《01-资产识别和风险评估材料(ISO27001信息安全管理体系).docx》由会员分享,可在线阅读,更多相关《01-资产识别和风险评估材料(ISO27001信息安全管理体系).docx(9页珍藏版)》请在三一办公上搜索。
1、版本号:V1.0生效日期:20XX年1月1日【组织名称】资产识别和风险评估(ISMS04A80107)编写审核批准口期20XX年1月1日口期20XX年1月1H口期20XX年1月1H文件编号:ISMS090107控制状态:受控0.1变更记录变更日期版本变更说明编写审核批准20XX年1月4日V1.0创建0.2目录序号名称编号保存期限部门受控状态1.资产识别和风险评估计划ISMS-0901一年管理运营部受控2.信息资产识别评价表ISMS-0902一年管理运营部受控3.重要信息资产识别评价表ISMS-09-02一年管理运营部受控4.信息资产风险评估表ISMS-09-03一年管理运营部受控5.信息安全风
2、险处置报告ISMS-09-04一年管理运营部受控6.信息安全风险处置计划ISMS-09-05一年管理运营部受控7.信息资产风险二次评估表ISMS-09-06一年管理运营部受控8.信息安全残余风险确认报告ISMS-09-07一年管理运营部受控资产识别和风险评估计划编号:ISMS0901版本:V1.o评估目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,进行本次风险评估。评估依据ISO/IEC27001:2022标准、管理体系文件评估方法首先由管理运营部牵头组建风险评估小组;通过咨询公司对风险评估小组进行相关培训;根据我们的信息安全方针、范围制
3、定信息安全风险管理程序,以这个程序作为我们风险评估的依据和方法;各部门识别所有的业务流程,并根据这些业务流程进行资产识别,对识别的资产进行打分形成重要资产清单;对每个重要资产进行威胁、脆弱性识别并打分,并以此得到资产的风险等级;评估小组序号姓名职责部门备注A组长管理运营部B组员管理运营部C组员智慧城市事业部D组员采购保障部E组员财务资产部F组员安全质量部G组员人力资源部评估时间20XX年1月4日-20XX年1月15日评估日程安排评估小组时间安排工作内容被评估部门ABCDEFG1月4日9:00-9:30预备会议各部门代表A1月4日月7日对管理层进行信息资产识别总经理B1月4日4月7日对管理运营部
4、进行信息资产识别管理运营部C1月4日-1月7日对智慧城市事业部进行信息资产识别智慧城市事业部D1月4日-1月7日对采购保障部进行信息资产识别采购保障部E1月4日-1月7日对财务资产部进行信息资产识别财务资产部F1月4日月7日对安全质量部进行信息资产识别安全质量部G1月4日月7日对人力资源部进行信息资产识别人力资源部ABCDEFG1月8日识别所有重要信息资产所有ABCDEFG1月11日月15日进行信息安全风险评估。所有ABCDEFG1月18日1月22日进行风险处置所有ABCDEFG1月25日进行二次风险评估所有编制:审批:日期:20XX年1月1日【组织名称】信息安全风险评估报告文档信息文档编号:
5、ISMS-09-04文档名称:信息安全风险评估报告起草人:审核人:批准人:生效日期:20XX年1月1日发布范围:内部版本记录版本号版本日期修改修改章节修改记录V1.020XX年1月4日创建新文档一.风险评估目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,进行本次风险评估。二.风险评估日期:20XX年1月4B-20XX年1月15日评估小组成员:三.评估方法综述1、首先由管理运营部牵头组建风险评估小组;2、通过咨询公司对风险评估小组进行相关培训;3、根据我们的信息安全方针、范围制定信息安全风险管理程序,以这个程序作为我们风险评估的依据和方法;
6、4、各部门识别所有的业务流程,并根据这些业务流程进行资产识别,对识别的资产进行打分形成重要资产清单;5、对每个重要资产进行威胁、脆弱性识别并打分,并以此得到资产的风险等级;6、根据风险接受准则得出不可接受风险,并根据标准ISO/IEC27001:2022的附录A制定相关的风险控制措施;对于可接受的剩余风险向公司领导汇报并得到批准。四.风险评估结果相关部门组织了本次风险评估和讨论分析,对不同类别的信息资产所面临的威胁,及威胁所利用的脆弱性进行了详细的分析。各部门对信息资产进行风险评估,并制定风险处置措施。本次资产识别的统计结果见下表:部门管理层管理运营部财务资产部采购保障部安全质量部人力资源部智
7、慧城市事业部合计数目信息资产数是1063271051093218重要资产数量(重要程度4)101082133872本次风险评估的统计结果见下表:风险等级低风险中风险高风险1级2级3级合计风险统计数3735072风险总计分析表37低风险35中风险0高风险4035302520151050表风险总计分析表本公司规定风险评估结果中风险等级二3定义为高风险,需要对信息资产采取一定控制措施进行处置,本次风险评估未识别出高等级风险项。 附表是本次风险评估的最终结果。 此附表中没有给出建议的控制措施。 风险等级的划分直接参考风险评估程序。 依据风险评估程序,我司对相对风险等级为高的一组资产将制定控制计划。附表
8、摘要了这组资产的名称、面临的威胁、可被威胁利用的脆弱性及计算出的风险等级。信息安全残余风险确认报告ISMS-09-07依据ISO/IEC27001:2022信息技术-安全技术-信息安全管理体系要求和ISO/IEC27002:2022信息技术安全技术-信息安全管理体系实用规则标准,以及我公司信息安全风险管理程序、信息安全风险评估计划,我公司于20XX年1月份进行了信息安全风险评估,形成了信息安全风险评估报告,针对信息安全风险,选择了处理方法,形成了信息安全风险处理计划,落实了责任部门、责任人和时间进度。我公司组织了对信息安全风险处理计划实施情况的检查,经检查信息安全风险处理计划巳按规定要求全部实施。对其他信息安全风险,采取有效的控制措施后均已降低为低风险(可接受风险)。根据对信息安全风险处理计划的实施检查情况,我公司组织了对信息安全剩余风险的评估,对以下风险给予风险接受。报告人:报告日期:20XX年1月15日总经理批示经过上一阶段的风险评估,制定并实施了相关的风险控制措施,目前巳得到落实和改善,经过再次的残余风险评估确认,相关高风险已降至公司可接受的风险范围。对于相关的残余风险项公司均可接受。现有的信息安全控制措施需要加以保持并持续改进,全面落实ISMS体系控制要素。总经理:报告日期:20XX年1月15H