XX公司风险评估方案模板

XX公司风险评估方案

XXX服务有限公司

目录

一、总体概述 (1)

1.1 项目概述 (1)

二、风险评估方案 (1)

2.1风险评估现场实施流程 (1)

2.2 风险评估使用工具 (2)

2.3 风险评估方法 (2)

2.3.1资产识别 (2)

2.3.2威胁识别 (6)

2.3.3脆弱性识别 (8)

2.3.4已有安全措施确认 (9)

2.3.5风险分析 (10)

三、风险评估项目组成员 (11)

四、风险评价原则 (12)

一、概述

1.1 项目概述

为了更好的了解信息安全状况，根据《信息安全风险评估指南》和GB/T 20984-2007 《信息安全技术信息安全风险评估规范》要求，总体评估公司信息化建设风险。

二、风险评估方案

2.1风险评估现场实施流程

风险评估的实施流程见下图所示

2.2 风险评估使用工具

测评过程中所使用的工具见下表所示：

2.3 风险评估方法

2.3.1资产识别

2.3.1.1资产分类

首先需要将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的风险评估。根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类型。

一种基于表现形式的资产分类方法

2.3.1.2资产赋值

2.3.1.2.1保密性赋值

根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在机密性上应达成的不同程度或者机密性缺失时对整个组织的影响。

资产机密性赋值表

2.3.1.2.2完整性赋值

根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上缺失时对整个组织的影响。

资产完整性赋值表

2.3.1.2.3可用性赋值

根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上应达成的不同程度。

资产可用性赋值表

2.3.1.2.4资产重要性等级

资产价值应依据资产在保密性、完整性和可用性上的赋值等级，经过综合评定得出。根据最终赋值将资产划分为五级，级别越高表示资产越重要，确定重要资产的范围，并主要围绕重要资产进行下一步的风险评估。

资产等级及含义描述

2.3.2威胁识别

2.3.2.1威胁分类

对威胁进行分类的方式有多种，针对上表的威胁来源，可以根据其表现形式将威胁分为以下几类。

一种基于表现形式的威胁分类表

2.3.2.2威胁赋值

判断威胁出现的频率是威胁赋值的重要内容，根据有关的统计数据来进行判断。对威胁出现的频率进行等级化处理，不同等级分别代表威胁出现的频率的高低。等级数值越大，威胁出现的频率越高。

威胁赋值表

2.3.3脆弱性识别

2.3.3.1脆弱性识别内容

脆弱性识别是风险评估中最重要的一个环节。脆弱性识别可以以资产为核心，针对每一项需要保护的资产,识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估；从物理、网络、系统、应用等层次进行识别，然后与资产、威胁对应起来。脆弱性识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。

脆弱性识别内容表

2.3.3.2脆弱性赋值

可以根据对资产的损害程度、技术实现的难易程度、弱点的流行程度，采用等级方式对已识别的脆弱性的严重程度进行赋值。

脆弱性严重程度可以进行等级化处理，不同的等级分别代表资产脆弱性严重程度的高低。等级数值越大，脆弱性严重程度越高。

脆弱性严重程度赋值表

2.3.4已有安全措施确认

在识别脆弱性的同时，评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。对有效的安全措施继续保持，以避免不必要的工作和费用，防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正，或

用更合适的安全措施替代。

2.3.5风险分析

为实现对风险的控制与管理，可以对风险评估的结果进行等级化处理。可以将风险划分为五级，等级越高，风险越高。

根据所采用的风险计算方法，计算每种资产面临的风险值，根据风险值的分布状况，为每个等级设定风险值范围，并对所有风险计算结果进行等级处理。每个等级代表了相应风险的严重程度。

风险等级划分表

三、风险评估项目组成员

本次XXXX系统风险评估项目由两方共同组建项目组，项目委托单位为XXXXXXX，评估单位为XXXXXX。

安全评估领导小组组成如下：

安全评估小组组成如下：

四、风险评价原则

在风险评估模型中，主要包含信息资产、弱点、威胁、影响和风险五个要素。每个要素各自有一个或两个属性，信息资产的属性是资产价值，弱点的属性是被威胁利用的难易程度、威胁的属性是威胁的可能性、影响的属性是严重性，风险的两个属性风险的后果和风险的可能性。其中资产价值和影响的严重性构成风险的后果，弱点被威胁利用的难易程度和威胁的可能性构成风险的可能性，风险的后果和风险的可能性构成风险。

本次评估，我们采用了定性与半定量相结合的风险分析方法，通过调查、测试等手段了解信息系统的潜在威胁、脆弱性及其对关键资产可能产生的影响，从而确定风险的等级。半定量风险计算的过程是：

（1）根据信息资产识别的结果，计算资产价值；

（2）对威胁进行分析，并对威胁发生的可能性赋值；

（3）识别信息资产的脆弱性，并对弱点的严重程度赋值；

（4）根据威胁和脆弱性计算安全事件发生的可能性；

（5）结合信息资产的重要性和在此资产上发生安全事件的可能性计算信息资产的风险值。