ISMS风险评估报告
一、实施范围和时间
本公司ISMS所涉及的相关部门以及相关业务活动。
本此风险评估的实施时间为XXXX年XX月XX日至XXXX年XX月XX日。
二、风险评估方法
参照ISO/IEC27001和ISO/IEC27002标准，以及《信息安全技术信息安全风险评估规范》(GB/T20984-2007)等，依据公司的《信息安全风险评估管理程序》(版本号： )确定的评估方法。
三、风险评估工作组
经信息安全领导办公室(或委员会)批准，此次风险评估工作成员如下：
评估工作组组长：XXX
评估工作组成员：XXXX、XXXX……
四、风险评估结果
4.1 信息资产清单
各部门的信息资产清单见部门信息资产清单。
4.2重要资产面临威胁和脆弱性汇总
重要资面临的威胁和脆弱性分别见附件一和附件二。
4.3风险结果统计
本次风险评估，共识别出信息安全风险XX个，不可接受的风险XX个，具体如下：
风险等级种类
个数
说明
很高
不可接受风险
高
中等
低
可接受风险
很低

五、风险处理计划
风险处理计划见附件三
附件一：重要资产面临的威胁汇总表
表1-1：重要硬件资产威胁识别表
重要资产威胁识别表－－硬件资产
资产名称
资产描述
威胁类
部门
台式机
网关/SVN服务器
Bugzilla/FTP/Web服务器
Trac服务器
操作失误
滥用权限
系统漏洞攻击
设备硬件故障
社会工程威胁
维护错误
未授权访问系统资源
物理访问失控
电磁干扰
系统负载过载
机架式服务器
Mail服务器
操作失误
滥用权限
系统漏洞攻击
设备硬件故障
社会工程威胁
维护错误
未授权访问系统资源
物理访问失控
电磁干扰
系统负载过载
笔记本电脑
木马后门攻击
设备硬件故障
网络病毒传播
未授权访问系统资源
社会工程威胁
台式机
木马后门攻击
设备硬件故障
网络病毒传播
未授权访问系统资源
社会工程威胁
表1-2 重要应用系统资产威胁识别表
重要资产威胁识别表－－应用系统
序号
资产名称
威胁类
部门1 SVN业务系统
篡改用户或业务数据信息
控制和破坏用户或业务数据
滥用权限泄漏秘密信息
数据篡改
探测窃密
未授权访问
未授权访问系统资源
用户或业务数据的窃取2 Iptables防火墙系统
操作失误
访问控制策略管理不当
维护错误
未授权访问资源
原发抵赖
表1-3 重要文档和数据资产威胁识别表
重要资产威胁识别表－－文档和数据
序号
资产名称
威胁类
部门1 DVB-J项目开发资料
滥用权限
开发部
未授权访问资源2 DVB-J项目开发文件
滥用权限
开发部
未授权访问资源3 总务相关资料
滥用权限
总务部
未授权访问资源
表1-4 重要人力资源资产威胁识别表
重要资产威胁识别表－－人力资源
序号
资产名称
威胁类
部门1 机房管理员
社会工程威胁2 服务器管理员
社会工程威胁3 社会工程威胁
附件二：重要资产面临的脆弱性汇总表
表 2-1 重要资产脆弱性汇总表
序号
资产名称
脆弱性名称1 台式机（Bugzilla/FTP/Web服务器）
台式机（网关/SVN服务器）
台式机（Trac服务器）
安装与维护缺乏管理
操作系统补丁未及时安装
操作系统存在弱口令
操作系统的口令策略没有启用
操作系统的帐户锁定策略没有启用
操作系统开放多余服务
缺少电磁防护
物理访问控制欠缺
设备性能不足2 机架式服务器（Mail服务器）
安装与维护缺乏管理
操作系