风险评估报告模板

. . 风险评估报告模板风险评估报告模板 信息技信息技术风险评术风险评估估 . . 年度风险评估文档记录年度风险评估文档记录 风险评估每年做一次，评估日期及评估人员填在下表： 评估日期评估人员 . . 目录目录 1 前言.4 2.IT 系统描述.5 3 风险识别.8 4.控制分析.10 5.风险可能性测定.13 6.影响分析.15 7.风险确定.17 8.建议 .19 9.结果报告.20 . . 1.前言前言 风险评估成员： 评估成员在公司中岗位及在评估中的职务： 风险评估采用的方法： 表 A 风险分类 风险水平风险描述必要行为 高信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人 方面带来严峻的或灾难性的不利影响。 中信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人 方面带来严重的不利影响。 低信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人 方面带来有限的不利影响。 . . 2.IT 系统描述系统描述 系统信息和定义文档系统信息和定义文档 .IT.IT 系统识别和所有权系统识别和所有权 IT 系统系统 IDIT 系统通用名称系统通用名称 Owned By 物理位置物理位置 主要业务功能主要业务功能 系统主人电话号系统主人电话号 码码 系统管理员电话号码系统管理员电话号码 数据所有者的电数据所有者的电 话号码话号码 数据管理员电话号码数据管理员电话号码 其它相关信息其它相关信息 II. IT System Boundary and Components IT 系统描述和组系统描述和组 件件 IT 系统界面系统界面 IT 系统边界系统边界 ITIT 系统的彼此连系（按需添加附加费）系统的彼此连系（按需添加附加费） 代理商或单位名代理商或单位名 称称 IT 系统名称系统名称IT 系统系统 IDIT 系统所有者系统所有者Interconnection Security Agreement Status 整体整体 IT 系统灵敏度评级系统灵敏度评级 如果数据类型的灵敏度被评为“高” ，那么在任何标准下都必须为“高” 高高 中中 低低 IT 系统分类系统分类 如果所有的灵敏度都为“高” ，那么必须为“灵敏” ；如果是适度的，也可认为是 “灵敏” 全面的全面的 IT 系系 统的灵敏度评统的灵敏度评 估和分类估和分类 灵敏灵敏 非灵敏非灵敏 . . IT 系统的描述、图解和网络架构，包括全部的系统组件、链接系 统组件的通信链接和相关的数据通信和网络： 图 1IT 系统边界图 描述了信息的流动往返于 IT 系统，包括输出和输入到 IT 系统和其它接口 . . 图信息流程图 . . .风险识别风险识别 脆弱性识别脆弱性识别 被识别的脆弱性： 威胁识别威胁识别 被识别的威胁： 被识别的威胁列于表 表 威胁识别 风险识别风险识别 被识别的风险： 在表中是脆弱性和威胁性风险识别方法 . . 表 脆弱性、威胁性和风险 风险风险 序号序号 脆弱性脆弱性威胁性威胁性 Risk of Compromise of 风险总结风险总结 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 . . 4.控制分析控制分析 在表 E 中是 IT 系统的现行安全控制措施与计划安全控制措施。 表 E 安全控制 控制地方控制地方 现行现行/ 计划计划 控制措施控制措施 1 风险管理风险管理 1.1 IT 安全角色安全角色 (2) 可能导致主要的有形资产、资源可能导致主要的有形资产、资源 或敏感数据的丢失；或敏感数据的丢失； (3) 可能显著地损害、阻碍可能显著地损害、阻碍 COV 的任务、名声或兴趣的任务、名声或兴趣. 中中出现的风险出现的风险: (1) 可能导致人身伤害可能导致人身伤害; (2) 可能导致贵重的有形资产或资源的丢失可能导致贵重的有形资产或资源的丢失 (3) 可可 能违反、损害阻碍能违反、损害阻碍 COV 的任务、名声或兴趣的任务、名声或兴趣. 低低出现的风险出现的风险: (1) 可能导致一些有形的资产、资源的丢失可能导致一些有形的资产、资源的丢失(2) 可能明显地影响阻碍可能明显地影响阻碍 COV 的任务、名声或兴趣的任务、名声或兴趣. 表 J 风险影响分析 风险风险 序号序号 风向总结风向总结风险影响风险影响风险影响等级风险影响等级 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 . . 风险风险 序号序号 风向总结风向总结风险影响风险影响风险影响等级风险影响等级 21 22 23 24 25 用于确定影响的等级的过程描述： . . 7.风险确定风险确定 表 K：确定全面的风险等级的标准 表 K 总体风险评估矩阵 风险影响风险影响 风险可能性风险可能性 低低 (10) 中中 (50) 高高 (100) 高高 (1.0) 低低 10 x 1.0 = 10 中中 50 x 1.0 = 50 高高 100 x 1.0 = 100 中中 (0.5) 低低 10 x 0.5 = 5 中中 50 x 0.5 = 25 中中 100 x 0.5 = 50 低低 (0.1) 低低 10 x 0.1 = 1 低低 50 x 0.1 = 5 低低 100 x 0.1 = 10 风险系数风险系数: 低低 (1 to 10); 中中 (10 to 50); 高高 (50 to 100) 表 L 总体风险评级表 风险风险 序号序号 风险总结风险总结风险可能性评级风险可能性评级风险影响性评级风险影响性评级总体风险评级总体风险评级 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 . . 风险风险 序号序号 风险总结风险总结风险可能性评级风险可能性评级风险影响性评级风险影响性评级总体风险评级总体风险评级 19 20 21 22 23 24 25 用于确定总体风险等级的过程描述： . . 8.建议建议 表 M：对表 D 中被识别的风险的建议 表 M 建议 序号序号 风险风险风险等级风险等级建议建议 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 . . 9.结果报告结果报告 图示 1 风险评估矩阵 序号序号脆弱性脆弱性威胁性威胁性风险风险风险总结风险总结 风险可能性风险可