密级：内部公开
ISMS风险评估报告
(版本号：v1.0)
拟制人__XX___ 日期___XX___
审核人__XX____ 日期__XX__
批准人_____XX________ 日期____XX___
XX
2010-12-16
介绍
目的
本文档的目的是对XXXISO27001项目启动至风险评估阶段结束所做的工作进行总结和归纳，在此基础上针对XXX现有的信息资产存在的风险进行分析和评估，并以此为依据开展下一步工作，即制订出完善的XXX信息安全管理体系。
背景
从2010年9月开始，XXX启动ISO 27001项目建立信息安全管理体系，并且按照标准的流程定义进行风险评估。风险分析是安全管理体系建设过程第二个阶段的任务，本文档是这个任务的输出。
范围
本文档为内部文档，适用于XXX业务部门与支撑部：
业务部门：营销中心、市场中心、金融创新中心、保险产品线、基金项目组、银行合作部、渠道发展部。
支撑部门：管理中心、财务中心、运营中心、产品技术中心、战略规划部。
定义、缩略语、缩写
公司业务部与支撑部：XXX业务发展与业务支撑部
信息安全：对信息资产机密性、完整性和可用性的保护。
ISMS：信息安全管理体系
现状报告：公司客户服务与支撑部ISMS现状调研与差距分析报告
信息资产：信息借助媒介存在，对于企业来说，就成为信息资产。信息资产分类包括：人员资产、硬件资产、环境设施、软件资产、数据资产、服务资产、无形资产七大类。
风险评估综述
风险评估过程
本次风险评估整体上分为资产识别和风险分析两个大的阶段:
第一阶段:信息资产识别。这个阶段的工作任务描述如下:
以部门为单位根据职能特点详细统计信息资产，在系统的整理和归纳基础上对信息资产进行分类和CIA赋值，确定信息资产价值并形成资产清单；各部门信息资产清单，参见公司《信息资产登记表》。
根据以上的分析结果确定进行风险评估的信息资产范围。
第二阶段:风险分析。这个阶段的工作任务描述如下：
识别针对信息资产存在的信息安全威胁。所谓威胁是指可能对保护资产产生破坏影响的因素，一般认为是某个威胁源利用某种手段产生威胁。威胁包括软硬件故障、物理环境、黑客攻击、物理攻击等；
识别、分析和整理风险评估范围内信息资产存在的弱点。弱点可能会被威胁源利用而对信息资产产生威胁。弱点可能包括流程、政策等方面的管理弱点，也可能包括技术设计与实现缺陷、软件漏洞等方面的技术弱点；
基于各部门的信息资产清单识别和评估信息资产的信息安全风险，并结合信息资产所面临的威胁和弱点计算得出风险值，形成信息资产风险清单。
综合以上工作，形成风险评估报告。
风险评估方法
XXX信息安全的风险评估方法基于国际标准《ISO/IEC 27001：2005信息安全管理体系规范》。在国际标准《ISO/IEC 27001：2005信息安全管理体系规范》中，所谓信息安全是指保护信息资产的保密性、完整性和可用性。一个安全的信息资产在这三个方面均应处于良好的受控状态，信息安全的风险就是指信息资产在保密性、完整性和可用性方面受到损失的可能。整个风险分析评估过程如下图所示：

评估信息资产所面临的安全风险经过识别威胁、识别弱点、风险确定三个关键步骤。
识别威胁
威胁是利用弱点侵害资产的外在因素。威胁大致可分为软硬件故障、物理环境威胁、恶意代码和病毒、黑客攻击等类别，每类威胁中都会有许多常见的威胁形式。评估者基于每项信息资产（组）结合弱点，找到可能遭受的威胁。一个弱点可能遭到多种威胁，同时，一个威胁可能来