風(fēng)險(xiǎn)評估報(bào)告模板_第1頁
風(fēng)險(xiǎn)評估報(bào)告模板_第2頁
風(fēng)險(xiǎn)評估報(bào)告模板_第3頁
風(fēng)險(xiǎn)評估報(bào)告模板_第4頁
風(fēng)險(xiǎn)評估報(bào)告模板_第5頁
已閱讀5頁,還剩27頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、風(fēng)險(xiǎn)評估報(bào)告模板信息技術(shù)風(fēng)險(xiǎn)評估年度風(fēng)險(xiǎn)評估文檔記錄風(fēng)險(xiǎn)評估每年做一次,評估日期及評估人員填在下表:評估日期評估人員目錄1 前言 錯(cuò)誤!未定義書簽系統(tǒng)描述 錯(cuò)誤!未定義書簽3 風(fēng)險(xiǎn)識(shí)別 錯(cuò)誤!未定義書簽4. 控制分析 錯(cuò)誤!未定義書簽5. 風(fēng)險(xiǎn)可能性測定 .錯(cuò)誤 !未定義書簽6. 影響分析 錯(cuò)誤!未定義書簽7. 風(fēng)險(xiǎn)確定 錯(cuò)誤!未定義書簽8. 建議錯(cuò)誤!未定義書簽9. 結(jié)果報(bào)告 錯(cuò)誤!未定義書簽1. 前言風(fēng)險(xiǎn)評估成員:評估成員在公司中崗位及在評估中的職務(wù):風(fēng)險(xiǎn)評估采用的方法:表A風(fēng)險(xiǎn)分類風(fēng)險(xiǎn)水平風(fēng)險(xiǎn)描述&必要行為高信息的保密性、完整性、有效性的丟失可能在組織運(yùn)作、組織資產(chǎn)或個(gè)人 方面帶來嚴(yán)峻的

2、或?yàn)?zāi)難性的不利影響。中信息的保密性、完整性、有效性的丟失可能在組織運(yùn)作、組織資產(chǎn)或個(gè)人 方面帶來嚴(yán)重的不利影響。低信息的保密性、完整性、有效性的丟失可能在組織運(yùn)作、組織資產(chǎn)或個(gè)人 方面帶來有限的不利影響。系統(tǒng)描述系統(tǒng)信息和定義文檔I .IT系統(tǒng)識(shí)別和所有權(quán)IT系統(tǒng)IDIT系統(tǒng)通用名稱Owned By物理位置主要業(yè)務(wù)功能系統(tǒng)主人電話號(hào)碼系統(tǒng)管理員電話號(hào)碼數(shù)據(jù)所有者的電話號(hào)碼數(shù)據(jù)管理員電話號(hào)碼其它相關(guān)信息II. IT System Boun dary and Comp onentsnIT系統(tǒng)描述和組件IT系統(tǒng)界面IT系統(tǒng)邊界川IT系統(tǒng)的彼此連系(按需添加附加費(fèi))代理商或單位名IT系統(tǒng)名稱IT系統(tǒng)I

3、DIT系統(tǒng)所有者In terc onn ecti on稱SecurityAgreeme ntStatus全面的IT系統(tǒng)的靈敏度評估和分類整體IT系統(tǒng)靈敏度評級(jí)如果數(shù)據(jù)類型的靈敏度被評為“高”,那么在任何標(biāo)準(zhǔn)下都必須為“高”?高?中?低IT系統(tǒng)分類如果所有的靈敏度都為 “高”,那么必須為“靈敏”;如果是適度的,也可認(rèn)為是“靈敏”? 靈敏?非靈敏IT 系統(tǒng)的描述、圖解和網(wǎng)絡(luò)架構(gòu),包括全部的系統(tǒng)組件、鏈接系統(tǒng)組件的通信鏈接和相關(guān)的數(shù)據(jù)通信和網(wǎng)絡(luò):圖 1 IT 系統(tǒng)邊界圖描述了信息的流動(dòng)往返于 IT 系統(tǒng),包括輸出和輸入到 IT 系統(tǒng)和其它接口圖2信息流程圖3.風(fēng)險(xiǎn)識(shí)別脆弱性識(shí)別被識(shí)別的脆弱性:威脅識(shí)

4、別被識(shí)別的威脅:被識(shí)別的威脅列于表C表C 威脅識(shí)別風(fēng)險(xiǎn)識(shí)別被識(shí)別的風(fēng)險(xiǎn):在表D中是脆弱性和威脅性風(fēng)險(xiǎn)識(shí)別方法表D 脆弱性、威脅性和風(fēng)險(xiǎn)風(fēng)險(xiǎn)序號(hào)脆弱性威脅性Risk of Compromiseof風(fēng)險(xiǎn)總結(jié)123風(fēng)險(xiǎn)序號(hào)脆弱性威脅性Risk of Compromiseof風(fēng)險(xiǎn)總結(jié)456789101112131415161718192021222324254. 控制分析在表E中是IT系統(tǒng)的現(xiàn)行安全控制措施與計(jì)劃安全控制措施表E安全控制控制地方現(xiàn)行/計(jì)劃控制措施1風(fēng)險(xiǎn)管理IT安全角色&任務(wù)業(yè)務(wù)影響分析IT系統(tǒng)&數(shù)據(jù)敏感性分類IT系統(tǒng)詳細(xì)信息&解釋風(fēng)險(xiǎn)評估IT安全審核2 IT應(yīng)急計(jì)劃連續(xù)性的業(yè)務(wù)操作計(jì)劃

