1、信息安全風險評估報告xxxxx公司信息安全風險評估報告歷史版本編制、審核、批準、發布實施、分發信息記錄表一. 風險項目綜述1.企業名稱: xxxxx公司 2.企業概況：xxxxx公司是一家致力于計算機軟件產品的開發與銷售、計算機信息系統集成及技術支持 與服務的企業。3.isms方針：預防為主，共筑信息安全；完善管理，贏得顧客信賴。4.isms范圍：計算機應用軟件開發，網絡安全產品設計/開發，系統集成及服務的信息安全管理。二. 風險評估目的為了在考慮控制成本與風險平衡的前提下選擇合適的控制目標和控制方式，將信息安全風險控制在可接受的水平,進行本次風險評估。三. 風險評估日期：2017-9-10至

2、2017-9-15四. 評估小組成員xxxxxxx。五. 評估方法綜述1、首先由信息安全管理小組牽頭組建風險評估小組；2、通過咨詢公司對風險評估小組進行相關培訓；3、根據我們的信息安全方針、范圍制定信息安全風險管理程序，以這個程序作為我們風險評估的依據和方法；4、各部門識別所有的業務流程，并根據這些業務流程進行資產識別，對識別的資產進行打分形成重要資產清單；5、對每個重要資產進行威脅、脆弱性識別并打分，并以此得到資產的風險等級；6、根據風險接受準則得出不可接受風險，并根據標準iso27001:2013的附錄a制定相關的風險控制措施；7、對于可接受的剩余風險向公司領導匯報并得到批準。六. 風險評

3、估概況 根據第一階段審核結果，修訂了信息安全風險管理程序，根據新修訂程序文件，再次進行了風險評估工作從2017年9月10日開始進入風險評估階段，到2017年9月15日止基本工作告一段落。主要工作過程如下： 1.2017-9-10 2017-9-10，風險評估培訓；2.2017-9-11 2017-9-11，公司評估小組制定信息安全風險管理程序，制定系統化的風險評估方法；3.2017-9-12 2017-9-12，本公司各部門識別本部門信息資產，并對信息資產進行等級評定，其中資產分為物理資產、軟件資產、數據資產、文檔資產、無形資產，服務資產等共六大類；4.2017-9-13 2017-9-13，

4、本公司各部門編寫風險評估表，識別信息資產的脆弱性和面臨的威脅，評估潛在風險，并在isms工作組內審核；5.2017-9-14 2017-9-14，本公司各部門實施人員、部門領導或其指定的代表人員一起審核風險評估表；6. 2017-9-15 2017-9-15，各部門修訂風險評估表，識別重大風險，制定控制措施；isms工作組組織審核，并最終匯總形成本報告。.七. 風險評估結果統計本次風險評估情況詳見各部門“風險評估表”，其中共識別出資產190個，重要資產115個，信息安全風險115個，不可接受風險42個.表1 資產面臨的威脅和脆弱性匯總表 八風險處理計劃根據本次風險評估結果，對不可接受風險進行處理。在選取控制措施和方法時，結合公司財力、物力和資產重要度等級等各種因素，制定了風險處理計劃。公司各部門針對不可接受風險，公司組織各部門制定風險處置計劃，經各部門討論確認，管理者代表批準后實施。風險處置計劃制定情況詳見風險處置計劃。九. 殘余風險在采取相關管理和技術措施后，經再次風險評估，不可接受風險采取措施后的殘余風見各部門信息安全殘余風險評估表。對于中等及以上的殘余風險，