信息技術(shù)安全風險評估與防護指南（通用工具模板）引言本指南依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《信息安全技術(shù)信息安全風險評估規(guī)范》（GB/T20984-2022）等國家及行業(yè)標準，結(jié)合企業(yè)、機構(gòu)等組織的信息系統(tǒng)安全實踐編制，旨在提供一套標準化的風險評估與防護實施框架。通過系統(tǒng)化識別資產(chǎn)威脅、分析脆弱性、量化風險等級，并制定針對性防護措施，幫助組織有效降低信息安全事件發(fā)生概率，保障業(yè)務(wù)連續(xù)性與數(shù)據(jù)安全。本指南適用于信息系統(tǒng)規(guī)劃、建設(shè)、運維全生命周期的安全管理場景，可作為安全管理人員、技術(shù)團隊及第三方審計機構(gòu)的操作參考。一、應(yīng)用場景與適用范圍（一）信息系統(tǒng)建設(shè)前評估在新系統(tǒng)（如業(yè)務(wù)管理系統(tǒng)、云服務(wù)平臺、物聯(lián)網(wǎng)終端系統(tǒng)等）規(guī)劃階段，通過評估系統(tǒng)架構(gòu)、數(shù)據(jù)敏感度、外部接口等要素，預(yù)判潛在安全風險，從源頭設(shè)計安全防護方案，避免“帶病上線”。（二）系統(tǒng)升級與改造風險評估當現(xiàn)有系統(tǒng)進行功能升級、架構(gòu)重構(gòu)（如從本地部署向云遷移）、技術(shù)棧更新（如數(shù)據(jù)庫版本升級）時，需評估變更帶來的新威脅（如兼容性漏洞、配置變更風險）及對原有防護體系的影響，保證升級過程安全可控。（三）合規(guī)性審計與風險評估為滿足《網(wǎng)絡(luò)安全等級保護基本要求》（GB/T22239-2019）、行業(yè)監(jiān)管（如金融行業(yè)《商業(yè)銀行信息科技風險管理指引》）等合規(guī)要求，需定期開展風險評估，驗證現(xiàn)有控制措施的有效性，形成合規(guī)性證據(jù)鏈。（四）安全事件后復盤評估發(fā)生數(shù)據(jù)泄露、勒索病毒攻擊、系統(tǒng)非法入侵等安全事件后，通過追溯事件成因（如未修補的脆弱性、失效的訪問控制），評估事件影響范圍及現(xiàn)有應(yīng)急響應(yīng)機制的有效性，制定整改措施，防止同類事件重復發(fā)生。（五）業(yè)務(wù)流程變更風險評估當組織調(diào)整業(yè)務(wù)流程（如新增遠程辦公權(quán)限、開放第三方數(shù)據(jù)接口）時，需評估流程變更對數(shù)據(jù)流轉(zhuǎn)、用戶權(quán)限等安全要素的影響，避免因流程調(diào)整引入新的風險點。二、安全風險評估操作流程本流程遵循“資產(chǎn)識別-威脅分析-脆弱性評估-風險計算-處置實施-持續(xù)監(jiān)控”的閉環(huán)管理邏輯，共分10個步驟，各環(huán)節(jié)需明確責任人與輸出成果，保證評估過程規(guī)范、結(jié)果可追溯。步驟1：組建評估團隊與明確職責操作說明：由組織信息負責人（如CIO）牽頭，組建跨職能評估團隊，成員應(yīng)包括：安全專家：負責威脅識別、脆弱性分析及風險計算；系統(tǒng)運維人員：提供技術(shù)架構(gòu)、配置管理及運維日志信息；業(yè)務(wù)部門代表：明確業(yè)務(wù)重要性、數(shù)據(jù)敏感度及核心流程；合規(guī)專員（可選）：對接監(jiān)管要求，保證評估合規(guī)性。制定《評估團隊職責表》，明確各成員任務(wù)分工（如資產(chǎn)盤點由運維人員主導，威脅清單由安全專家編制）。輸出成果：《評估團隊及職責清單》步驟2：制定風險評估計劃操作說明：明確評估范圍（如覆蓋全組織/特定系統(tǒng)/關(guān)鍵業(yè)務(wù)流程）、評估方法（訪談、文檔審查、工具掃描、滲透測試）、時間節(jié)點及資源需求（如預(yù)算、工具授權(quán)）。