企業(yè)信息安全風險評估通用模板一、模板應(yīng)用背景與適用范圍（一）應(yīng)用背景企業(yè)數(shù)字化轉(zhuǎn)型加速，信息安全威脅日益復(fù)雜（如數(shù)據(jù)泄露、勒索病毒、內(nèi)部違規(guī)等），為系統(tǒng)化識別、分析、處置安全風險，降低信息安全事件對企業(yè)業(yè)務(wù)、聲譽及合規(guī)性的影響，特制定本模板。本模板基于《信息安全技術(shù)信息安全風險評估》（GB/T20984-2022）國家標準，結(jié)合企業(yè)實際場景設(shè)計，適用于各類規(guī)模、行業(yè)的企業(yè)開展信息安全風險評估工作。（二）適用場景年度常規(guī)評估：企業(yè)每年定期開展全面信息安全風險評估，梳理全年安全態(tài)勢，制定下一年度安全策略。重要系統(tǒng)上線前評估：新業(yè)務(wù)系統(tǒng)、核心信息系統(tǒng)上線前，評估系統(tǒng)面臨的安全風險，保證“安全先行”。合規(guī)性專項評估：為滿足《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》等法規(guī)要求，開展的針對性風險評估。重大變更后評估：企業(yè)組織架構(gòu)、業(yè)務(wù)流程、信息系統(tǒng)發(fā)生重大變更（如并購重組、云平臺遷移）后，評估變更引入的新風險。安全事件后評估：發(fā)生信息安全事件后，分析事件原因、暴露的風險點，完善應(yīng)急處置與防控措施。二、評估流程與操作步驟（一）第一階段：評估啟動與準備目標：明確評估目標、范圍，組建評估團隊，收集基礎(chǔ)資料，為后續(xù)評估工作奠定基礎(chǔ)。1.成立評估工作組組長：由企業(yè)分管信息安全的領(lǐng)導(dǎo)（如*CIO）擔任，負責評估整體統(tǒng)籌與決策。副組長：由IT部門負責人（如*技術(shù)總監(jiān)）擔任，協(xié)助組長協(xié)調(diào)資源。成員：包括IT運維、網(wǎng)絡(luò)安全、數(shù)據(jù)管理、業(yè)務(wù)部門代表、法務(wù)合規(guī)人員等（如安全工程師、業(yè)務(wù)經(jīng)理、*合規(guī)專員），保證評估覆蓋技術(shù)、管理、業(yè)務(wù)全維度。2.確定評估范圍范圍界定：明確評估覆蓋的資產(chǎn)類型（如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)資產(chǎn)）、部門（如研發(fā)部、財務(wù)部、市場部）及地域（如總部、分支機構(gòu)）。范圍說明：若需排除特定資產(chǎn)（如測試環(huán)境），需書面說明理由并經(jīng)組長審批。3.收集基礎(chǔ)資料資產(chǎn)清單：現(xiàn)有IT資產(chǎn)臺賬、業(yè)務(wù)系統(tǒng)清單、數(shù)據(jù)分類分級結(jié)果。管理制度：信息安全策略、應(yīng)急預(yù)案、員工安全行為規(guī)范、第三方安全管理規(guī)定等。歷史記錄：過去1-2年安全事件報告、滲透測試報告、漏洞掃描報告、合規(guī)檢查結(jié)果。業(yè)務(wù)信息：核心業(yè)務(wù)流程、關(guān)鍵數(shù)據(jù)流向、系統(tǒng)拓撲圖等。（二）第二階段：資產(chǎn)識別與梳理目標：全面識別企業(yè)信息資產(chǎn)，明確資產(chǎn)重要性等級，為風險分析提供依據(jù)。1.資產(chǎn)分類根據(jù)屬性將資產(chǎn)分為以下類別：硬件資產(chǎn)：服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備（路由器、交換機）、終端設(shè)備（電腦、移動設(shè)備）等。軟件資產(chǎn)：操作系統(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)應(yīng)用系統(tǒng)、中間件、辦公軟件等。數(shù)據(jù)資產(chǎn)：客戶信息、財務(wù)數(shù)據(jù)、知識產(chǎn)權(quán)、運營數(shù)據(jù)等（需結(jié)合數(shù)據(jù)分類分級結(jié)果標注敏感級別）。