IT系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估與控制清單通用工具模板一、適用范圍與工作目標(biāo)本工具模板適用于各類企業(yè)及組織的IT系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作，覆蓋系統(tǒng)規(guī)劃、開(kāi)發(fā)、上線、運(yùn)行及退役全生命周期。通過(guò)系統(tǒng)化識(shí)別資產(chǎn)威脅、分析脆弱性、量化風(fēng)險(xiǎn)等級(jí)，并制定針對(duì)性控制措施，旨在實(shí)現(xiàn)以下目標(biāo)：全面梳理IT系統(tǒng)核心資產(chǎn)與潛在風(fēng)險(xiǎn)點(diǎn)，避免遺漏關(guān)鍵安全問(wèn)題；量化風(fēng)險(xiǎn)優(yōu)先級(jí)，為資源分配與控制措施落地提供決策依據(jù)；建立風(fēng)險(xiǎn)管控閉環(huán)，保證系統(tǒng)安全符合法律法規(guī)（如《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》）及行業(yè)標(biāo)準(zhǔn)（如等保2.0）要求；降低安全事件發(fā)生概率，保障業(yè)務(wù)連續(xù)性與數(shù)據(jù)完整性。二、風(fēng)險(xiǎn)評(píng)估與控制實(shí)施流程（一）第一步：資產(chǎn)識(shí)別與分類操作說(shuō)明：明確資產(chǎn)范圍：梳理IT系統(tǒng)涉及的全部硬件、軟件、數(shù)據(jù)及服務(wù)資源，包括但不限于：硬件資產(chǎn)：服務(wù)器、網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)、防火墻）、終端設(shè)備（PC、移動(dòng)設(shè)備）、存儲(chǔ)設(shè)備等；軟件資產(chǎn)：操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)（如OA、ERP、CRM）、中間件等；數(shù)據(jù)資產(chǎn)：用戶身份信息、業(yè)務(wù)數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)、日志數(shù)據(jù)等（需標(biāo)注數(shù)據(jù)敏感級(jí)別，如公開(kāi)、內(nèi)部、敏感、核心）；服務(wù)資產(chǎn)：業(yè)務(wù)服務(wù)（如在線交易、用戶認(rèn)證）、支撐服務(wù)（如DNS、郵件服務(wù)）等。登記資產(chǎn)信息：填寫(xiě)《資產(chǎn)清單表》（見(jiàn)模板表格），記錄資產(chǎn)名稱、類型、責(zé)任人、物理位置/IP地址、所屬系統(tǒng)、數(shù)據(jù)敏感級(jí)別等關(guān)鍵信息，保證資產(chǎn)無(wú)遺漏、無(wú)冗余。（二）第二步：威脅識(shí)別與場(chǎng)景分析操作說(shuō)明：收集威脅源：結(jié)合行業(yè)經(jīng)驗(yàn)與歷史安全事件，識(shí)別可能對(duì)資產(chǎn)造成危害的威脅源，包括：外部威脅：黑客攻擊（SQL注入、勒索病毒、DDoS）、惡意軟件（木馬、蠕蟲(chóng)）、社會(huì)工程學(xué)（釣魚(yú)郵件、電話詐騙）、供應(yīng)鏈攻擊等；內(nèi)部威脅：?jiǎn)T工誤操作（如誤刪數(shù)據(jù)、配置錯(cuò)誤）、權(quán)限濫用（越權(quán)訪問(wèn)、數(shù)據(jù)泄露）、內(nèi)部人員惡意破壞等；環(huán)境威脅：自然災(zāi)害（火災(zāi)、水災(zāi)）、硬件故障（服務(wù)器宕機(jī)、磁盤(pán)損壞）、斷電斷網(wǎng)等。構(gòu)建威脅場(chǎng)景：針對(duì)每類核心資產(chǎn)，分析“威脅源+脆弱性”組合可能導(dǎo)致的安全事件場(chǎng)景，例如：“黑客利用Web應(yīng)用SQL注入漏洞（威脅）竊取用戶敏感數(shù)據(jù)（資產(chǎn)影響）”“運(yùn)維人員誤刪除數(shù)據(jù)庫(kù)備份文件（威脅）導(dǎo)致數(shù)據(jù)無(wú)法恢復(fù)（資產(chǎn)影響）”。