风险评估分析报告模板.docx

风险评定汇报模板信息技术风险评定年度风险评定文档统计风险评定每十二个月做一次，评定日期及评定人员填在下表：评定日期评定人员目录1序言 42.IT系统描述 53风险识别 84.控制分析 105.风险可能性测定 136.影响分析 157.风险确定 178.提议 199.结果汇报 201.序言风险评定组员： 评定组员在企业中岗位及在评定中职务：风险评定采取方法：表A 风险分类风险水平风险描述＆必需行为高信息保密性、完整性、有效性丢失可能在组织运作、组织资产或个人方面带来严峻或灾难性不利影响中信息保密性、完整性、有效性丢失可能在组织运作、组织资产或个人方面带来严重不利影响低信息保密性、完整性、有效性丢失可能在组织运作、组织资产或个人方面带来有限不利影响2.IT系统描述系统信息和定义文档Ⅰ.IT系统识别和全部权IT系统IDIT系统通用名称Owned By物理位置关键业务功效系统主人号码系统管理员号码数据全部者号码数据管理员号码其它相关信息II. IT System Boundary and ComponentsⅡIT系统描述和组件IT系统界面IT系统边界Ⅲ IT系统相互连系（按需添加附加费）代理商或单位名称IT系统名称IT系统IDIT 系统全部者Interconnection Security Agreement Status全方面IT系统灵敏度评定和分类整体IT系统灵敏度评级假如数据类型灵敏度被评为“高”，那么在任何标准下全部必需为“高”  高  中  低IT 系统分类假如全部灵敏度全部为“高”，那么必需为“灵敏”；假如是适度，也可认为是“灵敏” 灵敏  非灵敏IT系统描述、图解和网络架构，包含全部系统组件、链接系统组件通信链接和相关数据通信和网络：图1—IT系统边界图描述了信息流动往返于IT系统，包含输出和输入到IT系统和其它接口图２—信息步骤图３.风险识别　　脆弱性识别　　被识别脆弱性：威胁识别被识别威胁：被识别威胁列于表Ｃ表Ｃ　威胁识别风险识别被识别风险：在表Ｄ中是脆弱性和威胁性风险识别方法表Ｄ　脆弱性、威胁性和风险风险序号脆弱性威胁性Risk of Compromise of风险总结123456789101112131415161718192021222324254.控制分析在表E中是IT系统现行安全控制方法和计划安全控制方法。

表E 安全控制控制地方现行/计划控制方法1 风险管理1.1 IT 安全角色& 任务1.2 业务影响分析1.3 IT 系统 & 数据敏感性分类1.4 IT 系统具体信息 & 解释1.5 风险评定1.6 IT 安全审核2 IT 应急计划2.1 连续性业务操作计划2.2 IT 灾难恢复 计划2.3 IT系统 & 数据备份& 恢复3 IT 系统安全维护3.1 IT 系统强化3.2 IT 系统互操纵性安全3.3恶意代码防卫3.4 IT系统开发周期安全性4合理访问控制4.1 账户管理4.2 密码管理4.3 远程访问管理5 数据保护4.4数据存放媒介保护4.5数据加密6 设施安全6.1 设施安全7个人安全方法 7.1 访问意愿 & 控制7.2 IT 安全意识 & 培训7.3 合理使用8 威胁管理方法8.1 威胁检测8.2 事故处理8.3 安全监控 & 统计9 IT 资产管理 9.1 IT 资产控制9.2 软件许可证管理9.3 配置管理 & 变更控制表F 风险—控制—原因相关性风险序号风险总结控制方法相关性 & 其它原因123456789101112131415161718192021222324255.风险可能性测定在表G中定义了可能性等级表G 风险可能性定义控制有效性威胁出现概率 (自然或环境威胁) 或威胁动机和能力 (人类威胁)低中高低中高高中低中高高低低中表H 风险可能性等级风险序号风险总结风险可能性评定风险可能性等级12345678910111213141516171819风险序号风险总结风险可能性评定风险可能性等级2021222324256.影响分析表I：评定风险影响等级表I 风险影响等级定义影响等级影响定义高出现风险: (1) 可能造成人类死亡或严重伤害; (2) 可能造成关键有形资产、资源或敏感数据丢失； (3) 可能显著地损害、阻碍COV任务、名声或爱好. 中出现风险: (1) 可能造成人身伤害; (2) 可能造成珍贵有形资产或资源丢失 (3) 可能违反、损害阻碍COV任务、名声或爱好.低出现风险: (1) 可能造成部分有形资产、资源丢失(2) 可能显著地影响阻碍COV任务、名声或爱好.表J 风险影响分析风险序号风向总结风险影响风险影响等级12345678910111213141516171819202122232425用于确定影响等级过程描述：7.风险确定表K：确定全方面风险等级标准表K 总体风险评定矩阵风险可能性风险影响低(10)中(50)高(100)高(1.0)低10 x 1.0 = 10中50 x 1.0 = 50高100 x 1.0 = 100中(0.5)低10 x 0.5 = 5中50 x 0.5 = 25中100 x 0.5 = 50低(0.1)低10 x 0.1 = 1低50 x 0.1 = 5低100 x 0.1 = 10风险系数: 低 (1 to 10); 中 (>10 to 50); 高 (>50 to 100)表L 总体风险评级表风险序号风险总结风险可能性评级风险影响性评级总体风险评级12345678910111213141516171819202122232425用于确定总体风险等级过程描述：8.提议表M：对表D中被识别风险提议表M 提议序号风险风险等级提议1234567891011121314。