风险评估报告模板

风险评估报告模板

信息技术风险评估

年度风险评估文档记录

风险评估每年做一次，评估日期及评估人员填在下表：

目录

1前言 ............................................................................................................................ 4 2.IT系统描述................................................................................................................. 5 3风险识别 .................................................................................................................... 8 4.控制分析 .................................................................................................................. 10 5.风险可能性测定 ...................................................................................................... 14 6.影响分析 .................................................................................................................. 16 7.风险确定 .................................................................................................................. 18 8.建议 .......................................................................................................................... 20 9.结果报告 .................................................................................................................. 21

1.前言

风险评估成员：

评估成员在公司中岗位及在评估中的职务：

风险评估采用的方法：

2.IT系统描述

IT系统的描述、图解和网络架构，包括全部的系统组件、链接系统组件的通信链接和相关的数据通信和网络：

图1—IT系统边界图

描述了信息的流动往返于IT系统，包括输出和输入到IT系统和其它接口

图２—信息流程图

３.风险识别

脆弱性识别 被识别的脆弱性：

威胁识别 被识别的威胁：

被识别的威胁列于表Ｃ

表Ｃ 威胁识别

风险识别 被识别的风险：

在表Ｄ中是脆弱性和威胁性风险识别方法

表Ｄ 脆弱性、威胁性和风险

4.控制分析

在表E中是IT系统的现行安全控制措施与计划安全控制措施。

表E 安全控制

表F 风险—控制—因素的相关性

风险 序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25

风险总结 控制措施的相关性&其它因素

5.风险可能性测定

在表G中定义了可能性的等级

表G 风险可能性定义

表H 风险可能性等级

风险序号

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

风险总结

风险可能性评估

风险可能性等级

风险序号

20 21 22 23 24 25

风险总结

风险可能性评估 风险可能性等级

6.影响分析

表I：评估风险影响的等级

表I 风险影响的等级定义

表J 风险影响分析

用于确定影响的等级的过程描述：

7.风险确定

表K：确定全面的风险等级的标准

表K 总体风险评估矩阵

风险系数: 低 (1 to 10); 中 (>10 to 50); 高 (>50 to 100)

表L 总体风险评级表

用于确定总体风险等级的过程描述：

8.建议

表M：对表D中被识别的风险的建议

表M 建议

9.结果报告

图示1 风险评估矩阵

风险评估报告模板

信息技术风险评估

年度风险评估文档记录

风险评估每年做一次，评估日期及评估人员填在下表：

目录

1前言 ............................................................................................................................ 4 2.IT系统描述................................................................................................................. 5 3风险识别 .................................................................................................................... 8 4.控制分析 .................................................................................................................. 10 5.风险可能性测定 ...................................................................................................... 14 6.影响分析 .................................................................................................................. 16 7.风险确定 .................................................................................................................. 18 8.建议 .......................................................................................................................... 20 9.结果报告 .................................................................................................................. 21

1.前言

风险评估成员：

评估成员在公司中岗位及在评估中的职务：

风险评估采用的方法：

2.IT系统描述

IT系统的描述、图解和网络架构，包括全部的系统组件、链接系统组件的通信链接和相关的数据通信和网络：

图1—IT系统边界图

描述了信息的流动往返于IT系统，包括输出和输入到IT系统和其它接口

图２—信息流程图

３.风险识别

脆弱性识别 被识别的脆弱性：

威胁识别 被识别的威胁：

被识别的威胁列于表Ｃ

表Ｃ 威胁识别

风险识别 被识别的风险：

在表Ｄ中是脆弱性和威胁性风险识别方法

表Ｄ 脆弱性、威胁性和风险

4.控制分析

在表E中是IT系统的现行安全控制措施与计划安全控制措施。

表E 安全控制

表F 风险—控制—因素的相关性

风险 序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25

风险总结 控制措施的相关性&其它因素

5.风险可能性测定

在表G中定义了可能性的等级

表G 风险可能性定义

表H 风险可能性等级

风险序号

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

风险总结

风险可能性评估

风险可能性等级

风险序号

20 21 22 23 24 25

风险总结

风险可能性评估 风险可能性等级

6.影响分析

表I：评估风险影响的等级

表I 风险影响的等级定义

表J 风险影响分析

用于确定影响的等级的过程描述：

7.风险确定

表K：确定全面的风险等级的标准

表K 总体风险评估矩阵

风险系数: 低 (1 to 10); 中 (>10 to 50); 高 (>50 to 100)

表L 总体风险评级表

用于确定总体风险等级的过程描述：

8.建议

表M：对表D中被识别的风险的建议

表M 建议

9.结果报告

图示1 风险评估矩阵