風(fēng)險(xiǎn)評估報(bào)告模板

1、風(fēng)險(xiǎn)評估報(bào)告模板信息技術(shù)風(fēng)險(xiǎn)評估年度風(fēng)險(xiǎn)評估文檔記錄風(fēng)險(xiǎn)評估每年做一次，評估日期及評估人員填在下表：評估日期評估人員目錄11. 前言風(fēng)險(xiǎn)評估成員：評估成員在公司中崗位及在評估中的職務(wù)：風(fēng)險(xiǎn)評估采用的方法：表 A 風(fēng)險(xiǎn)分類風(fēng)險(xiǎn)水平風(fēng)險(xiǎn)描述必要行為高信息的保密性、完整性、有效性的丟失可能在組織運(yùn)作、組織資產(chǎn)或個人方面帶來嚴(yán)峻的或?yàn)?zāi)難性的不利影響。中信息的保密性、完整性、有效性的丟失可能在組織運(yùn)作、組織資產(chǎn)或個人方面帶來嚴(yán)重的不利影響。低信息的保密性、完整性、有效性的丟失可能在組織運(yùn)作、組織資產(chǎn)或個人方面帶來有限的不利影響。系統(tǒng)描述系統(tǒng)信息和定義文檔.IT系統(tǒng)識別和所有權(quán)IT 系統(tǒng) IDIT 系統(tǒng)通

2、用名稱Owned By物理位置主要業(yè)務(wù)功能系統(tǒng)主人電話號系統(tǒng)管理員電話號碼碼數(shù)據(jù)所有者的電數(shù)據(jù)管理員電話號碼話號碼其它相關(guān)信息II. IT System Boundary and Components IT 系統(tǒng)描述和組件IT 系統(tǒng)界面IT 系統(tǒng)邊界 IT系統(tǒng)的彼此連系（按需添加附加費(fèi)）代理商 或單位名IT 系統(tǒng)名稱IT 系統(tǒng) IDIT 系統(tǒng)所有者InterconnectionSecurity稱Agreement Status全面的 IT 系統(tǒng)的靈敏度評估和分類整體 IT 系統(tǒng)靈敏度評級如果數(shù)據(jù)類型的靈敏度被評為“高”，那么在任何標(biāo)準(zhǔn)下都必須為“高”高中低IT 系統(tǒng)分類如果所有的靈敏度都為 “

3、高”，那么必須為 “靈敏”；如果是適度的， 也可認(rèn)為是 “靈敏”靈敏非靈敏IT 系統(tǒng)的描述、圖解和網(wǎng)絡(luò)架構(gòu)，包括全部的系統(tǒng)組件、鏈接系統(tǒng)組件的通信鏈接和相關(guān)的數(shù)據(jù)通信和網(wǎng)絡(luò)：圖 1IT 系統(tǒng)邊界圖描述了信息的流動往返于IT 系統(tǒng)，包括輸出和輸入到IT 系統(tǒng)和其它接口圖信息流程圖 . 風(fēng)險(xiǎn)識別脆弱性識別被識別的脆弱性：威脅識別被識別的威脅：被識別的威脅列于表表威脅識別風(fēng)險(xiǎn)識別被識別的風(fēng)險(xiǎn)：在表中是脆弱性和威脅性風(fēng)險(xiǎn)識別方法表脆弱性、威脅性和風(fēng)險(xiǎn)風(fēng)險(xiǎn)Risk of脆弱性威脅性風(fēng)險(xiǎn)總結(jié)序號Compromise of12風(fēng)險(xiǎn)威脅性Risk of脆弱性風(fēng)險(xiǎn)總結(jié)序號Compromise of3456789

4、101112131415161718192021222324254. 控制分析在表 E 中是 IT 系統(tǒng)的現(xiàn)行安全控制措施與計(jì)劃安全控制措施。表 E安全控制現(xiàn)行 /控制地方控制措施計(jì)劃1 風(fēng)險(xiǎn)管理IT 安全角色 & 任務(wù)業(yè)務(wù)影響分析IT 系統(tǒng)& 數(shù)據(jù)敏感性分類IT 系統(tǒng)詳細(xì)信息&解釋風(fēng)險(xiǎn)評估IT 安全審核2 IT應(yīng)急計(jì)劃連續(xù)性的業(yè)務(wù)操作計(jì)劃IT 災(zāi)難恢復(fù)計(jì)劃IT 系統(tǒng)& 數(shù)據(jù)備份& 恢復(fù)3 IT系統(tǒng)安全維護(hù)IT 系統(tǒng)強(qiáng)化IT 系統(tǒng)互操縱性安全惡意代碼防衛(wèi)IT 系統(tǒng)開發(fā)周期的安全性4 合理訪問控制現(xiàn)行 /控制地方控制措施計(jì)劃賬戶管理密碼管理遠(yuǎn)程訪問管理5

