1、信息平安及隱私風(fēng)險(xiǎn)評(píng)估報(bào)告QR 2020.10報(bào)告日期：2020年10月31日一、風(fēng)險(xiǎn)評(píng)估綜述1企業(yè)名稱*科技2、信息平安管理體系方針全員參與、明確責(zé)任、預(yù)防為主、快速響應(yīng)、風(fēng)險(xiǎn)管控、持續(xù)改進(jìn)。3、信息平安風(fēng)險(xiǎn)評(píng)估范圍公司信息平安管理體系范圍覆蓋的各相關(guān)部門及其信息資產(chǎn)。二、風(fēng)險(xiǎn)評(píng)估目的通過科學(xué)的方法對(duì)公司存在隱私風(fēng)險(xiǎn)進(jìn)行評(píng)估，以便于制定出適合的方法，找 到最合適的控制措施來對(duì)風(fēng)險(xiǎn)進(jìn)行控制，以降低風(fēng)險(xiǎn)，到達(dá)提高公司隱私信息平安 的目的。三、風(fēng)險(xiǎn)評(píng)估日期2020年10月23日至2020年10月31日四、評(píng)估小組成員參與本次評(píng)估的人員包括管理者代表、各部門經(jīng)理、信息平安工程組成員。組員：五、評(píng)估方

2、法綜述評(píng)估小組采用定性和定量相結(jié)合的方法對(duì)公司各方面進(jìn)行評(píng)估。評(píng)估流程如下：7編寫風(fēng)險(xiǎn)評(píng)估報(bào)告 6計(jì)算、評(píng)價(jià)風(fēng)險(xiǎn)5估計(jì)可能性和影響4識(shí)別評(píng)價(jià)防護(hù)措施3識(shí)別威脅和脆弱性2識(shí)別評(píng)價(jià)資產(chǎn)1評(píng)估準(zhǔn)備工作六、評(píng)估具體方法及實(shí)施1、組織的資產(chǎn)評(píng)估方法：a、識(shí)別在評(píng)估范圍內(nèi)的資產(chǎn)。對(duì)于在范圍內(nèi)的每一項(xiàng)資產(chǎn)都要恰當(dāng)統(tǒng)計(jì)；不在 本次評(píng)估范圍內(nèi)的資產(chǎn)，也要進(jìn)行記錄；b、要注意資產(chǎn)之間的關(guān)聯(lián)，有時(shí)候關(guān)聯(lián)和資產(chǎn)本身同等重要；c、按一定的標(biāo)準(zhǔn)，將信息資產(chǎn)進(jìn)行恰當(dāng)?shù)姆诸悾诖嘶A(chǔ)上進(jìn)行下一步的風(fēng)險(xiǎn) 評(píng)估工作。2、資產(chǎn)重要度評(píng)估方法：對(duì)資產(chǎn)的等級(jí)進(jìn)行定義，并表示成相對(duì)等級(jí)的形式:資產(chǎn) 等級(jí)標(biāo)識(shí)相對(duì)價(jià)值范圍定義4很高(21,

3、27該類資產(chǎn)假設(shè)發(fā)生泄露、損壞、喪失或無法使 用，會(huì)給組織造成無法挽回或極其嚴(yán)重的損失。3高(15,21會(huì)給公司造成重大的經(jīng)濟(jì)損失。2般(9,15會(huì)給公司造成一定的經(jīng)濟(jì)損失。1低0,9不會(huì)給公司造成經(jīng)濟(jì)損失或只有極低的損失。決定資產(chǎn)重要度時(shí)，需要考慮：a、不僅要考慮資產(chǎn)的本錢價(jià)格，也要考慮資產(chǎn)對(duì)于組織業(yè)務(wù)的平安重要性, 即根據(jù)資產(chǎn)損失所引發(fā)的潛在的影響來決定;b、為確保資產(chǎn)重要度的一致性和準(zhǔn)確性，建立一個(gè)標(biāo)準(zhǔn)的尺度，以明確如何 對(duì)資產(chǎn)的重要度進(jìn)行評(píng)估。c、分析和評(píng)價(jià)資產(chǎn)受到侵害后的保密性、完整性和可用性損失，通過對(duì)三個(gè) 屬性(保密性、完整性、可用性)進(jìn)行賦值，并取MAX值的方式，確定出資產(chǎn)的重

