风险评估报告模板定稿版完整版

1、风险评估报告模板HUA system office room HUA 16H-TTMS2A-HUAS8Q8-HUAH1688风险评估报告模板信息技术风险评估年度风险评估文档记录风险评估每年做一次，评估日期及评估人员填在下表:评估日期评估人员目录1刖百1 .IT系统描述3风险识别4 .控制分析5 .风险可能性测定6 .影响分析7 .风险确定8 .建议9 .结果报告1.前言风险评估成员：评估成员在公司中岗位及在评估中的职务：风险评估采用的方法：表A风险分类风险水平风险描述&必要行为信息的保密性、完整性、有效性的丢失可能在组织运作、组织资 产或个人方面带来严峻的或灾难性的不利影响。中信息的保

2、密性、完整性、有效性的丢失可能在组织运作、组织资产或个人方面带来严重的不利影响。低信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人方面带来有限的不利影响。2. IT系统描述系统信息和定义文档I.IT系统识别和所有权IT系统IDIT系统通用名称Owned By物理位置主要业务功能系统主人电话号码系统管理员电话号码数据所有者的电话号码数据管理员电话号码其它相关信息IL IT System Boundary and Components IIIT系统描述和组件IT系统界面IT系统边界in IT系统的彼此连系（按需添加附加费）代理商或单位名称IT系统名称IT系统IDIT系统所有者Int

3、erconnectionSecurity AgreementStatus全面的IT 系统的灵敏 度评估和分 类整体IT系统灵敏度评级如果数据类型的灵敏度被评为“高”，那么在任何标准下都必须为“高”高中低IT系统分类如果所有的灵敏度都为“高”，那么必须为“灵敏”；如果是适度的，也可认为是“灵敏”灵敏非灵敏IT系统的描述、图解和网络架构，包括全部的系统组件、链接系统组件的通信链接和相关的数据通信和网络： 图1IT系统边界图 描述了信息的流动往返于IT系统，包括输出和输入到IT系统和其它接口 图2信息流程图脆弱性识别被识别的脆弱性:威胁识别被识别的威胁：被识别的威胁列于表C表C威胁识别风险识别被识别

4、的风险：在表D中是脆弱性和威胁性风险识别方法表D脆弱性、威胁性和风险风险序号脆弱性威胁性Risk ofCompromise of风险总结12345风险序号脆弱性威胁性Risk ofCompromise of风险总结6789101112131415风险序号脆弱性威胁性Risk ofCompromise of风险总结161718192021222324254 .控制分析在表E中是IT系统的现行安全控制措施与计划安全控制措施。表E安全控制控制地方现行/计划控制措施1风险管理1.1 IT安全角色也任务1. 2业务影响分析1.3 IT系统&数据敏感性分类控制地方现行/计划控制措施1.4 IT系统

5、详细信息&解释1. 5风险评估1.6 IT安全审核2 IT应急计划2.1连续性的业务操作计划2. 2 IT灾难恢复计划控制地方现行/计划控制措施2. 3 IT系统&数据备份也恢复3 IT系统安全维护3.1 IT系统强化3. 2 IT系统互操纵性安全3. 3恶意代码防卫3. 4 IT系统开发周期的安全性控制地方现行/计划控制措施4合理访问控制4.1账户管理4. 2密码管理4.3远程访问管理5数据保护4. 4数据存储媒介保护4. 5数据加密6设施安全6.1设施安全控制地方现行/计划控制措施7个人安全措施7. 1访问意愿&控制7.2 IT安全意识&培训7. 3合理使用

6、8威胁管理措施8.1威胁检测8. 2事故处理8. 3安全监控&记录控制地方现行/计划控制措施9 IT资产管理9.1 IT资产控制9. 2软件许可证管理9. 3配置管理&变更控制表F风险一控制一因素的相关性风险总结控制措施的相关性&其它因素风险123456789101113131415161718192021222324255 .风险可能性测定在表G中定义了可能性的等级表G风险可能性定义控制的有效性威胁出现的概率（自然的或环境威胁）或威胁动机和能力（人类威胁）低中高低中高A中低中高A低低中表H风险可能性等级风险总结风险可能性评估风险可能性等风险序号12345678910风

7、险序风险总结风险可能性评估风险可能性等号级111213141516171819风险序风险总结风险可能性等风险可能性评估风险序风险总结风险可能性评估风险可能性等号级2021222324256 .影响分析表I:评估风险影响的等级表I风险影响的等级定义影响级别影响定义影响级别影响定义高出现的风险：（1）可能导致人类死亡或严重的伤害；（2）可能导致主要 的有形资产、资源或敏感数据的丢失；（3）可能显着地损害、阻碍COV 的任务、名声或兴趣.中出现的风险：（1）可能导致人身伤害；（2）可能导致贵重的有形资产或资源的丢失（3）可能违反、损害阻碍COV的任务、名声或兴趣.低出现的风险：（1）可能导致一些有形

8、的资产、资源的丢失（2）可能明显地影响阻碍COV的任务、名声或兴趣.表J风险影响分析风险序号风向总结风险影响风险影响等级123风险序号风向总结风险影响风险影响等级456789101112风险序号风向总结风险影响风险影响等级14151617181920212223风险序号风向总结风险影响风险影响等级2425用于确定影响的等级的过程描述:7 .风险确定表K：确定全面的风险等级的标准表K总体风险评估矩阵风险可能性风险影响低(10)中(50)高(100)高(1.0)低10 x 1.0 = 10中50 x 1. 0 = 50高100 x 1.0 = 100中(0. 5)低10 x 0. 5 = 5中50

9、 x 0. 5 = 25中100 x 0. 5 = 50低(0.1)低10 x 0. 1 = 1低50 x 0.1 = 5低100 X 0. 1 = 10风险系数：低(1 to 10);中(>10 to 50);高(>50 to 100)表L总体风险评级表风险序号风险总结风险可能性评级风险影响性评级总体风险评级123风险序号风险总结风险可能性评级风险影响性评级总体风险评级45678910111213风险序号风险总结风险可能性评级风险影响性评级总体风险评级14151617181920212223风险序号风险总结风险可能性评级风险影响性评级总体风险评级2425用于确定总体风险等级的过程描述：8 .建议表M：对表D中被识别的风险的建议表M建议序号风险风险等级建议1234