信息技術(shù)安全風(fēng)險(xiǎn)評(píng)估清單工具指南一、適用場景說明本工具適用于各類組織在開展信息技術(shù)安全風(fēng)險(xiǎn)評(píng)估工作時(shí)使用，具體場景包括但不限于：系統(tǒng)上線前評(píng)估：新業(yè)務(wù)系統(tǒng)、信息系統(tǒng)在正式投入使用前，需全面評(píng)估其面臨的安全風(fēng)險(xiǎn)，保證符合安全基線要求。合規(guī)性檢查：為滿足《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等法律法規(guī)及行業(yè)標(biāo)準(zhǔn)（如等保2.0）的合規(guī)要求，定期開展安全風(fēng)險(xiǎn)評(píng)估。安全事件后復(fù)盤：發(fā)生信息安全事件（如數(shù)據(jù)泄露、系統(tǒng)入侵）后，通過風(fēng)險(xiǎn)評(píng)估分析事件原因、暴露的薄弱環(huán)節(jié)及后續(xù)改進(jìn)方向。組織架構(gòu)或業(yè)務(wù)調(diào)整時(shí)：當(dāng)企業(yè)IT架構(gòu)發(fā)生重大變化（如云平臺(tái)遷移、系統(tǒng)整合）或業(yè)務(wù)模式調(diào)整時(shí)，需重新評(píng)估安全風(fēng)險(xiǎn)。常態(tài)化安全管理：作為年度安全工作的重要組成部分，定期對(duì)現(xiàn)有信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)掃描與評(píng)估，動(dòng)態(tài)掌握安全態(tài)勢。二、風(fēng)險(xiǎn)評(píng)估實(shí)施步驟（一）評(píng)估準(zhǔn)備階段成立評(píng)估小組明確評(píng)估負(fù)責(zé)人（建議由IT部門負(fù)責(zé)人或安全主管擔(dān)任組長），成員包括IT運(yùn)維人員、網(wǎng)絡(luò)安全工程師、業(yè)務(wù)部門代表及合規(guī)專員，保證覆蓋技術(shù)、業(yè)務(wù)、合規(guī)等多維度視角。若涉及第三方系統(tǒng)或云服務(wù)，可邀請(qǐng)外部安全專家參與評(píng)估。制定評(píng)估計(jì)劃確定評(píng)估范圍：明確本次評(píng)估覆蓋的信息系統(tǒng)（如核心業(yè)務(wù)系統(tǒng)、辦公網(wǎng)絡(luò)、服務(wù)器、數(shù)據(jù)庫等）、評(píng)估時(shí)間周期及資源需求。規(guī)劃評(píng)估方法：采用文檔審查、工具掃描、人工訪談、滲透測試等方式結(jié)合，保證評(píng)估結(jié)果的全面性。制定評(píng)估標(biāo)準(zhǔn)：參照國家/行業(yè)安全標(biāo)準(zhǔn)（如GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》）及企業(yè)內(nèi)部安全策略，明確風(fēng)險(xiǎn)等級(jí)劃分標(biāo)準(zhǔn)（如高、中、低三級(jí)）。（二）資產(chǎn)識(shí)別與分類梳理信息資產(chǎn)全面梳理組織內(nèi)與信息技術(shù)相關(guān)的各類資產(chǎn)，包括：硬件資產(chǎn)：服務(wù)器、網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)、防火墻）、終端設(shè)備（電腦、移動(dòng)設(shè)備）等；軟件資產(chǎn)：操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用軟件、中間件等；數(shù)據(jù)資產(chǎn)：業(yè)務(wù)數(shù)據(jù)（客戶信息、交易記錄）、敏感數(shù)據(jù)（個(gè)人隱私、商業(yè)秘密）、備份數(shù)據(jù)等；人員資產(chǎn)：系統(tǒng)管理員、開發(fā)人員、普通用戶等角色及權(quán)限；服務(wù)資產(chǎn)：網(wǎng)絡(luò)服務(wù)、云服務(wù)、第三方接口等。資產(chǎn)價(jià)值賦值根據(jù)資產(chǎn)的重要性、敏感度及受損后對(duì)組織的影響（如經(jīng)濟(jì)損失、聲譽(yù)損害、法律風(fēng)險(xiǎn)），對(duì)資產(chǎn)進(jìn)行高、中、低三級(jí)價(jià)值賦值，明確資產(chǎn)責(zé)任人（如“服務(wù)器負(fù)責(zé)人：運(yùn)維主管”“數(shù)據(jù)負(fù)責(zé)人：業(yè)務(wù)部門經(jīng)理”）。