德信诚培训网更多免费资料下载请进:好好学习社区风险评估报告(ISO27001-2013)一、实施范围和时间本公司ISMS所涉及的相关部门以及相关业务活动。本此风险评估的实施时间为XXXX年XX月XX日至XXXX年XX月XX日。二、风险评估方法参照ISO/IEC27001和ISO/IEC27002标准,以及《信息安全技术信息安全风险评估规范》(GB/T20984-2007)等,依据公司的《信息安全风险评估管理程序》(版本号:)确定的评估方法。三、风险评估工作组经信息安全领导办公室(或委员会)批准,此次风险评估工作成员如下:评估工作组组长:XXX评估工作组成员:XXXX、XXXX……四、风险评估结果4.1信息资产清单各部门的信息资产清单见部门信息资产清单。4.2重要资产面临威胁和脆弱性汇总重要资面临的威胁和脆弱性分别见附件一和附件二。4.3风险结果统计本次风险评估,共识别出信息安全风险XX个,不可接受的风险XX个,具体如下:德信诚培训网更多免费资料下载请进:好好学习社区风险等级种类个数说明很高不可接受风险高中等低可接受风险很低五、风险处理计划风险处理计划见附件三。德信诚培训网更多免费资料下载请进:好好学习社区附件一:重要资产面临的威胁汇总表表1-1:重要硬件资产威胁识别表重要资产威胁识别表--硬件资产资产名称资产描述威胁类部门台式机网关/SVN服务器Bugzilla/FTP/Web服务器Trac服务器操作失误滥用权限系统漏洞攻击设备硬件故障社会工程威胁维护错误未授权访问系统资源物理访问失控电磁干扰系统负载过载机架式服务器Mail服务器操作失误滥用权限系统漏洞攻击设备硬件故障社会工程威胁维护错误未授权访问系统资源物理访问失控电磁干扰系统负载过载笔记本电脑木马后门攻击设备硬件故障网络病毒传播未授权访问系统资源德信诚培训网更多免费资料下载请进:好好学习社区社会工程威胁台式机木马后门攻击设备硬件故障网络病毒传播未授权访问系统资源社会工程威胁德信诚培训网更多免费资料下载请进:重要应用系统资产威胁识别表重要资产威胁识别表--应用系统序号资产名称威胁类部门1SVN业务系统篡改用户或业务数据信息控制和破坏用户或业务数据滥用权限泄漏秘密信息数据篡改探测窃密未授权访问未授权访问系统资源用户或业务数据的窃取2Iptables防火墙系统操作失误访问控制策略管理不当维护错误未授权访问资源原发抵赖表1-3重要文档和数据资产威胁识别表重要资产威胁识别表--文档和数据序号资产名称威胁类部门1DVB-J项目开发资料滥用权限开发部未授权访问资源2DVB-J项目开发文件滥用权限开发部未授权访问资源3总务相关资料滥用权限总务部未授权访问资源德信诚培训网更多免费资料下载请进:重要人力资源资产威胁识别表重要资产威胁识别表--人力资源序号资产名称威胁类部门1机房管理员社会工程威胁2服务器管理员社会工程威胁3社会工程威胁德信诚培训网更多免费资料下载请进:好好学习社区附件二:重要资产面临的脆弱性汇总表表2-1重要资产脆弱性汇总表序号资产名称脆弱性名称1台式机(Bugzilla/FTP/Web服务器)台式机(网关/SVN服务器)台式机(Trac服务器)安装与维护缺乏管理操作系统补丁未及时安装操作系统存在弱口令操作系统的口令策略没有启用操作系统的帐户锁定策略没有启用操作系统开放多余服务缺少电磁防护物理访问控制欠缺设备性能不足2机架式服务器(Mail服务器)安装与维护缺乏管理操作系统补丁未及时安装操作系统存在弱口令操作系统的口令策略没有启用操作系统的帐户锁定策略没有启用操作系统开放多余服务缺少电磁防护物理访问控制欠缺3笔记本电脑笔记本电脑操作系统补丁未安装操作系统开放多余服务操作系统存在弱口令操作系统的口令策略没有启用病毒码无法自动更新操作系统的帐户锁定策略没有启用4台式机操作系统补丁未安装病毒码无法自动更新德信诚培训网更多免费资料下载请进:业务系统未设置用户登录失败门限与超过门限后的处理措施无法保证用户使用的口令达到一定的质量要求无法检测存储的重要信息、数据是否出现完整性错误重要信息、数据无加密措施,以明文传输6Iptables防火墙系统安全保障设备的其它配置不当安装与维护缺乏管理缺少操作规程和职责管理未启用日志功能7DVB-J项目开发资料没有访问控制策略或未实施信息资产没有清晰的分类标志8DVB-J项目开发文件没有访问控制策略或未实施信息资产没有清晰的分类标志9总务相关资料没有访问控制策略或未实施信息资产没有清晰的分类标志10机房管理员没有适当的奖惩规则没有正式的保密协议11服务器管理员没有适当的奖惩规则没有正式的保密协议12总务经理没有适当的奖惩规则没有正式的保密协议德信诚培训网更多免费资料下载请进:好好学习社区附件三:风险处理计划根据本次风险评估结果,对不可接受的风险进行处理。在选取控制措施和方法时,结合公司的财力、物力和资产的重要度等各种因素,制定如下风险处理计划。该计划已经信息安全领导办公室审核批准。风险处理计划序号资产名称风险风险处理选项风险处理措施责任人计划完成时间1台式机(网关/SVN服务器)台式机(Bugzilla/FTP/Web服务器)机架式服务器(Mail服务器)操作系统补丁未及时安装降低实施定期升级补丁物理访问控制欠缺安装机房门禁系统2台式机(Trac服务器)设备性能不足重新分配台式机的服务器功能;优化系统配置操作系统补丁未及时安装实施定期升级补丁物理访问控制欠缺机械锁安装机房门禁系统3笔记本电脑(XXX)笔记本电脑(XXX)台式机(XXX)病毒码无法自动更新升级系统防毒软件