（三）第三步：脆弱性識(shí)別與評(píng)估操作說(shuō)明：脆弱性分類：從技術(shù)與管理兩個(gè)維度識(shí)別資產(chǎn)存在的薄弱環(huán)節(jié)：技術(shù)脆弱性：系統(tǒng)漏洞（未修復(fù)的操作系統(tǒng)補(bǔ)?。?、配置缺陷（默認(rèn)密碼、端口開(kāi)放過(guò)度）、架構(gòu)缺陷（缺乏加密傳輸、邊界防護(hù)不足）、代碼漏洞（輸入校驗(yàn)缺失）等；管理脆弱性：安全策略缺失（無(wú)數(shù)據(jù)備份制度）、人員操作不規(guī)范（弱密碼策略）、應(yīng)急響應(yīng)機(jī)制不完善、安全培訓(xùn)不到位等。脆弱性評(píng)級(jí)：采用“低、中、高”三級(jí)評(píng)估脆弱性嚴(yán)重程度：低：對(duì)資產(chǎn)安全影響較小，如非核心系統(tǒng)日志記錄不全；中：可能導(dǎo)致部分功能異?；驍?shù)據(jù)泄露，如非管理員權(quán)限賬號(hào)可訪問(wèn)敏感配置；高：可直接導(dǎo)致系統(tǒng)癱瘓或核心數(shù)據(jù)泄露，如數(shù)據(jù)庫(kù)存在未授權(quán)訪問(wèn)漏洞。（四）第四步：風(fēng)險(xiǎn)分析與等級(jí)判定操作說(shuō)明：計(jì)算風(fēng)險(xiǎn)值：采用“可能性×影響”矩陣模型量化風(fēng)險(xiǎn)等級(jí)，公式為：風(fēng)險(xiǎn)值=威脅發(fā)生可能性×脆弱性嚴(yán)重程度×資產(chǎn)重要性?？赡苄裕悍?級(jí)（極低、低、中、高、極高），參考?xì)v史發(fā)生頻率、威脅源能力等因素判定；影響程度：分5級(jí)（極低、低、中、高、極高），根據(jù)資產(chǎn)受損后對(duì)業(yè)務(wù)、財(cái)務(wù)、聲譽(yù)、合規(guī)性的影響判定；資產(chǎn)重要性：分4級(jí)（普通、重要、核心、關(guān)鍵），結(jié)合資產(chǎn)敏感級(jí)別與業(yè)務(wù)依賴度判定。判定風(fēng)險(xiǎn)等級(jí)：對(duì)照《風(fēng)險(xiǎn)等級(jí)判定標(biāo)準(zhǔn)表》（示例見(jiàn)表1），將風(fēng)險(xiǎn)值劃分為“可接受、低風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)、高風(fēng)險(xiǎn)、極高風(fēng)險(xiǎn)”五級(jí)，明確需優(yōu)先處置的高風(fēng)險(xiǎn)及以上項(xiàng)。表1風(fēng)險(xiǎn)等級(jí)判定標(biāo)準(zhǔn)（示例）風(fēng)險(xiǎn)值區(qū)間風(fēng)險(xiǎn)等級(jí)處置優(yōu)先級(jí)0-20可接受定期監(jiān)控21-40低風(fēng)險(xiǎn)計(jì)劃改進(jìn)41-60中風(fēng)險(xiǎn)限期整改61-80高風(fēng)險(xiǎn)立即處置81-100極高風(fēng)險(xiǎn)立即停機(jī)整改（五）第五步：控制措施制定與落地操作說(shuō)明：制定控制策略：針對(duì)每項(xiàng)中風(fēng)險(xiǎn)及以上風(fēng)險(xiǎn)，從“預(yù)防性、檢測(cè)性、糾正性”三類措施制定控制方案：預(yù)防性措施：降低威脅發(fā)生概率或脆弱性嚴(yán)重程度，如部署防火墻、啟用雙因素認(rèn)證、定期安全培訓(xùn)；檢測(cè)性措施：及時(shí)發(fā)覺(jué)威脅或異常行為，如部署入侵檢測(cè)系統(tǒng)（IDS）、日志審計(jì)、異常流量監(jiān)控；糾正性措施：減少風(fēng)險(xiǎn)發(fā)生后的損失，如制定數(shù)據(jù)備份與恢復(fù)計(jì)劃、建立應(yīng)急響應(yīng)流程。明確責(zé)任與計(jì)劃：填寫(xiě)《控制措施落地表》（見(jiàn)模板表格），明確每項(xiàng)措施的負(fù)責(zé)人（如由經(jīng)理牽頭，工程師實(shí)施）、計(jì)劃完成時(shí)間、資源需求（預(yù)算、人力）及驗(yàn)收標(biāo)準(zhǔn)。（六）第六步：風(fēng)險(xiǎn)驗(yàn)證與持續(xù)監(jiān)控操作說(shuō)明：措施有效性驗(yàn)證：控制措施落地后，通過(guò)滲透測(cè)試、漏洞掃描、模擬攻擊等方式驗(yàn)證其有效性，例如：驗(yàn)證防火墻規(guī)則是否阻斷惡意流量、雙因素認(rèn)證是否攔截未授權(quán)登錄。