ISO27001：2013质量部信息安全风险评估记录

员工能力有限
工作中断
离职或突发事件
部门：市场部
部门：市场部
现有控制措施
1、员工有保密协议； 2、责任分割； 对数据进行备份 服务采购加强 访问加密、备份 定期保养维护 系统定期升级 专人专管 防病毒
保密培训、签员工保密协议 实行员工年度培训计划 责任分离、招聘新人
措施评价
控制措施有 效
控制措施有 控制措施有 控制措施有 控制措施有 控制措施有 控制措施有 控制措施有
信息资产风险评估表
资产类别 资产名称 重要等级
威胁列表
脆弱性列表
数据
客户信息 销售合同
硬件ቤተ መጻሕፍቲ ባይዱ办公电脑
人员 市场人员
员工泄密
员工保密意识差
4 人员误操作或有意篡改 文件易修改
云服务出现问题
云服务商问题
遗失或失窃
意外事件
硬件故障
老化
3
系统故障 偷盗丢失
系统漏洞 易携带
病毒攻击
网络
员工泄密
员工意志薄弱
3
工作瓶颈
措施有效 措施有效 措施有效
威胁发生 的频率
脆弱性严 重程度
风险度值
风险级别
2
1
6
2
2
1
6
2
2
1
6
2
2
1
6
2
2
1
6
2
3
1
9
2
2
1
6
2
2
1
6
2
2
1
6
2
2
1
6
2
2
1
6
2

各部门
部门经理
2015-6-24
5
项目文档
各部门
员工盗取
易携带
控制
公司重要文件有相应人员保管，重要文件不随便放置在公共场合，放置加密文件柜、有门禁
各部门
部门经理
2015-6-24
6
所有人员
各部门
工作中断
离职或突发事件
控制
责任分离、合同约束、离职前培训新员工
所有部门
部门经理
2015-6-24
XX科技股份有限公司
信息安全管理体系
信息安全风险处理计划检查记录
（XX-D-01-06）
编 制：杨雪梅
批 准：钟永胜
2015年6月24日
序号
资产名称
责任部门
威胁
薄弱点
处理
方式
风险处理措施
措施责任部门
责任人
检查实施日期
1
公司各类数据
综合部
搬迁遗失或失窃
意外事件
控制
采用移动硬盘、服务器双备份、移动硬盘备份在工作场所外
综合部
刘文惠
2015-6-24
2
服务器
工程部
非授权者入侵
没有设定访问权限
控制
加密设屏保、设置混合口令
工程部
周贵川
2015-6-24
3
管理层电脑
总经办
疏忽或其他因素
不小心遗失
控制
设置混合复杂口令、外出时不携带重要数据、减少外带频次
总经办
钟永胜201Βιβλιοθήκη -6-244存储设备
各部门
病毒攻击
携带病毒
控制
减少使用频次、使用前杀毒扫描、携带机密数据的设备严禁在外部使用

ISO27001-2013信息安全管理体系风险和机遇识别评价分析及应对措施控制程序1.目的和范围为了规定公司所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估本公司的信息安全风险，选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持业务持续性发展，以满足信息安全管理方针的要求，特制订本制度。

本制度适用信息安全管理体系范围内信息安全风险评估活动。

2.引用文件1)下列文件中的条款通过本制度的引用而成为本制度的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本制度，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本制度。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)ISO/IEC 27005:2008《信息技术-安全技术-风险管理》5)《GB/T 20984-2007信息安全风险评估指南》3.职责和权限1)信息安全管理领导小组：负责汇总确认《信息安全风险评估表》，并根据评估结果形成《信息安全风险评估报告》和《残余风险批示报告》。

