ISMS风险评估及风险处理计划.doc

ISMS风险评估及风险处理计划.doc

《ISMS风险评估及风险处理计划.doc》由会员分享，可在线阅读，更多相关《ISMS风险评估及风险处理计划.doc（7页珍藏版）》请在冰点文库上搜索。

德信诚培训网

ISMS风险评估及风险处理计划

一、实施范围和时间

本公司ISMS所涉及的相关部门以及相关业务活动。

本此风险评估的实施时间为XXXX年XX月XX日至XXXX年XX月XX日。

二、风险评估方法

参照ISO/IEC27001和ISO/IEC27002标准，以及《信息安全技术信息安全风险评估规范》（GB/T20984-2007）等，依据公司的《信息安全风险评估管理程序》（版本号：

）确定的评估方法。

三、风险评估工作组

经信息安全领导办公室（或委员会）批准，此次风险评估工作成员如下：

评估工作组组长：

XXX

评估工作组成员：

XXXX、XXXX……

四、风险评估结果

4.1 信息资产清单

各部门的信息资产清单见部门信息资产清单。

4.2重要资产面临威胁和脆弱性汇总

重要资面临的威胁和脆弱性分别见附件一和附件二。

4.3风险结果统计

本次风险评估，共识别出信息安全风险XX个，不可接受的风险XX个，具体如下：

风险等级种类

个数

说明

很高

不可接受风险

高

中等

低

可接受风险

很低

五、风险处理计划

风险处理计划见附件三

附件一：

重要资产面临的威胁汇总表

表1-1：

重要硬件资产威胁识别表

重要资产威胁识别表－－硬件资产

资产名称

资产描述

威胁类

部门

台式机

网关/SVN服务器

Bugzilla/FTP/Web服务器

Trac服务器

操作失误

滥用权限

系统漏洞攻击

设备硬件故障

社会工程威胁

维护错误

未授权访问系统资源

物理访问失控

电磁干扰

系统负载过载

机架式服务器

Mail服务器

操作失误

滥用权限

系统漏洞攻击

设备硬件故障

社会工程威胁

维护错误

未授权访问系统资源

物理访问失控

电磁干扰

系统负载过载

笔记本电脑

木马后门攻击

设备硬件故障

网络病毒传播

未授权访问系统资源

社会工程威胁

台式机

木马后门攻击

设备硬件故障

网络病毒传播

未授权访问系统资源

社会工程威胁

表1-2重要应用系统资产威胁识别表

重要资产威胁识别表－－应用系统

序号

资产名称

威胁类

部门

1

SVN业务系统

篡改用户或业务数据信息

控制和破坏用户或业务数据

滥用权限泄漏秘密信息

数据篡改

探测窃密

未授权访问

未授权访问系统资源

用户或业务数据的窃取

2

Iptables防火墙系统

操作失误

访问控制策略管理不当

维护错误

未授权访问资源

原发抵赖

表1-3重要文档和数据资产威胁识别表

重要资产威胁识别表－－文档和数据

序号

资产名称

威胁类

部门

1

DVB-J项目开发资料

滥用权限

开发部

未授权访问资源

2

DVB-J项目开发文件

滥用权限

开发部

未授权访问资源

3

总务相关资料

滥用权限

总务部

未授权访问资源

表1-4重要人力资源资产威胁识别表

重要资产威胁识别表－－人力资源

序号

资产名称

威胁类

部门

1

机房管理员

社会工程威胁

2

服务器管理员

社会工程威胁

3

社会工程威胁

附件二：

重要资产面临的脆弱性汇总表

表2-1重要资产脆弱性汇总表

序号

资产名称

脆弱性名称

1

台式机（Bugzilla/FTP/Web服务器）

台式机（网关/SVN服务器）

台式机（Trac服务器）

安装与维护缺乏管理

操作系统补丁未及时安装

操作系统存在弱口令

操作系统的口令策略没有启用

操作系统的帐户锁定策略没有启用

操作系统开放多余服务

缺少电磁防护

物理访问控制欠缺

设备性能不足

2

机架式服务器（Mail服务器）

安装与维护缺乏管理

操作系统补丁未及时安装

操作系统存在弱口令

操作系统的口令策略没有启用

操作系统的帐户锁定策略没有启用

操作系统开放多余服务

缺少电磁防护

物理访问控制欠缺

3

笔记本电脑

笔记本电脑

操作系统补丁未安装

操作系统开放多余服务

操作系统存在弱口令

操作系统的口令策略没有启用

病毒码无法自动更新

操作系统的帐户锁定策略没有启用

4

台式机

操作系统补丁未安装

病毒码无法自动更新

操作系统开放多余服务

5

SVN业务系统

未设置用户登录失败门限与超过门限后的处理措施

无法保证用户使用的口令达到一定的质量要求

无法检测存储的重要信息、数据是否出现完整性错误

重要信息、数据无加密措施，以明文传输

6

Iptables防火墙系统

安全保障设备的其它配置不当

安装与维护缺乏管理

缺少操作规程和职责管理

未启用日志功能

7

DVB-J项目开发资料

没有访问控制策略或未实施

信息资产没有清晰的分类标志

8

DVB-J项目开发文件

没有访问控制策略或未实施

信息资产没有清晰的分类标志

9

总务相关资料

没有访问控制策略或未实施

信息资产没有清晰的分类标志

10

机房管理员

没有适当的奖惩规则

没有正式的保密协议

11

服务器管理员

没有适当的奖惩规则

没有正式的保密协议

12

总务经理

没有适当的奖惩规则

没有正式的保密协议

附件三：

风险处理计划

根据本次风险评估结果，对不可接受的风险进行处理。

在选取控制措施和方法时，结合公司的财力、物力和资产的重要度等各种因素，制定如下风险处理计划。

该计划已经信息安全领导办公室审核批准。

风险处理计划

序号

资产名称

风险

风险处理选项

风险处理措施

责任人

计划完成时间

1

台式机

（网关/SVN服务器）

台式机

（Bugzilla/FTP/Web服务器）

机架式服务器（Mail服务器）

操作系统补丁未及时安装

降低

实施定期升级补丁

物理访问控制欠缺

安装机房门禁系统

2

台式机（Trac服务器）

设备性能不足

重新分配台式机的服务器功能;优化系统配置

操作系统补丁未及时安装

实施定期升级补丁

物理访问控制欠缺

机械锁

安装机房门禁系统

3

笔记本电脑（XXX）

笔记本电脑（XXX）

台式机（XXX）

病毒码无法自动更新

升级系统防毒软件

更多免费资料下载请进：

好好学习社区