5、數(shù)據(jù)保護(hù)數(shù)據(jù)存儲媒介保護(hù)數(shù)據(jù)加密6 設(shè)施安全設(shè)施安全7 個人安全措施訪問意愿& 控制IT 安全意識& 培訓(xùn)合理使用8 威脅管理措施威脅檢測事故處理安全監(jiān)控& 記錄9 IT資產(chǎn)管理IT 資產(chǎn)控制軟件許可證管理配置管理& 變更控制表 F風(fēng)險(xiǎn)控制因素的相關(guān)性風(fēng)險(xiǎn)風(fēng)險(xiǎn)總結(jié)控制措施的相關(guān)性& 其它因素序號123456789101112131415161718192021222324255. 風(fēng)險(xiǎn)可能性測定在表 G 中定義了可能性的等級表 G風(fēng)險(xiǎn)可能性定義控制的有效性威脅出現(xiàn)的概率低(自然的或環(huán)境威脅中)或威脅動機(jī)和能力(人類威脅高)低中高高中低中高高低低中表 H風(fēng)

6、險(xiǎn)可能性等級風(fēng)險(xiǎn)序號風(fēng)險(xiǎn)總結(jié)風(fēng)險(xiǎn)可能性評估風(fēng)險(xiǎn)可能性等級12345678910111213141516171819風(fēng)險(xiǎn)序號風(fēng)險(xiǎn)總結(jié)風(fēng)險(xiǎn)可能性評估風(fēng)險(xiǎn)可能性等級20212223風(fēng)險(xiǎn)序號風(fēng)險(xiǎn)總結(jié)風(fēng)險(xiǎn)可能性評估風(fēng)險(xiǎn)可能性等級24256. 影響分析表 I：評估風(fēng)險(xiǎn)影響的等級表 I風(fēng)險(xiǎn)影響的等級定義影響級別影響定義高出現(xiàn)的風(fēng)險(xiǎn) : (1)可能導(dǎo)致人類死亡或嚴(yán)重的傷害; (2)可能導(dǎo)致主要的有形資產(chǎn)、資源或敏感數(shù)據(jù)的丟失；(3) 可能顯著地?fù)p害、阻礙COV 的任務(wù)、名聲或興趣 .中出現(xiàn)的風(fēng)險(xiǎn) : (1)可能導(dǎo)致人身傷害 ; (2) 可能導(dǎo)致貴重的有形資產(chǎn)或資源的丟失(3) 可能違反、損害阻礙COV 的任務(wù)

7、、名聲或興趣 .低出現(xiàn)的風(fēng)險(xiǎn) : (1)可能導(dǎo)致一些有形的資產(chǎn)、資源的丟失(2) 可能明顯地影響阻礙COV的任務(wù)、名聲或興趣.表 J風(fēng)險(xiǎn)影響分析風(fēng)險(xiǎn)風(fēng)向總結(jié)風(fēng)險(xiǎn)影響風(fēng)險(xiǎn)影響等級序號12345678910風(fēng)險(xiǎn)風(fēng)向總結(jié)風(fēng)險(xiǎn)影響風(fēng)險(xiǎn)影響等級序號111213141516171819202122232425用于確定影響的等級的過程描述：7. 風(fēng)險(xiǎn)確定表 K：確定全面的風(fēng)險(xiǎn)等級的標(biāo)準(zhǔn)表 K 總體風(fēng)險(xiǎn)評估矩陣風(fēng)險(xiǎn)影響風(fēng)險(xiǎn)可能性低中高(10)(50)(100)高低中高10 x= 1050 x= 50100 x= 100中低中中10 x= 550 x= 25100 x= 50低低低低10 x= 150 x= 5100 x= 10風(fēng)險(xiǎn)系數(shù) : 低 (1 to 10);中 (>10 to 50);高 (>50 to 100)表 L總體風(fēng)險(xiǎn)評級表風(fēng)險(xiǎn)風(fēng)險(xiǎn)總結(jié)風(fēng)險(xiǎn)可能性評級風(fēng)險(xiǎn)影響性評級總體風(fēng)險(xiǎn)評級序號12345678910111213141516風(fēng)險(xiǎn)風(fēng)險(xiǎn)總結(jié)風(fēng)險(xiǎn)可能性評級風(fēng)險(xiǎn)影響性評級總體風(fēng)險(xiǎn)評級序號171819202122232425用于確定總體風(fēng)險(xiǎn)等級的過程描述：8. 建議表 M：對表 D 中被識別的風(fēng)險(xiǎn)的建議表M建議序號風(fēng)險(xiǎn)風(fēng)險(xiǎn)等級建議12345678910111213141516171