信息系統(tǒng)風(fēng)險評估報告格式

國家電子政務(wù)工程建設(shè)工程非涉密信息系統(tǒng)信息安全風(fēng)險評估報告格式項目名稱：工程建設(shè)單位：風(fēng)險評估單位：年 月日目 錄一、風(fēng)險評估工程概述 1工程工程概況 1建設(shè)工程根本信1建設(shè)單位根本信1承建單位根本信2風(fēng)險評估實施單位根本狀況 2二、風(fēng)險評估活動概述 2風(fēng)險評估工作組織治理 2風(fēng)險評估工作過程 2依據(jù)的技術(shù)標(biāo)準及相關(guān)法規(guī)文件 2保障與限制條件 3三、評估對象 3評估對象構(gòu)成與定級 3網(wǎng)絡(luò)構(gòu)造3業(yè)務(wù)應(yīng)3子系統(tǒng)構(gòu)成及定3評估對象等級保護措施 3XX子系統(tǒng)的等級保護措3子系統(tǒng)N的等級保護措3四、資產(chǎn)識別與分析 4資產(chǎn)類型與賦值 4資產(chǎn)類型 4資產(chǎn)賦值 4關(guān)鍵資產(chǎn)說明 4五、威逼識別與分析 4威逼數(shù)據(jù)采集 5威逼描述與分析 5威逼源分5威逼行為分析 5威逼能量分析 5威逼賦值 5六、脆弱性識別與分析 5常規(guī)脆弱性描述 5治理脆弱5網(wǎng)絡(luò)脆弱5系統(tǒng)脆弱性 5應(yīng)用脆弱性 5數(shù)據(jù)處理和存儲脆弱6運行維護脆弱6災(zāi)備與應(yīng)急響應(yīng)脆弱6物理脆弱性 6脆弱性專項檢測 6木馬病毒專項檢6滲透與攻擊性專項測6關(guān)鍵設(shè)備安全性專項測6設(shè)備選購和維保效勞專項檢6其他專項檢測 6安全保護效果綜合驗6脆弱性綜合列表 6七、風(fēng)險分析 6關(guān)鍵資產(chǎn)的風(fēng)險計算結(jié)果 6關(guān)鍵資產(chǎn)的風(fēng)險等級 7風(fēng)險等級列表 7風(fēng)險等級統(tǒng)計 7基于脆弱性的風(fēng)險排7風(fēng)險結(jié)果分析 7八、綜合分析與評價 7九、整改意見 7附件1：治理措施表 8附件2：技術(shù)措施表 9附件3：資產(chǎn)類型與賦值表 11附件4：威逼賦值表 11附件5：脆弱性分析賦值表 12一、風(fēng)險評估工程概述工程工程概況建設(shè)工程根本信息工程工程名稱工程工程名稱工程工程批復(fù)的建設(shè)內(nèi)容非涉密信息系統(tǒng)局部的建設(shè)內(nèi)容相應(yīng)的信息安全保護系統(tǒng)建設(shè)內(nèi)容工程完成時間工程試運行時間建設(shè)單位根本信息工程建設(shè)牽頭部門部門名稱部門名稱工程責(zé)任人通信地址聯(lián)系電子郵件工程建設(shè)參與部門部門名稱部門名稱工程責(zé)任人通信地址聯(lián)系電子郵件如有多個參與部門，分別填寫上1承建單位根本信息如有多個承建單位，分別填寫下表。企業(yè)名稱企業(yè)名稱企業(yè)性質(zhì)是國內(nèi)企業(yè)/還是國外企業(yè)法人代表通信地址聯(lián)系電子郵件風(fēng)險評估實施單位根本狀況評估單位名稱評估單位名稱法人代表通信地址聯(lián)系電子郵件二、風(fēng)險評估活動概述風(fēng)險評估工作組織治理〔含評估人員構(gòu)成保密措施。風(fēng)險評估工作過程工作階段及具體工作內(nèi)容.依據(jù)的技術(shù)標(biāo)準及相關(guān)法規(guī)文件2保障與限制條件限制條件。三、評估對象評估對象構(gòu)成與定級網(wǎng)絡(luò)構(gòu)造文字描述網(wǎng)絡(luò)構(gòu)成狀況、分區(qū)狀況、主要功能等，供給網(wǎng)絡(luò)拓撲圖。業(yè)務(wù)應(yīng)用文字描述評估對象所承載的業(yè)務(wù)，及其重要性。子系統(tǒng)構(gòu)成及定級保護等級定級狀況表：各子系統(tǒng)的定級狀況表序號序號子系統(tǒng)名稱安全保護等級其中業(yè)務(wù)信息安全等級其中系統(tǒng)效勞安全等級評估對象等級保護措施范圍內(nèi)的子系統(tǒng)各自所實行的安全保護措施，以及等級保護的測評結(jié)果。依據(jù)需要，以下子名目依據(jù)子系統(tǒng)重復(fù)。