01 附件 残余风险评估报告-2025 V1.0.docVIP

残余风险评估报告

残余风险评估报告

2025年度

拟定人

审核人

批准人

ISMS工作组经过风险评估和处理后，未识别出高风险资产，同时将中等级风险降低到低等级范围，存在的残余风险如下：

【风险描述】非授权通过USB端口COPY保密数据，USB端口未做安全处理,USB端口非法使用。

【现有措施】

安全认证开发中心所用电脑U口全部封闭且电脑机箱上锁；其他研发部分电脑U口已封闭。

研发电脑安装dlp加密客户端，解密需要执行DLP审批

研发人员独立的物理开发环境，工作机器无法访问外网，代码纳入配置管理，从库中获取版本测试

限制（cc/SAP/1.40）访问权限，未授权访问需要审批

安装防病毒软件，域控/密码管理策略

限制传阅范围，并增设服务器备份

增设办公区摄像头进行监控

制定终端管理制度，进行管控

【风险描述】通过笔记本非授权传输数据；通过笔记本COPY保密数据。

【现有措施】

1.OA审批、限制访问权限，访问需要审批

2.签订保密协议

3.安装dlp加密客户端，解密需要执行DLP审批；部门笔记本安装了dlp加密客户端

4.有独立的物理开发环境、网络限制（不可上外网）

5.安全认证开发中心所用电脑U口全部封闭且电脑机箱上锁；其他研发部分电脑U口已封闭。

【风险描述】公司个人笔记本允许带出公司，造成笔记本丢失、机密信息被非法拷贝造成涉密信

息丢失或泄密。

【现有措施】

提高人员安全意识：在日常工作中建立良好的风险防范意识，避免笔记本被遗失或被他人非授权接触。

员工签署《保密协议》

关键核心岗位上选用忠诚度较高员工

定期向移动介质进行备份或双人备份，服务器定期备份

研发限制cc访问权限；密文模式；

【风险描述】通过手机拍照或通讯聊天工具传输保密数据，导致信息泄露。

【现有措施】

提高员工忠诚度，建立员工行为规范，并监督管理。

员工签署《保密协议》

关键核心岗位上选用忠诚度较高员工

制定终端管理制度，软件授权清单

未授权情况下，研发区域不允许访问外网权限

办公区摄像头监控

IT巡检抽查

【风险描述】手机/移动介质带出公司造成信息外泄

【现有措施】

终端管理制度、信息交换控制程序、软件授权清单

研发人员全程陪同处理

文件权限季度抽查

公司统一防病毒策略

未经授权不许向外拷贝公司秘密级别以上资料

办公区/研发区摄像头

前台/研发授权登记

数据备份/恢复制度

24小时内到IT部备案

离职申请后删除所有权限

【风险描述】因人员流动，工作交接造成数据的丢失；员工故意泄密等。

【现有措施】

提高员工忠诚度，建立员工行为规范，并监督管理。

员工签署《保密协议》，同时关键岗位上选用忠诚度较高的员工

加强反舞弊的3级支撑制度设计和审计，建立“0容忍”惩戒管理手段

加强人员资料提交管理，研发项目经理与QA监督

批准人：

年月日