一、文档核心定位与使用原则
本类文档是风险评估全流程的标准化留存载体 ,用于记录资产梳理、威胁 / 脆弱性识别、风险分级、处置落地、效果验证的全部信息,支撑合规检查、管理层决策、安全工作复盘,同时作为跨部门协作的统一依据。核心使用原则 :实时更新、权责明确、可追溯、简洁落地,拒绝冗余表述,所有记录需对应具体资产、具体责任人、具体时间节点。
二、风险评估文档整体结构
整体分为基础信息、核心评估内容、处置落地、复盘更新、附则5 大模块,模块内按流程拆解成固定表单 / 条目,可根据企业规模(中小微 / 中大型)、场景(等保合规 / 数据安全 / 项目上线)删减细化。
模块 1:基础信息
固定记录评估的核心背景与范围,避免后续查阅产生歧义,所有字段为必填项:
- 评估文档编号:按企业安全文档编码规则编制(例:安全 - 风险评估 - 202X-XX 行业 - XX 场景 - 001)
- 评估主题:明确评估对象与目的(例:XX 公司生产管理系统等保二级合规风险评估 / XX 银行用户金融数据安全专项风险评估)
- 评估范围:划定资产、业务、网络边界(例:XX 公司内网生产系统、外网 OA 系统及配套文件服务器,不含办公终端 / XX 电商 618 大促核心交易系统、支付接口、用户数据库)
- 评估周期:分为首次评估 (起止时间:XXXX.XX.XX-XXXX.XX.XX)/定期复盘(季度 / 年度,复盘时间:XXXX.XX.XX)
- 评估团队 / 责任人:牵头人 + 参与人(含部门 / 岗位),明确总负责人(例:牵头人:安全部 XXX;参与人:技术部 XXX、业务部 XXX)
- 评估方法:记录本次使用的分析方法(例:定性风险分析 + ATV 资产威胁脆弱性分析 / 定量风险分析 + MITRE ATT&CK 攻击链分析)
- 参考依据:合规标准 / 行业规范 / 企业制度(例:等保 2.0 GB/T 22239-2019/《数据安全法》/XX 公司网络安全管理制度 V2.0)
模块 2:核心评估内容
为风险评估的核心数据层 ,全部采用表格形式 记录,字段清晰、可对比、可筛选,按评估流程依次排列,所有表格需一一对应(资产表→脆弱性表→风险分级表,资产名称 / 编号统一)。
表单 2-1:资产梳理与价值分级表
| 资产唯一编号 | 资产名称 | 资产类型(业务系统 / 数据资产 / 终端 / 网络设备) | 所属业务 / 部门 | 核心属性(IP / 部署位置 / 存储数据类型 / 业务功能) | 价值等级(一级 / 二级 / 三级 / 四级,按企业分级标准) | 资产负责人(姓名 + 岗位 + 联系方式) | 备注(如是否外网可访问 / 是否核心数据载体) |
|---|---|---|---|---|---|---|---|
| 例:ZC-001 | 生产管理系统 | 业务系统 | 生产部 | 内网 192.168.1.100,关联生产线启停 | 二级 | 张 XX 生产经理 138XXXX1234 | 无外网访问权限,无备用系统 |
填写要点:资产编号唯一,价值等级需标注分级依据,负责人必须为具体岗位人员,避免 "部门负责" 无具体对接人。
表单 2-2:威胁与脆弱性识别表
| 关联资产编号 | 资产名称 | 核心威胁(威胁源 + 威胁行为,例:外部黑灰产 - 暴力破解 / 内部员工 - 误操作) | 脆弱性类型(技术 / 管理 / 人员 / 物理) | 具体脆弱性描述(精准量化,例:弱口令 admin/admin,未打 202X 年 Q3 补丁 / 无数据备份制度,离职未回收权限) | 脆弱性发现方式(漏扫工具 / 渗透测试 / 人工核查 / 钓鱼演练) | 脆弱性等级(高危 / 中危 / 低危 / 信息,参考 CVSS / 企业标准) | 备注(如是否为行业共性脆弱性) |
|---|---|---|---|---|---|---|---|
| 例:ZC-002 | 办公 OA 系统 | 外部黑灰产 - 暴力破解、网页挂马 | 技术脆弱性 | 超管账号弱口令,未安装 WAF,系统存在 3 个高危 CVE 漏洞 | Nessus 漏扫 + 人工核查 | 高危 | 同行业 OA 系统常见脆弱性 |
填写要点:威胁需贴合资产实际,避免泛化(如中小企资产不写 "APT 攻击");脆弱性描述拒绝模糊(不说 "系统有漏洞",明确漏洞类型 / 数量 / 具体问题)。
表单 2-3:风险分析与分级表
