模板:风险登记册
说明
风险登记册根据 §30 第2款第1项 BSIG 记录 BAUER GROUP 的所有信息安全风险。它是风险分析和 ISMS 的基础。
风险条目
markdown
## 风险条目
| 字段 | 值 |
|---|---|
| **风险 ID** | RISK-NIS2-XXXX |
| **简称** | [风险名称] |
| **描述** | [包含威胁、漏洞、影响的风险描述] |
| **资产类别** | [数据 / 系统 / 流程 / 人员 / 供应商] |
| **受影响的保护目标** | [ ] 可用性 [ ] 完整性 [ ] 机密性 [ ] 真实性 |
| **发生可能性** | [极低 / 低 / 中 / 高 / 极高] |
| **影响程度** | [极低 / 低 / 中 / 高 / 极高] |
| **毛风险等级** | [低 / 中 / 高 / 严重] |
| **现有控制措施** | [带文档参考的列表] |
| **控制有效性** | [高 / 中 / 低] |
| **净风险等级** | [低 / 中 / 高 / 严重] |
| **风险处置方式** | [规避 / 缓解 / 转移 / 接受] |
| **计划措施** | [描述 + 目标日期] |
| **责任人** | [姓名 / 角色] |
| **首次评估** | [日期] |
| **上次审查** | [日期] |
| **下次审查** | [日期,最长+12个月] |
| **§30 参考** | [第1–10项] |
| **备注** | [自由文本,如假设、外部因素] |评估矩阵
| 可能性 × 影响 | 极低 | 低 | 中 | 高 | 极高 |
|---|---|---|---|---|---|
| 极高 | 中 | 高 | 高 | 严重 | 严重 |
| 高 | 中 | 中 | 高 | 高 | 严重 |
| 中 | 低 | 中 | 中 | 高 | 高 |
| 低 | 低 | 低 | 中 | 中 | 高 |
| 极低 | 低 | 低 | 低 | 中 | 中 |
注意事项
- ID 格式:
RISK-NIS2-XXXX(连续编号) - 严重风险立即向管理层报告(§38)
- 高风险列入季度报告
- 风险接受需要书面理由和管理层批准
- 登记册至少每年全面审查一次