4、 要度等級(jí)。3、資產(chǎn)面臨的威脅、威脅可以利用的脆弱性的評(píng)估方法：a、分析本公司的信息系統(tǒng)存在威脅。b、綜合威脅來源、種類和其他因素后得出威脅列表；c、針對(duì)每一項(xiàng)需要保護(hù)的信息資產(chǎn)，找出可能面臨的威脅。d、在識(shí)別資產(chǎn)所面臨的威脅時(shí)，應(yīng)該考慮下面三個(gè)方面的資料和信息來源：(1)通過過去的平安事件報(bào)告或記錄，統(tǒng)計(jì)各種發(fā)生過的威脅和其發(fā)生頻(2)在公司實(shí)際環(huán)境中，通過IDS系統(tǒng)獲取的威脅發(fā)生數(shù)據(jù)的統(tǒng)計(jì)和分析，各種 日志中威脅發(fā)生的數(shù)據(jù)的統(tǒng)計(jì)和分析；(3)過去一年或兩年來國際機(jī)構(gòu)發(fā)布的對(duì)于整個(gè)社會(huì)或待定行業(yè)平安威脅發(fā) 生頻率的統(tǒng)計(jì)數(shù)據(jù)均值。f、按照GB/T 22080-2016 IDT ISO/IEC

5、27001等標(biāo)準(zhǔn)的平安管理要求對(duì)現(xiàn)有 的平安管理制度及其執(zhí)行情況進(jìn)行檢查，發(fā)現(xiàn)其中的管理漏洞和缺乏，進(jìn)行管理脆 弱性識(shí)別。g、對(duì)網(wǎng)絡(luò)設(shè)備和主機(jī)進(jìn)行人工檢查識(shí)別技術(shù)脆弱性。4、識(shí)別與分析控制措施的方法：a、對(duì)組織已經(jīng)采取的控制措施進(jìn)行識(shí)別，并對(duì)其有效性進(jìn)行確認(rèn)。將控制措 施分為預(yù)防性控制措施和保護(hù)性控制措施。預(yù)防性控制措施可以降低威脅發(fā)生的可 能性和減少平安脆弱性，而保護(hù)性控制措施可以減少因威脅發(fā)生所造成的影響。b、分析控制措施與已經(jīng)識(shí)別出的威脅和脆弱性的關(guān)系。5、確定發(fā)生的可能性a、可能性指潛在的脆弱性在相關(guān)威脅環(huán)境下被攻擊的可能性b、對(duì)可能性進(jìn)行定義，表示成定性與賦值相對(duì)等級(jí)的形式。本公司采

6、取五個(gè) 級(jí)的定義方式:要素標(biāo)識(shí)發(fā)生的頻率等級(jí)威脅利用弱 點(diǎn)導(dǎo)致危害 的可能性很高出現(xiàn)的頻率很高（或21次/周）； 或在大多數(shù)情況下幾乎不可防止；或 可以證實(shí)經(jīng)常發(fā)生過5高出現(xiàn)的頻率較高（或巳1次/ 月）；或在大多數(shù)情況下很啟口能會(huì) 發(fā)生；或可以證實(shí)屢次發(fā)生過4一般出現(xiàn)的頻率中等（或1次/半 年）；或在某種情況下可能會(huì)發(fā)生； 或被證實(shí)曾經(jīng)發(fā)生過3低出現(xiàn)的頻率較??；或一般不太可 能發(fā)生；或沒有被證實(shí)發(fā)生過2很低威脅幾乎不可能發(fā)生；僅可能在 非常罕見和例外的情況下發(fā)生1c、評(píng)估威脅發(fā)生的可能性時(shí)根據(jù)統(tǒng)計(jì)數(shù)據(jù)來判斷為威脅發(fā)生的頻率或概率。重點(diǎn)考慮以下因素的影響：（1）資產(chǎn)的吸引力或資產(chǎn)轉(zhuǎn)化成報(bào)酬的容易

