文档介绍:本文格式为Word版,下载可任意编辑
— 2 —
风险评估报告风险评估报告范本
文件编号:
风险评估报告
version:
编制人:日期:
审核人: 日期:
以下原那么举行资产清点:
1)确定核心业务过程
2)针对核心业务过程产生和使用的信息资产举行清点
3)根据资产分类原那么,将清点的资产举行分类
4)各部门将清点的资产纳入《信息资产清单》
5)由各部门负责人对《信息资产清单》中所列的资产举行确认签字。
信息安好办公室对各部门举行的资产清单举行审查确认,并最终将全体的资产举行汇总成公司总的信息资产清单。
由于服务、办公设备、媒介资产各个部门是共同的,因此,在举行资产重要性评估时,将这三类资产举行了合并。
细致的资产清单参见《信息资产清单(公司汇总)》
风险评估阶段
风险评估主要体验以下几个阶段
1)资产重要性评分
2)要挟和脆弱性识别
本文格式为Word版,下载可任意编辑
— 7 —
3)要挟及脆弱性评分
4)风险排序
资产重要性评分主要考虑信息安好的三个方面,即:保密性,完整性和可用性,资产重要性评分标准参见《风险评估准那么》。
要挟的识别主要考虑来自三个方面的要挟,即:自然的要挟、人为的要挟以及以意外产生的要挟,脆弱性将主要考虑资产本身以及管理中的漏洞。并根据要挟来确定相关的脆弱性会否被利用而产生风险。要挟和脆弱性关联性已经事先研讨并确定成《要挟和脆弱性矩阵表》,参见《要挟脆弱性矩阵表》。
根据《要挟和脆弱性矩阵表》,针对所识别的每项资产,将根据要挟和脆弱性矩阵表确定资产概括的要挟和脆弱性,并同时考虑目前已有的操纵措施,举行要挟和脆弱性评分,
要挟和脆弱性评分标准参见《风险评估准那么》。
每个资产在确定要挟、脆弱性评分后,考虑资产重要性,将计算出资产面临的不同风险的分值,并对每一资产所面临的不同要挟举行排序。
5. 风险评估结果
根据风险评估准那么的要求,资产的风险值分为五个等级:低、中低、中、中高、高,对评分为低、中低的风险,建议为可采纳的风险,即可不考虑采取相关的操纵措施,而对评分为中、中高及高的风险,建议为不成采纳的风险,并需要考虑采取相应的操纵措施。
本文格式为Word版,下载可任意编辑
— 7 —
由于业务的繁杂性,以及客户的不同要求,不同部门所面临的风险是不同的,有些风险在一些部门是可采纳的,但有些风险在另一些部门却是不成采纳的。
根据各部门风险评估的结果,将各部门风险根据以下原那么举行合并,合并的结果参见《信息安好风险一览表》。
a)至少两个部门都存在的风险
b)与公司核心业务的信息安好相关的风险
c)根据不同的资产类别举行风险划分
从整改难度、资金投入方面考虑,需要高层关注的不成采纳风险包括:
a)由于缺乏业务连续性筹划(例如灾难恢复筹划),当发生通讯中断、重大灾难
发生时,导致各类信息资产受损,使得业务无法举行。
b)未经允许,肆意安装计算机应用程序现象泛滥,轻易导致信息网络感染木马和
病毒,也轻易由于使用盗版软件而引起诉讼。
本文格式为Word版,下载可任意编辑
— 8 —
c)上网行为对比混乱,难以管理和举行统计,访问不健康网站行为无法实时察觉
和阻断,也可能通过网络泄密公司敏感信息。
d)外部计算机非法接入内部网络,造成信息安好隐患。
e)通过Modem拨号、ADSL拨号和无线拨号等私自建立网络连接,造成单位内部网
络存在安好隐患
f)MSN/等即时通讯工具管理,无法对外发邮件无法的监控。
g)人员异动处境管理问题(人员退出工程的账号密码管理问题、门禁卡管理问题,
更加是临时权限管理)
h)公司的消防问题,更加是机房消防问题,无物理安好措施。
公司网络目前存在一系列的安好漏洞,包括:
a)网络设备操作系统安好配置漏洞
中心机房核心交换机只有功能性的配置,几乎没有考虑安好配置,例如:时间同步、安好审