2024年最新的ISO27001-2024信息安全风险识别评价分析评估表(ISMS信息安全风险评估)

2024年最新的ISO27001-2024信息安全风险识别评价分析评估表(ISMS信息安全风险评估）

评估日期：2024.04.11

类别编号 资产编号 资产名称 功能描述 威胁内容(威胁源、动机） 脆弱性 影响后果 度资产重现行控制方式 要程 威胁发率 脆弱被利用率 风险值风式险等级 风评资产重险率处改善措施 要程度 理方 威残胁脆弱性被余发风生利用率 险的值风险是否接等级受 被竞争对手获取 人员道德缺乏 文件被竞争对手获取，影响业务开展 文件信息外泄 5 数据加密系统控制 进行员工信息安全意识培训 进行员工信息安全意识培训， 使用数据备份系1 2 10 1 接受 未经授权使用、人员缺乏安全意访问、复制 不正确的废弃 识 人员缺乏安全意识 5 1 2 10 1 接受 文件信息外泄 5 1 2 10 1 接受 电子存储媒体文档 与 数据 SL-DATA-001 解决方案 针对客户需故障 求提出的信息安全解决方案 手工误删 设备损坏 资料丢失，影响项目进度 5 统，对数据实时1 备份 使用数据备份系2 10 1 接受 操作不小心 资料丢失，影响项目进度 5 统，对数据实时1 备份 2 10 1 接受 网络传输中被窃取 瘟疫、火灾、爆未使用密码技术 文件信息外泄 5 使用加密系统控制 设置必要的放火，放雷机制 对重要数据进行定期移动硬盘备2 3 30 3 接受 炸、雷击、恐怖缺乏应急机制 袭击等 自然灾难：地缺乏应急机制 震、洪水、台风 客户信息丢失，业务开展产生困难 客户信息丢失，业务开展产生困难 5 1 2 10 1 接受 5 1 2 10 1 接受 份 未经授权使用、人员缺乏安全意访问、复制 不正确的废弃 识 人员缺乏安全意识 文件信息外泄 5 进行员工信息安全意识培训 进行员工信息安全意识培训， 使用数据备份系5 统，对数据实时1 备份 使用数据备份系5 统，对数据实时1 备份 5 使用加密系统控制 设置必要的放火，放雷机制 对重要数据进行5 定期移动硬盘备1 份 员工档案SL-DATA-008 SL-DATA-010 在职员工个人信息 员工劳动合同 资料文件人事档案信未经授权使用、缺乏物理防护机员工个人信息资料丢息 访问、复制 制 失或泄密 4 人事资料放在人事文件柜中 1 4 16 2 避免 柜应上锁，防止非授权的获取 4 1 2 8 1 接受 2 10 1 接受 1 2 10 1 接受 2 10 1 接受 2 10 1 接受 1 2 10 1 接受 文件信息外泄 5 1 2 10 1 接受 电子存储媒体故障 设备损坏 资料丢失，影响项目进度 SL-DATA-003 体系文件 SL-DATA-004 管理制度 SL-DATA-018 各项规章制度 公司管理类手工误删 文档 网络传输中被窃取 瘟疫、火灾、爆操作不小心 资料丢失，影响项目进度 未使用密码技术 文件信息外泄 炸、雷击、恐怖缺乏应急机制 袭击等 自然灾难：地文件信息丢失，业务缺乏指导 5 2 3 30 3 接受 缺乏应急机制 震、洪水、台风 文件信息丢失，业务缺乏指导 瘟疫、火灾、爆炸、雷击、恐怖缺乏应急机制 袭击等 自然灾难：地文件信息丢失，人事工作开展困难 5 设置必要的放火，放雷机制 对重要数据进行2 3 30 3 接受 缺乏应急机制 震、洪水、台风 文件信息丢失，人事工作开展困难 供应商信息被客户或5 定期移动硬盘备1 份 合同报价等资料2 10 1 接受 未经授权使用、缺乏物理防护机竞争对手获得，供应访问、复制 制 