風(fēng)險(xiǎn)動(dòng)態(tài)監(jiān)控：建立風(fēng)險(xiǎn)監(jiān)控機(jī)制，定期（如每季度）重新評(píng)估資產(chǎn)、威脅與脆弱性變化，跟蹤新漏洞情報(bào)（如CVE公告），更新風(fēng)險(xiǎn)清單與控制措施，保證風(fēng)險(xiǎn)管控始終與系統(tǒng)狀態(tài)匹配。三、IT系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估與控制清單模板（一）資產(chǎn)清單表（示例）序號(hào)資產(chǎn)名稱資產(chǎn)類型所屬系統(tǒng)責(zé)任人物理位置/IP地址數(shù)據(jù)敏感級(jí)別備注1Web服務(wù)器硬件電商平臺(tái)*工192.168.1.10敏感部署于云2用戶數(shù)據(jù)庫(kù)軟件電商平臺(tái)*工192.168.1.20核心MySQL8.03用戶身份信息數(shù)據(jù)電商平臺(tái)*經(jīng)理-核心存儲(chǔ)于數(shù)據(jù)庫(kù)4在線支付接口服務(wù)電商平臺(tái)*工-敏感對(duì)接第三方支付（二）風(fēng)險(xiǎn)與控制措施清單表（示例）序號(hào)資產(chǎn)名稱威脅類型脆弱性描述現(xiàn)有控制措施風(fēng)險(xiǎn)等級(jí)控制建議責(zé)任人計(jì)劃完成時(shí)間驗(yàn)證狀態(tài)1Web服務(wù)器SQL注入攻擊Web應(yīng)用未對(duì)用戶輸入進(jìn)行校驗(yàn)部署WAF防火墻高風(fēng)險(xiǎn)升級(jí)Web應(yīng)用，啟用輸入?yún)?shù)化查詢*工2024-06-30待驗(yàn)證2用戶數(shù)據(jù)庫(kù)未授權(quán)訪問(wèn)數(shù)據(jù)庫(kù)使用默認(rèn)密碼已修改初始密碼，但未啟用雙因素認(rèn)證中風(fēng)險(xiǎn)啟用數(shù)據(jù)庫(kù)雙因素認(rèn)證，限制訪問(wèn)IP*經(jīng)理2024-07-15未實(shí)施3用戶身份信息內(nèi)部人員數(shù)據(jù)泄露員工權(quán)限未按最小原則分配制定權(quán)限審批流程，但執(zhí)行不到位中風(fēng)險(xiǎn)每季度review員工權(quán)限，刪除冗余賬號(hào)*主管長(zhǎng)期進(jìn)行中4在線支付接口第三方接口供應(yīng)鏈攻擊未對(duì)第三方服務(wù)商進(jìn)行安全評(píng)估簽訂安全協(xié)議，未定期審計(jì)低風(fēng)險(xiǎn)每年對(duì)第三方服務(wù)商開(kāi)展安全滲透測(cè)試*經(jīng)理2024-12-31未實(shí)施四、關(guān)鍵注意事項(xiàng)與持續(xù)改進(jìn)（一）風(fēng)險(xiǎn)動(dòng)態(tài)性管理IT系統(tǒng)風(fēng)險(xiǎn)并非一成不變，需定期（建議每季度或半年）開(kāi)展全面復(fù)評(píng)，在系統(tǒng)升級(jí)、業(yè)務(wù)變更、新漏洞發(fā)布等特殊節(jié)點(diǎn)觸發(fā)專項(xiàng)評(píng)估，保證風(fēng)險(xiǎn)清單與實(shí)際狀態(tài)一致。（二）全員參與與責(zé)任落實(shí)安全風(fēng)險(xiǎn)評(píng)估不僅是IT部門(mén)職責(zé)，需業(yè)務(wù)部門(mén)、管理層共同參與：業(yè)務(wù)部門(mén)提供資產(chǎn)價(jià)值與業(yè)務(wù)影響信息，管理層推動(dòng)資源投入與制度落地，明確各崗位風(fēng)險(xiǎn)管控責(zé)任，避免“重技術(shù)、輕管理”。（三）合規(guī)性優(yōu)先原則控制措施制定需優(yōu)先滿足《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》及行業(yè)監(jiān)管要求（如金融行業(yè)等保三級(jí)、醫(yī)療行業(yè)HIPAA），避免因合規(guī)問(wèn)題導(dǎo)致法律風(fēng)險(xiǎn)。（四）文檔規(guī)范化留存完整記錄評(píng)估過(guò)程文檔（如資產(chǎn)清單、風(fēng)險(xiǎn)分析報(bào)告、控制措施記錄），保證可追溯性，便于審計(jì)與后續(xù)復(fù)盤(pán)。文檔至少保存3年，核心系統(tǒng)建議永久保存。（五）應(yīng)急