人員資產(chǎn)：關(guān)鍵崗位人員（如系統(tǒng)管理員、數(shù)據(jù)運維人員）、第三方服務(wù)人員等。服務(wù)資產(chǎn)：核心業(yè)務(wù)服務(wù)（如在線交易平臺、客戶服務(wù)系統(tǒng)）、IT支持服務(wù)等。無形資產(chǎn)：企業(yè)品牌聲譽、專利技術(shù)、安全策略文檔等。2.資產(chǎn)重要性評估從業(yè)務(wù)價值、敏感性、可用性要求三個維度對資產(chǎn)打分（1-5分，1分最低，5分最高），計算綜合得分（示例）：維度權(quán)重評分標準（5分制）業(yè)務(wù)價值40%對核心業(yè)務(wù)支撐程度（如“直接影響核心業(yè)務(wù)”=5分）敏感性35%數(shù)據(jù)/信息泄露造成的影響（如“導(dǎo)致重大損失”=5分）可用性要求25%業(yè)務(wù)中斷容忍度（如“允許中斷時間≤1小時”=5分）重要性等級劃分：高級：綜合得分≥12分（如核心交易數(shù)據(jù)庫、客戶隱私數(shù)據(jù)系統(tǒng)）中級：8≤綜合得分＜12分（如內(nèi)部辦公系統(tǒng)、非核心業(yè)務(wù)服務(wù)器）低級：綜合得分＜8分（如測試環(huán)境設(shè)備、普通辦公電腦）3.輸出《資產(chǎn)清單表》（詳見第三部分“評估工具與模板表格”中表1）（三）第三階段：威脅與脆弱性識別目標：識別資產(chǎn)可能面臨的威脅及自身存在的脆弱性，分析威脅利用脆弱性導(dǎo)致資產(chǎn)受損的可能性。1.威脅識別威脅來源：自然威脅（如火災(zāi)、地震）、人為威脅（如黑客攻擊、內(nèi)部違規(guī)、第三方失誤）、環(huán)境威脅（如斷電、電磁干擾）。威脅類型：惡意代碼（病毒、勒索軟件、木馬）網(wǎng)絡(luò)攻擊（DDoS、SQL注入、釣魚郵件）越權(quán)訪問（內(nèi)部人員越權(quán)操作、外部人員未授權(quán)訪問）物理破壞（設(shè)備被盜、機房進水）管理缺失（策略未落實、人員安全意識不足）2.脆弱性識別技術(shù)脆弱性：系統(tǒng)漏洞（操作系統(tǒng)未打補丁）、配置缺陷（密碼強度不足、端口開放過度）、網(wǎng)絡(luò)架構(gòu)風險（內(nèi)外網(wǎng)隔離不徹底）。管理脆弱性：安全策略缺失（無數(shù)據(jù)備份制度）、人員操作不規(guī)范（共享賬號、違規(guī)拷貝數(shù)據(jù)）、應(yīng)急響應(yīng)流程不完善。物理脆弱性：機房門禁失效、消防設(shè)施不足、設(shè)備物理防護薄弱。3.可能性等級評估結(jié)合威脅發(fā)生頻率、資產(chǎn)防護能力，評估威脅利用脆弱性的可能性（1-5分）：等級描述示例5幾乎確定發(fā)生（＞80%）公網(wǎng)暴露服務(wù)器未做任何防護，易被掃描攻擊4很可能發(fā)生（60%-80%）員工未接受釣魚郵件培訓(xùn)，易中招3可能發(fā)生（40%-60%）服務(wù)器存在中等風險漏洞，暫未利用2較少發(fā)生（20%-40%）機房配備備用電源，但偶有故障1極少發(fā)生（＜20%）地震等自然災(zāi)害（非地震帶地區(qū)）4.輸出《威脅清單表》《脆弱性清單表》（詳見第三部分“評估工具與模板表格”中表2、表3）（四）第四階段：風險分析與計算目標：結(jié)合資產(chǎn)重要性、威脅可能性、脆弱性嚴重程度，計算風險值，初步判定風險等級。1.風險計算公式風險值=資產(chǎn)重要性等級分×威脅可能性等級分×脆弱性嚴重程度等級分資產(chǎn)重要性等級分：高級（5分）、中級（3分）、低級（1分）脆弱性嚴重程度等級分：參照“影響程度”評分標準（1-5分，1分輕微，5分災(zāi)難性）2.影響程度評分標準等級描述示例5災(zāi)難性（業(yè)務(wù)中斷＞24小時，重大損失）核心數(shù)據(jù)庫被勒索加密，無法恢復(fù)4嚴重（業(yè)務(wù)中斷8-24小時，較大損失）交易系統(tǒng)被攻擊，當日交易數(shù)據(jù)丟失3中等（業(yè)務(wù)中斷2-8小時，一般損失）內(nèi)部辦公系統(tǒng)癱瘓，影響部分員工辦公2輕微（業(yè)務(wù)中斷＜2小時，輕微損失）部門終端感染病毒，文件損壞1可忽略（無業(yè)務(wù)影響，無損失）公告頁面被篡改，及時修復(fù)3.