风险评估报告模板.docxVIP

风险评估报告模板 信息技术风险评估 年度风险评估文档记录 风险评估每年做一次，评估日期及评估人员填在下表： 评估日期 评估日期 评估人员 目录 1 前言 6 2.IT 系统描述 8 3 风险识别 13 控制分析 16 风险可能性测定 20 影响分析 23 风险确定 25 8.建议 28 结果报告 30 前言 风险评估成员： 评估成员在公司中岗位及在评估中的职务： 风险评估采用的方法： 表 A 风险分类 风险水平 风险水平 风险描述＆必要行为 高 信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人 方面带来严峻的或灾难性的不利影响。 中 信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人 方面带来严重的不利影响。 低 信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人 方面带来有限的不利影响。 IT 系统描述 系统信息和定义文档 系统信息和定义文档 Ⅰ.IT 系统识别和所有权 IT 系统 ID IT 系统通用名称 Owned By 物理位置 主要业务功能 系统主 人电话号 码 系统管理员电话号码 数据所 有者的电 话号码 数据管理员电话号码 其它相关信息 II. IT System Boundary and ComponentsⅡ IT 系统描述和组 件 IT IT 系统界面 IT 系统边界 Ⅲ IT 系统的彼此连系（按需添加附加费） 代理商 或单位名 称 IT 系统名称 IT 系统ID IT 系统所有者 Interconnection Security Status Agreement 整体 IT 系统灵敏度评级 如果数据类型的灵敏度被评为“高”，那么在任何标准下都必须为“高” 全面的 IT 系 统的灵敏度评估和分类 ? 高 ? 中 ? 低 IT 系统分类 如果所有的灵敏度都为“高”，那么必须为“灵敏”；如果是适度的，也可认为是“灵 敏” 灵敏 ? 非灵敏 IT 系统的描述、图解和网络架构，包括全部的系统组件、链接系统组件的通信链接和相关的数据通信和网络： 图 1—IT 系统边界图 描述了信息的流动往返于 IT 系统，包括输出和输入到 IT 系统和其它接口 图２—信息流程图 ３.风险识别 脆弱性识别 被识别的脆弱性： 威胁识别 被识别的威胁： 风险脆弱性 风险 脆弱性 威胁性 Risk of Compromise 风险总结 of 序号 1 表Ｃ 威胁识别 风险识别 被识别的风险： 在表Ｄ中是脆弱性和威胁性风险识别方法 表Ｄ 脆弱性、威胁性和风险 风险序号脆弱性威胁性2 风险 序号 脆弱性 威胁性 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25  风险总结 控制分析 在表 E 中是 IT 系统的现行安全控制措施与计划安全控制措施。 表 E 安全控制 控制地方 控制地方 现行/ 计划 控制措施 1 风险管理 1.1 IT 安全角色 任 务 1.2 业务影响分析 1.3 IT 系统 数据 敏感性分类 1.4 IT 系统详细信息 解释 1.5 风险评估 1.6 IT 安全审核 2 IT 应急计划 2.1 连续性的业务操 作计划 2.2 IT 灾难恢复 计 划 2.3 IT 系统 数据备 份 恢复 3 IT 系统安全维护 3.1 IT 系统强化 3.2 IT 系统互操纵性 安全 3.3 恶意代码防卫 控制地方 3.4 IT 系统开发周期的安全性 现行/ 计划  控制措施 4 合理访问控制 4.1 账户管理 4.2 密码管理 4.3 远程访问管理 5 数据保护 4.4 数据存储媒介保护 4.5 数据加密 6 设施安全 6.1 设施安全 7 个人安全措施 7.1 访问意愿 控制 7.2 IT 安全意识 培训 7.3 合理使用 8 威胁管理措施 8.1 威胁检测 8.2 事故处理 8.3 安全监控 记录 9 IT 资产管理 9.1 IT 资产控制 9.2 软件许可证管理 9.3 配置管理 变更控制 表 F 风险—控制—因素的相关性 风险 序号 风险总结 控制措施的相关性 其它因素 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 风险可能性测定 在表 G 中定义了可能性的等级 表 G 风险可能性定义 威胁出现的概率 (自然的或环境威胁) 或威胁动机和能力 (人类威胁) 威胁出现的概率 (自然的或环境威胁) 或威胁动机和能力 (人类威胁) 控制的有效性 低 中 高 低 中 高 高 中 低 中 高 高 低 低 中 表 H 风险可能性等级 风险序号 风险总结 风险可能性评估 风险可能性等级 1