风险评估报告范本.docx

本文格式为Word版，下载可任意编辑
— 2 —
风险评估报告范本


工程名称：2022年4月16日风险评估报告被评估公司单位：上海ERIC数据系统有限公司
参与评估部门：信息安好综合管理类描述评估对象的资产构成。细致的资产分类与赋值，以附件形式附在评估报告后面，见附件3《资产类型与赋值表》。

填写《资产赋值表》。





. 资产赋值判断准那么
对资产的赋值不仅要考虑资产的经济价值，更重要的是要考虑资产的安好状况对于系统或组
织的重要性，由资产在其三个安好属性上的达成程度抉择。
本文格式为Word版，下载可任意编辑
— 4 —
资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度举行分析，并在
此根基上得出综合结果的过程。达成程度可由安好属性缺失时造成的影响来表示，这种影响可能造成某些资产的损害以至危及信息系统，还可能导致经济效益、市场份额、组织形象的损失。
. 机密性赋值
根据资产在机密性上的不同要求，将其分为三个不同的等级，分别对应资产在机密性上
应达成的不同程度或者机密性缺失时对整个组织的影响。


. 完整性赋值
根据资产在完整性上的不同要求，将其分为三个不同的等级，分别对应资产在完整性上缺失时对整个组织的影响。

. 可用性赋值
根据资产在可用性上的不同要求，将其分为三个不同的等级，分别对应资产在可用性上的达成的不同程度。


本文格式为Word版，下载可任意编辑
— 5 —
. 资产重要性等级
资产价值（V）＝机密性价值（C）＋完整性价值（I）＋可用性价值（A）资产等级：

重要资产清单及说明
在分析被评估系统的资产根基上，列出对评估单位特别重要的资产，作为风险评估的重点对象，并以清单形式列出如下：
重要资产列表


五、要挟识别与分析
对要挟来源（内部/外部；主观/不成抗力等）、要挟方式、发生的可能性，要挟主体的才能水对等举行列表分析。下面是典型的要挟范本：



要挟数据采集
要挟描述与分析
依据《要挟赋值表》，对资产举行要挟源和要挟行为分析。
要挟源分析
本文格式为Word版，下载可任意编辑
— 6 —
填写《要挟源分析表》。
要挟行为分析
填写《要挟行为分析表》。
要挟能量分析
要挟赋值
要挟发生可能性等级对照表

说明：
判断要挟展现的频率是要挟识别的重要工作，评估者应根据阅历和（或）有关的统计数据来举行判断。在风险评估过程中，还需要综合考虑以下三个方面，以形成在某种评估环境中各种要挟展现的频率：
1) 以往安好事情报告中展现过的要挟及其频率的统计；
2) 实际环境中通过检测工具以及各种日志察觉的要挟及其频率的统计；
3) 近一两年来国际组织发布的对于整个社会或特定行业的要挟及其频率统计，以及发布的要挟预警。
六、脆弱性识别与分析
按照检测对象、检测结果、脆弱性分析分别描述以下各方面的脆弱性检测
结果和结果分析。 常规脆弱性描述

本文格式为Word版，下载可任意编辑
— 8 —



脆弱性综合列表
要挟发生可能性等级对照表

说明：
判断要挟展现的频率是要挟识别的重要工作，评估者应根据阅历和（或）有关的统计数据来举行判断。在风险评估过程中，还需要综合考虑以下三个方面，以形成在某种评估环境中各种要挟展现的频率：
1) 以往安好事情报告中展现过的要挟及其频率的统计；
2) 实际环境中通过检测工具以及各种日志察觉的要挟及其频率的统计；
3) 近一两年来国际组织发布的对于整个社会或特定行业的要挟及其频率统计，以及发布的要挟预警。
七、风险分析
关键资产的风险计算结果
信息安好风险矩阵计算表

说明：
在完成了资产识别