5、IT災(zāi)難恢復(fù)計(jì)劃IT系統(tǒng)&數(shù)據(jù)備份&恢復(fù)3 IT系統(tǒng)安全維護(hù)IT系統(tǒng)強(qiáng)化IT系統(tǒng)互操縱性安全惡意代碼防衛(wèi)IT系統(tǒng)開發(fā)周期的安全性4合理訪問控制控制地方現(xiàn)行/計(jì)劃控制措施賬戶管理密碼管理遠(yuǎn)程訪問管理5數(shù)據(jù)保護(hù)數(shù)據(jù)存儲(chǔ)媒介保護(hù)數(shù)據(jù)加密6設(shè)施安全設(shè)施安全7個(gè)人安全措施訪問意愿&控制IT安全意識(shí)&培訓(xùn)合理使用8威脅管理措施威脅檢測事故處理安全監(jiān)控&記錄9 IT資產(chǎn)管理IT資產(chǎn)控制軟件許可證管理配置管理&變更控制表 F 風(fēng)險(xiǎn)控制因素的相關(guān)性風(fēng)險(xiǎn)序號(hào)123456789101112131415161718192021222324255. 風(fēng)險(xiǎn)可能性測定在表G中定義了可能性的等級(jí)表G風(fēng)險(xiǎn)可能性定義控制的有效性

6、威脅岀現(xiàn)的概率(自然的或環(huán)境威脅)或威脅動(dòng)機(jī)和能力(人類威脅)低中高低中高高中低中高高低低中表H風(fēng)險(xiǎn)可能性等級(jí)風(fēng)險(xiǎn)總結(jié)風(fēng)險(xiǎn)可能性評估風(fēng)險(xiǎn)可能性等級(jí)12345678910111213141516171819風(fēng)險(xiǎn)序號(hào)2021222324256. 影響分析表I :評估風(fēng)險(xiǎn)影響的等級(jí)表I風(fēng)險(xiǎn)影響的等級(jí)定義影響級(jí)別影響定義高岀現(xiàn)的風(fēng)險(xiǎn):(1)可能導(dǎo)致人類死亡或嚴(yán)重的傷害;(2)可能導(dǎo)致主要的有形資產(chǎn)、資源或敏感數(shù)據(jù)的丟失;(3)可能顯著地?fù)p害、阻礙COV的任務(wù)、名聲或興趣.中岀現(xiàn)的風(fēng)險(xiǎn):(1)可能導(dǎo)致人身傷害;(2)可能導(dǎo)致貴重的有形資產(chǎn)或資源的丟失(3)可能違反、損害阻礙COV勺任務(wù)、名聲或興趣.低岀

7、現(xiàn)的風(fēng)險(xiǎn):(1)可能導(dǎo)致一些有形的資產(chǎn)、資源的丟失(2)可能明顯地影響阻礙COV的任務(wù)、名聲或興趣.表J風(fēng)險(xiǎn)影響分析風(fēng)險(xiǎn)序號(hào)風(fēng)向總結(jié)風(fēng)險(xiǎn)影響風(fēng)險(xiǎn)影響等級(jí)123456789風(fēng)險(xiǎn)序號(hào)風(fēng)向總結(jié)風(fēng)險(xiǎn)影響風(fēng)險(xiǎn)影響等級(jí)10111213141516171819202122232425用于確定影響的等級(jí)的過程描述:7. 風(fēng)險(xiǎn)確定表K:確定全面的風(fēng)險(xiǎn)等級(jí)的標(biāo)準(zhǔn)表 K 總體風(fēng)險(xiǎn)評估矩陣風(fēng)險(xiǎn)可能性風(fēng)險(xiǎn)影響低(10)中(50)高(100)高低中高10 x = 1050 x = 50100 x = 100中低中中10 x = 550 x = 25100 x = 50低低低低10 x = 150 x = 5100 x = 10風(fēng)險(xiǎn)系數(shù):低(1 to 10); 中(10 to 50); 高(50 to 100)表L總體風(fēng)險(xiǎn)評級(jí)表風(fēng)險(xiǎn)序號(hào)風(fēng)險(xiǎn)總結(jié)風(fēng)險(xiǎn)可能性評級(jí)風(fēng)險(xiǎn)影響性評級(jí)總體風(fēng)險(xiǎn)評級(jí)12345678910111213風(fēng)險(xiǎn)序號(hào)風(fēng)險(xiǎn)總結(jié)風(fēng)險(xiǎn)可能性評級(jí)風(fēng)險(xiǎn)影響性評級(jí)總體風(fēng)險(xiǎn)評級(jí)141516171819202122232425用于確定總體風(fēng)險(xiǎn)等級(jí)的過程描述:8.建議表M對表D中被識(shí)別的風(fēng)險(xiǎn)的建議表M建議序號(hào)風(fēng)險(xiǎn)風(fēng)險(xiǎn)等級(jí)建議1234567891011121314151617

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論