2)公司全体员工：在信息安全管理领导小组协调下，负责本部门使用或管理的资产的识别和风险评估；负责本部门所涉及的资产的具体安全控制工作。

信息安全管理员在本部门信息资产发生变更时，需要及时清点和评估，并报送信息安全管理领导小组更新《信息安全风险评估表》。

4.风险管理方法通过定义风险管理方法，明确风险接受准则与等级，确保能产生可比较且可重复的风险评估结果。

（如图1）风险管理流程图图1风险管理流程图4.1.风险识别通过进行风险识别活动，识别了以下内容：1)识别了信息安全管理体系范围内的资产及其责任人；2)识别了资产所面临的威胁；3)识别了可能被威胁利用的脆弱点；4)识别了丧失保密性、完整性和可用性可能对资产造成的影响。

Information technology- Security techniques-Information security management systems-Requirements 信息技术-安全技术-信息安全管理体系-要求Foreword前言ISO (the International Organization for Standardization) and IEC (the International Electro technical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.ISO（国际标准化组织）和IEC（国际电工委员会）是为国际标准化制定专门体制的国际组织。

5 6 7
附录1-赋值说明
本文档使用过程中进行赋值的参考说明。
附录2-威胁、脆弱性对照表 附录3-风险等级对照表
按照资产类别排序的威胁、脆弱性对照表，用于资产风险 风识险别计。算结果对应风险等级的参照表，用于确定风险级别 。
资产的资产主要指与信息系统直接相关的资产，如 信息：信息系统上传输的数据、信息系统的设计开发文档 软件：信息系统正常运行所需的应用、中间件、数据库、操作系统等 硬件：信息系统正常运行所需的服务器、小型机、磁盘柜等 关键活动包含的资产主要指活动进行所必须的6类资产，如 硬件：各部门用于存储、处理、传输日常办公及客户信息的各种设备和介 质，例 如移动硬盘、台式机、计算机等。 软件：各种本部门安装使用的软件，包括操作系统、中间件、数据库、应 用软件、工具应用软件、终端安全软件等。 信息：括各种业务相关的电子类及纸质的文件资料，可按照部门现有文件 明细列举。 人员：本部门各种对信息资产进行使用、操作和支持的人员角色，含为部 门提供各种服务的外部人员（例如长期驻场外包人员）。 物理环境：承载硬件资产和信息资产的设施。非计算机硬件类的实体。 服务：各种本部门通过购买方式获取的，或者需要支持部门特别提供的， 支持或协助日常业务进行的服务。
资产的类型、赋值、所处位置相同时，可合在一起进行风险评估。 2.威胁、脆弱性统一赋值原则
资产的类型、所处位置相同，但资产赋值不同时，若采取的控制措施相 同，威胁及脆弱性的赋值基本保持一致。 3.残余风险赋值原则
如果风险可接受，暂不采取除现有控制措施以外的控制措施时，残余风 险与风险值一致。
信息安全风险评估清单
编 号1 步骤1-业务影响分析
2 步骤2-资产清单 3 步骤3-风险清单 4 步骤4-风险处置计划

2
存储介质故障
无备份安全策略
4
2
3
4
7
14
开发库其他文档
5
数据泄密
无访问控制
5
5
4
4
8
40
受控库其他文档
5
数据泄密
无访问控制
5
5
4
4
8
40
产品库其他文档
5
数据泄密
无访问控制
5
5
4
4
8
40
delphi
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
Sql server 2000
10
运行错误,无法使用
风险评估记录
部门：运营部
资产名称
重要度
面临威胁
脆弱性
暴露
影响①
容易度
措施
可能性②
风险
有效
① X ②
台式计算机
10
病毒感染
无杀毒软件
3
6
2
3
5
30
10
数据损坏丢失
无备份策略
5
10
4
3
7
70
10
数据泄密
无口令策略
4
8
4
4
8
64
服务器
10
非授权访问
配置被修改
4
8
4
4
8
64
10
病毒感染
无杀毒软件
3
6
2
3
5
30
10
进水
硬件损坏系统无法正常运行
2