根據(jù)業(yè)務(wù)重要性確定評估優(yōu)先級（如核心業(yè)務(wù)系統(tǒng)優(yōu)先級高于非核心辦公系統(tǒng)）。輸出成果：《風險評估計劃書》（需經(jīng)項目負責人*審批）步驟3：信息資產(chǎn)識別與分類操作說明：從“硬件、軟件、數(shù)據(jù)、人員、其他”五大維度梳理資產(chǎn)，形成《資產(chǎn)清單》：硬件資產(chǎn)：服務(wù)器、網(wǎng)絡(luò)設(shè)備（路由器、交換機）、終端設(shè)備（PC、移動設(shè)備）、存儲設(shè)備等；軟件資產(chǎn)：操作系統(tǒng)、數(shù)據(jù)庫、中間件、業(yè)務(wù)應(yīng)用系統(tǒng)、第三方組件等；數(shù)據(jù)資產(chǎn)：按敏感度分級（如公開、內(nèi)部、敏感、核心），明確數(shù)據(jù)類型（用戶個人信息、財務(wù)數(shù)據(jù)、知識產(chǎn)權(quán)等）；人員資產(chǎn)：系統(tǒng)管理員、開發(fā)人員、普通用戶等，明確其職責與權(quán)限；其他資產(chǎn)：物理環(huán)境（機房、辦公場所）、文檔資料（安全策略、應(yīng)急預(yù)案）等。對資產(chǎn)進行“重要性標記”（如“關(guān)鍵”“重要”“一般”），依據(jù)業(yè)務(wù)影響程度（如若資產(chǎn)失效，對業(yè)務(wù)連續(xù)性、財務(wù)損失、法律合規(guī)的影響）確定等級。輸出成果：《信息資產(chǎn)清單及分類分級表》步驟4：威脅識別與分析操作說明：結(jié)合歷史安全事件、行業(yè)威脅情報（如國家信息安全漏洞共享平臺CNVD、CNNVD），識別可能對資產(chǎn)造成危害的威脅源，分類人為威脅：內(nèi)部人員誤操作/惡意操作（如越權(quán)訪問、數(shù)據(jù)竊?。?、外部攻擊（如黑客入侵、勒索病毒、釣魚攻擊）；環(huán)境威脅：自然災(zāi)害（火災(zāi)、水災(zāi)）、硬件故障（服務(wù)器硬盤損壞）、斷電/網(wǎng)絡(luò)中斷；管理威脅：安全策略缺失、人員培訓不足、第三方供應(yīng)商管理漏洞。分析威脅的“可能性”（如“高、中、低”），參考歷史發(fā)生頻率、外部威脅態(tài)勢及現(xiàn)有控制措施有效性。輸出成果：《威脅識別清單及可能性分析表》步驟5：脆弱性識別與評估操作說明：針對每項資產(chǎn)，識別其存在的脆弱性（技術(shù)脆弱性、管理脆弱性），可通過以下方式發(fā)覺：技術(shù)檢測：使用漏洞掃描工具（如Nessus、AWVS）、配置審計工具、滲透測試；管理審查：檢查安全策略文檔、訪問控制記錄、人員培訓檔案；訪談?wù){(diào)研：與運維人員、業(yè)務(wù)部門溝通，知曉實際操作中存在的管理漏洞。對脆弱性進行“嚴重性評級”（如“嚴重、高、中、低”），依據(jù)漏洞被利用后對資產(chǎn)保密性、完整性、可用性的影響程度。輸出成果：《脆弱性清單及嚴重性評級表》步驟6：現(xiàn)有控制措施評估操作說明：列出當前已實施的安全控制措施（技術(shù)措施：防火墻、入侵檢測系統(tǒng)、數(shù)據(jù)加密；管理措施：安全策略、權(quán)限審批流程、應(yīng)急演練），評估其：充分性：是否覆蓋已識別的威脅與脆弱性；有效性：是否按設(shè)計要求執(zhí)行（如防火墻策略是否定期更新）。標記失效或缺失的控制措施，為后續(xù)風險處置提供依據(jù)。輸出成果：《現(xiàn)有控制措施評估表》步驟7：風險分析與計算操作說明：采用“風險值=可能性×嚴重性”模型計算風險值（參考下表），結(jié)合資產(chǎn)重要性確定風險等級：可能性嚴重（5）高（4）中（3）低（2）高（5）25（極高）20（高）15（中高）10（中）中（4）20（高）16（高）12（中）8（中低）低（3）15（中高）12（中）9（中低）6（低）風險等級判定：極高風險（≥20分）：需立即處置，可能造成核心業(yè)務(wù)中斷、重大數(shù)據(jù)泄露；高風險（15-19分）：優(yōu)先處置，可能導致業(yè)務(wù)降級、敏感數(shù)據(jù)泄露；中風險（10-14分）：計劃處置，可能造成局部影響、一般數(shù)據(jù)泄露；低風險（≤9分）：可接受，影響范圍小，無需立即處理。