風(fēng)險評估報告模板定稿版完整版

1、風(fēng)險評估報告模板HUA system office room HUA 16H-TTMS2A-HUAS8Q8-HUAH1688風(fēng)險評估報告模板信息技術(shù)風(fēng)險評估年度風(fēng)險評估文檔記錄風(fēng)險評估每年做一次，評估日期及評估人員填在下表:評估日期評估人員目錄1刖百1 .IT系統(tǒng)描述3風(fēng)險識別4 .控制分析5 .風(fēng)險可能性測定6 .影響分析7 .風(fēng)險確定8 .建議9 .結(jié)果報告1.前言風(fēng)險評估成員：評估成員在公司中崗位及在評估中的職務(wù)：風(fēng)險評估采用的方法：表A風(fēng)險分類風(fēng)險水平風(fēng)險描述&必要行為信息的保密性、完整性、有效性的丟失可能在組織運作、組織資 產(chǎn)或個人方面帶來嚴峻的或災(zāi)難性的不利影響。中信息的保

2、密性、完整性、有效性的丟失可能在組織運作、組織資產(chǎn)或個人方面帶來嚴重的不利影響。低信息的保密性、完整性、有效性的丟失可能在組織運作、組織資產(chǎn)或個人方面帶來有限的不利影響。2. IT系統(tǒng)描述系統(tǒng)信息和定義文檔I.IT系統(tǒng)識別和所有權(quán)IT系統(tǒng)IDIT系統(tǒng)通用名稱Owned By物理位置主要業(yè)務(wù)功能系統(tǒng)主人電話號碼系統(tǒng)管理員電話號碼數(shù)據(jù)所有者的電話號碼數(shù)據(jù)管理員電話號碼其它相關(guān)信息IL IT System Boundary and Components IIIT系統(tǒng)描述和組件IT系統(tǒng)界面IT系統(tǒng)邊界in IT系統(tǒng)的彼此連系（按需添加附加費）代理商或單位名稱IT系統(tǒng)名稱IT系統(tǒng)IDIT系統(tǒng)所有者Int

3、erconnectionSecurity AgreementStatus全面的IT 系統(tǒng)的靈敏 度評估和分 類整體IT系統(tǒng)靈敏度評級如果數(shù)據(jù)類型的靈敏度被評為“高”，那么在任何標(biāo)準下都必須為“高”高中低IT系統(tǒng)分類如果所有的靈敏度都為“高”，那么必須為“靈敏”；如果是適度的，也可認為是“靈敏”靈敏非靈敏IT系統(tǒng)的描述、圖解和網(wǎng)絡(luò)架構(gòu)，包括全部的系統(tǒng)組件、鏈接系統(tǒng)組件的通信鏈接和相關(guān)的數(shù)據(jù)通信和網(wǎng)絡(luò)： 圖1IT系統(tǒng)邊界圖 描述了信息的流動往返于IT系統(tǒng)，包括輸出和輸入到IT系統(tǒng)和其它接口 圖2信息流程圖脆弱性識別被識別的脆弱性:威脅識別被識別的威脅：被識別的威脅列于表C表C威脅識別風(fēng)險識別被識別

4、的風(fēng)險：在表D中是脆弱性和威脅性風(fēng)險識別方法表D脆弱性、威脅性和風(fēng)險風(fēng)險序號脆弱性威脅性Risk ofCompromise of風(fēng)險總結(jié)12345風(fēng)險序號脆弱性威脅性Risk ofCompromise of風(fēng)險總結(jié)6789101112131415風(fēng)險序號脆弱性威脅性Risk ofCompromise of風(fēng)險總結(jié)161718192021222324254 .控制分析在表E中是IT系統(tǒng)的現(xiàn)行安全控制措施與計劃安全控制措施。表E安全控制控制地方現(xiàn)行/計劃控制措施1風(fēng)險管理1.1 IT安全角色也任務(wù)1. 2業(yè)務(wù)影響分析1.3 IT系統(tǒng)&數(shù)據(jù)敏感性分類控制地方現(xiàn)行/計劃控制措施1.4 IT系統(tǒng)

5、詳細信息&解釋1. 5風(fēng)險評估1.6 IT安全審核2 IT應(yīng)急計劃2.1連續(xù)性的業(yè)務(wù)操作計劃2. 2 IT災(zāi)難恢復(fù)計劃控制地方現(xiàn)行/計劃控制措施2. 3 IT系統(tǒng)&數(shù)據(jù)備份也恢復(fù)3 IT系統(tǒng)安全維護3.1 IT系統(tǒng)強化3. 2 IT系統(tǒng)互操縱性安全3. 3惡意代碼防衛(wèi)3. 4 IT系統(tǒng)開發(fā)周期的安全性控制地方現(xiàn)行/計劃控制措施4合理訪問控制4.1賬戶管理4. 2密碼管理4.3遠程訪問管理5數(shù)據(jù)保護4. 4數(shù)據(jù)存儲媒介保護4. 5數(shù)據(jù)加密6設(shè)施安全6.1設(shè)施安全控制地方現(xiàn)行/計劃控制措施7個人安全措施7. 1訪問意愿&控制7.2 IT安全意識&培訓(xùn)7. 3合理使用

