信息化建設(shè)風(fēng)險評估報告格式_第1頁
信息化建設(shè)風(fēng)險評估報告格式_第2頁
信息化建設(shè)風(fēng)險評估報告格式_第3頁
已閱讀5頁,還剩18頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、.信信息息化化建建設(shè)設(shè)風(fēng)風(fēng)險險評評估估報報告告格格式式項項 目目 名名 稱:稱:工程建設(shè)單位:工程建設(shè)單位:風(fēng)險評估單位:風(fēng)險評估單位:年年月月日日.目錄一、風(fēng)險評估工程概述.11.1工程工程概況.11.1.1建設(shè)工程根本信息 .11.1.2建設(shè)單位根本信息 .1承建單位根本信息 .21.2風(fēng)險評估實施單位根本狀況.3二、風(fēng)險評估活動概述.32.1風(fēng)險評估工作組織治理.32.2風(fēng)險評估工作過程.32.3依據(jù)的技術(shù)標(biāo)準(zhǔn)及相關(guān)法規(guī)文件.32.4保障與限制條件.3三、評估對象.43.1評估對象構(gòu)成與定級.43.1.1網(wǎng)絡(luò)結(jié)構(gòu).43.1.2業(yè)務(wù)應(yīng)用.43.1.3子系統(tǒng)構(gòu)成及定級 .43.2評估對象等級

2、愛護(hù)措施.4xx子系統(tǒng)的等級愛護(hù)措施 .5子系統(tǒng)n的等級愛護(hù)措施 .5四、資產(chǎn)識別與分析.54.1資產(chǎn)類型與賦值.5資產(chǎn)類型.5.資產(chǎn)賦值.54.2關(guān)鍵資產(chǎn)說明.5五、威逼識別與分析.65.1威逼數(shù)據(jù)采集.65.2威逼描述與分析.65.2.1威逼源分析.65.2.2威逼行為分析.65.2.3威逼能量分析.65.3威逼賦值.6六、脆弱性識別與分析.76.1常規(guī)脆弱性描述.76.1.1治理脆弱性.76.1.2網(wǎng)絡(luò)脆弱性.7.7.7.7.7.7.7.7.7.7.7.7.7.86.3 脆弱性綜合列表.8七、風(fēng)險分析.87.1關(guān)鍵資產(chǎn)的風(fēng)險計算結(jié)果.87.2關(guān)鍵資產(chǎn)的風(fēng)險等級.87.2.1風(fēng)險等級列表.

3、87.2.2風(fēng)險等級統(tǒng)計.87.2.3基于脆弱性的風(fēng)險排名 .97.2.4風(fēng)險結(jié)果分析.9八、綜合分析與評價.9九、整改意見.9附件 1:治理措施表.10附件 2:技術(shù)措施表.12附件 3:資產(chǎn)類型與賦值表.14附件 4:威逼賦值表.14附件 5:脆弱性分析賦值表.15.工程工程名稱非涉密信息系統(tǒng)局部的建設(shè)工程工程內(nèi)容批復(fù)的建設(shè)內(nèi)容相應(yīng)的信息平安愛護(hù)系統(tǒng)建設(shè)內(nèi)容工程完成時間工程試運行時間部門名稱工程責(zé)任人通信地址一一、風(fēng)風(fēng)險險評評估估工工程程概概述述1.1工工程程工工程程概概況況建建設(shè)設(shè)工工程程根根本本信信息息建建設(shè)設(shè)單單位位根根本本信信息息工程建設(shè)牽頭部門.部門名稱工程責(zé)任人通信地址聯(lián)系電子

4、郵件企業(yè)名稱企業(yè)性質(zhì)是國內(nèi)企業(yè)/還是國外企業(yè)法人代表通信地址聯(lián)系電子郵件聯(lián)系電子郵件工程建設(shè)參與部門如有多個參與部門,分別填寫上承承建建單單位位根根本本信信息息如有多個承建單位,分別填寫下表。.評估單位名稱法人代表通信地址聯(lián)系電子郵件1.2風(fēng)風(fēng)險險評評估估實實施施單單位位根根本本狀狀況況二二、風(fēng)風(fēng)險險評評估估活活動動概概述述2.1風(fēng)風(fēng)險險評評估估工工作作組組織織治治理理描述本次風(fēng)險評估工作的組織體系含評估人員構(gòu)成、工作原那么和實行的保密措施。2.2風(fēng)風(fēng)險險評評估估工工作作過過程程工作階段及具體工作內(nèi)容.2.3依依據(jù)據(jù)的的技技術(shù)術(shù)標(biāo)標(biāo)準(zhǔn)準(zhǔn)及及相相關(guān)關(guān)法法規(guī)規(guī)文文件件2.4保保障障與與限限制制條條