核心表单 ,关联前两张表单,明确每一项风险的核心判定依据,分定性分析版 (适配中小企 / 大部分场景)和定量分析版(适配中大型企业 / 金融 / 政务等关键行业),二选一即可。
定性分析版
| 风险唯一编号 | 关联资产编号 | 资产名称 | 风险项描述(资产 + 威胁 + 脆弱性,例:办公 OA 系统因弱口令存在外部暴力破解导致数据泄露的风险) | 威胁发生可能性(极高 / 高 / 中 / 低 / 极低,标注判定依据) | 风险影响程度(严重 / 较大 / 一般 / 较小 / 无,标注影响维度:业务中断 / 数据泄露 / 经济损失 / 合规处罚) | 风险等级(特级 / 一级 / 二级 / 三级,按企业组合标准) | 核心损失预判(简洁描述,例:OA 系统数据泄露,导致合同信息被盗,影响企业经营) | 备注 |
|---|---|---|---|---|---|---|---|---|
| 例:FX-001 | ZC-002 | 办公 OA 系统 | 办公 OA 系统因超管弱口令 + 无 WAF 防护,存在外部黑灰产暴力破解导致核心办公数据泄露的风险 | 极高(行业每月发生≥3 次,弱口令易被扫描破解) | 较大(数据泄露,涉及企业合同 / 财务基础数据,无直接经济损失但影响品牌) | 特级 | 核心办公数据泄露,导致企业经营信息外泄,合作方信任度降低 | 需优先处置 |
定量分析版(精准化)
| 风险唯一编号 | 关联资产编号 | 资产名称 | 风险项描述 | 年度发生概率(%,参考行业数据 / 企业历史事件) | 单次损失金额(万元,拆解维度:直接经济损失 + 合规处罚 + 品牌声誉损失 + 业务中断损失) | 年度预期损失(风险值,万元:单次损失 × 年度发生概率) | 风险等级(按风险值区间划分,例:≥100 万为特级) | 备注 |
|---|---|---|---|---|---|---|---|---|
| 例:FX-002 | ZC-005 | 用户数据仓库 | 用户数据仓库因权限过大存在内部人员泄密导致用户金融数据泄露的风险 | 20%(无权限审计,行业内部泄密概率 20%-30%) | 500(罚款 300 万 + 客户赔偿 200 万,无品牌声誉损失) | 100 | 特级(风险值≥50 万为特级) | 核心数据资产,需重点处置 |
填写要点:风险编号唯一;风险项描述需 "一句话说清风险",关联资产 - 威胁 - 脆弱性;定性分析的 "可能性 / 影响程度" 必须标注判定依据,避免主观。
模块 3:风险处置落地记录
记录风险处置的具体措施、责任人、时限、进度 ,是跨部门协作和进度跟踪的核心依据,采用动态表格,随处置进度实时更新,新增 "处置状态""验证结果" 字段,便于台账管理。
| 风险唯一编号 | 关联资产编号 | 资产名称 | 风险等级 | 风险处置策略(规避 / 降低 / 转移 / 接受,标注选择依据) | 具体处置措施(可多条,精准落地,例:1. 立即修改 OA 系统所有弱口令,设置 8 位以上字母 + 数字 + 符号;2. 部署免费版 WAF 云锁) | 责任部门 / 人(姓名 + 岗位,明确主责 / 配合) | 计划完成时限 | 实际完 成时限 | 处置状态 | 处置效果验证方式(漏扫复测 / 人工测试 / 渗透测试 / 日志核查) | 验证结果 |
|---|---|---|---|---|---|---|---|---|---|---|---|
| 例:FX-001 | ZC-002 | 办公 OA 系统 | 特级 | 风险降低(无规避条件,处置成本远低于损失) | 1. 24 小时内修改所有账号弱口令,完成口令核查;2. 3 个工作日内打全系统补丁,部署云锁 WAF;3. 7 个工作日内开启账号登录审计 | 主责:技术部李 XX;配合:行政部张 XX | XX | XX | 已完成 | Nessus 漏扫复测 + 人工登录测试 + WAF 日志核查 | 通过 |
填写要点:处置措施拒绝空谈(不说 "加强安全防护",明确具体操作步骤);责任划分需明确 "主责 / 配合";未通过验证需立即标注原因,同步更新处置措施。
模块 4:复盘与更新记录(闭环层,定期填写)
风险评估非一次性工作,本模块记录定期复盘、风险动态变化、处置效果复盘 的信息,形成安全闭环,按季度 / 年度填写,或资产 / 威胁发生重大变化时(如新增核心系统 / 出现新型攻击手段)即时填写。
表单 4-1:风险动态更新表