风险评估报告1.风险评估结论此次风险评估，以部门为评估单位。

评估共发现信息安全风险109个，经分析，确定109个风险中，86个为可以接受，23个为不可接受。

为消除不可接受的风险，相应的处理措施如下：1）督导风险责任部门针对流程的缺失制定切实可行的流程管理规范；2）设立责任人对风险点进行管理；3）信息安全体系负责人对识别的风险点加强监督检查；4）将风险设置为体系目标管理，并每季度进行不间断追踪；5）普及信息安全知识，加强信息安全管理制度的培训，培养信息安全管理核心人员。

2评估工作概述公司于20xx年3月16日至5月15日开展了信息安全风险自评估工作，本次风险评估工作以质量与运营管理部牵头开展，人力资源行政部、BPO业务中心、研发中心、技术中心、高管层参与了该项工作。

本次对研发中心、BPO业务中心，人力资源行政部、技术中心和质量与运营管理部五个部门进行了信息安全风险识别与评估。

3 评估依据和标准1) 信息安全技术信息安全风险评估规范（GB/T20984-2007）2) 信息技术——信息安全管理实施规范（ISO/IEC 27001:2005）3) 信息技术——信息安全管理实施细则（ISO/IEC 27002:2005）4) NK-MS-ISM-P01《信息资产管理规定》5) NK-MS-ISM-P02《风险管理过程文件》6) NK-MS-ISM-P05《法律合规性管理规定》4 风险评估4.1资产识别与评审本次以上次资产识别为基础，对涉及的部门进行了资产的更新，详见资产识别与评估表4.2识别并评价弱点弱点是资产本身存在的某种缺陷，一旦被外部威胁所利用，就可能使资产受到损害。

风险管理者需要识别每项资产本身所具有的弱点。

识别弱点之后，还需要确定弱点被利用后的严重性，严重性评价标准如下表：4.3识别并评价威胁威胁是利用弱点而侵害资产的外在因素。

威胁大致可分为人员威胁、系统威胁、环境威胁和自然威胁等几类，每一类里面都会有许多威胁形式。

ISO27001：2013信息安全风险管理程序XXXXXXXXX有限责任公司信息安全风险管理程序[XXXX-B-01]V1.0变更履历1 目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平，特制定本程序。

2 范围本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。

3 职责3.1 综合部负责牵头成立风险评估小组。

3.2 风险评估小组负责编制《信息安全风险评估计划》，确认评估结果，形成《信息安全风险评估报告》。

3.3 各部门负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉及的资产的具体安全控制工作。

4 相关文件《信息安全管理手册》《商业秘密管理程序》5 程序5.1 风险评估前准备5.1.1 成立风险评估小组综合部牵头成立风险评估小组，小组成员应包含信息安全重要责任部门的成员。