（三）風(fēng)險(xiǎn)分析與識(shí)別威脅識(shí)別分析可能對(duì)資產(chǎn)造成危害的內(nèi)外部威脅，包括：自然威脅：火災(zāi)、水災(zāi)、雷電等；人為威脅：惡意攻擊（黑客入侵、病毒感染）、內(nèi)部誤操作（誤刪數(shù)據(jù)、權(quán)限配置錯(cuò)誤）、惡意破壞（數(shù)據(jù)竊取、系統(tǒng)篡改）；環(huán)境威脅：電力中斷、網(wǎng)絡(luò)故障、硬件老化；合規(guī)威脅：法律法規(guī)更新導(dǎo)致的合規(guī)要求變化。脆弱性識(shí)別識(shí)別資產(chǎn)自身存在的安全弱點(diǎn)，可通過以下方式開展：工具掃描：使用漏洞掃描工具（如Nessus、OpenVAS）對(duì)系統(tǒng)進(jìn)行自動(dòng)化掃描，發(fā)覺已知漏洞；人工核查：檢查安全配置（如密碼策略、訪問控制列表）、補(bǔ)丁更新情況、日志審計(jì)功能等；業(yè)務(wù)訪談：與業(yè)務(wù)部門溝通，知曉操作流程中的潛在風(fēng)險(xiǎn)點(diǎn)（如數(shù)據(jù)共享環(huán)節(jié)的權(quán)限控制）。風(fēng)險(xiǎn)計(jì)算結(jié)合威脅發(fā)生的可能性（高、中、低）、脆弱性的嚴(yán)重程度（高、中、低）及資產(chǎn)價(jià)值（高、中、低），計(jì)算風(fēng)險(xiǎn)值?？刹捎霉剑猴L(fēng)險(xiǎn)值=威脅可能性×脆弱性嚴(yán)重程度，參考矩陣確定風(fēng)險(xiǎn)等級(jí)（示例：高×高=高風(fēng)險(xiǎn)，中×中=中風(fēng)險(xiǎn)，低×低=低風(fēng)險(xiǎn)）。（四）風(fēng)險(xiǎn)評(píng)價(jià)與等級(jí)劃分根據(jù)風(fēng)險(xiǎn)值，將風(fēng)險(xiǎn)劃分為三個(gè)等級(jí)，明確處理優(yōu)先級(jí)：高風(fēng)險(xiǎn)：可能導(dǎo)致嚴(yán)重?cái)?shù)據(jù)泄露、系統(tǒng)癱瘓或重大合規(guī)處罰，需立即處理；中風(fēng)險(xiǎn)：可能造成部分業(yè)務(wù)中斷、數(shù)據(jù)泄露或一般性違規(guī)，需限期整改；低風(fēng)險(xiǎn)：影響較小，可通過常規(guī)安全措施維護(hù)，需持續(xù)監(jiān)控。（五）風(fēng)險(xiǎn)處理與整改制定處理措施針對(duì)識(shí)別出的風(fēng)險(xiǎn)，制定相應(yīng)的處理方案，包括：風(fēng)險(xiǎn)規(guī)避：停止存在高風(fēng)險(xiǎn)的業(yè)務(wù)或系統(tǒng)功能；風(fēng)險(xiǎn)降低：采取技術(shù)手段（如部署防火墻、加密數(shù)據(jù)）或管理措施（如加強(qiáng)員工培訓(xùn)、完善制度）降低風(fēng)險(xiǎn)；風(fēng)險(xiǎn)轉(zhuǎn)移：通過購買保險(xiǎn)、外包安全服務(wù)轉(zhuǎn)移部分風(fēng)險(xiǎn)；風(fēng)險(xiǎn)接受：對(duì)于低風(fēng)險(xiǎn)或處理成本過高的風(fēng)險(xiǎn)，明確接受并監(jiān)控。明確整改責(zé)任與期限為每個(gè)風(fēng)險(xiǎn)項(xiàng)指定整改責(zé)任人（如“技術(shù)整改負(fù)責(zé)人：安全工程師”“管理整改負(fù)責(zé)人：部門主管”），設(shè)定計(jì)劃完成時(shí)間，并跟蹤整改進(jìn)度。（六）評(píng)估報(bào)告編制與歸檔匯總評(píng)估結(jié)果整理資產(chǎn)清單、風(fēng)險(xiǎn)分析記錄、風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)表、整改措施及責(zé)任分工，形成《信息技術(shù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》。報(bào)告應(yīng)包括評(píng)估背景、范圍、方法、主要風(fēng)險(xiǎn)點(diǎn)、整改建議及后續(xù)監(jiān)控計(jì)劃等核心內(nèi)容。報(bào)告審核與發(fā)布由評(píng)估小組負(fù)責(zé)人審核報(bào)告內(nèi)容，保證數(shù)據(jù)準(zhǔn)確、措施可行，提交至組織管理層審批后發(fā)布。報(bào)告及相關(guān)評(píng)估文檔（掃描記錄、訪談?dòng)涗?