XX子系統(tǒng)的等級保護措施依據(jù)等級測評結(jié)果，XX子系統(tǒng)的等級保護治理措施狀況見附表一。依據(jù)等級測評結(jié)果，XX子系統(tǒng)的等級保護技術(shù)措施狀況見附表二。子系統(tǒng)N的等級保護措施3四、資產(chǎn)識別與分析資產(chǎn)類型與賦值資產(chǎn)類型3《資產(chǎn)類型與賦值表》。資產(chǎn)賦值填寫《資產(chǎn)賦值表》。序號資產(chǎn)編號序號資產(chǎn)編號資產(chǎn)名稱子系統(tǒng)資產(chǎn)重要性關(guān)鍵資產(chǎn)說明險評估的重點對象，并以清單形式列出如下：關(guān)鍵資產(chǎn)列表號子系統(tǒng)名稱應(yīng)用資產(chǎn)重要程度權(quán)重其他說明五、威逼識別與分析對威逼來源〔內(nèi)部/外部；主觀/不行抗力等〕、威逼方式、發(fā)生的可能性，威逼主體的力量水公平進展列表分析。4威逼數(shù)據(jù)采集威逼描述與分析依據(jù)《威逼賦值表》，對資產(chǎn)進展威逼源和威逼行為分析。威逼源分析威逼行為分析威逼能量分析威逼賦值六、脆弱性識別與分析依據(jù)檢測對象、檢測結(jié)果、脆弱性分析分別描述以下各方面的脆弱性檢測結(jié)果和結(jié)果分析。常規(guī)脆弱性描述治理脆弱性網(wǎng)絡(luò)脆弱性系統(tǒng)脆弱性應(yīng)用脆弱性5數(shù)據(jù)處理和存儲脆弱性運行維護脆弱性災(zāi)備與應(yīng)急響應(yīng)脆弱性物理脆弱性脆弱性專項檢測木馬病毒專項檢查滲透與攻擊性專項測試關(guān)鍵設(shè)備安全性專項測試設(shè)備選購和維保效勞專項檢測其他專項檢測包括：電磁輻射、衛(wèi)星通信、光纜通信等。安全保護效果綜合驗證脆弱性綜合列表七、風(fēng)險分析關(guān)鍵資產(chǎn)的風(fēng)險計算結(jié)果填寫《風(fēng)險列表》風(fēng)險列表資產(chǎn)編號資產(chǎn)編號資產(chǎn)風(fēng)險值資產(chǎn)名稱6關(guān)鍵資產(chǎn)的風(fēng)險等級風(fēng)險等級列表填寫《風(fēng)險等級表》

資產(chǎn)風(fēng)險等級表資產(chǎn)編號資產(chǎn)編號資產(chǎn)風(fēng)險值資產(chǎn)名稱資產(chǎn)風(fēng)險等級風(fēng)險等級統(tǒng)計

資產(chǎn)風(fēng)險等級統(tǒng)計表風(fēng)險等級風(fēng)險等級資產(chǎn)數(shù)量所占比例基于脆弱性的風(fēng)險排名基于脆弱性的風(fēng)險排名表脆弱性脆弱性風(fēng)險值所占比例風(fēng)險結(jié)果分析八、綜合分析與評價九、整改意見71：治理措施表序號序號層面/方面安全掌握/措施落實局部落實沒有落實不適用治理制度安全治理制度制定和公布評審和修訂崗位設(shè)置人員配備安全治理機構(gòu)授權(quán)和審批溝通和合作審核和檢查人員錄用人員離崗人員安全治理人員考核安全意識教育和培訓(xùn)外部人員訪問治理系統(tǒng)定級安全方案設(shè)計產(chǎn)品選購自行軟件開發(fā)外包軟件開發(fā)系統(tǒng)建設(shè)治理工程實施測試驗收系統(tǒng)交付系統(tǒng)備案安全效勞商選擇8序號序號層面/方面安全掌握/措施落實局部落實沒有落實不適用環(huán)境治理資產(chǎn)治理介質(zhì)治理設(shè)備治理監(jiān)控治理和安全治理中心網(wǎng)絡(luò)安全治理系統(tǒng)運維治理系統(tǒng)安全治理惡意代碼防范治理密碼治理變更治理備份與恢復(fù)治理安全大事處置應(yīng)急預(yù)案治理小計2：技術(shù)措施表序序號1層面/方面安全掌握/措施落實局部落實沒有落實不適用物理位置的選擇物理訪問掌握防盜竊和防破壞防雷擊防火物理安全防水和防潮防靜電溫濕度掌握電力供給電磁防護9網(wǎng)絡(luò)構(gòu)造安全網(wǎng)絡(luò)訪問掌握網(wǎng)絡(luò)安全審計網(wǎng)絡(luò)安全主機安全應(yīng)用安全數(shù)據(jù)安全及備份與恢復(fù)

