H005-信息安全服务报告.docx

信息安全服务报告 针对XX项目实施过程物理安全、网络安全、应用安全、数据安全维度定期进行检查，结合项目实际情况，做出了以下报告。 项目信息安全风险评估结果 1）项目级信息安全风险评估结果 项目组组织了本次风险评估和讨论分析，对不同类别的信息资产所面临的威胁，及威胁所利用的脆弱性进行了详细的分析。对本项目信息安全层面进行风险评估，并制定风险处置措施。本次风险评估的统计结果见下表： 序号 名称 信息安全风险点 风险等级 1 物理安全层面 本次定制开发应用系统部署于本地政务云机房，物理安全由云服务商提供，我公司定期对物理环境进行巡检，暂无物理安全层面风险。 无 2 网络安全层面 本次定制开发应用系统部署于本地政务云机房，网络安全由云服务商提供，我公司定期对网络安全基础设施进行巡检，暂无网络安全层面风险。 无 3 应用安全层面 1、本次应用系统初期开发过程中，涉及开发工具含有安全漏洞，经过仔细排查，已更换了开发工具组件。 低 4 数据安全层面 本次项目在获取外部关联系统数据库时，相关端口服务为纳入网络安全管理策略控制中，存在数据泄露风险。 整改措施：重新将数据对接口纳入安全体系进行监管 低 本公司规定风险评估结果中风险等级≥3定义为高风险，需要对信息资产采取一定控制措施进行处置，本次风险评估识别出高等级风险项有0个，低风险2个，详见本文附表对其制定的控制措施。 风险项汇总 面临高风险项的资产清单详见 《风险评估列表》 做出了各项风险评估以后，主要针对公司高风险（风险等级≥3）进行汇总和分析。对高风险进行归纳总结后，描述有以下几点： 序号 高风险 对应ISO27001:2013标准附录A条款 级别 1 服务器硬件故障或失窃导致数据损坏或遗失；网络攻击或黑客入侵导致数据遗失或泄露；未授权访问；工作人员无防范意识导致泄露； 附录A条款：A9.2.5 5 2 水灾、机房切电等不良物理环境,遗失,文档信息泄露 附录A条款：A12.1.4 4 3 物理环境影响、物理破坏、硬件维护失误 附录A条款：A12.6.1 4 4 系统更新不及时、系统漏洞或对恶意代码防范不够、密码强度不够、网络攻击 附录A条款：A10.1 5 5 软件更新不及时、软件本身漏洞 附录A条款：A9.4 4 6 资产老化，硬件故障，安全保护机制差，失窃 附录A条款：A11.2.4 3 7 人员跳槽、辞职、休假; 附录A条款：A7.3 3 风险解决措施计划 序号 高风险 运用控制措施 完成情况 处置完毕后的残余风险评价结果 1 服务器硬件故障或失窃导致数据损坏或遗失；网络攻击或黑客入侵导致数据遗失或泄露；未授权访问；工作人员无防范意识导致泄露； IT网络管理员定期检查账户，删除闲置账户。指定账户管理员专人维护服务器设备，非授权人员，不能访问设备。 由配置管理员建立配置管理权限清单，定期评审和维护。 已落实。 责任人： 2022年01月16日 再次进行风险计算 风险等级结果：2 低风险 再次评估日期：2022年03月30日 2 水灾、火灾等不良物理环境的损害, 遗失, 文档信息泄露 将开发环境与测试环境分离，开发人员与测试人员分离，定期评审测试环境的使用记录。 已落实。 责任人： 2022年01月16日 再次进行风险计算 风险等级结果：2 低风险 再次评估日期：2022年03月30日 3 物理环境影响、物理破坏、硬件维护失误 按维护计划进行维护；增加安全防范并指定专人负责； 已落实。 责任人： 2022年01月16日 再次进行风险计算 风险等级结果：2 低风险 再次评估日期：2022年03月30日 4 系统更新不及时、系统漏洞或对恶意代码防范不够、密码强度不够、网络攻击 公司行政要求，每月员工的个人计算机设备必须定期修复漏洞，定期根据规范更改密码。并制定内审员定期检查工作。 已落实。 责任人： 2022年01月16日 再次进行风险计算 风险等级结果：2 低风险 再次评估日期：2022年10月30日 5 软件更新不及时、软件本身漏洞 公司行政要求，每月员工的个人计算机设备必须定期升级病毒防护软件。并制定内审员定期检查工作。 已落实。 责任人： 2022年10月16日 再次进行风险计算 风险等级结果：2 低风险 再次评估日期：2022年03月30日 6 资产老化，硬件故障，安全保护机制差，失窃 研发部对老旧设备逐步更新；研发部增加安全防范并指定专人负责；按维护计划进行维护； 已落实。 责任人： 2022年01月16日 再次进行风险计算 风险等级结果：2 低风险 再次评估日期：2022年03月30日 7 人员跳槽、辞职、休假; 公司行政部不定期组织团队活动, 增强团队凝聚力, 行政部增加人才储备 已落实。 责任人： 2022年01月16日 再次进行风险计算 风险等级结果：2 低风险 再次评