ISMS风险评估报告.pdf

分享高质量文档

ISMS风险评估报告

一、实施范围和时间

本公司ISMS所涉及的相关部门以及相关业务活动。

本此风险评估的实施时间为XXXX年XX月XX日至XXXX年XX月XX日。

二、风险评估方法

参照ISO/IEC27001和ISO/IEC27002标准，以及《信息安全技术信息安全风险评估规范》

(GB/T20984-2007)等，依据公司的《信息安全风险评估管理程序》(版本号：)确定的评

估方法。

三、风险评估工作组

经信息安全领导办公室(或委员会)批准，此次风险评估工作成员如下：

评估工作组组长：XXX

评估工作组成员：XXXX、XXXX……

四、风险评估结果

4.1信息资产清单

各部门的信息资产清单见部门信息资产清单。

4.2重要资产面临威胁和脆弱性汇总

重要资面临的威胁和脆弱性分别见附件一和附件二。

4.3风险结果统计

本次风险评估，共识别出信息安全风险XX个，不可接受的风险XX个，具体如下：

风险等级种类个数说明

很高

高不可接受风险

中等

低

可接受风险

很低

分享高质量文档

分享高质量文档

五、风险处理计划

风险处理计划见附件三

分享高质量文档

分享高质量文档

附件一：重要资产面临的威胁汇总表

表1-1：重要硬件资产威胁识别表

重要资产威胁识别表－－硬件资产

资产名称资产描述威胁类部门

台式机网关/SVN服务器操作失误

Bugzilla/FTP/Web滥用权限

服务器系统漏洞攻击

Trac服务器设备硬件故障

社会工程威胁

维护错误

未授权访问系统资源

物理访问失控

电磁干扰

系统负载过载

机架式服Mail服务器操作失误

务器滥用权限

系统漏洞攻击

设备硬件故障

社会工程威胁

维护错误

未授权访问系统资源