5、件件需要被評估單位供應(yīng)的文檔、工作條件和協(xié)作人員等必要條件,以及可能的.序號子系統(tǒng)名稱平安愛護(hù)等級其中業(yè)務(wù)信息平安等級其中系統(tǒng)效勞平安等級限制條件。三三、評評估估對對象象3.1評評估估對對象象構(gòu)構(gòu)成成與與定定級級網(wǎng)網(wǎng)絡(luò)絡(luò)結(jié)結(jié)構(gòu)構(gòu)文字描述網(wǎng)絡(luò)構(gòu)成狀況、分區(qū)狀況、主要功能等,供應(yīng)網(wǎng)絡(luò)拓?fù)鋱D。業(yè)業(yè)務(wù)務(wù)應(yīng)應(yīng)用用文字描述評估對象所承載的業(yè)務(wù),及其重要性。子子系系統(tǒng)統(tǒng)構(gòu)構(gòu)成成及及定定級級描述各子系統(tǒng)構(gòu)成。依據(jù)平安等級愛護(hù)定級備案結(jié)果,填寫各子系統(tǒng)的平安愛護(hù)等級定級狀況表:各子系統(tǒng)的定級狀況表3.2評評估估對對象象等等級級愛愛護(hù)護(hù)措措施施依據(jù)工程工程平安域劃分和愛護(hù)等級的定級狀況,分別描述不同愛護(hù)等級愛護(hù)范

6、圍內(nèi)的子系統(tǒng)各自所實行的平安愛護(hù)措施,以及等級愛護(hù)的測評結(jié)果。依據(jù)需要,以下子名目依據(jù)子系統(tǒng)重復(fù)。.序號資產(chǎn)編號資產(chǎn)名稱子系統(tǒng)資產(chǎn)重要性3.2.1xx 子系統(tǒng)的等級愛護(hù)措施子系統(tǒng)的等級愛護(hù)措施依據(jù)等級測評結(jié)果,xx 子系統(tǒng)的等級愛護(hù)治理措施狀況見附表一。依據(jù)等級測評結(jié)果,xx 子系統(tǒng)的等級愛護(hù)技術(shù)措施狀況見附表二。3.2.2子子系系統(tǒng)統(tǒng) n 的的等等級級愛愛護(hù)護(hù)措措施施四四、資資產(chǎn)產(chǎn)識識別別與與分分析析4.1資資產(chǎn)產(chǎn)類類型型與與賦賦值值資資產(chǎn)產(chǎn)類類型型依據(jù)評估對象的構(gòu)成,分類描述評估對象的資產(chǎn)構(gòu)成。具體的資產(chǎn)分類與賦值,以附件形式附在評估報告后面,見附件 3?資產(chǎn)類型與賦值表?。資資產(chǎn)產(chǎn)賦賦值

7、值填寫?資產(chǎn)賦值表?。資產(chǎn)賦值表4.2關(guān)關(guān)鍵鍵資資產(chǎn)產(chǎn)說說明明在分析被評估系統(tǒng)的資產(chǎn)根底上,列出對評估單位格外重要的資產(chǎn),作為風(fēng)險評估的重點對象,并以清單形式列出如下:.資產(chǎn)編號子系統(tǒng)名稱應(yīng)用資產(chǎn)重要程度權(quán)重其他說明關(guān)鍵資產(chǎn)列表五五、威威逼逼識識別別與與分分析析對威逼來源內(nèi)部/外部;主觀/不行抗力等、威逼方式、發(fā)生的可能性,威逼主體的力量水公平進(jìn)行列表分析。5.1威威逼逼數(shù)數(shù)據(jù)據(jù)采采集集5.2威威逼逼描描述述與與分分析析依據(jù)?威逼賦值表?,對資產(chǎn)進(jìn)行威逼源和威逼行為分析。威威逼逼源源分分析析填寫?威逼源分析表?。威威逼逼行行為為分分析析填寫?威逼行為分析表?。威威逼逼能能量量分分析析5.3威威

8、逼逼賦賦值值填寫?威逼賦值表?。.六六、脆脆弱弱性性識識別別與與分分析析依據(jù)檢檢測測對對象象、檢檢測測結(jié)結(jié)果果、脆脆弱弱性性分分析析 分別描述以下各方面的脆弱性檢測結(jié)果和結(jié)果分析。6.1 常規(guī)脆弱性描述常規(guī)脆弱性描述治理脆弱性治理脆弱性網(wǎng)絡(luò)脆弱性網(wǎng)絡(luò)脆弱性系統(tǒng)脆弱性系統(tǒng)脆弱性應(yīng)用脆弱性應(yīng)用脆弱性數(shù)據(jù)處理和存儲脆弱性數(shù)據(jù)處理和存儲脆弱性運行維護(hù)脆弱性運行維護(hù)脆弱性災(zāi)備與應(yīng)急響應(yīng)脆弱性災(zāi)備與應(yīng)急響應(yīng)脆弱性物理脆弱性物理脆弱性脆脆弱弱性性專專項項檢檢測測木木馬馬病病毒毒專專項項檢檢查查滲透與攻擊性專項測試滲透與攻擊性專項測試關(guān)關(guān)鍵鍵設(shè)設(shè)備備平平安安性性專專項項測測試試設(shè)設(shè)備備選選購購和和維維保保效效

