文档介绍:Revised by Hanlin on 10 January 2021
风险评估报告模板
风险评估报告模板
信息技术风险评估
年度风险评估文档记录
风险评估每年做一次,评估日期及评估人员填在下表:
评估日期
评估人员
目录
1
风险评估成员:
评估成员在公司中岗位及在评估中的职务:
风险评估采用的方法:
表A 风险分类
风险水平
风险描述&必要行为
高
信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人方面带来严峻的或灾难性的不利影响。
中
信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人方面带来严重的不利影响。
低
信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人方面带来有限的不利影响。
系统信息和定义文档
Ⅰ.IT系统识别和所有权
IT系统ID
IT系统通用名称
Owned By
物理位置
主要业务功能
系统主人电话号码
系统管理员电话号码
数据所有者的电话号码
数据管理员电话号码
其它相关信息
II. IT System Boundary and ComponentsⅡ
IT系统描述和组件
IT系统界面
IT系统边界
Ⅲ IT系统的彼此连系(按需添加附加费)
代理商或单位名称
IT系统名称
IT系统ID
IT 系统所有者
Interconnection Security Agreement Status
全面的IT系统的灵敏度评估和分类
整体IT系统灵敏度评级
如果数据类型的灵敏度被评为“高”,那么在任何标准下都必须为“高”
高 中
低
IT 系统分类
如果所有的灵敏度都为“高”,那么必须为“灵敏”;如果是适度的,也可认为是“灵敏”
灵敏 非灵敏
IT系统的描述、图解和网络架构,包括全部的系统组件、链接系统组件的通信链接和相关的数据通信和网络:
图1—IT系统边界图
描述了信息的流动往返于IT系统,包括输出和输入到IT系统和其它接口
图2—信息流程图
脆弱性识别
被识别的脆弱性:
威胁识别
被识别的威胁:
被识别的威胁列于表C
表C 威胁识别
风险识别
被识别的风险:
在表D中是脆弱性和威胁性风险识别方法
表D 脆弱性、威胁性和风险
风险
序号
脆弱性
威胁性
Risk of Compromise of
风险总结
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
在表E中是IT系统的现行安全控制措施与计划安全控制措施。
表E 安全控制
控制地方
现行/
计划
控制措施
1 风险管理
IT 安全角色& 任务
业务影响分析
IT 系统 & 数据敏感性分类
IT 系统详细信息 & 解释
风险评估
IT 安全审核
2 IT 应急计划
连续性的业务操作计划
IT 灾难恢复 计划
IT系统 & 数据备份& 恢复
3 IT 系统安全维护
IT 系统强化
IT 系统互操纵性安全
控制地方
现行/
计划
控制措施
IT系统开发周期的安全性
4合理访问控制
账户管理