6、8威脅管理措施8.1威脅檢測8. 2事故處理8. 3安全監(jiān)控&記錄控制地方現(xiàn)行/計劃控制措施9 IT資產(chǎn)管理9.1 IT資產(chǎn)控制9. 2軟件許可證管理9. 3配置管理&變更控制表F風(fēng)險一控制一因素的相關(guān)性風(fēng)險總結(jié)控制措施的相關(guān)性&其它因素風(fēng)險123456789101113131415161718192021222324255 .風(fēng)險可能性測定在表G中定義了可能性的等級表G風(fēng)險可能性定義控制的有效性威脅出現(xiàn)的概率（自然的或環(huán)境威脅）或威脅動機和能力（人類威脅）低中高低中高A中低中高A低低中表H風(fēng)險可能性等級風(fēng)險總結(jié)風(fēng)險可能性評估風(fēng)險可能性等風(fēng)險序號12345678910風(fēng)

7、險序風(fēng)險總結(jié)風(fēng)險可能性評估風(fēng)險可能性等號級111213141516171819風(fēng)險序風(fēng)險總結(jié)風(fēng)險可能性等風(fēng)險可能性評估風(fēng)險序風(fēng)險總結(jié)風(fēng)險可能性評估風(fēng)險可能性等號級2021222324256 .影響分析表I:評估風(fēng)險影響的等級表I風(fēng)險影響的等級定義影響級別影響定義影響級別影響定義高出現(xiàn)的風(fēng)險：（1）可能導(dǎo)致人類死亡或嚴重的傷害；（2）可能導(dǎo)致主要 的有形資產(chǎn)、資源或敏感數(shù)據(jù)的丟失；（3）可能顯著地損害、阻礙COV 的任務(wù)、名聲或興趣.中出現(xiàn)的風(fēng)險：（1）可能導(dǎo)致人身傷害；（2）可能導(dǎo)致貴重的有形資產(chǎn)或資源的丟失（3）可能違反、損害阻礙COV的任務(wù)、名聲或興趣.低出現(xiàn)的風(fēng)險：（1）可能導(dǎo)致一些有形

8、的資產(chǎn)、資源的丟失（2）可能明顯地影響阻礙COV的任務(wù)、名聲或興趣.表J風(fēng)險影響分析風(fēng)險序號風(fēng)向總結(jié)風(fēng)險影響風(fēng)險影響等級123風(fēng)險序號風(fēng)向總結(jié)風(fēng)險影響風(fēng)險影響等級456789101112風(fēng)險序號風(fēng)向總結(jié)風(fēng)險影響風(fēng)險影響等級14151617181920212223風(fēng)險序號風(fēng)向總結(jié)風(fēng)險影響風(fēng)險影響等級2425用于確定影響的等級的過程描述:7 .風(fēng)險確定表K：確定全面的風(fēng)險等級的標(biāo)準表K總體風(fēng)險評估矩陣風(fēng)險可能性風(fēng)險影響低(10)中(50)高(100)高(1.0)低10 x 1.0 = 10中50 x 1. 0 = 50高100 x 1.0 = 100中(0. 5)低10 x 0. 5 = 5中50

9、 x 0. 5 = 25中100 x 0. 5 = 50低(0.1)低10 x 0. 1 = 1低50 x 0.1 = 5低100 X 0. 1 = 10風(fēng)險系數(shù)：低(1 to 10);中(>10 to 50);高(>50 to 100)表L總體風(fēng)險評級表風(fēng)險序號風(fēng)險總結(jié)風(fēng)險可能性評級風(fēng)險影響性評級總體風(fēng)險評級123風(fēng)險序號風(fēng)險總結(jié)風(fēng)險可能性評級風(fēng)險影響性評級總體風(fēng)險評級45678910111213風(fēng)險序號風(fēng)險總結(jié)風(fēng)險可能性評級風(fēng)險影響性評級總體風(fēng)險評級14151617181920212223風(fēng)險序號風(fēng)險總結(jié)風(fēng)險可能性評級風(fēng)險影響性評級總體風(fēng)險評級2425用于確定總體風(fēng)險等級的過程描述：8 .建議表M：對表D中被識別的風(fēng)險的建議表M建議序號風(fēng)險風(fēng)險等級建議1234