7、程度；（2）威脅的動(dòng)機(jī)和能力；（3）脆弱性被利用的難易程度；（4）控制措施的存在和有效性。6、分析發(fā)生的影響：a、影響指對(duì)威脅和脆弱性一次成功攻擊所產(chǎn)生的負(fù)面影響。b、確定影響的等級(jí)定義，本公司采取五級(jí)定義方式：要素標(biāo)識(shí)嚴(yán)重程度等級(jí)脆弱性被威 脅利用后的 嚴(yán)重性很高如果被威脅利用，將對(duì)公司重要 資產(chǎn)造成重大損害5高如果被威脅利用，將對(duì)重要資產(chǎn) 造成一般損害4一般如果被威脅利用，將對(duì)一般資產(chǎn)3造成重要損害低如果被威脅利用，將對(duì)一般資產(chǎn) 造成一般損害2很低如果被威脅利用，將對(duì)資產(chǎn)造成 的損害可以忽略1C、由于資產(chǎn)重要度等級(jí)是計(jì)算風(fēng)險(xiǎn)值的重要因子，因此確定影響時(shí)應(yīng)該重點(diǎn)考慮攻擊對(duì)資產(chǎn)本身傷害的嚴(yán)重程

8、度。d、對(duì)資產(chǎn)完整性、可用性和保密性的影響應(yīng)該分別考慮。7、計(jì)算風(fēng)險(xiǎn)大?。篴、風(fēng)險(xiǎn)值=資產(chǎn)等級(jí)+威脅性賦值+脆弱性賦值；b、風(fēng)險(xiǎn)值根據(jù)5, 6步驟中定義的可能性和影響的賦值進(jìn)行計(jì)算；c、評(píng)估的最終目的不是確定風(fēng)險(xiǎn)數(shù)值的大小，而是明確不同威脅對(duì)資產(chǎn)產(chǎn)生 的風(fēng)險(xiǎn)的相對(duì)值，即要確定不同風(fēng)險(xiǎn)的優(yōu)先次序或等級(jí)，我公司風(fēng)險(xiǎn)等級(jí)定義如下: 1214為高風(fēng)險(xiǎn)，911為中風(fēng)險(xiǎn)，38為低風(fēng)險(xiǎn)。詳細(xì)見附錄一、二七、風(fēng)險(xiǎn)評(píng)估概況1、評(píng)估涉及的部門本次風(fēng)險(xiǎn)評(píng)估由于是公司組織的第一次風(fēng)險(xiǎn)評(píng)估，因此，本次范圍涉及信息安 全及隱私體系范圍內(nèi)的所有相關(guān)部門。2、評(píng)估涉及的流程或系統(tǒng)評(píng)估涉及公司生產(chǎn)、運(yùn)營及信息管理等方面的流程和