輸出《風險分析表》（詳見第三部分“評估工具與模板表格”中表4）（五）第五階段：風險等級判定目標：基于風險值，結(jié)合企業(yè)風險接受準則，判定風險等級，明確處置優(yōu)先級。1.風險等級劃分矩陣風險值風險等級處置優(yōu)先級描述≥75高風險立即處理需在30天內(nèi)整改，可能造成重大損失45-74中風險短期處理需在90天內(nèi)整改，可能造成一般損失20-44低風險長期規(guī)劃需納入年度計劃，持續(xù)監(jiān)控＜20可接受風險持續(xù)監(jiān)控無需整改，定期復(fù)核即可2.輸出《風險評價表》（詳見第三部分“評估工具與模板表格”中表5）（六）第六階段：風險處置與整改跟蹤目標：制定風險處置措施，明確責任人與時限，跟蹤整改進度，保證風險有效降低。1.風險處置策略規(guī)避：停止或終止存在風險的業(yè)務(wù)（如關(guān)閉不必要的公網(wǎng)端口）。降低：采取措施降低風險發(fā)生可能性或影響程度（如安裝防火墻、定期備份數(shù)據(jù)）。轉(zhuǎn)移：將風險轉(zhuǎn)移至第三方（如購買信息安全保險、委托第三方運維）。接受：在風險可控范圍內(nèi)接受風險（如低風險資產(chǎn)加強日常監(jiān)控）。2.整改措施制定原則針對性：針對具體風險點制定措施（如“SQL注入漏洞”需代碼修復(fù)或WAF防護）。可操作性：明確措施步驟、責任部門/人（如“由*安全工程師負責在1個月內(nèi)完成漏洞修復(fù)”）。時效性：設(shè)定合理完成時限（高風險≤30天，中風險≤90天）。3.輸出《整改措施跟蹤表》（詳見第三部分“評估工具與模板表格”中表6）（七）第七階段：評估報告編制與輸出目標：匯總評估過程、結(jié)果與建議，形成正式報告，提交管理層決策。1.報告主要內(nèi)容評估概述：評估背景、目的、范圍、依據(jù)（如引用的國家標準、企業(yè)制度）。評估方法：采用的技術(shù)（如漏洞掃描、滲透測試、問卷調(diào)查）與管理方法（如訪談、文檔審查）。資產(chǎn)與風險總體情況：資產(chǎn)數(shù)量及重要性分布、高/中風險數(shù)量及占比、主要風險領(lǐng)域（如數(shù)據(jù)安全、網(wǎng)絡(luò)安全）。詳細風險清單：每個高風險/中風險的資產(chǎn)、威脅、脆弱性、風險值、處置建議。整改計劃與資源需求：整改措施、責任人、時間表、所需預(yù)算（如采購安全設(shè)備、培訓(xùn)費用）。結(jié)論與建議：評估結(jié)論（如“整體風險處于中等級別”）、長期改進建議（如建立安全運營中心、定期開展?jié)B透測試）。2.報告審批與分發(fā)報告經(jīng)評估組長審核后，提交企業(yè)管理層（如*總經(jīng)理）審批。審批通過后，分發(fā)給各責任部門及上級單位（如需），并歸檔保存。三、評估工具與模板表格表1：資產(chǎn)清單表資產(chǎn)編號資產(chǎn)類別資產(chǎn)名稱所在部門/位置責任人重要性等級業(yè)務(wù)價值敏感性可用性要求綜合得分備注（如IP地址、數(shù)據(jù)類型）S001硬件核心交易服務(wù)器研發(fā)部/機房A*工程師高級55513IP：192.168.1.10，存儲客戶交易數(shù)據(jù)D002數(shù)據(jù)客戶隱私信息庫數(shù)據(jù)中心*經(jīng)理高級55412.65含身份證號、手機號，加密存儲A003軟件OA系統(tǒng)行政部*專員中級3238.1版本：V2.5，用戶數(shù)200人表2：威脅清單表威脅編號威脅類型威脅來源威脅描述影響資產(chǎn)可能性等級備注（如近期攻擊趨勢）T001惡意代碼（勒索軟件）外部（黑客組織）通過釣魚郵件傳播，加密服務(wù)器文件S0014近期行業(yè)內(nèi)多家企業(yè)中招T002越權(quán)訪問內(nèi)部（員工）員工利用權(quán)限漏洞訪問非職責范圍數(shù)據(jù)D0023存在權(quán)限管理不規(guī)范問題T003物理破壞自然（火災(zāi)）機房火災(zāi)導(dǎo)致設(shè)備損壞S0011機房配備消防設(shè)施，定期巡檢表3：脆弱性清單表脆弱性編號關(guān)聯(