密级:内部公开ISMS风险评估报告(版本号:v1.0)拟制人__XX___日期___XX___审核人__XX____日期__XX__批准人_____XX________日期____XX___XX2010-12-161介绍1.1目的本文档的目的是对XXXISO27001项目启动至风险评估阶段结束所做的工作进行总结和归纳,在此基础上针对XXX现有的信息资产存在的风险进行分析和评估,并以此为依据开展下一步工作,即制订出完善的XXX信息安全管理体系。1.2背景从2010年9月开始,XXX启动ISO27001项目建立信息安全管理体系,并且按照标准的流程定义进行风险评估。风险分析是安全管理体系建设过程第二个阶段的任务,本文档是这个任务的输出。1.3范围本文档为内部文档,适用于XXX业务部门与支撑部:业务部门:营销中心、市场中心、金融创新中心、保险产品线、基金项目组、银行合作部、渠道发展部。支撑部门:管理中心、财务中心、运营中心、产品技术中心、战略规划部。1.4定义、缩略语、缩写公司业务部与支撑部:XXX业务发展与业务支撑部信息安全:对信息资产机密性、完整性和可用性的保护。ISMS:信息安全管理体系现状报告:公司客户服务与支撑部ISMS现状调研与差距分析报告信息资产:信息借助媒介存在,对于企业来说,就成为信息资产。信息资产分类包括:人员资产、硬件资产、环境设施、软件资产、数据资产、服务资产、无形资产七大类。2风险评估综述2.1风险评估过程本次风险评估整体上分为资产识别和风险分析两个大的阶段:第一阶段:信息资产识别。这个阶段的工作任务描述如下:1.以部门为单位根据职能特点详细统计信息资产,在系统的整理和归纳基础上对信息资产进行分类和CIA赋值,确定信息资产价值并形成资产清单;各部门信息资产清单,参见公司《信息资产登记表》。2.根据以上的分析结果确定进行风险评估的信息资产范围。第二阶段:风险分析。这个阶段的工作任务描述如下:3.识别针对信息资产存在的信息安全威胁。所谓威胁是指可能对保护资产产生破坏影响的因素,一般认为是某个威胁源利用某种手段产生威胁。威胁包括软硬件故障、物理环境、黑客攻击、物理攻击等;4.识别、分析和整理风险评估范围内信息资产存在的弱点。弱点可能会被威胁源利用而对信息资产产生威胁。弱点可能包括流程、政策等方面的管理弱点,也可能包括技术设计与实现缺陷、软件漏洞等方面的技术弱点;5.基于各部门的信息资产清单识别和评估信息资产的信息安全风险,并结合信息资产所面临的威胁和弱点计算得出风险值,形成信息资产风险清单。综合以上工作...
