信息安全风险评估报告.doc

上海金俪新材料科技有限公司

PAGE2

信息安全风险评估报告

文件编号：JLX-INFOSEC-RISK-2025-V1

评估周期：2025年度（上半年）

编制日期：2025年06月30日

编制单位：IT管理

一、评估目的

为确保公司业务数据、客户信息、财务资料、员工信息等关键信息资产的机密性、完整性与可用性不受威胁，依据《中华人民共和国数据安全法》《网络安全法》《ISO/IEC27001信息安全管理体系》标准开展本次信息安全风险评估，识别关键弱点并建立预防机制。

二、评估方法

本次风险评估采用：

资产识别与分级（划分为核心/重要/一般信息资产）；

威胁建模与漏洞识别（人工分析+模拟攻击报告）；

风险评分法（可能性×后果严重性，分为高/中/低）；

责任与缓解措施制定。

三、主要信息资产与风险识别表

信息资产

风险描述

风险等级

现有控制措施

改进行动

ERP系统数据

账号权限管理松散，存在越权查看财务数据风险

中（3×3）

基于岗位设权，VPN访问限制

增加双重认证系统，审计日志留存

员工个人信息（HR系统）

离职员工权限未及时关闭，有数据泄露隐患

中高（4×3）

离职清单交接制度

启用自动权限回收脚本

客户报价文件

销售人员可下载报价单至私人设备，存在外泄风险

高（4×4）

内部服务器集中存储

禁止U盘导出，启用文件加密插件

内部邮箱系统

钓鱼邮件防护不足，用户易点击恶意链接

中（3×3）

邮件白名单过滤

强化员工防钓鱼培训，加入URL沙箱检测

外协数据共享（如图纸）

与供应商共享技术图纸无加密传输

高（5×4）

无加密措施

上线文档分享平台+加密水印

四、总体评估结论

涉及评估信息资产种类：12类

风险等级为“高”的资产：2项

存在权限控制不一致、端口管理不清、外发文件未加密等漏洞

企业整体处于“中风险偏高”水平，建议在外部防护与内部行为两个维度同步整改

五、2025年改进行动计划

行动内容

负责人

完成时间

目标

启动ERP与HR系统账号双重认证机制

IT部

2025年9月

权限合规率100%

客户资料加密传输机制上线

采购部

2025年8月

加密率达100%

外发图纸设置动态水印

工程部

2025年10月

防滥发识别率提升

举办内部信息安全意识培训

行政部

2025年7月

员工培训覆盖率100%

构建钓鱼邮件演练机制

行政部

2025年12月

演练响应合格率≥90%

六、风险定级标准

等级

描述

高

数据泄露后可能导致法律责任、商业损失、客户信任流失

中

可能影响内部运营效率或引发重复工单、流程堵塞

低

可控范围内，造成损害较小或可快速修复

七、后续工作机制

季度风险重审机制：每季度更新信息资产台账与风险等级；

培训机制：年度组织全员网络安全意识培训；

应急响应机制：若发生数据安全事件，24小时内由IT同启动响应流程。