信息安全风险评估报告模版.docx

上海观安信息技术股份有限公司信息安全风险评估报告TSC-RA-4-09本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属上海观安信息技术股份有限公司所有，受到有关产权及版权法保护。任何个人、机构未经上海观安信息技术股份有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。修订历史记录版本号拟制人/修改人拟制/修改日期审批人更改原因主要更改内容（写要点即可）VI.O陈芳2019-10-26李俊定稿第1章简介7第2章风险评估方法和过程82.1. 风险评估基本要素82.2. 风险评估依据82.3. 风险评估方法82.4. 风险评估实施流程82.5. 风险分析模型92.6. 风险评价标准10第3章资产识别113.1. 资产识别与评价目标113.2. 资产识别与评价过程113.3. 资产识别与评价结果H3.3.1. 资产识别汇总结果11第4章威胁识别12第5章脆弱性识别13第6章现有安全措施分析14第7章风险分析157.1. 风险评估结果及处置意见概述157.2. 数据资产风险评估结果统计157.2.1. 风险统计157.2.2. 典型威胁157.2.3. 典型弱点1573软件资产风险评估结果统计151.1.1. 风险统计151.1.2. 典型威胁151.1.3. 典型弱点167.4. 实物资产风险评估结果统计167.4.1. 风险统计167.4.2. 典型威胁167.4.3. 典型弱点167.5. 人员资产风险评估结果统计167.5.1. 风险统计167.5.2. 典型威胁167.5.3. 典型弱点167.6. 服务资产风险评估结果统计177.6.1. 风险统计177.6.2. 典型威胁177.6.3. 典型弱点177.7. 其他资产风险评估结果统计177.7.1. 风险统计177.7.2. 典型威胁177.7.3. 典型弱点17第8章小结18第1章简介正文。第2章风险评估方法和过程2.1. 风险评估基本要素正文。2.2. 风险评估依据GBT22080-2008/ISO/IEC27001:2005信息技术安全技术信息安全管理体系要求(GBT22081-2008/ISO/IEC27002:2005信息技术安全技术信息安全管理实用规则GB/T20984-2007信息安全技术信息安全风险评估规范(ISO/IEC27005:2008信息技术安全技术信息安全风险管理中的定义和缩写，其它定义和缩写可参考。2.3. 风险评估方法正文。2.4. 风险评估实施流程根据观安信息的风险评估模型和实际的工程实践，风险评估评估的基本流程如下：图1风险评估实施流程图2.5.风险分析模型26风险评价标准第3章资产识别3.1. 资产识别与评价目标正文。3.2. 资产识别与评价过程正文。33资产识别与评价结果331.资产识别汇总结果正文。第4章威胁识别第5章脆弱性识别第6章现有安全措施分析第7章风险分析7.1.风险评估结果及处置意见概述正文。72数据资产风险评估结果统计721.风险统计正文。722.典型威胁正文。723.典型弱点正文。7.3. 软件资产风险评估结果统计7.3.1 .风险统计正文。732.典型威胁正文。733.典型弱点7.4. 实物斐产风险评估结果统计7.4.1 .风险统计正文。742.典型威胁正文。7.4.3 .典型弱点正文。7.5. 人员资产风险评估结果统计751.风险统计正文。7.5.2 .典型威胁正文。7.5.3 .典型弱点正文。7.6. 服务资产风险评估结果统计7.6.2 .风险统计正文。762.典型威胁正文。7.6.3 .典型弱点正文。7.7. 其他资产风险评估结果统计7.7.1 .风险统计正文。7.7.2 .典型威胁正文。7.7.3 .典型弱点正文。第8章小结正文。