xxxxx公司。
历史版本编制、审核、批准、发布实施、分发信息记录表。
1. 风险项目综述。
1. 企业名称: xxxxx公司。
2. 企业概况:xxxxx公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持与服务的企业。
3. isms方针:预防为主,共筑信息安全;完善管理,赢得顾客信赖。
4. isms范围:计算机应用软件开发,网络安全产品设计/开发,系统集成及服务的信息安全管理。
2. 风险评估目的。
为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,进行本次风险评估。
3. 风险评估日期:
2017-9-10至2017-9-15
4. 评估小组成员。
xxxxxxx。
5. 评估方法综述。
1、 首先由信息安全管理小组牵头组建风险评估小组;
2、 通过咨询公司对风险评估小组进行相关培训;
3、 根据我们的信息安全方针、范围制定信息安全风险管理程序,以这个程序作为我们风险评估的依据和方法;
4、 各部门识别所有的业务流程,并根据这些业务流程进行资产识别,对识别的资产进行打分形成重要资产清单;
5、 对每个重要资产进行威胁、脆弱性识别并打分,并以此得到资产的风险等级;
6、 根据风险接受准则得出不可接受风险,并根据标准iso27001:2013的附录a制定相关的风险控制措施;
7、 对于可接受的剩余风险向公司领导汇报并得到批准。
6. 风险评估概况。
根据第一阶段审核结果,修订了信息安全风险管理程序,根据新修订程序文件,再次进行了风险评估工作从2023年9月10日开始进入风险评估阶段,到2023年9月15日止基本工作告一段落。主要工作过程如下:
1. 2017-9-10 ~ 2017-9-10,风险评估培训;
2. 2017-9-11 ~ 2017-9-11,公司评估小组制定《信息安全风险管理程序》,制定系统化的风险评估方法;
3. 2017-9-12 ~ 2017-9-12,本公司各部门识别本部门信息资产,并对信息资产进行等级评定,其中资产分为物理资产、软件资产、数据资产、文档资产、无形资产,服务资产等共六大类;
4. 2017-9-13 ~ 2017-9-13,本公司各部门编写风险评估表,识别信息资产的脆弱性和面临的威胁,评估潜在风险,并在isms工作组内审核;
5. 2017-9-14 ~ 2017-9-14,本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表;
6. 2017-9-15 ~ 2017-9-15,各部门修订风险评估表,识别重大风险,制定控制措施;isms工作组组织审核,并最终汇总形成本报告。
七。 风险评估结果统计。
本次风险评估情况详见各部门“风险评估表”,其中共识别出资产190个,重要资产115个,信息安全风险115个,不可接受风险42个。
表1 资产面临的威胁和脆弱性汇总表。
8. 风险处理计划。
根据本次风险评估结果,对不可接受风险进行处理。在选取控制措施和方法时,结合公司财力、物力和资产重要度等级等各种因素,制定了风险处理计划。公司各部门针对不可接受风险,公司组织各部门制定《风险处置计划》,经各部门讨论确认,管理者代表批准后实施。
风险处置计划制定情况详见《风险处置计划》。
九。 残余风险。
在采取相关管理和技术措施后,经再次风险评估,不可接受风险采取措施后的残余风见各部门《信息安全残余风险评估表》。对于中等及以上的残余风险,若确定为接受的,需要经过管理者代表批准。
根据残余风险评估结果,采取措施后,残余风险等级均为低,经评审确定这些残余风险均为可接受风险。
信息安全风险评估方案报告
附件 国家电子政务工程建设项目非涉密信息系统。信息安全风险评估报告格式。项目名称。项目建设单位。风险评估单位。年月日。工程建设牵头部门。工程建设参与部门。如有多个参与部门,分别填写上。如有多个承建单位,分别填写下表。描述本次风险评估工作的组织体系 含评估人员构成 工作原则和采取的保密措施。工作阶段及...
学校安全风险评估方案报告
一 学校概况 胜利镇中心学校国家级先进集体,共有教职工103人,在校学生1602人,其中住校学生63人。所有学校均不开展补课,正常开展各项教学活动,我校有保安2名门卫工作人员3名,共5名工作人员负责警务室的工作。二 学校安全风险评估单元。1 交通事故。重点从学校地理位置 周边环境 学生上下学方式 学...
企业风险评估方案报告
企业年度风险评估报告。为进一步深入了解并掌握企业的发展现状和加强企业风险管理,找出企业在运营管理中存在的薄弱环节,增加公司的风险控制水平,董事会办公室与法务部共同组建企业风险评估小组,对0000年度企业面临的各种风险进行评估,并制定相应风险应对策略,实现对风险的有效控制。一 企业基本情况。1 公司名...