輸出成果：《風險等級評估匯總表》步驟8：風險處置方案制定操作說明：針對不同等級風險，制定處置策略：規(guī)避：終止可能導致風險的業(yè)務(wù)活動（如關(guān)閉高風險第三方接口）；降低：實施控制措施降低風險（如修補漏洞、部署防火墻）；轉(zhuǎn)移：通過外包、購買保險等方式轉(zhuǎn)移風險（如將系統(tǒng)運維外包給具備安全資質(zhì)的供應(yīng)商）；接受：對于低風險，在成本效益允許范圍內(nèi)暫不處置，但需監(jiān)控。明確每項風險的“處置措施”“責任部門”“負責人”“完成時限”，形成可落地的整改計劃。輸出成果：《風險處置計劃表》步驟9：防護措施設(shè)計與實施操作說明：依據(jù)風險處置方案，細化防護措施，重點覆蓋以下領(lǐng)域：邊界防護：部署下一代防火墻（NGFW）、入侵防御系統(tǒng)（IPS），限制非必要端口訪問；訪問控制：實施最小權(quán)限原則，對敏感操作進行多因素認證（MFA）；數(shù)據(jù)安全：對核心數(shù)據(jù)加密存儲（如AES-256）、脫敏處理（如用戶手機號隱藏中間4位），定期備份；終端安全：安裝終端檢測與響應(yīng)（EDR）工具，禁止未授權(quán)設(shè)備接入內(nèi)網(wǎng)；安全管理：完善安全策略（如《密碼管理規(guī)范》《第三方安全管理辦法》），定期開展安全培訓（如釣魚郵件演練）。輸出成果：《安全防護措施實施清單》步驟10：報告編制與評審操作說明：編制《風險評估報告》，內(nèi)容包括：評估范圍與方法、資產(chǎn)清單、威脅與脆弱性分析、風險評估結(jié)果、處置計劃、防護措施建議。組織內(nèi)外部專家（如行業(yè)安全顧問、合規(guī)監(jiān)管人員）對報告進行評審，保證結(jié)果客觀、措施可行。報告經(jīng)組織高層（如CEO、CSO）審批后，作為安全決策依據(jù)，并同步至相關(guān)業(yè)務(wù)部門落實。輸出成果：《風險評估報告》（審批版）三、核心工具模板模板1：信息資產(chǎn)清單及分類分級表資產(chǎn)編號資產(chǎn)名稱資產(chǎn)類型（硬件/軟件/數(shù)據(jù)/人員/其他）所在位置/所屬系統(tǒng)責任人重要性（關(guān)鍵/重要/一般）敏感度（公開/內(nèi)部/敏感/核心）備注SERV-001核心業(yè)務(wù)服務(wù)器硬件機房A-機柜01*運維主管關(guān)鍵敏感運行ERP系統(tǒng)DB-001財務(wù)數(shù)據(jù)庫軟件核心業(yè)務(wù)服務(wù)器*DBA關(guān)鍵核心存儲財務(wù)數(shù)據(jù)DATA-001用戶個人信息數(shù)據(jù)核心業(yè)務(wù)數(shù)據(jù)庫*業(yè)務(wù)經(jīng)理重要敏感含身份證號、手機號USER-001系統(tǒng)管理員人員IT部門*安全主管關(guān)鍵-具備最高系統(tǒng)權(quán)限模板2：威脅識別清單及可能性分析表威脅編號威脅名稱威脅類型（人為/環(huán)境/管理）影響資產(chǎn)可能性（高/中/低）歷史發(fā)生記錄（如有）依據(jù)來源（如CNVD、內(nèi)部日志）THR-001勒索病毒攻擊人為（外部）核心業(yè)務(wù)服務(wù)器高2023年Q3某分支機構(gòu)感染CNNVD2023-X漏洞通告THR-002內(nèi)部人員誤刪數(shù)據(jù)人為（內(nèi)部）財務(wù)數(shù)據(jù)庫中2022年1起誤操作事件內(nèi)部運維工單記錄THR-003機