04风险评估报告.pdfVIP

信息安全风险评估报告

报告日期：年月

一、风险项目综述

1、企业名称

广东融讯信息科技有限公司

2、信息安全管理体系方针

切实推行安全管理,积极防御风险,保证生产过程安全

3、信息安全管理体系范围

公司信息安全管理体系范围覆盖如下业务：

二、风险评估目的

通过科学的方法对公司存在风险进行评估，以便于制定

出适合的方法，找到最合适的控制措施来对风险进行控制，

以降低风险，达到提高公司信息安全的目的。

三、风险评估日期

年月日～年月日

四、评估小组成员

残余本次评估的人员包括管理者代表、信息安全小组成员，

以及各部门经理。

五、评估方法综述

评估小组采用定性和定量相结合的方法对公司各方面进行评

估。

评估流程如下：

7编写风险评估报告

6计算、评价风险

5估计可能性和影响

4识别评价防护措施

3识别威胁和脆弱性

2识别评价资产

1评估准备工作

六、评估具体方法及实施

1、组织的资产评估方法：

a、识别在评估范围内的资产。对于在范围内的每一项资

产都要恰当统计；不在本次评估范围内的资产，也要

进行记录；

b、要注意资产之间的关联，有时候关联和资产本身同等

重要；

c、按一定的标准，将信息资产进行恰当的分类，在此基

础上进行下一步的风险评估工作。

2、资产重要度评估方法：

对资的等级进行定义，并表示成相对等级的形式：

赋值定义

3（高）该类资产若发生泄露、损坏、丢失或无

法使用，会给组织造成无法挽回的损失。

2（中）

…会给公司造成一定的经济损失。

1（低）

…会给公司造成经济损失。

决定资产重要度时，需要考虑：

a、不仅要考虑资产的成本价格，也要考虑资产对于组织

业务的安全重要性，即根据资产损失所引发的潜在的

影响来决定；

b、为确保资产重要度的一致性和准确性，建立一个标准

的尺度，以明确如何对资产的重要度进行评估。

c、分析和评价资产受到侵害后的必威体育官网网址性、完整性和可用

性损失，通过对三个属性（必威体育官网网址性、完整性、可用性）

进行赋值，并取MAX值的方式，确定出资产的重要度等

级。

3、资产面临的威胁、威胁可以利用的脆弱性的评估方法：

a、分析本公司的信息系统存在威胁。

b、综合威胁来源、种类和其他因素后得出威胁列表；

c、针对每一项需要保护的信息资产，找出可能面临的威

胁。

d、在识别资产所面临的威胁时，应该考虑下面三个方面

的资料和信息来源：

（1）通过过去的安全事件报告或记录，统计各种发

生过的威胁和其发生频率；

（2）在公司实际环境中，通过IDS系统获取的威胁

发生数据的统计和分析，各种日志中威胁发生

的数据的统计和分析；

（3）过去一年或两年来国际机构发布的对于整个社

会或待定行业安全威胁发生频率的统计数据均

值。