风险评价报告模板

1、风险评估报告模板信息技术风险评估年度风险评估文档记录风险评估每年做一次，评估日期及评估人员填在下表：评估日期评估人员目录1前言4.2.IT系统描述5.3风险识别8.4 .控制分析105 .风险可能性测定1.46 .影响分析167 .风险确定188 .建议209 .结果报告211.前言风险评估成员：评估成员在公司中岗位及在评估中的职务:风险评估采用的方法:表A风险分类风险水平风险描述&必要行为高信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人方面带来严峻的或灾难性的不利影响。中信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人方面带来严重的不利影响。低信息的

2、保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人方圆带来后限的不利影响。2.IT系统描述IT系统的描述、图解和网络架构，包括全部的系统组件、链接系统组件的通信链接和相关的数据通信和网络：图1IT系统边界图描述了信息的流动往返于IT系统，包括输出和输入到IT系统和其它接口图2信息流程图3.风险识别脆弱性识别被识别的脆弱性:威胁识别被识别的威胁:被识别的威胁列于表C表C威胁识别风险识别被识别的风险:在表D中是脆弱性和威胁性风险识别方法表D脆弱性、威胁性和风险风险序号脆弱性威胁性RiskofCompromiseof风险总结1234567891011121314151617181920212

3、22324254 .控制分析在表E中是IT系统的现行安全控制措施与计划安全控制措施表E安全控制控制地方现行/计划控制措施1风险管理1.1IT安全角色&任务1.2业务影响分析1.3IT系统&数据敏感性分类1.4IT系统详细信息&解释1.5风险评估1.6IT安全审核2IT应急计划2.1连续性的业务操作计划2.2IT灾难恢复计划2.3IT系统&数据备份&恢复3IT系统安全维护3.1IT系统强化3.2IT系统互操纵性安全3.3恶意代码防卫3.4IT系统开发周期的安全性4合理访问控制控制地方现行/计划控制措施4.2密码管理4.3远程访问管理5数据保护4.4数据存储

4、媒介保护4.5数据加密6设施安全6.1设施安全7个人安全措施7.1访问意愿&控制7.2IT安全意识&培训7.3合理使用8威胁管理措施8.1威胁检测8.2事故处理8.3安全监控&记录9IT资产管理9.1IT资产控制9.2软件许可证管理9.3配置管理&变更控制表F风险一控制一因素的相关性风险风险总结控制措施的相关性&其它因素序号12345678910111213141516171819202122235 .风险可能性测定在表G中定义了可能性的等级表G风险可能性定义控制的有效性威胁出现的概率（自然的或环境威胁）或威胁动机和能力（人类威胁）低中高低中高高中低中高

5、高低低中表H风险可能性等级风险序号风险总结风险可能性评估风险可能性等级134567891011121314151617风险可能性评估风险可能性等级2021222324256 .影响分析表I:评估风险影响的等级表I风险影响的等级定义影响级别影响定义高出现的风险：(1)可能导致人类死亡或严重的伤害；(2)可能导致主要的有形资产、或敏感数据的丢失；(3)可能显著地损害、阻碍COV的任务、名声或兴趣.资源中出现的风险：(1)可能导致人身伤害；(2)可能导致贵重的有形资产或资源的丢失能违反、损害阻碍COV的任务、名声或兴趣.(3)可低出现的风险：(1)可能导致一些有形的资产、资源的丢失的任务、名声或兴趣

6、.(2)可能明显地影响阻碍COV表J风险影响分析风险序号风向总结风险影响风险影响等级1234567891011121314151617181920风险序号风向总结风险影响风险影响等级2122232425用于确定影响的等级的过程描述:7 .风险确定表K:确定全面的风险等级的标准表K总体风险评估矩阵风险可能性风险影响低(10)中(50)高(100)高低中高(1.0)10x1.0=1050x1.0=50100x1.0=100中低中中(0.5)10x0.5=550x0.5=25100x0.5=50低低低低(0.1)10x0.1=150x0.1=5100x0.1=10风险系数：低(1to10);中(>10to50);高(>50to100)表L总体风险评级表风险序号风险总结风险可能性评级风险影响性评级总体风险评级123456789101112131415161718风险序号风险总结风险可能性评级风险影响性评级总体风险评级19202122232425用于确定总体风险等级的过程描述:8 .建议表M:对表D中被识别的风险的建议表M建议序号风险风险等级建议123456789101112131415161718192021222324259