lián)資產(chǎn)脆弱性類型脆弱性描述現(xiàn)有控制措施嚴重程度等級備注（如CVE編號）V001S001技術(shù)漏洞操作系統(tǒng)未安裝最新補丁定期漏洞掃描，未及時修復(fù)4CVE-2023-，可提權(quán)V002D002管理缺失數(shù)據(jù)訪問權(quán)限未按最小原則分配有權(quán)限管理制度，未嚴格執(zhí)行33名員工擁有超出崗位的權(quán)限V003S001物理防護機房門禁密碼未定期更換每月更換密碼，但記錄未存檔2密碼由*工程師保管，存在泄露風險表4：風險分析表風險編號關(guān)聯(lián)資產(chǎn)關(guān)聯(lián)威脅關(guān)聯(lián)脆弱性資產(chǎn)重要性分威脅可能性分脆弱性嚴重程度分風險值初步風險等級R001S001T001V00154480高風險R002D002T002V00253345中風險R003S001T003V00351210可接受風險表5：風險評價表風險編號風險值風險等級處置策略處置建議R00180高風險降低1周內(nèi)修復(fù)操作系統(tǒng)漏洞；部署終端檢測與響應(yīng)（EDR）系統(tǒng)R00245中風險降低1個月內(nèi)梳理并重新分配數(shù)據(jù)訪問權(quán)限；開展權(quán)限管理培訓(xùn)R00310可接受風險接受每季度復(fù)核門禁密碼管理情況，保證定期更換表6：整改措施跟蹤表風險編號整改措施責任部門責任人計劃完成時限實際完成時限整改狀態(tài)（進行中/已完成/延期）驗證結(jié)果（如掃描報告、簽字確認）R001修復(fù)操作系統(tǒng)漏洞，部署EDR系統(tǒng)IT部*工程師2024–進行中R002重新分配數(shù)據(jù)訪問權(quán)限，開展權(quán)限管理培訓(xùn)數(shù)據(jù)部*經(jīng)理2024–未開始R003每季度復(fù)核門禁密碼管理情況行政部*專員持續(xù)進行已完成（2024-Q1）復(fù)核記錄簽字確認四、關(guān)鍵注意事項與常見問題規(guī)避（一）關(guān)鍵注意事項客觀性與獨立性：評估需基于事實和數(shù)據(jù)，避免主觀臆斷；評估工作組應(yīng)獨立于被評估部門，保證結(jié)果公正。動態(tài)調(diào)整評估范圍：若評估過程中發(fā)覺新風險或范圍外存在重大風險，需及時調(diào)整評估范圍并報組長審批。結(jié)合業(yè)務(wù)實際：風險處置需平衡安全與業(yè)務(wù)需求，避免過度防護影響業(yè)務(wù)效率（如核心交易系統(tǒng)可接受短期維護窗口，但不能長時間停機）。重視管理脆弱性：技術(shù)防護（如防火墻、加密）僅能解決部分問題，70%以上的安全事件與管理缺失相關(guān)（如制度未落地、人員意識不足），需同步加強管理措施。定期復(fù)評與更新：企業(yè)業(yè)務(wù)、技術(shù)環(huán)境動態(tài)變化，建議至少每年開展1次全面評估，高風險資產(chǎn)每季度復(fù)評1次，保證風險評估結(jié)果時效性。（二）常見問題規(guī)避問題：評估范圍過寬或過窄，導(dǎo)致效率低下或遺漏風險。規(guī)避：評估前與各部門充分溝通，明確核心資產(chǎn)與關(guān)鍵業(yè)務(wù)，優(yōu)先聚焦高風險領(lǐng)域（如客戶數(shù)據(jù)、核心交易系統(tǒng)）。問題：風險等級判斷標準不統(tǒng)一，導(dǎo)致結(jié)果偏差。規(guī)避：制定企業(yè)內(nèi)部《風險等級判定標準》，明確資產(chǎn)重要性、可能性、影響程度的評分細則，評估前組織團隊培訓(xùn)統(tǒng)一認知。問題：整改措施“重技術(shù)、輕管理”，未解決根本問題。規(guī)避：整改措施需包含技術(shù)、管理、人員三個維度（如“修復(fù)漏洞”技術(shù)措施+“漏洞管理流程優(yōu)化”管理措施+“人員安全培訓(xùn)”人員措施）。問題：第三方風險評估機構(gòu)選擇不當，評估質(zhì)量不達標。規(guī)避：選擇具備CMMI、ISO27001等資質(zhì)的機構(gòu)，查看其行業(yè)案例，評估過程中要求提供方法論說明及原始數(shù)據(jù)支撐。問題：評估結(jié)果