风险评估报告模板信息技术风险评估年度风险评估文档记录风险评估每年做一次评估日期及评估人员填在下表：评估日期评估人员目录1前言42.IT系统描述53风险识别84.控制分析105.风险可能性测定136.影响分析157.风险确定178.建议199.结果报告201.前言风险评估成员：评估成员在公司中岗位及在评估中的职务：风险评估采用的方法：表A风险分类风险水平风险描述＆必要行为高信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人方面带来严峻的或灾难性的不利影响。中信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人方面带来严重的不利影响。低信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人方面带来有限的不利影响。2.IT系统描述系统信息和定义文档Ⅰ.IT系统识别和所有权IT系统IDIT系统通用名称OwnedBy物理位置主要业务功能系统主人电话号码系统管理员电话号码数据所有者的电话号码数据管理员电话号码其它相关信息II.ITSystemBoundaryandComponentsⅡIT系统描述和组件IT系统界面IT系统边界ⅢIT系统的彼此连系（按需添加附加费）代理商或单位名称IT系统名称IT系统IDIT系统所有者InterconnectionSecurityAgreementStatus全面的IT系统的灵敏度评估和分类整体IT系统灵敏度评级如果数据类型的灵敏度被评为“高”那么在任何标准下都必须为“高”高中低IT系统分类如果所有的灵敏度都为“高”那么必须为“灵敏”；如果是适度的也可认为是“灵敏”灵敏非灵敏IT系统的描述、图解和网络架构包括全部的系统组件、链接系统组件的通信链接和相关的数据通信和网络：图1—IT系统边界图描述了信息的流动往返于IT系统包括输出和输入到IT系统和其它接口图２—信息流程图３.风险识别脆弱性识别被识别的脆弱性：威胁识别被识别的威胁：被识别的威胁列于表Ｃ表Ｃ威胁识别风险识别被识别的风险：在表Ｄ中是脆弱性和威胁性风险识别方法表Ｄ脆弱性、威胁性和风险风险序号脆弱性威胁性RiskofCompromiseof风险总结123456789101112131415161718192021222324254.控制分析在表E中是IT系统的现行安全控制措施与计划安全控制措施。表E安全控制控制地方现行/计划控制措施1风险管理1.1IT安全角色&任务1.2业务影响分析1.3IT系统&数据敏感性分类1.4IT系统详细信息&解释1.5风险评估1.6IT安全审核2IT应急计划2.1连续性的业务操作计划2.2IT灾难恢复计划2.3IT系统&数据备份&恢复3IT系统安全维护3.1IT系统强化3.2IT系统互操纵性安全3.3恶意代码防卫3.4IT系统开发周期的安全性4合理访问控制4.1账户管理4.2密码管理4.3远程访问管理5数据保护4.4数据存储媒介保护4.5数据加密6设施安全6.1设施安全7个人安全措施7.1访问意愿&控制7.2IT安全意识&培训7.3合理使用8威胁管理措施8.1威胁检测8.2事故处理8.3安全监控&记录9IT资产管理9.1IT资产控制9.2软件许可证管理9.3配置管理&变更控制表F风险—控制—因素的相关性风险序号风险总结控制措施的相关性&其它因素123456789101112131415161718192021222324255.风险可能性测定在表G中定义了可能性的等级表G风险可能性定义控制的有效性威胁出现的概率(自然的或环境威胁)或威胁动机和能力(人类威胁)低中高低中高高中低中高高低低中表H风险可能性等级风险序号风险总结风险可能性评估风险可能性等级12345678910111213141516171819风险序号风险总结风险可能性评估风险可能性等级2021222324256.影响分析表I：评估风险影响的等级表I风险影响的等级定义影响级别影响定义高出现的风险:(1)可能导致人类死亡或严重的伤害;(2)可能导致主要的有形资产、资源或敏感数据的丢失；(3)可能显著地损害、阻碍COV的任务、名声或兴趣.中出现的风险:(1)可能导致人身伤害;(2)可能导致贵重的有形资产或资源的丢失(3)可能违反、损害阻碍COV的任务、名声或兴趣.低出现的风险:(1)可能导致一些有形的资产、资源的丢失(2)可能明