文档介绍：该【风险评估报告模板】是由【小sjj】上传分享，文档一共【22】页，该文档可以免费在线阅读，需要了解更多关于【风险评估报告模板】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。:.
风险评估报告
风险评估报告模板
信息技术风险评估
:.
风险评估报告
年度风险评估文档记录
风险评估每年做一次,评估日期及评估人员填在下表:
评估日期评估人员
:.
风险评估报告
目录
1前言............................................................................................................................4
.................................................................................................................5
3风险识别....................................................................................................................8
..................................................................................................................10
......................................................................................................14
..................................................................................................................16
..................................................................................................................18
..........................................................................................................................20
..................................................................................................................21
:.
风险评估报告

风险评估成员:
评估成员在公司中岗位及在评估中的职务:
风险评估采用的方法:
表A风险分类
风险水平风险描述&必要行为
高信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人
方面带来严峻的或灾难性的不利影响。
中信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人
方面带来严重的不利影响。
低信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人
方面带来有限的不利影响。
:.
风险评估报告

系统信息和定义文档
Ⅰ.IT系统识别和所有权
IT系统IDIT系统通用名称
OwnedBy
物理位置
主要业务功能
系统主人电话号系统管理员电话号码
码
数据所有者的电数据管理员电话号码
话号码
其它相关信息
Ⅱ
IT系统描述和组
件
IT系统界面
IT系统边界
ⅢIT系统的彼此连系(按需添加附加费)
代理商或单位名IT系统名称IT系统IDIT系统所有者InterconnectionSecurity
称AgreementStatus
整体IT系统灵敏度评级
全面的IT系统如果数据类型的灵敏度被评为“高”,那么在任何标准下都必须为“高”
的灵敏度评估高中低
和分类IT系统分类
如果所有的灵敏度都为“高”,那么必须为“灵敏”;如果是适度的,也可认为是“灵
敏”
灵敏非灵敏
:.
风险评估报告
IT系统的描述、图解和网络架构,包括全部的系统组件、链接系
统组件的通信链接和相关的数据通信和网络:
图1—IT系统边界图
描述了信息的流动往返于IT系统,包括输出和输入到IT系统和其它接口
:.
风险评估报告
图2—信息流程图
:.
风险评估报告

脆弱性识别
被识别的脆弱性:
威胁识别
被识别的威胁:
被识别的威胁列于表C
表C威胁识别
风险识别
被识别的风险:
在表D中是脆弱性和威胁性风险识别方法:.
风险评估报告
表D脆弱性、威胁性和风险
风险Riskof
脆弱性威胁性风险总结
序号Compromiseof
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
:.
风险评估报告

在表E中是IT系统的现行安全控制措施与计划安全控制措施。
表E安全控制
现行/
控制地方控制措施
计划
1风险管理
&任
务

&数据敏
感性分类

&解释

2IT应急计划

作计划

&数据备
份&恢复
3IT系统安全维护

安全

安全性
4合理访问控制
:.
风险评估报告
现行/
控制地方控制措施
计划

5数据保护

6设施安全

7个人安全措施
&控制
&培
训

8威胁管理措施

&记录
9IT资产管理

&变更
控制
:.
风险评估报告
表F风险—控制—因素的相关性:.
风险评估报告
风险
风险总结控制措施的相关性&其它因素
序号
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
:.
风险评估报告

在表G中定义了可能性的等级
表G风险可能性定义
威胁出现的概率(自然的或环境威胁)或威胁动机和能力(人类威胁)
控制的有效性低中高
低
中高高
中
低中高
高
低低中
表H风险可能性等级
风险序号风险总结风险可能性评估风险可能性等级
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
:.
风险评估报告
风险序号风险总结风险可能性评估风险可能性等级
20
21
22
23
24
25
:.
风险评估报告

表I:评估风险影响的等级
表I风险影响的等级定义
影响级别影响定义
高出现的风险:(1)可能导致人类死亡或严重的伤害;(2)可能导致主要的有形资产、资源
或敏感数据的丢失;(3)可能显著地损害、阻碍COV的任务、名声或兴趣.
中出现的风险:(1)可能导致人身伤害;(2)可能导致贵重的有形资产或资源的丢失(3)可
能违反、损害阻碍COV的任务、名声或兴趣.
低出现的风险:(1)可能导致一些有形的资产、资源的丢失(2)可能明显地影响阻碍COV
的任务、名声或兴趣.
表J风险影响分析
风险
风向总结风险影响风险影响等级
序号
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20:.
风险评估报告
风险
风向总结风险影响风险影响等级
序号
21
22
23
24
25
用于确定影响的等级的过程描述:
:.
风险评估报告

表K:确定全面的风险等级的标准
表K总体风险评估矩阵
风险影响
风险可能性低中高
(10)(50)(100)
高低中高
()===100
中低中中
()===50
低低低低
()===10
风险系数:低(1to10);中(>10to50);高(>50to100)
表L总体风险评级表
风险
风险总结风险可能性评级风险影响性评级总体风险评级
序号
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18:.
风险评估报告
风险
风险总结风险可能性评级风险影响性评级总体风险评级
序号
19
20
21
22
23
24
25
用于确定总体风险等级的过程描述:
:.
风险评估报告

表M:对表D中被识别的风险的建议
表M建议
序号风险风险等级建议
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
:.
风险评估报告

图示1风险评估矩阵
风险可能性风险影响性总体风险等有关控制措施和其它因素的
序号脆弱性威胁性风险风险总结建议
等级等级级分析
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16:.
风险评估报告
17
18
19
20
21
22
23
24
25