ISMS风险评估报告v1.0.docVIP

密级：内部公开

ISMS风险评估报告

(版本号：v1.0)

拟制人__XX___日期___XX___

审核人__XX____日期__XX__

批准人_____XX________日期____XX___

XX

2010-12-16

介绍

目的

本文档的目的是对XXXISO27001项目启动至风险评估阶段结束所做的工作进行总结和归纳，在此基础上针对XXX现有的信息资产存在的风险进行分析和评估，并以此为依据开展下一步工作，即制订出完善的XXX信息安全管理体系。

背景

从2010年9月开始，XXX启动ISO27001项目建立信息安全管理体系，并且按照标准的流程定义进行风险评估。风险分析是安全管理体系建设过程第二个阶段的任务，本文档是这个任务的输出。

范围

本文档为内部文档，适用于XXX业务部门与支撑部：

业务部门：营销中心、市场中心、金融创新中心、保险产品线、基金项目组、银行合作部、渠道发展部。

支撑部门：管理中心、财务中心、运营中心、产品技术中心、战略规划部。

定义、缩略语、缩写

公司业务部与支撑部：XXX业务发展与业务支撑部

信息安全：对信息资产机密性、完整性和可用性的保护。

ISMS：信息安全管理体系

现状报告：公司客户服务与支撑部ISMS现状调研与差距分析报告

信息资产：信息借助媒介存在，对于企业来说，就成为信息资产。信息资产分类包括：人员资产、硬件资产、环境设施、软件资产、数据资产、服务资产、无形资产七大类。

风险评估综述

风险评估过程

本次风险评估整体上分为资产识别和风险分析两个大的阶段:

第一阶段:信息资产识别。这个阶段的工作任务描述如下:

以部门为单位根据职能特点详细统计信息资产，在系统的整理和归纳基础上对信息资产进行分类和CIA赋值，确定信息资产价值并形成资产清单；各部门信息资产清单，参见公司《信息资产登记表》。

根据以上的分析结果确定进行风险评估的信息资产范围。

第二阶段:风险分析。这个阶段的工作任务描述如下：

识别针对信息资产存在的信息安全威胁。所谓威胁是指可能对保护资产产生破坏影响的因素，一般认为是某个威胁源利用某种手段产生威胁。威胁包括软硬件故障、物理环境、黑客攻击、物理攻击等；

识别、分析和整理风险评估范围内信息资产存在的弱点。弱点可能会被威胁源利用而对信息资产产生威胁。弱点可能包括流程、政策等方面的管理弱点，也可能包括技术设计与实现缺陷、软件漏洞等方面的技术弱点；

基于各部门的信息资产清单识别和评估信息资产的信息安全风险，并结合信息资产所面临的威胁和弱点计算得出风险值，形成信息资产风险清单。

综合以上工作，形成风险评估报告。

风险评估方法

XXX信息安全的风险评估方法基于国际标准《ISO/IEC27001：2005信息安全管理体系规范》。在国际标准《ISO/IEC27001：2005信息安全管理体系规范》中，所谓信息安全是指保护信息资产的保密性、完整性和可用性。一个安全的信息资产在这三个方面均应处于良好的受控状态，信息安全的风险就是指信息资产在保密性、完整性和可用性方面受到损失的可能。整个风险分析评估过程如下图所示：

计划和准备

计划和准备

识别并评价资产

评估威胁

评估弱点

评估现有控制

影响大小

可能性

评价风险

推荐对策

评估信息资产所面临的安全风险经过识别威胁、识别弱点、风险确定三个关键步骤。

识别威胁

威胁是利用弱点侵害资产的外在因素。威胁大致可分为软硬件故障、物理环境威胁、恶意代码和病毒、黑客攻击等类别，每类威胁中都会有许多常见的威胁形式。评估者基于每项信息资产（组）结合弱点，找到可能遭受的威胁。一个弱点可能遭到多种威胁，同时，一个威胁可能来源于多个弱点。

威胁类别

威胁示例

T01软硬件故障

T02物理环境威胁

断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、水灾、地震等环境问题和自然灾害

T03恶意代码和病毒

T04黑客攻击

利用黑客工具和技术，例如侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵

T05物理攻击

物理接触、物理破坏

T06越权或滥用

通过采用一些措施，超越自己的权限访问了本来无权访问的资源；或者滥用自己的职权，做出破坏信息系统的行为

T07管理不到位

T08无作为或操作失误

由于应该执行而没有执行相应的操作，或无意地执行了错误的操作，对系统造成影响

T09信息化建设不足

缺少专业的业务系统、业务系统功能不齐全等

T10泄密

T11信息不准确

包括信息被篡改、信息错误、信息不准确、信息源不准确

T12