5.1.2 制定计划风险评估小组制定《信息安全风险评估计划》,下发各部门。

5.2 资产赋值5.2.1 部门赋值各部门风险评估小组成员识别本部门资产，并进行资产赋值。

5.2.2 赋值计算资产赋值的过程是对资产在保密性、完整性、可用性和法律法规合同上的达成程度进行分析，并在此基础上得出综合结果的过程。

5.2.3 保密性(C)赋值根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。

保密性分类赋值方法5.2.4 完整性(I)赋值根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。

完整性(I)赋值的方法。

• 本标准还规定了为适应组织需要而定制的信息安全风险评估和处置的要求。 • 本标准规定的要求是通用的，适用于各种类型、规模和特性的组织。 • 组织声称符合本标准时，对于第4 章到第10 章的要求不能删减。
PART 03
标准正文
标准正文
4.组织环境
4.1 理解组织及其环境
• 组织应确定与其意图相关的并影响其实现信息安全管理体系预期结果的能力 的外部和内部事项。
•1） 应用信息安全风险评估过程来识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性 有关的风险；（CIA） •2） 识别风险责任人。（资产归属）
6.1 应对风险和机会的措施
• 6.1.2 信息安全风险评估 • d) 分析信息安全风险：
• 1) 评估6.1.2.c) 1) 中所识别的风险发生后将导致的潜在影响；（资产脆弱性被威胁利用后的严重 性）
标准正文
5.领导
5.1 领导和承诺
• 最高管理者应通过以下活动，证实对信息安全管理体系的领导和承诺：
• a) 确保建立了信息安全策略和信息安全目标，并与组织战略方向一致； • b) 确保将信息安全管理体系要求整合到组织的业务过程中； • c) 确保信息安全管理体系所需资源可用； • d) 沟通有效的信息安全管理及符合信息安全管理体系要求的重要性； • e) 确保信息安全管理体系达到预期结果； • f)指导并支持相关人员为信息安全管理体系的有效性做出贡献； • g) 促进持续改进； • h) 支持其他相关管理角色在其职责范围内展现他们的领导力。
完整性 准确和完备的特性。
术语
文件化信息 组织需要控制和维护的信息及其载体。
术语
外部环境
组织寻求实现其目标的外部环境。 注外部环境可以包括如下方面： 文化、社会、政治、法律、法规、金融、技术、经济、自然和竞争环境，无论是国际的、 国家的、地区的或地方的； 影响组织目标的关键驱动力和趋势； 与外部利益相关方的关系及其认知和价值观。

信息安全风险评估报告INFORMATION SECURITY RISK ASSESSMENT REPORT2017年度编制：吴永娟审核：郭晓锋批准：季小秋2017年12月30日信息安全风险评估报告目录一、风险评估目的二、风险评估日期三、评估小组成员四、评估方法1. 综述2．术语3. 资产的识别4. 威胁及薄弱点的识别与评价5. 风险计算/确定风险等级五、风险评估概况1、本项目涉及的部门2、本项目涉及的流程或系统3、资产情况4、风险情况六、总结附加说明，附录：附录一《信息资产清单》。

附录二《重要信息资产清单》。

附录三《信息安全风险评估表》。

附录四《不可接受风险清单》附录五《风险处理计划》。

信息安全风险评估报告一、风险评估目的：为本公司依据GB/T22080-2008 IDT ISO27001:2013《信息技术-安全技术-信息安全管理体系要求》和GB/T22080-2008 IDT ISO27001:2005《信息技术-安全技术-信息安全管理体系实用规则》标准建立信息安全管理体系提供策划依据，并为信息安全管理体系的运行提供评审的输入及管理体系的持续改进提供依据，进行本次风险评估。

二、风险评估日期：2017.12.30三、评估小组成员：王旭、郭晓锋、张佳、吴永娟、张霞四、评估方法：本次信息安全风险评估采用定量的方法对资产进行识别，并对资产自身价值、信息类别、保密性、完整性、可用性、法律法规合同及其它要求的符合性方面进行分类赋值，综合考虑资产在自身价值、保密性、完整性、可用性和法律法规合同上的达成程度，在此基础上得出综合结果，根据制定的重要资产评价准则，确定重要资产。

对信息资产的威胁及薄弱点进行识别，并对威胁利用薄弱点发生安全事件的可能性，以及在资产自身价值、保密性、完整性、可用性、法律法规合同的符合性方面的潜在影响，并考虑现有的控制措施，进行赋值分析，确定风险等级和接受程度。

资产（Asset）是组织要保护的资产，它包括硬件、软件、系统、数据、文档、服务、人力资源等。

信息安全风险评估报告编号：SR-QP-07-5一、 风险评估目的通过信息安全风险评估能够全面的发现公司及信息系统存在的脆弱性及面临的威胁，并识别出公司存在的信息安全风险，并找到最合适的控制措施来对风险进行控制，以降低风险，达到提高公司信息安全水平的目的。