9、系統(tǒng)。3、資產(chǎn)情況本次評(píng)估主要針對(duì)公司與信息相關(guān)的資產(chǎn)，包括：實(shí)體資產(chǎn)、軟件資產(chǎn)、信息 資產(chǎn)、人員資產(chǎn)、服務(wù)資產(chǎn)。詳細(xì)見附錄一3、風(fēng)險(xiǎn)情況公司存在風(fēng)險(xiǎn)主要存在于高、中重要等級(jí)資產(chǎn)，貫穿于公司人力行政部、系統(tǒng) 運(yùn)維部、財(cái)務(wù)部等各個(gè)部門，根據(jù)相關(guān)資產(chǎn)的重要度，結(jié)合威脅和脆弱性將公司存 在的信息隱私平安風(fēng)險(xiǎn)劃分為高、中、低三個(gè)等級(jí)，其中：實(shí)體資產(chǎn)低風(fēng)險(xiǎn)328個(gè), 中風(fēng)險(xiǎn)14個(gè)；軟件資產(chǎn)低風(fēng)險(xiǎn)240個(gè)；信息資產(chǎn)低風(fēng)險(xiǎn)309個(gè)，中風(fēng)險(xiǎn)48個(gè)；人員資產(chǎn)低風(fēng)險(xiǎn)62個(gè)，中風(fēng)險(xiǎn)4個(gè)；服務(wù)資產(chǎn)低風(fēng)險(xiǎn)16個(gè)。其中涉及PH風(fēng)險(xiǎn)情況 如下表：資產(chǎn)類型名稱位置責(zé)任部門涉及PII信息資產(chǎn)各類銷售合同財(cái)務(wù)文件室財(cái)務(wù)部姓名、身

10、份證信息資產(chǎn)社保服務(wù)類合同人力文件室人力行政部姓名、身份證、 、社?？?、年齡信息資產(chǎn)薪酬數(shù)據(jù)文檔資料人力文件室人力行政部姓名、工資、年齡、身份證信息資產(chǎn)人事檔案人力文件室人力行政部姓名、生日、性別、滿足、郵箱等信息資產(chǎn)工程合同及報(bào)價(jià)單銷售文件室品牌拓展姓名、身份證信息資產(chǎn)項(xiàng)FI投標(biāo)書銷售文件室品牌拓展姓名、身份證信息資產(chǎn)客戶服務(wù)策略文檔策略文件室策略中心訂單信息：購買記錄、消費(fèi)金額、消費(fèi)產(chǎn)品、頻 次等。信息資產(chǎn)會(huì)員信息Ebrand系統(tǒng)研發(fā)中心（1）會(huì)員信息：姓名、 、年齡、民族等（2）訂單信息：購買記錄、消費(fèi)金額、消費(fèi)產(chǎn) 品、頻次等。八、風(fēng)險(xiǎn)處理涉及PH的資產(chǎn)風(fēng)險(xiǎn)處理處置情況如下:資產(chǎn)類型名稱

11、位置責(zé)任部門涉及PII潛在的風(fēng)險(xiǎn)及處理信息資產(chǎn)各類銷售合同務(wù)文件財(cái)務(wù) 部姓名、身份證（1）風(fēng)險(xiǎn)：銷售類合同財(cái)務(wù)部同事都可以接觸到，存在信息泄露 風(fēng)險(xiǎn)。（2）處理：合同專人管理，查閱需要登記。室信息資產(chǎn)社保服務(wù)類合同人 力 文 件 室人力 行政 部姓名、身 份證、電 話、社保 卡、年齡（1）風(fēng)險(xiǎn)：人力同事都可以接觸到，存在信息泄露風(fēng)險(xiǎn)。（2）處理：由薪酬專人管理，非薪酬責(zé)任管理相關(guān)的人員不允許 查閱。人)人力姓名、工（1）風(fēng)險(xiǎn)：人力同事都可以接觸到，存在信息泄露風(fēng)險(xiǎn)。信息資產(chǎn)薪酬數(shù)據(jù)文檔資料文行政資、年齡、（2）處理：由薪酬專人管理，非薪酬責(zé)任管理相關(guān)的人員不允許件部身份證查閱。室信息資產(chǎn)人事檔

