1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. 网络信息安全

01 信息安全风险评估报告-2025 V1.0.docVIP

01 信息安全风险评估报告-2025 V1.0.doc

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    信息安全风险评估报告

    信息安全风险评估报告

    2025年度

    整理:

    审核:

    批准:

    目录

    TOC\o1-2\h\z\u一. 风险评估目的 3

    二. 风险评估周期 3

    三. 评估小组成员 3

    四. 评估方法与接受准则 3

    五. 评估过程 3

    六. 资产识别 4

    七. 风险评估结果 5

    八. 总结 6

    附录 6

    风险评估目的

    为本公司依据ISO/IEC27001:2022《信息技术-安全技术-信息安全管理体系要求》和ISO/IEC27002:2022《信息安全、网络安全和隐私保护—信息安全控制》标准建立信息安全管理体系提供策划依据,并为信息安全管理体系的运行提供评审的输入及管理体系的持续改进提供依据,进行本次风险评估。

    风险评估周期

    2025年2月15日-2月26日:结合公司调整及现状,进行年度资产识别和风险评估。

    评估小组成员

    信息安全管理工作组成员(流程管理与质量控制部、信息管理部、人力资源部、各部门体系接口人)

    评估方法与接受准则

    本次信息安全风险评估采用对识别的资产,综合资产影响(W)、威胁发生频次(P)、脆弱性(v)采用定性和半定量结合的评估方式,在现有措施的基础上综合评估风险等级。

    风险等级:风险值(R)=资产的影响(W)×威胁发生的频次(P)×脆弱度(V)

    综合考虑风险控制成本与风险造成的影响,制定了风险接受准则。风险分为三级:低级风险、中级风险和高级风险,低级风险是可接受风险,中级风险选择性接受,高级风险不可接受必须处置

    对可接受或选择性接受风险,保持已有的安全措施;对不可接受风险,则采取安全措施以降低、控制风险。

    具体的方法,见《信息安全风险评估控制程序》。

    评估过程

    本公司在建立信息安全管理体系的过程中,确定了风险评估的系统范围,依据《信息安全风险评估控制程序》确定了风险评估方法。

    在流程管理与质量控制部的组织下,成立了信息安全工作组,与业务部门资产与风险评估负责人(以下简称评估负责人),共同按照下列步骤完成了风险评估工作:

    工作组建立风险测量的方法及风险登记评价原则,确定风险的等级与接受原则;

    工作组确定资产识别和风险评估模板;

    评估负责人按照组织业务运行流程进行资产识别,并根据信息资产等级对资产进行评估,识别出重要资产清单;

    各评估负责人根据资产所处的环境,对重要资产进行资产影响和威胁的识别与评价;

    对应每一威胁,对资产或组织存在的薄弱点进行识别与评价;

    对已采取控制措施进行确认;

    计算风险值

    在各负责人评估的基础上,工作组进行整体再评估。再评估的过程中,信息安全体系主管对工作组成员提出明确评估要求和标准,并对于采集的数据的准确性、完整性、适宜性进行了确认。并对识别及评估的结果进行了整体的平衡和确认。

    资产识别

    资产识别和风险评估部门

    业务体系:研发中心、产品开发部、智慧交通与车联网安全事业部、供应链中心(印刷厂、智能卡车间、智能设备厂、集团采购与工艺装备部、交付服务部)、业务部

    支撑体系:安全环保与行政部、财务管理部、运营管理部、人力资源部、信息管理

    部、流程管理与质量控制部

    重要资产情况:

    公司各部门识别出重要资产共255种;

    资产类别

    2025数量

    产品

    8

    其他

    4

    软件和系统

    26

    文档和数据

    94

    样卡

    1

    硬件和设施

    116

    硬件和设施(服务器)

    3

    硬件和设施(终端)

    3

    总计

    255

    重要资产情况见:附件1重要信息资产清单

    风险评估结果

    各部门在重要资产识别的基础上进行风险评估,共评估出高风险0个,中风险36个。

    全公司识别出中风险有36个,共2大类别,分别存在于文档和数据、硬件和设施,经整理总结归纳为以下6类风险,公司已对中风险制定了相应的控制措施,经评估,6类中风险选择性接受。具体的中风险描述及控制/处置措施如下:

    中风险描述

    管理措施

    风险处置方式

    非授权通过USB端口COPY保密数据,USB端口未做安全处理,USB端口非法使用;通过笔记本非授权传输数据;通过笔记本COPY保密数据。

    安全认证开发中心所用电脑U口全部封闭且电脑机箱上锁;其他研发部分电脑U口已封闭。

    研发电脑安装dlp加密客户端,解密需要执行DLP审批

    研发人员独立的物理开发环境,工作机器无法访问外网,代码纳入配置管理,从库中获取版本测试

    限制(cc/SAP/1.40)访问权限,未授权访问需要审批

    安装防病毒软件,域控/密码管理策略

    限制传阅范围,并增设服务器备份

    增设办公区摄像头进行监控

    制定终端管理制度,进行管控

    选择性接受

    通过笔记本非授权传输数据;通过笔记本COPY保密数据。

    OA审批、限制访问权限,访问需要审批

    签订保密协议

    安装dlp加密客户端,解密需要执行DLP审批;部门笔记本安装了dlp加密客户端

    有独立的

    您可能关注的文档

    最近下载

    文档评论(0)

    制造业经验库 + 关注
    实名认证
    文档贡献者

    汽车原材料供应商体系工程师,从业4年。 主营业务:整套文件模板+表单模板+审核审核经验分享。 优势:模板均增加客户审核关注点。

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >