文档介绍:风险评估报告模板
信息技术风险评估
年度风险评估文档记录
风险评估每年做一次,评估日期及评估人员填在下表:
评估日期
评估人员
目录
1前言・・・
3风险识别
・・・.风险评估报告模板
信息技术风险评估
年度风险评估文档记录
风险评估每年做一次,评估日期及评估人员填在下表:
评估日期
评估人员
目录
1前言・・・
3风险识别
・・・.
....6
8
13
控制分析 16
20
23
7
风险确定25
28
9
结果报告30
风险评估成员:
评估成员在公司中岗位及在评估中的职务:
风险评估采用的方法:
表A风睑分类
风险水平
风险描述&必要行为
高
信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人方面带来严峻的或灾难性的不利影响。
中
信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人方面带来严垂的不利影响。
低
信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人方面带来有限的不利影响。
系统信息和定义文档
I」T系统识别和所有权
IT系统ID
IT系统通用名称
OwnedBy
物理位置
主要业务功能
系统主人电话号
系统管理员电话号码
码
数据所有者的电
数据管理员电话号码
话号码
其它相关信息
n
IT系统描述和组件
IT系统界面
IT系统边界
川IT系统的彼此连系(按需添加附加费)
代理商或单位名
IT系统名称
IT系统ID
IT系统所有者
Interconnection
称
Security Agreement
Status
全面的IT系
统的灵敏度评
估和分类
整体IT系统灵敏度评级
如果数据类型的灵敏度被评为“高”,那么在任何标准下都必须为“高”
? 高? 中? 低
IT系统分类
如果所有的灵敏度都为“'高",那么必须为"灵敏”;如果是适度的,也可认为是'‘灵
敏“
?灵敏 ? 非灵敏
IT系统的描述、图解和网络架构,包括全部的系统组件、链接系统组件的通信链接和相关的数据通信和网络:
图1—IT系统边界图
描述了信息的流动往返于IT系统,包括输出和输入到IT系统和其它接口
图2—信息流程图
3•风险识别
脆弱性识别
被识别的脆弱性:
威胁识别
被识别的威胁:
被识别的威胁列于表C
表C威胁识别
风险识别
被识别的风险:
在表D中是脆弱性和威胁性风险识别方法
表D脆弱性、威胁性和风险
风险
序号
脆弱性
威胁性
RiskofCompromise
of
风险总结
1
风险
序号
脆弱性
威胁性
RiskofCompromise
of
风险总结
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
控制分析
在表E中是IT系统的现行安全控制措施与计划安全控制措施表E安全控制
控制地方
现行/
计划
控制措施
1风险管理
&任
务
1・2业务影响分析
&数据
敏感性分类
&解释
1・5风险评估
2IT应急计划
作计划
划
&数据备
份&恢复
3IT系统安全维护
安全
控制地方
现行/
计划
控制措施
的安全性
4合理访问控制
5数据保护
6设施安全
7个人安全措施
&控制
&
培训
8威胁管理措施
&记录
9IT资产管理
&变更
控制
表F风险一控制一因素的相关性
风险
序号
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
风险总结
控制措施的