| 更新时间 | 更新原因(定期复盘 / 资产新增 / 威胁变化 / 脆弱性升级) | 涉及风险编号 / 资产编号 | 具体更新内容(例:FX-003 风险等级由一级降至二级,因处置后威胁发生可能性从高降至中;新增资产 ZC-006,补充相关风险评估信息) | 更新人 | 备注 |
|---|---|---|---|---|---|
| XXXX.XX.XX | 季度复盘 | FX-003、ZC-005 | FX-003 风险因完成权限收紧 + 审计系统部署,威胁发生可能性从高降至中,风险等级由一级降至二级 | 安全部 XXX | 无 |
表单 4-2:整体评估复盘总结
非表格形式,文字简洁描述(300-500 字),包含以下核心点:
- 本次复盘覆盖的评估范围、完成的处置项数量、通过 / 未通过验证的风险项数量;
- 核心成果:如特级 / 一级风险处置完成率、资产脆弱性修复率、风险等级整体下降情况(例:本次复盘完成 10 项特级风险处置,核心资产高危脆弱性修复率 100%,整体风险等级下降 30%);
- 现存问题:如未完成处置的风险项原因、新发现的风险点、跨部门协作的难点(例:因技术部资源不足,2 项一级风险处置未按时完成;新增电商直播系统,发现 2 个中危脆弱性);
- 后续计划:针对现存问题的解决措施、下一次评估 / 复盘的时间节点、重点关注的资产 / 风险领域(例:协调技术部增配资源,10 个工作日内完成未处置风险;下一次复盘时间为 XXXX.XX.XX,重点关注新上线的直播系统)。
模块 5:附则(文档尾部,统一约定)
- 文档管理:本文档由安全部 / 指定负责人统一管理,存储于企业内部加密服务器,仅限授权人员查阅 / 修改,修改需记录修改人、修改时间、修改内容;
- 更新频率:首次评估后,季度开展一次简易复盘 ,年度开展一次全量重新评估;资产 / 业务 / 威胁发生重大变化时,即时更新;
- 权责说明:文档中记录的资产负责人、处置责任人对对应内容承担相应安全责任,未按时限完成处置的,按企业网络安全管理制度追责;
- 生效时间:本评估文档自 XXXX.XX.XX 起生效;
- 附件:可附漏扫报告、渗透测试报告、钓鱼演练结果、合规标准原文等支撑材料(标注附件名称 / 编号)。
三、文档记录的实操规范与避坑要点
1. 通用填写规范
- 所有字段必填项不空缺,无内容填 "无",拒绝模糊表述(如 "负责人:技术部"→需具体到个人);
- 表格编号唯一且关联(资产编号→风险编号→处置编号),便于跨表格检索;
- 时间、金额、数量等量化信息精准,不说 "近期""少量",明确 "XXXX.XX.XX""3 个""50 万元";
- 语言简洁专业,拒绝口语化,统一术语(如 "超管账号" 不写 "管理员账号","风险降低" 不写 "风险减少")。
2. 不同场景的文档简化技巧
- 中小微企业 / 基础合规场景:删减定量分析版表单,仅保留定性分析;简化资产 / 风险编号(如 ZC-1、FX-1);附件仅附核心漏扫报告,无需冗余材料;
- 专项评估场景(数据安全 / 项目上线):聚焦核心资产,删减非相关表单字段(如数据安全专项,重点强化 "数据类型 / 数据泄露影响" 字段;项目上线前评估,新增 "上线前验证结果" 字段);
- 日常运营监控场景:仅保留 "风险处置落地表",动态更新处置状态,无需全量复盘,季度仅更新核心风险变化。
3. 常见避坑要点
- 避免 "文档与实际脱节":处置措施完成后即时更新文档,不做 "纸面处置",验证结果需附实际测试记录(如漏扫报告截图、人工测试日志);
- 避免 "责任模糊":所有环节明确具体责任人,不出现 "集体负责""部门负责",确保问题可追溯;
- 避免 "冗余记录":不记录低概率 / 无损失的风险(如中小企不记录 "自然灾害导致机房瘫痪"),不附与评估无关的材料(如行业新闻、通用制度);
- 避免 "无闭环记录":风险处置后必须填写 "验证结果",未通过的需立即更新处置措施,不遗漏任何风险项;
- 避免 "版本混乱":文档更新后标注版本号(如 V1.0、V2.0),旧版本存档,最新版本统一发布,防止多人使用不同版本文档。
四、文档的存储与管理要求
- 存储:统一存储于企业内部加密服务器 / 云盘,设置访问权限(仅评估团队、管理层、相关责任人可查阅,修改权限仅限文档负责人);
- 备份:定期(每月)备份文档,备份文件加密存储,防止文档丢失 / 篡改;
- 查阅 / 修改记录:开启文档操作日志,记录所有查阅 / 修改人员、时间、内容,便于审计;
- 归档:年度全量评估完成后,将文档按 "年度 + 场景" 归档,作为企业安全档案留存,留存期限不少于 5 年(适配合规要求)。