软件

防火墙或入侵检测软件配置不合理

侵检测软件的配置，确保网络安全。

2.弱身份验证机制和杀毒软件问题：应该采用更强的身份

验证机制，并及时更新和设置杀毒软件。

3.断电和___问题：应该增加储存电能和改善线路通讯，

同时定期维护UPS设备，以确保其可靠性。

4.设备维护和设计缺陷：需要加强设备维护和改进设计，

以降低故障率。

5.布线不规范和恶意代码、病毒问题：应该规范布线并加

强杀毒软件设置，以防止恶意代码和病毒的入侵。

6.风险处理计划：根据风险评估结果，制定风险处理计划，

加强各部门的风险管理和控制措施，以减少不可接受风险的发

生。