4风险评估报告模板

风险评估报告风险评估报告模板信息技术风险评估风险评估报告年度风险评估文档记录风险评估每年做一次，评估日期及评估人员填在下表：评估日期评估人员风险评估报告目录1前言............................................................................................................................42.IT系统描述.................................................................................................................53风险识别....................................................................................................................84.控制分析..................................................................................................................105.风险可能性测定......................................................................................................146.影响分析..................................................................................................................167.风险确定..................................................................................................................188.建议..........................................................................................................................209.结果报告..................................................................................................................21风险评估报告1.前言风险评估成员：评估成员在公司中岗位及在评估中的职务：风险评估采用的方法：表A风险分类风险水平风险描述＆必要行为高信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人方面带来严峻的或灾难性的不利影响。中信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人方面带来严重的不利影响。低信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人方面带来有限的不利影响。风险评估报告2.IT系统描述系统信息和定义文档Ⅰ.IT系统识别和所有权IT系统IDIT系统通用名称OwnedBy物理位置主要业务功能系统主人电话号码系统管理员电话号码数据所有者的电话号码数据管理员电话号码其它相关信息II.ITSystemBoundaryandComponentsⅡIT系统描述和组件IT系统界面IT系统边界ⅢIT系统的彼此连系（按需添加附加费）代理商或单位名称IT系统名称IT系统IDIT系统所有者InterconnectionSecurityAgreementStatus全面的IT系统的灵敏度评估和分类整体IT系统灵敏度评级如果数据类型的灵敏度被评为“高”，那么在任何标准下都必须为“高”高中低IT系统分类如果所有的灵敏度都为“高”，那么必须为“灵敏”；如果是适度的，也可认为是“灵敏”灵敏非灵敏风险评估报告IT系统的描述、图解和网络架构，包括全部的系统组件、链接系统组件的通信链接和相关的数据通信和网络：图1—IT系统边界图描述了信息的流动往返于IT系统，包括输出和输入到IT系统和其它接口风险评估报告图２—信息流程图风险评估报告３.风险识别脆弱性识别被识别的脆弱性：威胁识别被识别的威胁：被识别的威胁列于表Ｃ表Ｃ威胁识别风险识别被识别的风险：在表Ｄ中是脆弱性和威胁性风险识别方法风险评估报告表Ｄ脆弱性、威胁性和风险风险序号脆弱性威胁性RiskofCompromiseof风险总结12345678910111213141516171819202122232425风险评估报告4.控制分析在表E中是IT系统的现行安全控制措施与计划安全控制措施。表E安全控制控制地方现行/计划控制措施1风险管理1.1IT安全角色&任务1.2业务影响分析1.3IT系统&数据敏感性分类1.4IT系统详细信息&解释1.5风险评估1.6IT安全审核2IT应急计划2.1连续性的业务操作计划2.2IT灾难恢复计划2.3IT系统&数据备份&恢复3IT系统安全维护3.1IT系统强化3.2IT系统互操纵性安全3.3恶意代码防卫3.4IT系统开发周期的安全性4合理访问控制4.1账户管理风险评估报告控制地方现行/计划控制措施4.2密码管理4.3远程访问管理5数据保护4.4数据存储媒介保护4.5数据加密6设施安全6.1设施安全7个人安全措施7.1访问意愿&控制7.2IT安全意识&培训7.3合理使用8威胁管理措施8.1威胁检测8.2事故处理8.3安全监控&记录9IT资产管理9.1IT资产控制9.2软件许可证管理9.3配置管理&变更控制风险评估报告表F风险—控制—因素的相关性风险评估报告风险序号风险总结控制措施的相关性&其它因素12345678910111213141516171819202122232425风险评估报告5.风险可能性测定在表G中定义了可能性的等级表G风险可能性定义控制的有效性威胁出现的概率(自然的或环境威胁)或威胁动机和能力(人类威胁)低中高低中高高中低中高高低低中表H风险可能性等级风险序号风险总结风险可能性评估风险可能性等级12345678910111213141516171819风险评估报告风险序号风险总结风险可能性评估风险可能性等级202122232425风险评估报告6.影响分析表I：评估风险影响的等级表I风险影响的等级定义影响级别影响定义高出现的风险:(1)可能导致人类死亡或严重的伤害;(2)可能导致主要的有形资产、资源或敏感数据的丢失；(3)可能显著地损害、阻碍COV的任务、名声或兴趣.中出现的风险:(1)可能导致人身伤害;(2)可能导致贵重的有形资产或资源的丢失(3)可能违反、损害阻碍COV的任务、名声或兴趣.低出现的风险:(1)可能导致一些有形的资产、资源的丢失(2)可能明显地影响阻碍COV的任务、名声或兴趣.表J风险影响分析风险序号风向总结风险影响风险影响等级1234567891011121314151617181920风险评估报告风险序号风向总结风险影响风险影响等级2122232425用于确定影响的等级的过程描述：风险评估报告7.风险确定表K：确定全面的风险等级的标准表K总体风险评估矩阵风险可能性风险影响低(10)中(50)高(100)高(1.0)低10x1.0=10中50x1.0=50高100x1.0=100中(0.5)低10x0.5=5中50x0.5=25中100x0.5=50低(0.1)低10x0.1=1低50x0.1=5低100x0.1=10风险系数:低(1to10);中(10to50);高(50to100)表L总体风险评级表风险序号风险总结风险可能性评级风险影响性评级总体风险评级123456789101112131415161718风险评估报告风险序号风险总结风险可能性评级风险影响性评级总体风险评级19202122232425用于确定总体风险等级的过程描述：风险评估报告8.建议表M：对表D中被识别的风险的建议表M建议序号风险风险等级建议12345678910111213141516171819202122232425风险评估报告9.结果报告图示1风险评估矩阵序号脆弱性威胁性风险风险总结风险可能性等级风险影响性等级总体风险等级有关控制措施和其它因素的分析建议12345678910111213141516风险评估报告171819202122232425