- 1、本文档共4页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
信息安全服务报告
针对XX项目实施过程物理安全、网络安全、应用安全、数据安全维度定期进行检查,结合项目实际情况,做出了以下报告。
项目信息安全风险评估结果
1)项目级信息安全风险评估结果
项目组组织了本次风险评估和讨论分析,对不同类别的信息资产所面临的威胁,及威胁所利用的脆弱性进行了详细的分析。对本项目信息安全层面进行风险评估,并制定风险处置措施。本次风险评估的统计结果见下表:
序号
名称
信息安全风险点
风险等级
1
物理安全层面
本次定制开发应用系统部署于本地政务云机房,物理安全由云服务商提供,我公司定期对物理环境进行巡检,暂无物理安全层面风险。
无
2
网络安全层面
本次定制开发应用系统部署于本地政务云机房,网络安全由云服务商提供,我公司定期对网络安全基础设施进行巡检,暂无网络安全层面风险。
无
3
应用安全层面
1、本次应用系统初期开发过程中,涉及开发工具含有安全漏洞,经过仔细排查,已更换了开发工具组件。
低
4
数据安全层面
本次项目在获取外部关联系统数据库时,相关端口服务为纳入网络安全管理策略控制中,存在数据泄露风险。
整改措施:重新将数据对接口纳入安全体系进行监管
低
本公司规定风险评估结果中风险等级≥3定义为高风险,需要对信息资产采取一定控制措施进行处置,本次风险评估识别出高等级风险项有0个,低风险2个,详见本文附表对其制定的控制措施。
风险项汇总
面临高风险项的资产清单详见 《风险评估列表》
做出了各项风险评估以后,主要针对公司高风险(风险等级≥3)进行汇总和分析。对高风险进行归纳总结后,描述有以下几点:
序号
高风险
对应ISO27001:2013标准附录A条款
级别
1
服务器硬件故障或失窃导致数据损坏或遗失;网络攻击或黑客入侵导致数据遗失或泄露;未授权访问;工作人员无防范意识导致泄露;
附录A条款:A9.2.5
5
2
水灾、机房切电等不良物理环境,遗失,文档信息泄露
附录A条款:A12.1.4
4
3
物理环境影响、物理破坏、硬件维护失误
附录A条款:A12.6.1
4
4
系统更新不及时、系统漏洞或对恶意代码防范不够、密码强度不够、网络攻击
附录A条款:A10.1
5
5
软件更新不及时、软件本身漏洞
附录A条款:A9.4
4
6
资产老化,硬件故障,安全保护机制差,失窃
附录A条款:A11.2.4
3
7
人员跳槽、辞职、休假;
附录A条款:A7.3
3
风险解决措施计划
序号
高风险
运用控制措施
完成情况
处置完毕后的残余风险评价结果
1
服务器硬件故障或失窃导致数据损坏或遗失;网络攻击或黑客入侵导致数据遗失或泄露;未授权访问;工作人员无防范意识导致泄露;
IT网络管理员定期检查账户,删除闲置账户。指定账户管理员专人维护服务器设备,非授权人员,不能访问设备。
由配置管理员建立配置管理权限清单,定期评审和维护。
已落实。
责任人:
2022年01月16日
再次进行风险计算
风险等级结果:2
低风险
再次评估日期:2022年03月30日
2
水灾、火灾等不良物理环境的损害, 遗失, 文档信息泄露
将开发环境与测试环境分离,开发人员与测试人员分离,定期评审测试环境的使用记录。
已落实。
责任人:
2022年01月16日
再次进行风险计算
风险等级结果:2
低风险
再次评估日期:2022年03月30日
3
物理环境影响、物理破坏、硬件维护失误
按维护计划进行维护;增加安全防范并指定专人负责;
已落实。
责任人:
2022年01月16日
再次进行风险计算
风险等级结果:2
低风险
再次评估日期:2022年03月30日
4
系统更新不及时、系统漏洞或对恶意代码防范不够、密码强度不够、网络攻击
公司行政要求,每月员工的个人计算机设备必须定期修复漏洞,定期根据规范更改密码。并制定内审员定期检查工作。
已落实。
责任人:
2022年01月16日
再次进行风险计算
风险等级结果:2
低风险
再次评估日期:2022年10月30日
5
软件更新不及时、软件本身漏洞
公司行政要求,每月员工的个人计算机设备必须定期升级病毒防护软件。并制定内审员定期检查工作。
已落实。
责任人:
2022年10月16日
再次进行风险计算
风险等级结果:2
低风险
再次评估日期:2022年03月30日
6
资产老化,硬件故障,安全保护机制差,失窃
研发部对老旧设备逐步更新;研发部增加安全防范并指定专人负责;按维护计划进行维护;
已落实。
责任人:
2022年01月16日
再次进行风险计算
风险等级结果:2
低风险
再次评估日期:2022年03月30日
7
人员跳槽、辞职、休假;
公司行政部不定期组织团队活动, 增强团队凝聚力, 行政部增加人才储备
已落实。
责任人:
2022年01月16日
再次进行风险计算
风险等级结果:2
低风险
再次评
您可能关注的文档
- 【国开答案】国开电大(河南)专科《实用法律基础》无纸化考试(我要考试)试题.docx
- 国家开放大学[专科](附解答)《建设法规》形考在线(形成性作业一)试题.docx
- (附答案)东师《小学教育研究方法》作业考核试题(9).doc
- (附答案)东师《小学教育研究方法》作业考核试题(3).doc
- (附答案)东师《小学教育研究方法》作业考核试题.doc
- (附答案)东师《小学教育研究方法》作业考核试题(5).doc
- (附答案)东师《小学教育研究方法》作业考核试题(6).doc
- 幼儿教师资格证(考试资料)《幼儿保健知识与能力》考核中级试题+答案与解.docx
- 幼儿教师资格证(考试资料)《幼儿保健知识与能力》考前冲刺模拟题(有解析.docx
- 幼儿教师资格证(考试资料)《幼儿保健知识与能力》新版基础知识复习题有解.docx
- 幼儿教师资格证(考试资料)《幼儿保健知识与能力》新版初级练习卷有答案与.docx
- (附答案)川农12月《中药化学》作业考核-.docx
- (附答案)川农12月《园林植物保护学(本科)》作业考核-.docx
- (附答案)川农12月《有机化学(专科)》作业考核-.docx
- (附答案)川农12月《植物保护学(本科)》作业考核-.docx
- (附答案)东师《教育心理学》在线作业2-1(1).docx
- (附答案)川农12月《药剂学》作业考核-.docx
- (附答案)川农12月《配方饲料制造工艺与技术(专科)》作业考核-.docx
- 幼儿教师资格证(考试资料)《幼儿保健知识与能力》新版基础知识题库带解析.docx
- 幼儿教师资格证(考试资料)《幼儿保健知识与能力》基础知识模拟押题卷.docx
文档评论(0)