新版風(fēng)險(xiǎn)評估報(bào)告

風(fēng)險(xiǎn)評定報(bào)告模板信息技術(shù)風(fēng)險(xiǎn)評定年度風(fēng)險(xiǎn)評定文檔統(tǒng)計(jì)風(fēng)險(xiǎn)評定每年做一次，評定日期及評定人員填在下表：評定日期評定人員目錄1前言 42.IT系統(tǒng)描述 53風(fēng)險(xiǎn)識別 84.控制分析 105.風(fēng)險(xiǎn)可能性測定 136.影響分析 157.風(fēng)險(xiǎn)擬定 178.建議 199.成果報(bào)告 201.前言風(fēng)險(xiǎn)評定組員：評定組員在公司中崗位及在評定中的職務(wù)：風(fēng)險(xiǎn)評定采用的辦法：表A風(fēng)險(xiǎn)分類風(fēng)險(xiǎn)水平風(fēng)險(xiǎn)描述＆必要行為高信息的保密性、完整性、有效性的丟失可能在組織運(yùn)作、組織資產(chǎn)或個(gè)人方面帶來嚴(yán)峻的或?yàn)?zāi)難性的不利影響。中信息的保密性、完整性、有效性的丟失可能在組織運(yùn)作、組織資產(chǎn)或個(gè)人方面帶來嚴(yán)重的不利影響。低信息的保密性、完整性、有效性的丟失可能在組織運(yùn)作、組織資產(chǎn)或個(gè)人方面帶來有限的不利影響。2.IT系統(tǒng)描述系統(tǒng)信息和定義文檔Ⅰ.IT系統(tǒng)識別和全部權(quán)IT系統(tǒng)IDIT系統(tǒng)通用名稱OwnedBy物理位置重要業(yè)務(wù)功效系統(tǒng)主人電話號碼系統(tǒng)管理員電話號碼數(shù)據(jù)全部者的電話號碼數(shù)據(jù)管理員電話號碼其它有關(guān)信息II.ITSystemBoundaryandComponentsⅡIT系統(tǒng)描述和組件IT系統(tǒng)界面IT系統(tǒng)邊界ⅢIT系統(tǒng)的彼此連系（按需添加附加費(fèi)）代理商或單位名稱IT系統(tǒng)名稱IT系統(tǒng)IDIT系統(tǒng)全部者InterconnectionSecurityAgreementStatus全方面的IT系統(tǒng)的敏捷度評定和分類整體IT系統(tǒng)敏捷度評級如果數(shù)據(jù)類型的敏捷度被評為“高”，那么在任何原則下都必須為“高” ?高 ?中 ?低IT系統(tǒng)分類如果全部的敏捷度都為“高”，那么必須為“敏捷”；如果是適度的，也可認(rèn)為是“敏捷”?敏捷 ?非敏捷IT系統(tǒng)的描述、圖解和網(wǎng)絡(luò)架構(gòu)，涉及全部的系統(tǒng)組件、鏈接系統(tǒng)組件的通信鏈接和有關(guān)的數(shù)據(jù)通信和網(wǎng)絡(luò)：圖1—IT系統(tǒng)邊界圖描述了信息的流動來回于IT系統(tǒng)，涉及輸出和輸入到IT系統(tǒng)和其它接口圖２—信息流程圖３.風(fēng)險(xiǎn)識別脆弱性識別被識別的脆弱性：威脅識別被識別的威脅：被識別的威脅列于表Ｃ表Ｃ威脅識別風(fēng)險(xiǎn)識別被識別的風(fēng)險(xiǎn)：在表Ｄ中是脆弱性和威脅性風(fēng)險(xiǎn)識別辦法表Ｄ脆弱性、威脅性和風(fēng)險(xiǎn)風(fēng)險(xiǎn)序號脆弱性威脅性RiskofCompromiseof風(fēng)險(xiǎn)總結(jié)123456789101112131415161718192021222324254.控制分析在表E中是IT系統(tǒng)的現(xiàn)行安全控制方法與計(jì)劃安全控制方法。表E安全控制控制地方現(xiàn)行/

