文档介绍：风险评估报告

版本：

日期：

批准：

XXXX公司
一、实施范围和时间
本公司ISMS所涉及的相关部门以及相关业务活
动。
本此风险评估的实施时间为XXXX年XX月XX日至
XXXX年XX月XX日。

二、风险评估方法
参照ISO/IEC27001和ISO/IEC27002标准，以及
《信息安全技术信息安全风险评估规范》
(GB/T20984-2007)等，依据公司的《信息安全风险
评估管理程序》(版本号： )确定的评估方法。

三、风险评估工作组
经信息安全领导办公室(或委员会)批准，此次
风险评估工作成员如下：
评估工作组组长：XXX
评估工作组成员：XXXX、XXXX……

四、风险评估结果
信息资产清单
各部门的信息资产清单见部门信息资产清单。

重要资面临的威胁和脆弱性分别见附件一和附
件二。

本次风险评估，共识别出信息安全风险XX个，不
可接受的风险XX个，具体如下：
风险等级种个数说明
类
很高
不可接受风
高
险
中等
低
可接受风险
很低

五、风险处理计划
风险处理计划见附件三。
附件一：重要资产面临的威胁汇总表
表1-1：重要硬件资产威胁识别表
重要资产威胁识别表－－硬件资产
资产名资产描述威胁类部门
称
台式机网关/SVN服务器操作失误
Bugzilla/FTP/Web 滥用权限
服务器
Trac服务器系统漏洞攻击
设备硬件故障
社会工程威胁
维护错误
未授权访问系统资
源
物理访问失控
电磁干扰
系统负载过载
机架式 Mail服务器操作失误
服务器滥用权限
系统漏洞攻击
设备硬件故障
社会工程威胁
维护错误
未授权访问系统资
源
物理访问失控
电磁干扰
系统负载过载
笔记本木马***攻击
电脑设备硬件故障
网络病毒传播