ISMS风险评估报告.docxVIP

ISMS风险评估报告

一、实施范围和时间

本公司ISMS所涉及的相关部门以及相关业务活动。

本此风险评估的实施时间为XXXX年XX月XX日至XXXX年XX月XX日。

二、风险评估方法

参照ISO/IEC27001和ISO/IEC27002标准，以及《信息安全技术信息安全风险评估规范》(GB/T20984-2022)等，依据公司的《信息安全风险评估管理程序》(版本号：)确定的评估方法。

三、风险评估工作组

经信息安全领导办公室(或者委员会)批准，此次风险评估工作成员如下：评估工作组组长：XXX

评估工作组成员：XXXX、XXXX……

四、风险评估结果

4.1信息资产清单

各部门的信息资产清单见部门信息资产清单。

4.2重要资产面临威胁和脆弱性汇总

重要资面临的威胁和脆弱性分别见附件一和附件二。

4.3风险结果统计

本次风险评估，共识别出信息安全风险XX个，不可接受的风险XX个，具体如下：

风险等级种类个数说明

很高

高不可接受风险

中等

低

可接受风险

很低

五、风险处理计划

风险处理计划见附件三

附件一：重要资产面临的威胁汇总表

表1-1：重要硬件资产威胁识别表

重要资产威胁识别表－－硬件资产

重要资产威胁识别表－－硬件资产

资产名称台式机

机架式服务器

笔记本电脑

台式机

资产描述网关/SVN服务器Bugzilla/FTP/Web服务器

Trac服务器

Mail服务器

威胁类

操作失误

滥用权限

系统漏洞攻击

设备硬件故障

社会工程威胁

维护错误

未授权访问系统资源

物理访问失控

电磁干扰

系统负载过载

操作失误

滥用权限

系统漏洞攻击

设备硬件故障

社会工程威胁

维护错误

未授权访问系统资源

物理访问失控

电磁干扰

系统负载过载

木马后门攻击

设备硬件故障

网络病毒传播

未授权访问系统资源

社会工程威胁

木马后门攻击

设备硬件故障

网络病毒传播

未授权访问系统资源

社会工程威胁

部门

表1-2重要应用系统资产威胁识别表

重要资产威胁识别表－－应用系统

重要资产威胁识别表－－应用系统

序号资产名称威胁类部门

1SVN业务系统篡改用户或者业务数据信息

控制和破坏用户或者业务数据滥用权限泄漏秘密信息

数据篡改

探测窃密

未授权访问

未授权访问系统资源

用户或者业务数据的窃取

访问控制策略管理不当

维护错误

未授权访问资源

原发抵赖

Iptables火墙系统

防操作失误

2

表1-3重要文档和数据资产威胁识别表

重要资产威胁识别表－－文档和数据

序号

1

2

3

资产名称DVB-J项目开辟资料

DVB-J项目开辟文件

总务相关资料

部门

部门开辟部

滥用权限

开辟部总务部

开辟部

总务部

滥用权限

未授权访问资源

滥用权限

未授权访问资源

表1-4重要人力资源资产威胁识别表

重要资产威胁识别表－－人力资源

序号资产名称威胁类部门

1机房管理员社会工程威胁

2服务器管理员社会工程威胁

3社会工程威胁

附件二：重要资产面临的脆弱性汇总表

表2-1重要资产脆弱性汇总表

序号资产名称

1台式机

(Bugzilla/FTP/Web服务器)

台式机(网关/SVN服务器)

台式机(Trac服务器)

2机架式服务器(Mail服务器)

3笔记本电脑笔记本电脑

4台式机

5SVN业务系统

6Iptables防火墙系统

脆弱性名称

安装与维护缺乏管理

操作系统补丁未及时安装

操作系统存在弱口令

操作系统的口令策略没有启用

操作系统的帐户锁定策略没有

启用

操作系统开放多余服务

缺少电磁防护

物理访问控制欠缺

设备性能不足

安装与维护缺乏管理

操作系统补丁未及时安装

操作系统存在弱口令

操作系统的口令策略没有启用

操作系统的帐户锁定策略没有

启用

操作系统开放多余服务

缺少电磁防护

物理访问控制欠缺

操作系统补丁未安装

操作系统开放多余服务

操作系统存在弱口令

操作系统的口令策略没有启用

病毒码无法自动更新

操作系统的帐户锁定策略没有

启用

操作系统补丁未安装

病毒码