运维服务项目-D20风险评估报告-模板 .pdfVIP

XX系统运维服务项目

信息安全风险评估报告

文件编号：

当前版本：V1.0

编制：

审批：

生效日期：

信息安全风险评估报告

一、风险评估目的

针对公司为客户提供IT服务过程中的可能存在的风险进行评估，并采取必要的措

施，保证满足客户需求和公司的信息安全方针和目标。

二、风险评估日期

20XX-X-X

三、评估小组成员

XX、XX、XXX

四、评估方法

本次信息安全风险评估采用定量的方法对资产进行识别，并对资产自身价值、信

息类别、必威体育官网网址性、完整性、可用性、法律法规合同及其它要求的符合性方面进行分类

赋值，综合考虑资产在自身价值、必威体育官网网址性、完整性、可用性和法律法规合同上的达成

程度，在此基础上得出综合结果，根据制定的重要资产评价准则，确定重要资产。

对信息资产的威胁及薄弱点进行识别，并对威胁利用薄弱点发生安全事件的可能

性，以及在资产自身价值、必威体育官网网址性、完整性、可用性、法律法规合同的符合性方面的

潜在影响，并考虑现有的控制措施，进行赋值分析，确定风险等级和接受程度。

资产（Asset）是组织要保护的资产，它包括硬件、软件、系统、数据、文档、服

务、人力资源等。

威胁（Threat）是指可能对资产或组织造成损害的事故的潜在原因。它可能是人为

的，也可能是非人为的；可能是无意失误，也可能是恶意攻击。

薄弱点（Vulnerability）是指资产或资产组中能被威胁利用的弱点。它们不直接对

资产造成危害，但薄弱点可能被环境中的威胁所利用从而危害资产的安全。

风险（Risk）是特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害

的潜在可能性，即特定威胁事件发生的可能性与后果的结合。资产、威胁、薄弱点及

控制的任何变化都可能带来风险的变化，因此，为了降低安全风险，应对环境或系统

的变化进行监视以便及时采取有效措施加以控制或防范。

控制措施（Controls）是阻止威胁、降低风险、控制事故影响、检测事故及实施恢

复的一系列实践、程序或机制。

1

在风险计算时，考虑了资产的重要程度，威胁利用薄弱点导致安全事件发生的可

能性，安全事件一旦发生对资产的影响程度，以及已采取控制措施的有效性。根据所

计算的风险值确定风险等级，并对所有风险计算结果进行等级处理。

综合考虑风险控制成本与风险造成的影响，制定了风险接受准则。对可接受风险，

保持已有的安全措施；对不可接受风险，则采取安全措施以降低、控制风险。

五、评估过程

在项目工程部的组织下，成立了本次风险评估小组，编制了风险评估计划。通过

对各部门内审员的阶段式培训，根据风险评估阶段的工作计划，共同按照下列步骤完

成了风险评估工作：

1）各部门对本部门的资产进行了识别，并根据《信息安全风险识别与评价管

理程序》中既定的原则对资产进行了赋值，确定了重要资产；

2）根据资产所处的环境进行了威胁的识别；

3）针对每一威胁所对应的薄弱点进行识别；

4）对目前已有的安全控制进行了确认；

5）针对每一威胁利用薄弱点对于资产价值、必威体育官网网址性、完整性、可用性、合规

性等方面造成的潜在影响进行了评价。

6）根据《信息安全风险识别与评价管理程序》中风险等级的评价原则，确定

了风险的等级。

在整个评估的过程中，风险评估小组对于各部门内审员进行了现场的指导，对于

采集的数据的准确性、完整性、适宜性进行了确认。并对识别及评估的结果进行了整

体的平衡。

六、风险评估概况

1、风险评估范围为：XX系统运维服务项目涉及的资产及风险。

2、资产及风险情况

信息资产总数量：34

风险总数量：34

风险情况：所有风险都是风险等级为1或2的低风险

七、总结

通过以上风险评估，本项目的主要信息资产为信息系统数据、人员以及软硬件；

2

公司目前采取的各项处理措施有效，因此主要风险为2级风险，所有风险都在可接受

范围内。

3