残余风险评估报告.docx

残余风险评估报告上海观安信息技术股份有限公司残余风险评估报告TSC-RA-4-20本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属上海观安信息技术股份有限公司所有，受到有关产权及版权法保护。任何个人、机构未经上海观安信息技术股份有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。修订历史记录版本号拟制人/修改人拟制/修改日期审批人更改原因主要更改内容（写要点即可）VI.O陈芳2019-10-26李俊定稿目录1 .名词解释42 .如何评价残余风险43 .残余风险处置方法44 .残余风险处置流程55 .残余风险处置结果7L名词解释残余风险：采取了风险控制措施后仍然存在的风险；2 .如何评价残余风险评价残余风险：（一）通常情况下，风险处置过程中选择实施了风险控制措施之后，需要再次评价对应的风险等级，判断残余风险是否符合可接受的水平。如在可接受的范围内，各相关负责人员需填写残余风险接受审批表，完成相应的，审批流程，接受残余风险。如仍不能接受，则应再次重复风险处置过程（重新制订风险处置计划实施处置方案评价残留风险），直至残余风险符合风险可接受标准,。此外，在风险接受准则的具体执行方面，允许存在一些特殊情况。（二）对每一项已符合可接受标准的残余风险或符合IS027001标准的特殊情况应在风险处置计划中给出清晰、全面、具体的说明，便于对残余风险进行持续的闭环控制。负责汇总风险评估报告和风险处置计划，进行范围内的风险评估和风险处置工作的整体总结分析，将分析结果作为风险管理决策的依据，使负责人能够清楚地了解面临的信息安全风险和风险处置措施及实施计划。3 .残余风险处置方法通常有四种风险处置的方法：1） .避免风险：在某些情况下，可以决定不继续进行可能产生风险的活动来回避风险。在某些情况可能是较为稳妥的处理办法，但是在某些情况下可能会因此而丧失机会。2） .降低风险可能性：在某些情况下，可以决定通过合同、要求、规范、法律、监察、管理、测试、技术开发、技术控制等措施来减小风险的可能性，来达到减小风险的目的。3） .转移风险：这涉及承担或分担部分风险的另一方。手段包括合同、保险安排、合伙、资产转移等。4） .接受风险：不管如何处置，一般资产面临的风险总是在一定程度上存在。决策者可以在继续处置需要的成本和风险之间进行抉择。在适当的情况下，决策者可以选择接受/承受风险。风险处置的方法选择主要需要参考以下两个方面：1) .风险可能造成的危害性。2) .控制、降低该风险方案的可行性,它需对成本因素、技术实现的难度、技术的成熟度以及对企业现有业务系统的影响等各方面进行综合考虑。建议风险处理的策略:jr行性风险等於、低中高低接受接受降低中接受/转移降低降低高转移/避免降低/转移降低4.残余风险处置流程1 .选择控制项在大多数情况下，必须选择控制项来降低风险。在完成风险评估之后，企业需要在每一个目标信息环境中，对选择的控制项进行实施，以便遵从1SO/IEC27001标准。企业选择能够承受(经济上)的防护措施来防护面临的威胁。在最终风险处置计划出来前，企业可以接受或拒绝建议的保护方案。2 .风险处置计划风险处置计划包含所有相关信息：管理任务和职责、管理责任人、风险管理的优先等级等等。对企业来讲，有一些附加控制在标准中没有描述，但也是需要的。一个由外部咨询顾问协助的风险评估会很有帮助。3 .控制项的实施通过风险处置计划的实施，企业应该尽其所能针对ISO/IEC27001中的标准内容在管理、技术、逻辑、物理和环境控制方面进行劝止、防护、检测、纠正、恢复和补偿工作。如下表所示。V措施需要在开发阶段说明、补充表：从各个方面采取措施实施控制控制项控制点措施管理策略和流程；人员管理；安全监督机制及组织，安全意识培训、测试安全政策、标准、流程、指南；员工录用、辞退流程；资产说明、标记、使用、修改、销毁制度；安全意思培训；技术和逻辑系统访问；网络访问；加密和协议；控制区域；审计、验证逻辑访问控制；加密；防病毒软件；智能卡；回退流程；用户限制界面；防火墙、路由器、IDS、交换机等安全配置物理网络分段；安全边界、计算机控制、工作区域隔离、计算机备份；缆线线；机房防护门、安全门卫、安全锁、监视系统、环紧控制、入侵和移动检测、报警、险阱、身份ID、生物识别等。4.控制措施及其定义的原则 劝止：降低威胁的可能性; 防止：保护或降低资产的脆弱性; 纠正：降低风险和影响的损失； 检测：检测攻击和安全的脆弱性，针对攻击建立防护和纠正措施； 恢复：恢复资源和能力； 补偿：对控制措施的替代方案。同时应该咨询信息安全专家和法律专家，确保控制措施的选择和实施是正确、有效的。5.残余风险处置结果XX