- 1、本文档共4页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
信息安全服务报告
针对XX项目实施过程物理安全、网络安全、应用安全、数据安全维度定期进行检查,结合项目实际情况,做出了以下报告。
项目信息安全风险评估结果
1)项目级信息安全风险评估结果
项目组组织了本次风险评估和讨论分析,对不同类别的信息资产所面临的威胁,及威胁所利用的脆弱性进行了详细的分析。对本项目信息安全层面进行风险评估,并制定风险处置措施。本次风险评估的统计结果见下表:
序号
名称
信息安全风险点
风险等级
1
物理安全层面
本次定制开发应用系统部署于本地政务云机房,物理安全由云服务商提供,我公司定期对物理环境进行巡检,暂无物理安全层面风险。
无
2
网络安全层面
本次定制开发应用系统部署于本地政务云机房,网络安全由云服务商提供,我公司定期对网络安全基础设施进行巡检,暂无网络安全层面风险。
无
3
应用安全层面
1、本次应用系统初期开发过程中,涉及开发工具含有安全漏洞,经过仔细排查,已更换了开发工具组件。
低
4
数据安全层面
本次项目在获取外部关联系统数据库时,相关端口服务为纳入网络安全管理策略控制中,存在数据泄露风险。
整改措施:重新将数据对接口纳入安全体系进行监管
低
本公司规定风险评估结果中风险等级≥3定义为高风险,需要对信息资产采取一定控制措施进行处置,本次风险评估识别出高等级风险项有0个,低风险2个,详见本文附表对其制定的控制措施。
风险项汇总
面临高风险项的资产清单详见 《风险评估列表》
做出了各项风险评估以后,主要针对公司高风险(风险等级≥3)进行汇总和分析。对高风险进行归纳总结后,描述有以下几点:
序号
高风险
对应ISO27001:2013标准附录A条款
级别
1
服务器硬件故障或失窃导致数据损坏或遗失;网络攻击或黑客入侵导致数据遗失或泄露;未授权访问;工作人员无防范意识导致泄露;
附录A条款:A9.2.5
5
2
水灾、机房切电等不良物理环境,遗失,文档信息泄露
附录A条款:A12.1.4
4
3
物理环境影响、物理破坏、硬件维护失误
附录A条款:A12.6.1
4
4
系统更新不及时、系统漏洞或对恶意代码防范不够、密码强度不够、网络攻击
附录A条款:A10.1
5
5
软件更新不及时、软件本身漏洞
附录A条款:A9.4
4
6
资产老化,硬件故障,安全保护机制差,失窃
附录A条款:A11.2.4
3
7
人员跳槽、辞职、休假;
附录A条款:A7.3
3
风险解决措施计划
序号
高风险
运用控制措施
完成情况
处置完毕后的残余风险评价结果
1
服务器硬件故障或失窃导致数据损坏或遗失;网络攻击或黑客入侵导致数据遗失或泄露;未授权访问;工作人员无防范意识导致泄露;
IT网络管理员定期检查账户,删除闲置账户。指定账户管理员专人维护服务器设备,非授权人员,不能访问设备。
由配置管理员建立配置管理权限清单,定期评审和维护。
已落实。
责任人:
2022年01月16日
再次进行风险计算
风险等级结果:2
低风险
再次评估日期:2022年03月30日
2
水灾、火灾等不良物理环境的损害, 遗失, 文档信息泄露
将开发环境与测试环境分离,开发人员与测试人员分离,定期评审测试环境的使用记录。
已落实。
责任人:
2022年01月16日
再次进行风险计算
风险等级结果:2
低风险
再次评估日期:2022年03月30日
3
物理环境影响、物理破坏、硬件维护失误
按维护计划进行维护;增加安全防范并指定专人负责;
已落实。
责任人:
2022年01月16日
再次进行风险计算
风险等级结果:2
低风险
再次评估日期:2022年03月30日
4
系统更新不及时、系统漏洞或对恶意代码防范不够、密码强度不够、网络攻击
公司行政要求,每月员工的个人计算机设备必须定期修复漏洞,定期根据规范更改密码。并制定内审员定期检查工作。
已落实。
责任人:
2022年01月16日
再次进行风险计算
风险等级结果:2
低风险
再次评估日期:2022年10月30日
5
软件更新不及时、软件本身漏洞
公司行政要求,每月员工的个人计算机设备必须定期升级病毒防护软件。并制定内审员定期检查工作。
已落实。
责任人:
2022年10月16日
再次进行风险计算
风险等级结果:2
低风险
再次评估日期:2022年03月30日
6
资产老化,硬件故障,安全保护机制差,失窃
研发部对老旧设备逐步更新;研发部增加安全防范并指定专人负责;按维护计划进行维护;
已落实。
责任人:
2022年01月16日
再次进行风险计算
风险等级结果:2
低风险
再次评估日期:2022年03月30日
7
人员跳槽、辞职、休假;
公司行政部不定期组织团队活动, 增强团队凝聚力, 行政部增加人才储备
已落实。
责任人:
2022年01月16日
再次进行风险计算
风险等级结果:2
低风险
再次评
您可能关注的文档
- SCM供应链管理课程.pptx
- 生物(人教版)必修2 说课:22基因在染色体上.pptx
- M_M公关传播执行细案.pptx
- 辽宁省六校2022-2023学年高一下学期4月联考物理试卷(含答案).docx
- 江西省2024届高三上学期第一次大联考英语试卷(含答案).docx
- HEP信息化知识点.pptx
- 浅析GIS软件发展.pptx
- 山东省2023届高三上学期入学检测地理试卷(含答案).docx
- 有关我的爸爸满分作文集合七篇.docx
- 河北省保定市部分学校联考2022-2023学年高二下学期期末调研考试生物试卷(含答案).docx
- 有关我的老师二年级上册作文18篇.docx
- 勃利县高级中学2022-2023学年高二下学期期末考试生物试卷(含答案).docx
- 有关描写景物小学作文九篇.docx
- 四川省遂宁中学校2021-2022学年高一下学期期末适应性训练(一)生物试卷(含答案).docx
- 江西省抚州市2022-2023学年八年级下学期期末物理试卷(含答案).docx
- 有关拔河小学作文600字合集5篇.docx
- 重庆市江津中学等七校2022-2023学年高二下学期期末联考物理试卷(含答案).docx
- 有关我的班级小学作文汇总8篇.docx
- 有关我的老师小学作文合集五篇.docx
- VarianceAnalysis(英文版的教程).pptx
文档评论(0)