中文|English
当前位置:首页 - 新闻中心 - 2024年公司年度信息安全风险评估报告
公司新闻
2024年公司年度信息安全风险评估报告
发布时间:2025-09-28

宁波旭友滤清器制造有限公司

2024年公司年度信息安全风险评估报告

1. 执行摘要

本报告依据GB/T 20984-2022《信息安全技术 信息安全风险评估方法》标准要求,对公司2024年度信息安全状况进行全面评估。评估覆盖网络架构、数据资产、应用系统及物理环境等核心领域,识别出关键风险点140项,其中重大风险3项,高风险20项,中风险65项,低风险42项。

核心发现

l  云安全配置错误风险显著上升,占比达32%,主要涉及存储桶权限设置不当等问题

l  供应链安全风险持续加剧,第三方服务漏洞导致的安全事件占比24%

l  数据安全风险突出,核心业务数据库未实施字段级加密,存在重大数据泄露隐患

l  员工安全意识仍是薄弱环节,钓鱼邮件测试平均点击率达21.7%

TOP3极高风险项

1.      核心数据库未加密(风险值25)

2.      云存储桶公开访问配置错误(风险值22)

3.      第三方运维人员权限过度(风险值20)

2. 评估概况

2.1 评估范围与方法

l  资产范围

o     信息系统:ERP、CRM等12套核心业务系统

o     网络设备:86台关键网络及安全设备

o     数据资产:1.2TB结构化数据(含客户信息、财务数据等)

l  评估方法

o     定量分析:采用风险矩阵法(可能性×影响程度)量化评级

o     定性分析:通过专家评审、场景分析评估管理流程风险

o     技术工具

l  漏洞扫描:Nessus、OpenVAS

l  渗透测试:Burp Suite、Metasploit

l  配置核查:CIS Benchmark自动化工具

2.2 评估组织与时间线

l  领导小组:CIO任组长,成员包括各业务部门负责人及法务代表

l  工作小组:分技术组(IT部门)、业务组(业务单元接口人)、合规组(法务与内审)

l  第三方支持:聘请专业安全公司进行渗透测试(签订保密协议)

关键时间节点

阶段

时间

主要工作

准备阶段

2024.01.10-01.25

制定方案、组建团队、工具准备

现场评估

2024.01.26-03.20

漏洞扫描、渗透测试、架构审计

风险分析

2024.03.21-04.10

风险计算、等级评定

报告编制

2024.04.11-04.25

汇总结果、制定整改计划

3. 风险评估结果

3.1 风险分布统计

l  按风险类型

o     技术风险(68%):系统漏洞、配置错误等

o     管理风险(22%):制度缺失、流程缺陷等

o     物理风险(7%):机房安全、设备故障等

o     合规风险(3%):数据跨境、隐私保护问题

l  按严重程度

微信截图_20250928210230.png


3.2 关键风险项分析

3.2.1 技术类高风险项

1.      云存储桶公开访问风险(风险值22)

l   发现:3个业务系统的S3存储桶配置为公开可读

l   影响:可能导致100GB客户数据泄露,预估损失≥300万元

l   根源:DevOps流程缺少安全审批环节

1.      SQL注入漏洞(风险值19)

l   涉及系统:OA系统、客户门户网站

l   攻击路径:通过未过滤的用户输入执行恶意SQL命令

l   修复建议

o    短期:部署WAF临时防护(1周内)

o    长期:代码重构采用参数化查询(3个月内)

3.2.2 管理类高风险项

1.      第三方权限失控(风险值20)

l   现状:8家供应商拥有永久性管理员权限

l   案例:某离职供应商员工仍可访问VPN通道

l   改进措施

o    实施基于角色的访问控制(RBAC)

o    建立第三方权限生命周期管理流程

1.      应急预案缺失(风险值18)

l   缺口分析

o    未覆盖勒索软件攻击场景

o    关键岗位联系人未明确备份机制

l   优化方案

o    开展桌面推演(每季度1次)

o    建立应急响应知识库

4. 风险处置计划

4.1 风险处置策略矩阵

风险等级

处置策略

时间要求

责任部门

重大风险(红)

立即停止风险活动,启动应急预案

24小时内响应,1周内解决

信息安全部+高管层

高风险(橙)

优先资源投入,制定专项整改方案

1个月内启动,1个季度内完成

IT运维部+业务部门

中风险(黄)

纳入常规改进计划

半年内实施

各业务单元

低风险(蓝)

接受风险,定期监控

年度复查

风险管理部门

4.2 重点整改项目

项目1:云安全治理

l  措施

o     部署CSPM(云安全态势管理)工具

o     实施"最小权限"原则重构IAM策略

l  KPI

o     公开存储桶数量降为0

o     云配置错误率下降90%

项目2:供应链安全提升

l  关键行动

o     建立供应商安全评分卡(含渗透测试要求)

l  里程碑

o     2024.06:完成关键供应商重签合同

o     2024.09:实现第三方会话全录制

5. 持续改进机制

5.1 风险监控体系

l  技术监控

o     SIEM系统实时告警(日均处理日志15000万条)

o     月度漏洞扫描覆盖率100%

l  管理监控

o     风险整改看板(每周更新)

o     季度合规审计

5.2 评估机制优化

l  方法论升级

o     引入威胁情报驱动的动态风险评估

o     增加AI辅助风险预测模块

l  周期调整

o     核心系统评估频次从年度改为半年度

o     第三方风险评估实时化

6. 结论与建议

6.1 总体结论

2024年度评估显示公司信息安全风险态势整体可控但局部严峻

l  积极进展:网络边界防护有效性提升(外部攻击拦截率98%)

l  主要挑战:云原生安全能力不足,供应链风险加剧

l  合规达标:等保2.0三级系统测评通过率100%

6.2 战略建议

1.      组织层面

l   设立专职云安全架构师岗位(2025.Q3前)

l   成立跨部门数据安全委员会

1.      投入建议

l   增加安全预算至IT总投入的15%(现为9%)

l   重点投入方向:

o    零信任架构建设

o    威胁检测与响应(EDR+XDR)

1.      能力建设

l   开展全员"安全左移"培训(DevSecOps)

l   参与行业威胁情报共享计划

附录

l  附录A:资产清单(脱敏版)

l  附录B:漏洞扫描详细结果

l  附录C:整改计划甘特图

(本报告经信息安全委员会批准,报送董事会风险管理分委会备案)