9、勞勞專專項項檢檢測測其他專項檢測其他專項檢測包括:電磁輻射、衛(wèi)星通信、光纜通信等。.資產(chǎn)編號資產(chǎn)風(fēng)險值資產(chǎn)名稱資產(chǎn)編號資產(chǎn)風(fēng)險值資產(chǎn)名稱資產(chǎn)風(fēng)險等級平平安安愛愛護(hù)護(hù)效效果果綜綜合合驗驗證證6.3 脆弱性綜合列表脆弱性綜合列表填寫?脆弱性分析賦值表?。七七、風(fēng)風(fēng)險險分分析析7.1關(guān)關(guān)鍵鍵資資產(chǎn)產(chǎn)的的風(fēng)風(fēng)險險計計算算結(jié)結(jié)果果填寫?風(fēng)險列表?風(fēng)險列表7.2關(guān)關(guān)鍵鍵資資產(chǎn)產(chǎn)的的風(fēng)風(fēng)險險等等級級風(fēng)風(fēng)險險等等級級列列表表填寫?風(fēng)險等級表?資產(chǎn)風(fēng)險等級表風(fēng)風(fēng)險險等等級級統(tǒng)統(tǒng)計計資產(chǎn)風(fēng)險等級統(tǒng)計表風(fēng)險等級資產(chǎn)數(shù)量所占比例.基基于于脆脆弱弱性性的的風(fēng)風(fēng)險險排排名名基于脆弱性的風(fēng)險排名表脆弱性風(fēng)險值所占比例風(fēng)風(fēng)險

10、險結(jié)結(jié)果果分分析析八八、綜綜合合分分析析與與評評價價九九、整整改改意意見見.序號層面/方面平安把握/措施落實局部落實沒有落實不適用治理制度平安治理制度制定和公布評審和修訂崗位設(shè)置人員配備平安治理機(jī)構(gòu)授權(quán)和審批溝通和合作審核和檢查人員錄用人員離崗人員平安治理人員考核平安意識訓(xùn)練和培訓(xùn)外部人員訪問治理系統(tǒng)定級平安方案設(shè)計系統(tǒng)建設(shè)治理產(chǎn)品選購自行軟件開發(fā)附件附件 1:治理措施表:治理措施表.序號層面/方面平安把握/措施落實局部落實沒有落實不適用外包軟件開發(fā)工程實施測試驗收系統(tǒng)交付系統(tǒng)備案平安效勞商選擇環(huán)境治理資產(chǎn)治理介質(zhì)治理設(shè)備治理監(jiān)控治理和平安治理中心網(wǎng)絡(luò)平安治理系統(tǒng)運維治理系統(tǒng)平安治理惡意代碼防

11、范治理密碼治理變更治理備份與恢復(fù)治理平安大事處置應(yīng)急預(yù)案治理小計.附件附件 2:技術(shù)措施表:技術(shù)措施表序?qū)用?方面平安把握/措施號1物理位置的選擇物理訪問把握防盜竊和防破壞防雷擊防火落實局部落實沒有落實不適用物理平安網(wǎng)絡(luò)平安主機(jī)平安應(yīng)用平安防水和防潮防靜電溫濕度把握電力供應(yīng)電磁防護(hù)網(wǎng)絡(luò)結(jié)構(gòu)平安網(wǎng)絡(luò)訪問把握網(wǎng)絡(luò)平安審計邊界完整性檢查網(wǎng)絡(luò)入侵防范惡意代碼防范網(wǎng)絡(luò)設(shè)備防護(hù)身份鑒別訪問把握平安審計剩余信息愛護(hù)入侵防范惡意代碼防范資源把握身份鑒別.訪問把握平安審計剩余信息愛護(hù)通信完整性通信保密性抗抵賴軟件容錯資源把握數(shù)據(jù)完整性數(shù)據(jù)平安及備份與恢復(fù)數(shù)據(jù)保密性備份和恢復(fù)資產(chǎn)名稱編號操作失誤濫用授權(quán)行為抵賴身份假冒口令攻擊密碼分析漏洞利用拒絕效勞威逼惡竊意取代數(shù)碼據(jù)物理破壞社會工程意外故障通信中斷數(shù)據(jù)受損資產(chǎn)編賦值說類別工程子項資產(chǎn)名稱資產(chǎn)權(quán)重號明附件附件 3:資產(chǎn)類型與賦值表:資產(chǎn)類型與賦值表針對每一個系統(tǒng)或子系統(tǒng),單獨建表附件附件 4:威逼賦值表:威逼賦值表.編檢測項檢測子項脆弱性作用對象賦值潛在影號機(jī)構(gòu)、制度、人員平安策略治理脆弱1性檢測檢測與響應(yīng)脆弱性日常維護(hù)網(wǎng)絡(luò)脆弱網(wǎng)絡(luò)拓?fù)浼敖Y(jié)構(gòu)脆弱性2性檢測網(wǎng)絡(luò)設(shè)備脆弱性附件附件 5:脆弱性分析賦值表:脆弱性分析賦值表.網(wǎng)絡(luò)平安設(shè)備脆弱性操作系統(tǒng)脆弱性系統(tǒng)脆弱3性檢測數(shù)據(jù)庫脆弱性應(yīng)用脆弱網(wǎng)絡(luò)效勞脆弱性4性檢測

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論