二、 风险评估范围及时间1、评估涉及的部门本次风险评估是公司组织的第一次风险评估，评估范围涉及信息安全体系范围内的所有相关部门。

2、评估涉及的流程或系统本次风险评估涉及公司研发、销售及信息管理等方面的流程和系统及其信息资产。

3、评估时间本次评估时间为：2020.6.10-2020.6.27。

三、 风险评估小组成员参与本次评估的人员包括各部门负责人、信息安全项目组成员。

四、 风险评估过程及方法评估小组采用定性和定量相结合的方法对公司各方面进行评估。

评估流程如下：1、资产识别：1) 识别在评估范围内的资产。

对于在范围内的每一项资产都要恰当统计；不在本次评估范围内的资产，也要进行记录；2)要注意资产之间的关联，有时候关联和资产本身同等重要；3)按一定的标准，将信息资产进行恰当的分类，在此基础上进行下一步的风险评估工作。

2、资产价值评估：对资产等级进行定义，并表示成相对等级的形式，详细请参见《风险评估方法与准则》。

决定资产重要度时，需要考虑：1)不仅要考虑资产的成本价格，也要考虑资产对于组织业务的安全重要性，即根据资产损失所引发的潜在的影响来决定；2)为确保资产重要度的一致性和准确性，建立一个标准的尺度，以明确如何对资产的重要度进行评估。

3)分析和评价资产受到侵害后的保密性、完整性、可用性、业务影响，通过对四个属性（保密性、完整性、可用性、业务影响）进行赋值，并求和的方式，确定出资产的重要度等级。

3、资产面临的威胁、威胁可以利用的脆弱性的评估：1)分析本公司的信息系统存在威胁。

2)综合威胁来源、种类和其他因素后得出威胁列表；3)针对每一项需要保护的信息资产，找出可能面临的威胁。

3
99
1
增强员工法律、安全意识培训
3
2
66
1
3
2
66
4
1
YES
51
需求分析书
需求分析书
项目管理部
12
4
3
3
2
设备故障
4
缺乏定期更换计划
5
240
3
环境控制
4
3
144
2
2
1
24
4
1
YES
52
需求分析书
需求分析书
项目管理部
12
4
3
3
2
软件本身存在的漏洞
4
缺乏定期更换计划
4
192
2
设置自动更新补丁服务。
4
3
软件研发中心
12
4
3
3
2
遭盗用
3
被不法分子利用
4
144
2
专人保管设置权限
加强安全教育
3
3
108
2
1
3
36
4
1
YES
18
程序源代码
一般办公
软件研发中心
20
5
5
5
5
设备故障
4
缺乏定期更换计划
5
400
4
环境控制
4
3
240
3
2
1
40
4
1
YES
19
程序源代码
一般办公
软件研发中心
20
5
5
5
5
软件本身存在的漏洞
4
缺乏定期更换计划

ISO27001-2013信息安全管理体系
风险评估报告
一、实施范围和时间
本公司ISMS所涉及的相关部门以及相关业务活动。

本此风险评估的实施时间为2019年3月16日至2019年3月20日。

二、风险评估方法
参照ISO/IEC27001和ISO/IEC27002标准，以及《GB/T 20984-2007信息安全技术信息安全风险评估规范》等，依据公司的《信息系统管理制度》确定的评估方法。

三、风险评估工作组
经信息中心批准，此次风险评估工作成员如下：
评估工作组组长：xxx
评估工作组成员：xxx、xxx 、xxx、xx
四、风险评估结果
4.1 信息资产清单
各部门的信息资产清单见部门信息资产清单。