12、案人 力 文 件 室人力 行政 部姓名、生 日、性別、 滿足、郵 箱等（1）風(fēng)險(xiǎn)：人力同事都可以接觸到，存在信息泄露風(fēng)險(xiǎn)。（2）處理：由薪酬專人管理，非薪酬責(zé)任管理相關(guān)的人員不允許 查閱。信息資產(chǎn)工程合同及報(bào)價(jià)單銷 售 文品牌 拓展姓名、身 份證（1）風(fēng)險(xiǎn)：銷售同事都可以接觸到，存在信息泄露風(fēng)險(xiǎn)。（2）處理：由銷售助理專人管理，需要查閱須銷售總監(jiān)審批，非 銷售人員不允許查閱。件室信息資產(chǎn)工程投標(biāo)書銷 售 文 件 室品牌 拓展姓名、身份證(1)風(fēng)險(xiǎn)：銷售同事都可以接觸到，存在信息泄露風(fēng)險(xiǎn)。(2)處理：由銷售助理專人管理，需要查閱須銷售總監(jiān)審批，非 銷售人員不允許查閱。信息資產(chǎn)客戶服務(wù)策略文檔策

13、略 文 件 室策略 中心訂單信 息：購買 記錄、消 費(fèi)金額、 消費(fèi)產(chǎn) 品、頻次 等。(1)風(fēng)險(xiǎn)：工程同事都可以接觸到，存在信息泄露風(fēng)險(xiǎn)。(2)處理：由工程經(jīng)理專人管理，發(fā)送客戶過程中密文發(fā)送，對(duì) 文檔存放的地方進(jìn)行權(quán)限管理，不再權(quán)限范圍內(nèi)的人員不允許查 閱。信息資產(chǎn)會(huì)員信息Ebr and 系 統(tǒng)研發(fā) 中心(1)會(huì)員 信息：姓 名、 、 年齡、民 族等(2)訂單 信息：購 買記錄、 消費(fèi)金 額、消費(fèi) 產(chǎn)品、頻 次等。(1)風(fēng)險(xiǎn)：負(fù)責(zé)運(yùn)維的以及開發(fā)同事在系統(tǒng)維護(hù)過程中可以接觸 至IJ,存在信息泄露風(fēng)險(xiǎn)。(2)處理：對(duì)數(shù)據(jù)庫進(jìn)行權(quán)限管理，只有研發(fā)總監(jiān)級(jí)別可接觸， 且每次接觸須走審批報(bào)備，經(jīng)CEO審批

14、；數(shù)據(jù)存儲(chǔ)的時(shí)限默認(rèn)是持 續(xù)，只要客戶服務(wù)持續(xù)，數(shù)據(jù)持續(xù)存儲(chǔ)，且未經(jīng)客方授權(quán)刪除一律 不允許處置。九、評(píng)估總結(jié)通過信息平安風(fēng)險(xiǎn)評(píng)估能夠全面的發(fā)現(xiàn)公司組織內(nèi)部存在的威脅和脆弱性，識(shí) 別出公司存在信息平安風(fēng)險(xiǎn)，針對(duì)風(fēng)險(xiǎn)制定相應(yīng)的控制措施，同時(shí)為公司建立一套 風(fēng)險(xiǎn)評(píng)估的科學(xué)的方法。本次風(fēng)險(xiǎn)評(píng)估是公司第一次進(jìn)行全面的信息平安風(fēng)險(xiǎn)評(píng)估，公司由總經(jīng)理牽頭 建立評(píng)估小組，對(duì)評(píng)估工作進(jìn)行周密的準(zhǔn)備，首先對(duì)公司與信息相關(guān)資產(chǎn)進(jìn)行識(shí)別, 根據(jù)資產(chǎn)的重要度，對(duì)資產(chǎn)面臨的威脅和存在的脆弱性進(jìn)行識(shí)別、描述，并對(duì)公司 現(xiàn)有的控制措施進(jìn)行識(shí)別、評(píng)價(jià)。在對(duì)風(fēng)險(xiǎn)進(jìn)行分析、評(píng)估時(shí)，結(jié)合資產(chǎn)的重要度、 威脅、脆弱性評(píng)估出風(fēng)險(xiǎn)發(fā)生的可能性、影響度，最終對(duì)資產(chǎn)