NIST SP 80030风险评估报告要点示例_网络风险评估报告范本

NIST SP 80030风险评估报告要点示例由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“网络风险评估报告范本”。

NIST SP 800-30风险评估报告要点示例

实施概要

1、简介

目的

风险评估的范围

描述系统的组成、原理、用户、所在位置及其他风险评估应该考虑的详细的系统信息。

2、风险评估方法

简单介绍风险评估所采用的方法。

参与者（如风险评估小组成员）

信息搜集的技术（如所适用的工具、调查表）

风险测量准则的描述（例如一个3*3或者5*5的风险矩阵）

3、系统描述

描述系统的情况，包括硬件、软件、系统界面、用户和数据。提供系统之间的图表或者系统输入输出流程图以描述本次风险评估的范围。

4、薄弱点描述

整理并且形成适用于被评估系统的薄弱点列表。

5、威胁源描述

整理并且形成适用于被评估系统的威胁源列表。

6、风险评估结果

观察发现的列表（威胁源/薄弱点成对出现），应该包括：

观察发现的数量及简单的描述（例如：用户系统口令能够被容易的猜解或破译）

威胁源及对应薄弱点的讨论

识别已有的安全控制措施

发生可能性的讨论及评价

影响分析的讨论及评价

风险的等级

为降低风险的推荐的控制措施

7、总结 观察发现的总和，观察发现的概述及相应的风险等级。建议及说明，以利于风险降低过程中建议的控制措施的实施。