风险评估分析报告模板.doc

1、风险评估报告模板 信息技术风险评估 年度风险评估文档记录 风险评估每年做一次，评估日期及评估人员填在下表： 评估日期 评估人员 目录 1前言 4 2.IT系统描述 5 3风险辨认 8 4.控制分析 10 5.风险也许性测定 13 6.影响分析 15

2、7.风险拟定 17 8.建议 19 9.成果报告 20 1.前言 风险评估成员： 评估成员在公司中岗位及在评估中职务： 风险评估采用办法： 表A 风险分类 风险水平 风险描述＆必要行为 高 信息保密性、完整性、有效性丢失也许在组织运作、组织资产或个人方面带来严峻或劫难性不利影响。 中 信息保密性、完整性、有效性丢失也许在组织运作、组织资产或个人方面带来严重不利影响。 低 信

3、息保密性、完整性、有效性丢失也许在组织运作、组织资产或个人方面带来有限不利影响。 2.IT系统描述 系统信息和定义文档 Ⅰ.IT系统辨认和所有权 IT系统ID IT系统通用名称 Owned By 物理位置 重要业务功能 系统主人电话号码 系统管理员电话号码 数据所有者电话号码 数据管理员电话号码 其他有关信息 II. IT System Boundary and ComponentsⅡ IT系统描述和组件 IT系统界面 IT系统边界 Ⅲ IT系统彼此连系（按需添加附加

4、费） 代理商或单位名称 IT系统名称 IT系统ID IT 系统所有者 Interconnection Security Agreement Status 全面IT系统敏捷度评估和分类 整体IT系统敏捷度评级 如果数据类型敏捷度被评为“高”，那么在任何原则下都必要为“高”  高  中  低 IT 系统分类 如果所有敏捷度都为“高”，那么必要为“敏捷”；如果是适度，也可以为是“敏捷”  敏捷 

5、 非敏捷 IT系统描述、图解和网络架构，涉及所有系统组件、链接系统组件通信链接和有关数据通信和网络： 图1—IT系统边界图 描述了信息流动来回于IT系统，涉及输出和输入到IT系统和其他接口 图２—信息流程图

6、 ３.风险辨认 　　脆弱性辨认 　　被辨认脆弱性： 威胁辨认 被辨认威胁： 被辨认威胁列于表Ｃ 表Ｃ　威胁辨认 风险辨认 被辨认风险： 在表Ｄ中是脆弱性和威胁性风险辨认办法 表Ｄ　脆弱性、威胁性和风险 风险 序号 脆弱性 威胁性 Risk of Compromise of 风险总结 1 2 3 4

7、5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 4.控制分析 在表E中是IT系统现行安全控制办法与筹划安全控制办法。 表E 安全

8、控制 控制地方 现行/ 筹划 控制办法 1 风险管理 1.1 IT 安全角色& 任务 1.2 业务影响分析 1.3 IT 系统 & 数据敏感性分类 1.4 IT 系统详细信息 & 解释 1.5 风险评估 1.6 IT 安全审核 2 IT 应急筹划 2.1 持续性业务操作筹划 2.2 IT 劫难恢复 筹划 2.3 IT系统 & 数据备份& 恢复 3 IT 系统安全维护 3.1 IT 系统强化 3.2 IT 系统互操纵性安全 3.3恶意代码防卫 3.4 IT系统开

9、发周期安全性 4合理访问控制 4.1 账户管理 4.2 密码管理 4.3 远程访问管理 5 数据保护 4.4数据存储媒介保护 4.5数据加密 6 设施安全 6.1 设施安全 7个人安全办法 7.1 访问意愿 & 控制 7.2 IT 安全意识 & 培训 7.3 合理使用 8 威胁管理办法 8.1 威胁检测 8.2 事故解决 8.3 安全监控 & 记录 9 IT 资产管理 9.1 IT 资产控制 9.2 软件允许证管理 9

10、3 配备管理 & 变更控制 表F 风险—控制—因素有关性 风险 序号 风险总结 控制办法有关性 & 其他因素 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 5.风险也许性测定

11、 在表G中定义了也许性级别 表G 风险也许性定义 控制有效性 威胁浮现概率 (自然或环境威胁) 或威胁动机和能力 (人类威胁) 低 中 高 低 中 高 高 中 低 中 高 高 低 低 中 表H 风险也许性级别 风险序号 风险总结 风险也许性评估 风险也许性级别 1 2 3 4 5 6 7 8 9 10 11 12 13 14

12、15 16 17 18 19 风险序号 风险总结 风险也许性评估 风险也许性级别 20 21 22 23 24 25 6.影响分析 表I：评估风险影响级别 表I 风险影响级别定义 影响级别 影响定义 高 浮现风险：(1) 也许导致人类死亡或严重伤害；(2) 也许导致重要有形资产、资源或敏感数据丢失； (3) 也许明显地

13、损害、阻碍COV任务、名声或兴趣. 中 浮现风险：(1) 也许导致人身伤害；(2) 也许导致贵重有形资产或资源丢失 (3) 也许违背、损害阻碍COV任务、名声或兴趣. 低 浮现风险：(1) 也许导致某些有形资产、资源丢失(2) 也许明显地影响阻碍COV任务、名声或兴趣. 表J 风险影响分析 风险 序号 风向总结 风险影响 风险影响级别 1 2 3 4 5 6 7 8 9 10 11 12 13

14、 14 15 16 17 18 19 20 21 22 23 24 25 用于拟定影响级别过程描述： 7.风险拟定 表K：拟定全面风险级别原则 表K 总体风险评估矩阵 风险也许性 风险影响 低 (10) 中 (50) 高 (100) 高 (1.0) 低 10 x 1.0 = 10 中 50 x

15、1.0 = 50 高 100 x 1.0 = 100 中 (0.5) 低 10 x 0.5 = 5 中 50 x 0.5 = 25 中 100 x 0.5 = 50 低 (0.1) 低 10 x 0.1 = 1 低 50 x 0.1 = 5 低 100 x 0.1 = 10 风险系数：低 (1 to 10)；中 (>10 to 50)；高 (>50 to 100) 表L 总体风险评级表 风险 序号 风险总结 风险也许性评级 风险影响性评级 总体风险评级 1 2 3 4

16、 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 用于拟定总体风险级别过程描述：

17、 8.建议 表M：对表D中被辨认风险建议 表M 建议 序号 风险 风险级别 建议 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25

18、 9.成果报告 图示1 风险评估矩阵 序号 脆弱性 威胁性 风险 风险总结 风险也许性级别 风险影响性级别 总体风险级别 关于控制办法和其他因素分析 建议 1 2 3 4 5 6 7 8 9 10

19、 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25