ISMS-4025-信息安全风险评估报告.doc

《ISMS-4025-信息安全风险评估报告.doc》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、ISMS-4025-信息安全风险评估报告1前言本次风险评估的目的为：分析公司信息系统的安全状况，针对重要的信息资产进行安全影响、威胁、脆弱性及可能性分析，从而估计对业务产生的影响，最终可以选择适当的方法达到降低风险、消除风险、转移风险、接受剩余风险的目的。全面了解和掌握业务过程、应用系统和网络面临的信息安全威胁和风险，为全面建设安全保障体系服务，为确立安全策略、制定安全规划、开展安全建设提供决策建议，为完善和加强公司的信息安全保护奠定基石。2整体安全状态公司在信息安全保障方面的相关工作处于深化阶段，已经从物理安全、网络安全、系统安全、应用安全和管理安全多个方面采

2、取了一系列有效的措施。初步建立起信息安全体系框架，根据标准要求建立了一整套管理体系文件，并卓有成效，为业务和系统的正常运行提供了一定的安全保障。需要引起注意的是：整个信息系统的安全保障体系建设还需要进一步完善，最重要的是在下一步工作中如何能确保措施和制度能有效的落实下去，确保全体员工切实执行，来进一步满足安全保障的要求，实施阶段将是信息安全工作最关键的环节。3资产识别3.1资产识别结果信息安全工作小组对公司的信息资产进行了非常详尽的识别，对公司的各类资产已经有了全面的了解和掌握。这些信息资产包括以下7类资产：1)硬件：计算机设备、服务器设备、安全设备、通讯设备、

3、存储设备和其他设备。2)软件：应用软件、系统软件、开发工具和各种管理系等。3)数据：业务数据、源代码、数据库数据、备份数据、系统文档、日志、运行管理规程、计划、报告、用户手册等。4)服务：IT服务、培训服务、租赁服务、公用设施（能源、电力）、保安保洁等。5)文档：纸质的各种文件、传真、电报、财务报告、发展计划、宣传文件等。6)人员：人员的资格、技能和经验；涉密的主要领导、关键技术人员和重要岗位人员等。7)其他（无形资产）：组织的声誉、商标、形象。具体结果详见：各部门《ISMS-4021-信息资产识别评价表》。3.2资产识别中的风险风险：公司的信息资产应及时更新，

4、确保持有最新版本的资产识别表。在各部门的资产有变化时，若不能及时更新部门资产识别表，则会造成资产识别表失效。措施：确保已经建立的资产检查制度能及时执行，各部门应按时上报本部门最新资产识别表。4风险评估过程风险评估流程详见公司制定的《ISMS-2002-信息安全风险评估管理程序》确定ISMS范围事件发生的影响事件发生的可能性资产识别并确定资产的重要程度威胁识别已有控制措施确认薄弱点识别保持已有的控制措施施施施选择目标及控制措施实施残余风险评审YESNo是否接受确定风险等级Yes风险评估流程图5风险评估结果信息安全工作小组组织了本次风险评估和讨论分析，对不同类别的信

5、息资产所面临的威胁，及威胁所利用的脆弱性进行了详细的分析。各部门对信息资产进行风险评估，并制定风险处置措施。本次风险评估的统计结果见下表：本公司规定风险评估结果中风险等级≥4定义为高风险，需要对信息资产采取一定控制措施进行处置，本次风险评估识别出高等级风险的资产有6个，详见本文附表：高风险项清单。对其制定的控制措施见ISMS-4026-信息安全不可接受风险处置计划。l附表是本次风险评估的最终结果。l此附表中没有给出建议的控制措施。l风险等级的划分直接参考风险评估程序。l依据风险评估程序，我司对相对风险等级为高的一组资产将制定控制计划。附表摘要了这组资产的名称、面

6、临的威胁、可被威胁利用的脆弱性及计算出的风险等级。管理者代表：印峰汇报日期：2012年10月24日附表：高风险项清单资产名称责任部门负责人面临威胁威胁可利用的脆弱性风险项描述风险等级iSolution资产配置优化系统研发部李彦忠未授权使用存储介质缺乏逻辑安全措施设备不能被控制4未授权人员引用或带出数据无数据访问控制数据访问控制不了4iSolution财富规划管理系统研发部李彦忠未授权使用存储介质缺乏逻辑安全措施设备不能被控制4未授权人员引用或带出数据无数据访问控制数据访问控制不了4iSolution私人银行业务系统研发部李彦忠未授权使用存储介质缺乏逻辑安全措施设

7、备不能被控制4未授权人员引用或带出数据无数据访问控制数据访问控制不了4iSolutuion高净值客户系统研发部李彦忠未授权使用存储介质缺乏逻辑安全措施设备不能被控制4未授权人员引用或带出数据无数据访问控制数据访问控制不了4