房斷電環(huán)境機房A所有設(shè)備低近5年無記錄物理環(huán)境風險評估報告模板3：脆弱性清單及嚴重性評級表脆弱性編號脆弱性描述所在資產(chǎn)脆弱性類型（技術(shù)/管理）嚴重性（嚴重/高/中/低）可利用性（易/中/難）參考標準（如GB/T22239）VUL-001操作系統(tǒng)未補全最新安全補丁核心業(yè)務(wù)服務(wù)器技術(shù)高中GB/T22239-2019中“安全審計”要求VUL-002未實施雙人復核權(quán)限審批流程財務(wù)數(shù)據(jù)庫管理嚴重易《企業(yè)內(nèi)部控制基本規(guī)范》VUL-003防火墻規(guī)則未定期審計邊界防火墻管理中易ISO27001:2023A.12.1.3模板4：風險等級評估匯總表風險編號受威脅資產(chǎn)威脅脆弱性現(xiàn)有控制措施風險值（可能性×嚴重性）風險等級（極高/高/中/低）處置優(yōu)先級RSK-001核心業(yè)務(wù)服務(wù)器勒索病毒攻擊未安裝EDR工具僅部署傳統(tǒng)殺毒軟件5（高可能性）×4（高嚴重性）=20高立即RSK-002財務(wù)數(shù)據(jù)庫內(nèi)部人員誤刪數(shù)據(jù)未雙人復核權(quán)限權(quán)限審批流程存在漏洞4（中可能性）×5（嚴重嚴重性）=20高優(yōu)先RSK-003機房A設(shè)備機房斷電未部署UPS備用電源配備柴油發(fā)電機但未定期測試3（低可能性）×5（嚴重嚴重性）=15中高計劃模板5：風險處置計劃表風險編號處置策略具體措施責任部門負責人計劃完成時間預(yù)期效果驗證方式RSK-001降低部署終端檢測與響應(yīng)（EDR）工具，覆蓋所有服務(wù)器IT部*運維主管2024-03-31防范90%以上已知勒索病毒工具測試報告、漏洞掃描結(jié)果RSK-002降低實施財務(wù)數(shù)據(jù)操作雙人復核流程，開發(fā)權(quán)限審批模塊財務(wù)部、IT部*財務(wù)經(jīng)理2024-04-15杜絕單人誤操作風險操作流程文檔、權(quán)限審計日志RSK-003降低對UPS電源進行滿載測試，制定機房應(yīng)急供電預(yù)案行政部、IT部*行政主管2024-05-01保證斷電后2小時內(nèi)恢復供電應(yīng)急演練記錄、設(shè)備測試報告四、關(guān)鍵注意事項與風險提示（一）數(shù)據(jù)保密與隱私保護評估過程中涉及敏感數(shù)據(jù)（如用戶信息、業(yè)務(wù)數(shù)據(jù)）時，需遵守《個人信息保護法》要求，采用數(shù)據(jù)脫敏、加密傳輸?shù)确绞教幚?，避免二次泄露。評估報告僅限授權(quán)人員查閱，嚴禁外傳。（二）團隊專業(yè)性與獨立性評估團隊需具備信息安全專業(yè)知識，避免由單一部門主導（如僅IT部門負責），可引入第三方安全機構(gòu)參與，保證結(jié)果客觀公正。定期組織團隊培訓，更新威脅情報與評估方法。（三）動態(tài)評估與持續(xù)改進風險不是一成不變的，需定期開展復評（如核心系統(tǒng)每季度1次，非核心系統(tǒng)每半年1次），或在發(fā)生重大變更（如系統(tǒng)架構(gòu)調(diào)整、業(yè)務(wù)流程重組）時觸發(fā)即時評估，保證風險處置措施與當前威脅環(huán)境匹配。（四）合規(guī)性要求優(yōu)先在制定處置方案時，需優(yōu)先滿足國家及行業(yè)監(jiān)管要求（如等級保護、數(shù)據(jù)安全法），避免因追求效率而忽視合規(guī)風險，導致法律處罰或業(yè)務(wù)停擺。（五）應(yīng)急準備與演練風險評估后，需完善《安全事件應(yīng)急預(yù)案》，明確事件上報流程、處置步驟及責任人，定期開展應(yīng)急演練（如數(shù)據(jù)泄露處置演練、勒索病毒攻擊響應(yīng)演練），保證預(yù)案可落地。（六）成本效益平衡安全投入需與業(yè)務(wù)價值