、整改證據(jù)）需歸檔保存，保存期限不少于3年，以備后續(xù)審計(jì)或復(fù)查。三、信息技術(shù)安全風(fēng)險(xiǎn)評(píng)估清單模板資產(chǎn)類別資產(chǎn)名稱資產(chǎn)責(zé)任人威脅類型脆弱性描述現(xiàn)有控制措施風(fēng)險(xiǎn)可能性風(fēng)險(xiǎn)影響程度風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)處理建議處理責(zé)任人計(jì)劃完成時(shí)間備注服務(wù)器核心業(yè)務(wù)數(shù)據(jù)庫服務(wù)器運(yùn)維主管惡意攻擊（SQL注入）數(shù)據(jù)庫補(bǔ)丁未更新，存在已知漏洞部署WAF防火墻，定期備份數(shù)據(jù)中高高立即更新數(shù)據(jù)庫補(bǔ)丁，強(qiáng)化訪問控制安全工程師2024–網(wǎng)絡(luò)設(shè)備邊界路由器網(wǎng)絡(luò)管理員環(huán)境威脅（電力中斷）未配備UPS電源，突發(fā)斷電可能導(dǎo)致設(shè)備故障部署冗余電源，定期檢查設(shè)備狀態(tài)低中中增配UPS電源，制定應(yīng)急供電預(yù)案運(yùn)維主管2024–數(shù)據(jù)資產(chǎn)客戶個(gè)人信息數(shù)據(jù)業(yè)務(wù)經(jīng)理人為威脅（內(nèi)部數(shù)據(jù)竊?。┟舾袛?shù)據(jù)未加密存儲(chǔ)，訪問權(quán)限未嚴(yán)格分級(jí)數(shù)據(jù)脫敏技術(shù)，操作日志審計(jì)中高高對(duì)敏感數(shù)據(jù)加密，細(xì)化角色權(quán)限開發(fā)主管2024–涉及GDPR合規(guī)應(yīng)用軟件OA辦公系統(tǒng)行政主管人為威脅（員工弱密碼）密碼策略復(fù)雜度要求低，存在弱密碼風(fēng)險(xiǎn)強(qiáng)制密碼定期更新，賬戶鎖定機(jī)制高中中修改密碼策略，開展安全意識(shí)培訓(xùn)人事專員2024–云服務(wù)云服務(wù)器（ECS）云管理員合規(guī)威脅（跨境數(shù)據(jù)流動(dòng)）數(shù)據(jù)存儲(chǔ)在境外服務(wù)器，可能違反數(shù)據(jù)本地化要求遷移至境內(nèi)合規(guī)云服務(wù)商中高高30天內(nèi)完成數(shù)據(jù)遷移云管理員2024–涉及數(shù)據(jù)安全法四、使用過程中的關(guān)鍵提示資產(chǎn)識(shí)別需全面無遺漏資產(chǎn)是風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)，需覆蓋所有與信息技術(shù)相關(guān)的硬件、軟件、數(shù)據(jù)、人員及服務(wù)，避免因遺漏關(guān)鍵資產(chǎn)導(dǎo)致風(fēng)險(xiǎn)評(píng)估結(jié)果失真?？山Y(jié)合資產(chǎn)臺(tái)賬、網(wǎng)絡(luò)拓?fù)鋱D、系統(tǒng)架構(gòu)圖等資料進(jìn)行梳理。風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)準(zhǔn)需統(tǒng)一在評(píng)估前明確“威脅可能性”“脆弱性嚴(yán)重程度”“風(fēng)險(xiǎn)影響程度”的判定標(biāo)準(zhǔn)（如“高”對(duì)應(yīng)“發(fā)生概率≥70%或造成重大損失”，“中”對(duì)應(yīng)“30%≤發(fā)生概率＜70%或造成較大損失”），保證不同評(píng)估人員對(duì)同一風(fēng)險(xiǎn)項(xiàng)的評(píng)價(jià)結(jié)果一致。整改措施需可落地、可驗(yàn)證風(fēng)險(xiǎn)處理建議應(yīng)具體明確，避免“加強(qiáng)安全管理”“提升安全意識(shí)”等模糊表述，需明確整改動(dòng)作（如“部署型號(hào)防火墻”“修改密碼策略為長度≥12位且包含特殊字符”）、責(zé)任人和完成時(shí)限，并保留整改完成的驗(yàn)證證據(jù)（如截圖、測試報(bào)告）。動(dòng)態(tài)更新與持續(xù)改進(jìn)信息技術(shù)環(huán)境及安全威脅持續(xù)變化，風(fēng)險(xiǎn)評(píng)估不是一次性工作，建議至少每年開展一次全面評(píng)估，在系統(tǒng)升級(jí)、業(yè)務(wù)調(diào)整、發(fā)生安全事件后及時(shí)補(bǔ)充評(píng)估，保證風(fēng)險(xiǎn)清單的時(shí)效