风险评估分析报告模板.doc

风险评估报告模板 信息技术风险评估 年度风险评估文档记录 风险评估每年做一次，评估日期及评估人员填在下表： 评估日期 评估人员 目录 1前言 4 2.IT系统描述 5 3风险辨认 8 4.控制分析 10 5.风险也许性测定 13 6.影响分析 15 7.风险拟定 17 8.建议 19 9.成果报告 20 1.前言 风险评估成员： 评估成员在公司中岗位及在评估中职务： 风险评估采用办法： 表A 风险分类 风险水平 风险描述＆必要行为 高 信息保密性、完整性、有效性丢失也许在组织运作、组织资产或个人方面带来严峻或劫难性不利影响。 中 信息保密性、完整性、有效性丢失也许在组织运作、组织资产或个人方面带来严重不利影响。 低 信息保密性、完整性、有效性丢失也许在组织运作、组织资产或个人方面带来有限不利影响。 2.IT系统描述 系统信息和定义文档 Ⅰ.IT系统辨认和所有权 IT系统ID IT系统通用名称 Owned By 物理位置 重要业务功能 系统主人电话号码 系统管理员电话号码 数据所有者电话号码 数据管理员电话号码 其他有关信息 II. IT System Boundary and ComponentsⅡ IT系统描述和组件 IT系统界面 IT系统边界 Ⅲ IT系统彼此连系（按需添加附加费） 代理商或单位名称 IT系统名称 IT系统ID IT 系统所有者 Interconnection Security Agreement Status 全面IT系统敏捷度评估和分类 整体IT系统敏捷度评级 如果数据类型敏捷度被评为“高”，那么在任何原则下都必要为“高”  高  中  低 IT 系统分类 如果所有敏捷度都为“高”，那么必要为“敏捷”；如果是适度，也可以为是“敏捷”  敏捷  非敏捷 IT系统描述、图解和网络架构，涉及所有系统组件、链接系统组件通信链接和有关数据通信和网络： 图1—IT系统边界图 描述了信息流动来回于IT系统，涉及输出和输入到IT系统和其他接口 图２—信息流程图 ３.风险辨认 　　脆弱性辨认 　　被辨认脆弱性： 威胁辨认 被辨认威胁： 被辨认威胁列于表Ｃ 表Ｃ　威胁辨认 风险辨认 被辨认风险： 在表Ｄ中是脆弱性和威胁性风险辨认办法 表Ｄ　脆弱性、威胁性和风险 风险 序号 脆弱性 威胁性 Risk of Compromise of 风险总结 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 4.控制分析 在表E中是IT系统现行安全控制办法与筹划安全控制办法。 表E 安全控制 控制地方 现行/ 筹划 控制办法 1 风险管理 1.1 IT 安全角色& 任务 1.2 业务影响分析 1.3 IT 系统 & 数据敏感性分类 1.4 IT 系统详细信息 & 解释 1.5 风险评估 1.6 IT 安全审核 2 IT 应急筹划 2.1 持续性业务操作筹划 2.2 IT 劫难恢复 筹划 2.3 IT系统 & 数据备份& 恢复 3 IT 系统安全维护 3.1 IT 系统强化 3.2 IT 系统互操纵性安全 3.3恶意代码防卫 3.4 IT系统开发周期安全性 4合理访问控制 4.1 账户管理 4.2 密码管理 4.3 远程访问管理 5 数据保护 4.4数据存储媒介保护 4.5数据加密 6 设施安全 6.1 设施安全 7个人安全办法 7.1 访问意愿 & 控制 7.2 IT 安全意识 & 培训 7.3 合理使用 8 威胁管理办法 8.1 威胁检测 8.2 事故解决 8.3 安全监控 & 记录 9 IT 资产管理 9.1 IT 资产控制 9.2 软件允许证管理 9.3 配备管理 & 变更控制 表F 风险—控制—因素有关性 风险 序号 风险总结 控制办法有关性 & 其他因素 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 5.风险也许性测定 在表G中定义了也许性级别 表G 风险也许性定义 控制有效性 威胁浮现概率 (自然或环境威胁) 或威胁动机和能力 (人类威胁) 低 中 高 低 中 高 高 中 低 中 高 高 低 低 中 表H 风险也许性级别 风险序号 风险总结 风险也许性评估 风险也许性级别 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 风险序号 风险总结 风险也许性评估 风险也许性级别 20 21 22 23 24 25 6.影响分析 表I：评估风险影响级别 表I 风险影响级别定义 影响级别 影响定义 高 浮现风险：(1) 也许导致人类死亡或严重伤害；(2) 也许导致重要有形资产、资源或敏感数据丢失； (3) 也许明显地损害、阻碍COV任务、名声或兴趣. 中 浮现风险：(1) 也许导致人身伤害；(2) 也许导致贵重有形资产或资源丢失 (3) 也许违背、损害阻碍COV任务、名声或兴趣. 低 浮现风险：(1) 也许导致某些有形资产、资源丢失(2) 也许明显地影响阻碍COV任务、名声或兴趣. 表J 风险影响分析 风险 序号 风向总结 风险影响 风险影响级别 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 用于拟定影响级别过程描述： 7.风险拟定 表K：拟定全面风险级别原则 表K 总体风险评估矩阵 风险也许性 风险影响 低 (10) 中 (50) 高 (100) 高 (1.0) 低 10 x 1.0 = 10 中 50 x 1.0 = 50 高 100 x 1.0 = 100 中 (0.5) 低 10 x 0.5 = 5 中 50 x 0.5 = 25 中 100 x 0.5 = 50 低 (0.1) 低 10 x 0.1 = 1 低 50 x 0.1 = 5 低 100 x 0.1 = 10 风险系数：低 (1 to 10)；中 (>10 to 50)；高 (>50 to 100) 表L 总体风险评级表 风险 序号 风险总结 风险也许性评级 风险影响性评级 总体风险评级 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 用于拟定总体风险级别过程描述： 8.建议 表M：对表D中被辨认风险建议 表M 建议 序号 风险 风险级别 建议 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 9.成果报告 图示1 风险评估矩阵 序号 脆弱性 威胁性 风险 风险总结 风险也许性级别 风险影响性级别 总体风险级别 关于控制办法和其他因素分析 建议 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25