风险的评估报告材料实用模板.docx

风险评估报告 风险评估报告模板 信息技术风险评估 年度风险评估文档记录 风险评估每年做一次，评估日期及评估人员填在下表： 评估日期 评估人员  目录 1 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc363480724 前言 PAGEREF _Toc363480724 \h 4 HYPERLINK \l _Toc363480725 2.IT系统描述 PAGEREF _Toc363480725 \h 5 HYPERLINK \l _Toc363480726 3风险识别 PAGEREF _Toc363480726 \h 8 HYPERLINK \l _Toc363480727 4.控制分析 PAGEREF _Toc363480727 \h 10 HYPERLINK \l _Toc363480728 5.风险可能性测定 PAGEREF _Toc363480728 \h 13 HYPERLINK \l _Toc363480729 6.影响分析 PAGEREF _Toc363480729 \h 15 HYPERLINK \l _Toc363480730 7.风险确定 PAGEREF _Toc363480730 \h 17 HYPERLINK \l _Toc363480731 8.建议 PAGEREF _Toc363480731 \h 19 HYPERLINK \l _Toc363480732 9.结果报告 PAGEREF _Toc363480732 \h 20 1.前言 风险评估成员： 评估成员在公司中岗位及在评估中的职务： 风险评估采用的方法： 表A 风险分类 风险水平 风险描述＆必要行为 高 信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人方面带来严峻的或灾难性的不利影响。 中 信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人方面带来严重的不利影响。 低 信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人方面带来有限的不利影响。 2.IT系统描述 系统信息和定义文档 Ⅰ.IT系统识别和所有权 IT系统ID IT系统通用名称 Owned By 物理位置 主要业务功能 系统主人电话号码 系统管理员电话号码 数据所有者的电话号码 数据管理员电话号码 其它相关信息 II. IT System Boundary and ComponentsⅡ IT系统描述和组件 IT系统界面 IT系统边界 Ⅲ IT系统的彼此连系（按需添加附加费） 代理商或单位名称 IT系统名称 IT系统ID IT 系统所有者 Interconnection Security Agreement Status 全面的IT系统的灵敏度评估和分类  整体IT系统灵敏度评级 如果数据类型的灵敏度被评为“高”，那么在任何标准下都必须为“高” ? 高 ? 中 ? 低 IT 系统分类 如果所有的灵敏度都为“高”，那么必须为“灵敏”；如果是适度的，也可认为是“灵敏” ? 灵敏 ? 非灵敏 IT系统的描述、图解和网络架构，包括全部的系统组件、链接系统组件的通信链接和相关的数据通信和网络： 图1—IT系统边界图 描述了信息的流动往返于IT系统，包括输出和输入到IT系统和其它接口 图２—信息流程图 ３.风险识别 　　脆弱性识别 　　被识别的脆弱性： 威胁识别 被识别的威胁： 被识别的威胁列于表Ｃ 表Ｃ　威胁识别 风险识别 被识别的风险： 在表Ｄ中是脆弱性和威胁性风险识别方法 表Ｄ　脆弱性、威胁性和风险 风险 序号 脆弱性 威胁性 Risk of Compromise of 风险总结 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 4.控制分析 在表E中是IT系统的现行安全控制措施与计划安全控制措施。 表E 安全控制 控制地方 现行/计划 控制措施 1 风险管理 1.1 IT 安全角色 任务 1.2 业务影响分析 1.3 IT 系统 数据敏感性分类 1.4 IT 系统详细信息 解释 1.5 风险评估 1.6 IT 安全审核 2 IT 应急计划 2.1 连续性的业务操作计划 2.2 IT 灾难恢复 计划 2.3 IT系统 数据备份 恢复 3 IT 系统安全维护 3.1 IT 系统强化 3.2 IT 系统互操纵性安全 3.3恶意代码防卫 3.4 IT系统开发周期的安全性 4合理访问控制 4.1 账户管理 4.2 密码管理 4.3 远程