风险评估分析报告模板.doc

1、风险评估报告模板信息技术风险评估年度风险评估文档记录风险评估每年做一次，评估日期及评估人员填在下表：评估日期评估人员目录1前言42.IT系统描述53风险辨认84.控制分析105.风险也许性测定136.影响分析157.风险拟定178.建议199.成果报告201.前言风险评估成员： 评估成员在公司中岗位及在评估中职务：风险评估采用办法：表A 风险分类风险水平风险描述必要行为高信息保密性、完整性、有效性丢失也许在组织运作、组织资产或个人方面带来严峻或劫难性不利影响。中信息保密性、完整性、有效性丢失也许在组织运作、组织资产或个人方面带来严重不利影响。低信息保密性、完整性、有效性丢失也许在组织运作、组织

2、资产或个人方面带来有限不利影响。2.IT系统描述系统信息和定义文档.IT系统辨认和所有权IT系统IDIT系统通用名称Owned By物理位置重要业务功能系统主人电话号码系统管理员电话号码数据所有者电话号码数据管理员电话号码其他有关信息II. IT System Boundary and ComponentsIT系统描述和组件IT系统界面IT系统边界 IT系统彼此连系（按需添加附加费）代理商或单位名称IT系统名称IT系统IDIT 系统所有者Interconnection Security Agreement Status全面IT系统敏捷度评估和分类整体IT系统敏捷度评级如果数据类型敏捷度被评为“

3、高”，那么在任何原则下都必要为“高” 高 中 低IT 系统分类如果所有敏捷度都为“高”，那么必要为“敏捷”；如果是适度，也可以为是“敏捷” 敏捷 非敏捷IT系统描述、图解和网络架构，涉及所有系统组件、链接系统组件通信链接和有关数据通信和网络：图1IT系统边界图描述了信息流动来回于IT系统，涉及输出和输入到IT系统和其他接口图信息流程图.风险辨认脆弱性辨认被辨认脆弱性：威胁辨认被辨认威胁：被辨认威胁列于表表威胁辨认风险辨认被辨认风险：在表中是脆弱性和威胁性风险辨认办法表脆弱性、威胁性和风险风险序号脆弱性威胁性Risk of Compromise of风险总结1234567891011121314

4、15161718192021222324254.控制分析在表E中是IT系统现行安全控制办法与筹划安全控制办法。表E 安全控制控制地方现行/筹划控制办法1 风险管理1.1 IT 安全角色& 任务1.2 业务影响分析1.3 IT 系统 & 数据敏感性分类1.4 IT 系统详细信息 & 解释1.5 风险评估1.6 IT 安全审核2 IT 应急筹划2.1 持续性业务操作筹划2.2 IT 劫难恢复 筹划2.3 IT系统 & 数据备份& 恢复3 IT 系统安全维护3.1 IT 系统强化3.2 IT 系统互操纵性安全3.3恶意代码防卫3.4 IT系统开发周期安全性4合理访问控制4.1 账户管理4.2 密码管

5、理4.3 远程访问管理5 数据保护4.4数据存储媒介保护4.5数据加密6 设施安全6.1 设施安全7个人安全办法 7.1 访问意愿 & 控制7.2 IT 安全意识 & 培训7.3 合理使用8 威胁管理办法8.1 威胁检测8.2 事故解决8.3 安全监控 & 记录9 IT 资产管理 9.1 IT 资产控制9.2 软件允许证管理9.3 配备管理 & 变更控制表F 风险控制因素有关性风险序号风险总结控制办法有关性 & 其他因素123456789101112131415161718192021222324255.风险也许性测定在表G中定义了也许性级别表G 风险也许性定义控制有效性威胁浮现概率 (自然或

6、环境威胁) 或威胁动机和能力 (人类威胁)低中高低中高高中低中高高低低中表H 风险也许性级别风险序号风险总结风险也许性评估风险也许性级别12345678910111213141516171819风险序号风险总结风险也许性评估风险也许性级别2021222324256.影响分析表I：评估风险影响级别表I 风险影响级别定义影响级别影响定义高浮现风险：(1) 也许导致人类死亡或严重伤害；(2) 也许导致重要有形资产、资源或敏感数据丢失； (3) 也许明显地损害、阻碍COV任务、名声或兴趣. 中浮现风险：(1) 也许导致人身伤害；(2) 也许导致贵重有形资产或资源丢失 (3) 也许违背、损害阻碍COV任

7、务、名声或兴趣.低浮现风险：(1) 也许导致某些有形资产、资源丢失(2) 也许明显地影响阻碍COV任务、名声或兴趣.表J 风险影响分析风险序号风向总结风险影响风险影响级别12345678910111213141516171819202122232425用于拟定影响级别过程描述：7.风险拟定表K：拟定全面风险级别原则表K 总体风险评估矩阵风险也许性风险影响低(10)中(50)高(100)高(1.0)低10 x 1.0 = 10中50 x 1.0 = 50高100 x 1.0 = 100中(0.5)低10 x 0.5 = 5中50 x 0.5 = 25中100 x 0.5 = 50低(0.1)低1

8、0 x 0.1 = 1低50 x 0.1 = 5低100 x 0.1 = 10风险系数：低 (1 to 10)；中 (10 to 50)；高 (50 to 100)表L 总体风险评级表风险序号风险总结风险也许性评级风险影响性评级总体风险评级12345678910111213141516171819202122232425用于拟定总体风险级别过程描述：8.建议表M：对表D中被辨认风险建议表M 建议序号风险风险级别建议123456789101112131415161718192021222324259.成果报告图示1 风险评估矩阵序号脆弱性威胁性风险风险总结风险也许性级别风险影响性级别总体风险级别关于控制办法和其他因素分析 建议12345678910111213141516171819202122232425