4.2重要资产面临威胁和脆弱性汇总
重要资面临的威胁和脆弱性分别见附件一和附件二。

4.3风险结果统计
本次风险评估，共识别出信息安全风险9个，不可接受的风险2个，具体如下：
五、风险处理计划
风险处理计划见附件四
附件一：重要资产面临的威胁汇总表
表1-1：重要硬件资产威胁识别表
表1-2 重要应用系统资产威胁识别表
附件二：重要资产面临的脆弱性汇总表
表 2-1 重要资产脆弱性汇总表
附件三：风险评估问题列表
附件四：风险处理计划
根据本次风险评估结果，对不可接受的风险进行处理。

在选取控制措施和方法时，结合公司的财力、物力和资产的重要度等各种因素，制定如下风险处理计划。

该计划已经信息安全领导办公室审核批准。

JL0106-03
信息安全检查记录
检查日期2015.2.20 检查人员肖玉兰
行政部
检查项目检查情况问题验证公司信息安全的方针策略、程序、制度执行情况正常
检查对违规员工的处理意见目前尚无严重违规
纠正预防措施实施情况已实施，有记录
相关方保密管理工作有相关规定
安全区域管理情况分区划分，正常
涉密文档的管理正常
检查公司员工档案，新员工入职等审批工作正常
检查员工保密协议签署情况正常
检查关键员工离职流转情况正常
员工的考勤情况
检查审核员工假期的审批工作正常
财
务
部
财务数据管理正常
研发部服务器管理正常网络设施管理正常计算机安全管理正常互联网安全管理正常检查技术工具正常检查各个项目实施资料正常软件安全管理正常数据安全管理正常业务连续性情况正常权限变更情况正常
本次检查主要问题说明：
各部门均能按照信息安全管理体系要求，做好公司信息安全工作，未发现不附合情况，无超越权限，越权使用系统、使用数据的现象，未发生故障事态脆弱事件；未发生非授权的更改存储、处理和传输业务系统；未发生顾客保对于密性抱怨和投诉；未发生受控信息和私密信息泄露事
件。

检查人员：肖玉兰。

ISO27001信息安全体系记录清单ISO规定了信息安全记录的分类和保存期限，具体如下：合同类记录包括合同内容确认的记录、质量保证书等，保存期限为合同结束后3年。

定单类记录包括信息安全管理文件审批表、信息安全文件一览表、文件发放一览表、文件管理的记录等，保存期限为5年。

文件类记录包括文件修改通知单、外来文件清单、文件发布通知单等，保存期限为3年。

信息安全记录类记录包括信息安全记录一览表、记录管理的记录、记录借阅登记表、记录销毁记录表等，保存期限为3年。

信息安全风险评估类记录包括信息安全风险评估计划、信息资产识别与评估表、信息安全风险管理记录等，保存期限为2年。

控制措施有效性测量记录、信息安全测量管理记录、电脑日常检查表、机房环境及设备检查表、个人电脑自检表等记录保存期限为2年。

管理评审类记录包括管理评审记录、管理评审计划、管理评审报告等，保存期限为5年。

会议类记录包括会议签到表、会议记录等，保存期限为2年。

内部审核类记录包括内部审核计划、年度内审核计划、内部审核管理记录、内审检查表、不符合项报告、内部审核实施报告书、纠正措施管理记录、预防措施管理记录、预防措施计划书等，保存期限为3年。

用款申请实施报告书、信息处理设施安装使用管理记录、验收报告、硬件设备登记表等记录保存期限为5年。

第三方服务管理类记录包括第三方保护能力核查表、第三方保密协议、知识产权协议、外部人员入网申请单、第三方工作记录单、第三方服务变更报告等，保存期限为3年。

信息资产识别类记录包括信息资产识别表（文档）、信息资产识别表（硬件）、信息资产识别表（软件）等，保存期限为3年。

信息分类管理记录包括信息安全重要岗位一览表等，保存期限为2年。

以上记录的保存期限和保管部门应严格执行，确保信息安全管理体系的有效运行。

以下是格式正确、删除明显有问题的段落、并进行小幅度改写的文章：信息安全管理制度为确保公司信息安全，保护公司和客户的利益，制定本管理制度。