风险评估报告

第一篇：风险评估报告风险评估过程主要包括：“数据采集、安全评测、安全分析、报告处理”一、数据采集方法有：问卷调查、人员访谈、漏洞扫描、渗透性测试等1、问卷调查：下图是微软的MicrosoftSecurityAssessmentTool一款风险评估应用程序，目的是提供一些与信息技术(IT)基础架构中的安全最佳经验有关的信息和建议。此应用程序是专为拥有50到500台台式机和（或）100到1,000名员工的组织设计的。它首先采集一些信息（已问卷调查的形式），如下图所示。通过填写一些配置信息（图左上），然后通过它的一套算法最后生成一个报告。产生的分析报表：2、人员访谈也可以以调查问卷的形式作为系统参数的输入配置3、漏洞扫描、渗透性测试等数据可以通过漏洞扫描器等检测工具获得，输入本系统二、安全评测、安全分析、报告处理等都属于本系统的功能，并采用前面数据采集得到的数据目前常见的自动化风险评估工具还包括：CORA——CORA（Cost-of-RiskAnalysis）是由国际安全技术公司（InternationalSecurityTechnology,Inc.。术语简称：可以用微软的那种方式采集得到，下面简称micro-style下面是我们产生的评估报告大体的初步的框架风险评估报告1.1工程项目概况（micro-style）1.1.1建设项目基本信息1.1.2建设单位基本信息一、风险评估项目概述二、风险评估的目标三、风险评估的依据（技术标准及相关法规文件）四、风险评估的范围（评估对象）3.1评估对象构成及定级3.1.1网络结构（micro-style）3.2.2业务应用（micro-style）3.3.3子系统构成及定级（在3.1.1和3.2.2基础上根据国家标准对该系统安全等级定级，不同的等级采用不同的安全评估方法，最后采取的措施也不一样）3.2评估对象等级保护措施（已采取的安全措施）（micro-style）五、风险评估的内容3.1资产识别（对组织有价值的信息或资源）3.1.1资产种类（micro-style）3.1.1.1数据（保存在信息媒介上的各种数据资料）3.1.1.2软件（系统软件、应用软件、源程序）3.1.1.3硬件（网络设备、计算机设备、存储设备、安全设备、其他）3.1.1.4服务（信息服务、网络服务、办公服务）3.1.1.5人员（掌握重要信息和核心业务的人员）3.1.1.6其它3.1.2资产赋值（最终得到一个资产赋值列表）通过一定的算法3.1.2.1资产完整性赋值3.1.2.2资产可用性赋值3.1.2.3资产保密性赋值3.1.3关键资产说明（得出关键资产列表）3.2威胁识别3.2.1威胁来源（micro-style）3.2.1.1环境因素（环境危害或自然灾害、软硬件通信线路方面的故障等）3.2.1.2人为因素（恶意人员、非恶意人员）3.2.3威胁源描述与分析3.2.3.1威胁源分析（软硬件故障、物理环境影响、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改抵赖）（威胁源分析表）（micro-style）3.2.3.2威胁行为分析（威胁行为分析表）3.2.2威胁赋值（通过一定的算法）3.3脆弱性识别3.3.1技术脆弱性（漏洞扫描器、渗透性工具等得到的数据->micro-style）3.3.1.1物理环境的脆弱性3.3.1.2网络结构3.3.1.3系统软件3.3.1.4应用中间件3.3.1.5应用系统3.3.2管理脆弱性（micro-style）3.3.2.1技术管理3.3.2.2组织管理3.3.3脆弱性赋值六、风险分析4.1风险评估模型（通过不同的风险评估模型得到的系统安全等级是不一样的）4.2风险结果判断（等级评定，采用中国标准）七、风险导致的可能事件（可以涵盖在威胁、脆弱性章节中）八、风险补救措施（处理计划，依据是中国国家标准）九、附录统计图表等信息（柱形图等）本系统采用典型的基于知识的分析方法和定量、定性分析方法图表生成、趋势分析„„简单报告的生成详细报告的生成第二篇：风险评估报告河南平乐镇污水处理厂工程（更新）社会稳定风险评估报告【稳评报告目录】第一章、河南平乐镇污水处理厂工程（更新）项目基本情况第一节、项目概况一、项目单位二、拟建地点三、建设必要性四、建设方案五、建设期六、主要技术经济指标七、环境影响八、资源利用九、征地搬迁及移民安置十、社会环境概况十一、投资及资金筹措第二节、评估依据第三节、评估主体一、拟建项目的评估主体指定方二、评估主体的组成及职责分工第四节、评估过程和方法第二章、河南平乐镇污水处理厂工程（更新）项目评估内容第一节、风险调查评估及各方意见采纳情况第二节、风险识别和估计的评估一、风险识别评估二、风险估计评估第三节、风险防范和化解措施的评估第四节、落