商投诉或业务无法开展 瘟疫、火灾、爆SL-DATA-013 SL-DATA-016 SL-DATA-021 SL-DATA-022 供应商合作协议书 采购合同 代理合同 厂商报价 自然灾难：地缺乏应急机制 震、洪水、台风 文件信息丢失，人事工作开展困难 合同 炸、雷击、恐怖缺乏应急机制 袭击等 网络传输中被窃取 文件信息丢失，人事工作开展困难 5 放在上锁的文件1 柜中 2 10 1 接受 5 设置必要的放火，放雷机制 使用加密系统控制 对重要数据进行2 3 30 3 接受 未使用密码技术 文件信息外泄 5 2 3 30 3 接受 5 定期移动硬盘备1 份 合同报价等资料2 10 1 接受 盗窃 存放缺乏保护 合同丢失，影响后续服务或收款等内容 供应商信息被客户或5 放在上锁的文件1 柜中 合同报价等资料2 10 1 接受 SL-DATA-014 报价、合同样本 SL-DATA-015 销售合同 SL-DATA-023 客户报价 SL-DATA-024 客户合同 合同 访问、复制 制 未经授权使用、缺乏物理防护机竞争对手获得，供应商投诉或业务无法开展 5 放在上锁的文件1 柜中 2 10 1 接受 SL-DATA-033 报价单 不正确的废弃 人员缺乏安全意识 文件信息外泄 5 进行员工信息安全意识培训， 1 2 10 1 接受 瘟疫、火灾、爆炸、雷击、恐怖缺乏应急机制 袭击等 文件信息丢失，人事工作开展困难 5 设置必要的放火，放雷机制 2 3 30 3 接受 自然灾难：地缺乏应急机制 震、洪水、台风 文件信息丢失，人事工作开展困难 对重要数据进行5 定期移动硬盘备1 份 2 10 1 接受 盗窃 存放缺乏保护 合同丢失，影响后续服务或收款等内容 合同报价等资料5 放在上锁的文件 柜中 合同报价等资料放在上锁的文件 柜中 设置必要的放火，放雷机制 使用加密系统控制 对重要数据进行5 定期移动硬盘备1 份 2 10 1 接受 未经授权使用、缺乏物理防护机访问、复制 瘟疫、火灾、爆供开票及联系 炸、雷击、恐怖缺乏应急机制 袭击等 网络传输中被窃取 自然灾难：地制 客户信息被客户或竞争对手获得，供应商5 投诉或业务无法开展 文件信息丢失，人事工作开展困难 5 2 3 30 3 接受 SL-DATA-026 客户资料 未使用密码技术 文件信息外泄 5 2 3 30 3 接受 缺乏应急机制 震、洪水、台风 文件信息丢失，人事工作开展困难 盗窃 存放缺乏保护 合同丢失，影响后续服务或收款等内容 合同报价等资料5 放在上锁的文件1 柜中 增加准入2 10 1 接受 未经授权使用、访问权限没有控数据被删除，修改或访问、复制 制 泄密 通过域控，系统5 密码控制，严格2 控制访问权限 3 30 3 控制 设备，对访问权限和访问区域进行规定 增加准入5 1 1 5 1 接受 未经授权更改 CRME和快普数ERP系统数据库 据 访问权限没有控制 通过域控，系统公司业务无法开展 5 密码控制，严格2 控制访问权限 3 30 3 控制 设备，对访问权限和访问区域进行规定 增加专门5 1 1 5 1 接受 SL-DATA-027 电子存储媒体故障 存放缺乏保护 数据丢失业务无法开展 5 通过服务器备份数据 数据备份2 3 30 3 控制 系统，对5 数据进行实时备份 1 1 5 1 接受 瘟疫、火灾、爆炸、雷击、恐怖缺乏应急机制 袭击等 自然灾难：地缺乏应急机制 对重要数据进行文件信息丢失，人事工作开展困难 5 定期移动硬盘备份，设置放雷机制 文件信息丢失，人事5 对重要数据进行1 2 10 1 接受 1 2 10 1 接受