(2026年)信息安全风险评估报告和风险处理计划.docxVIP

(2026年)信息安全风险评估报告和风险处理计划

本报告为2026年度XX智能制造股份有限公司全域信息安全风险评估结果及配套风险处理计划，评估周期覆盖2026年1月1日至2026年6月30日，评估范围涵盖集团总部、8家区域分公司、3个生产基地及5个合作供应链节点的信息系统、工业控制系统（OT）、终端设备及全品类数据资产。

评估依据与方法

本次评估依据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）、《信息安全技术个人信息保护影响评估指南》（GB/T35273-2020）、《关键信息基础设施安全保护条例（2026修订版）》、ISO27001:2022信息安全管理体系标准及集团内部《信息安全管理办法》开展，采用资产识别与估值、全量漏洞扫描、渗透测试、威胁情报关联分析、人员安全审计、供应链风险评估6类标准评估方法，共动用专业安全工具12款，包括Nessus漏洞扫描器、Metasploit渗透测试平台、Splunk日志分析系统、ThreatConnect威胁情报平台、Qualys数据安全扫描器等，组建由集团信息安全部、各业务单元IT管理员、第三方合规服务商共12人组成的评估小组，评估周期为2026年6月15日至6月30日。

资产识别与估值

本次评估共识别全域信息资产17类，按资产类型划分为IT基础设施资产、OT工业控制资产、数据资产、人员与流程资产四大类：