計(jì)劃控制方法1風(fēng)險(xiǎn)管理1.1IT安全角色&任務(wù)1.2業(yè)務(wù)影響分析1.3IT系統(tǒng)&數(shù)據(jù)敏感性分類1.4IT系統(tǒng)具體信息&解釋1.5風(fēng)險(xiǎn)評定1.6IT安全審核2IT應(yīng)急計(jì)劃2.1持續(xù)性的業(yè)務(wù)操作計(jì)劃2.2IT災(zāi)難恢復(fù)計(jì)劃2.3IT系統(tǒng)&數(shù)據(jù)備份&恢復(fù)3IT系統(tǒng)安全維護(hù)3.1IT系統(tǒng)強(qiáng)化3.2IT系統(tǒng)互操縱性安全3.3惡意代碼防衛(wèi)3.4IT系統(tǒng)開發(fā)周期的安全性4合理訪問控制4.1賬戶管理4.2密碼管理4.3遠(yuǎn)程訪問管理5數(shù)據(jù)保護(hù)4.4數(shù)據(jù)存儲媒介保護(hù)4.5數(shù)據(jù)加密6設(shè)施安全6.1設(shè)施安全7個(gè)人安全方法7.1訪問意愿&控制7.2IT安全意識&培訓(xùn)7.3合理使用8威脅管理方法8.1威脅檢測8.2事故解決8.3安全監(jiān)控&統(tǒng)計(jì)9IT資產(chǎn)管理9.1IT資產(chǎn)控制9.2軟件許可證管理9.3配備管理&變更控制表F風(fēng)險(xiǎn)—控制—因素的有關(guān)性風(fēng)險(xiǎn)序號風(fēng)險(xiǎn)總結(jié)控制方法的有關(guān)性&其它因素123456789101112131415161718192021222324255.風(fēng)險(xiǎn)可能性測定在表G中定義了可能性的等級表G風(fēng)險(xiǎn)可能性定義控制的有效性威脅出現(xiàn)的概率(自然的或環(huán)境威脅)或威脅動機(jī)和能力(人類威脅)低

中

高

低

中高高中

低中高高

低低中表H風(fēng)險(xiǎn)可能性等級風(fēng)險(xiǎn)序號風(fēng)險(xiǎn)總結(jié)風(fēng)險(xiǎn)可能性評定風(fēng)險(xiǎn)可能性等級12345678910111213141516171819風(fēng)險(xiǎn)序號風(fēng)險(xiǎn)總結(jié)風(fēng)險(xiǎn)可能性評定風(fēng)險(xiǎn)可能性等級2021222324256.影響分析表I：評定風(fēng)險(xiǎn)影響的等級表I風(fēng)險(xiǎn)影響的等級定義影響級別影響定義高出現(xiàn)的風(fēng)險(xiǎn):(1)可能造成人類死亡或嚴(yán)重的傷害;(2)可能造成重要的有形資產(chǎn)、資源或敏感數(shù)據(jù)的丟失；(3)可能明顯地?fù)p害、妨礙COV的任務(wù)、名聲或愛好.中出現(xiàn)的風(fēng)險(xiǎn):(1)可能造成人身傷害;(2)可能造成貴重的有形資產(chǎn)或資源的丟失(3)可能違反、損害妨礙COV的任務(wù)、名聲或愛好.低出現(xiàn)的風(fēng)險(xiǎn):(1)可能造成某些有形的資產(chǎn)、資源的丟失(2)可能明顯地影響妨礙COV的任務(wù)、名聲或愛好.表J風(fēng)險(xiǎn)影響分析風(fēng)險(xiǎn)序號風(fēng)向總結(jié)風(fēng)險(xiǎn)影響風(fēng)險(xiǎn)影響等級12345678910111213141516171819202122232425用于擬定影響的等級的過程描述：7.風(fēng)險(xiǎn)擬定表K：擬定全方面的風(fēng)險(xiǎn)等級的原則表K總體風(fēng)險(xiǎn)評定矩陣風(fēng)險(xiǎn)可能性風(fēng)險(xiǎn)影響低

(10)中

(50)高

(100)高

(1.0)低10x1.0=10中50x1.0=50高100x1.0=100中

(0.5)低10x0.5=5中50x0.5=25中100x0.5=50低

(0.1)低10x0.1=1低50x0.1=5低100x0.1=10風(fēng)險(xiǎn)系數(shù):低(1to10);中(>10to50);高(>50to100)表L總體風(fēng)險(xiǎn)評級表風(fēng)險(xiǎn)序號風(fēng)險(xiǎn)總結(jié)風(fēng)險(xiǎn)可能性評級風(fēng)險(xiǎn)影響性評級總體風(fēng)險(xiǎn)評級12345678910111213141516171819202122232425用于擬定總體風(fēng)險(xiǎn)等級的過程描述：8.建議表M：對表D中被識別的風(fēng)險(xiǎn)的建議表M建議序號風(fēng)險(xiǎn)風(fēng)險(xiǎn)等級建議12345678910111213