邊界完整性檢查網(wǎng)絡(luò)入侵防范惡意代碼防范網(wǎng)絡(luò)設(shè)備防護身份鑒別訪問掌握安全審計剩余信息保護入侵防范惡意代碼防范資源掌握身份鑒別訪問掌握安全審計剩余信息保護通信完整性通信保密性抗抵賴軟件容錯資源掌握數(shù)據(jù)完整性數(shù)據(jù)保密性備份和恢復(fù)103：資產(chǎn)類型與賦值表針對每一個系統(tǒng)或子系統(tǒng)，單獨建表類別類別工程子項號資產(chǎn)名稱資產(chǎn)權(quán)重明威逼操濫行身威逼操濫行身口密漏拒惡竊物社意通數(shù)資產(chǎn)名稱 編號 作用為份令碼洞絕意取理會外信據(jù)失授抵假攻分利服代數(shù)破工故中受誤權(quán)賴冒擊析用務(wù)碼據(jù)壞程障斷損11編號檢測項檢測子項編號檢測項檢測子項脆弱性作用對象賦值潛在影機構(gòu)、制度、人員安全策略1治理脆弱性檢測檢測與響應(yīng)脆弱性日常維護……網(wǎng)絡(luò)拓撲及構(gòu)造脆弱性網(wǎng)絡(luò)設(shè)備脆弱性2網(wǎng)絡(luò)脆弱性檢測網(wǎng)絡(luò)安全設(shè)備脆弱性……操作系統(tǒng)脆弱性3系統(tǒng)脆弱性檢測數(shù)據(jù)庫脆弱性……12網(wǎng)絡(luò)效勞脆弱性4網(wǎng)絡(luò)效勞脆弱性4應(yīng)用脆弱性檢測……數(shù)據(jù)處理5數(shù)據(jù)處理和存儲脆弱性數(shù)據(jù)存儲脆弱性……安全大事治理6運行維護脆弱性……數(shù)據(jù)備份7災(zāi)備與應(yīng)急響應(yīng)脆弱性應(yīng)急預(yù)案及演練……環(huán)境脆弱性設(shè)備脆弱性8物理脆弱性檢測存儲介質(zhì)脆弱性…………遠程掌握木馬9遠程掌握木馬9木馬病毒檢測惡意插件……辦公區(qū)生產(chǎn)區(qū)10滲透與攻擊性檢測現(xiàn)場滲透測試效勞區(qū)跨地區(qū)遠程滲透測試關(guān)鍵設(shè)備一11關(guān)鍵設(shè)備安全性專關(guān)鍵設(shè)備二項檢測……設(shè)備選購環(huán)節(jié)12設(shè)備選購和維保服維護環(huán)節(jié)務(wù)……13其他檢測……XX3000社會實踐只是一種磨練的過程。對于結(jié)果，我們應(yīng)當(dāng)有這樣的胸襟：不XX3000小草用綠色證明自己，鳥兒用歌聲證明自己，我們要用行動證明自己。奠基吧!在現(xiàn)今社會，聘請會上的大字板都總寫著“有閱歷者優(yōu)先”,可是還在社會閱歷又會擁有多少呢?為了拓展自身的學(xué)問面，擴大與社會的接觸面，真誠，盡管是大學(xué)高校，學(xué)生還終歸保持著學(xué)生身份。而走進企業(yè)，接觸各15很深。在學(xué)校，理論學(xué)習(xí)的很多，而且是多方面的，幾乎是面面俱到的，而的那么吃力呢?求，如今的大學(xué)生身在校園，心兒卻更加開闊，他們期望自己盡可能早地接大學(xué)生打工已成為一種勢不行擋的社會潮流，大學(xué)生的價值取向在這股潮流對于大學(xué)生打工，始終是”仁者見仁，智者見智“,很多人的看法不盡人生模式，我們有理由走自己選擇的人生路，只要把握住自己，把握好學(xué)習(xí)大學(xué)這個人生階段過得豐富多彩。入，就可以毫不遲疑的參與其中。16感興奮!在學(xué)校上課時都是教師在教授，學(xué)生聽講，理論占主體，而我對知但在工廠里，數(shù)字確定不行以錯，由于質(zhì)量是企業(yè)第一生命，質(zhì)量不行，企率也會隨之下降，企業(yè)就會在競爭的浪潮中失敗。題，算出一個程式就可以了，但這里更需要的是與實際相結(jié)合，沒有實際，來就行了，在工廠里出錯是要負責(zé)任的，這關(guān)乎工廠的利益存亡。總之，在在收獲，是對”有閱歷者優(yōu)先“的感悟?！谖业拇蚬ど钪?，我也明白了很多：在日常的工作中上級欺壓、責(zé)備17從哪里爬起來，這才是我所應(yīng)當(dāng)做的。我也從工作中學(xué)習(xí)到了人際交往和待人處事的技巧。在人與人的交往中人往往是很執(zhí)著的?？墒羌僭O(shè)你只問耕耘不問收獲，那么你肯定會交得到很可斤斤計較，不行強求對方付出與你對等的真情，要知道賜予比獲得更令人必需有主動性和樂觀性，對成功要有信念，要學(xué)會和四周的人溝通思想、關(guān)打工的日子，有喜有憂，有歡快，也有苦累，或許這就是打工生活的全的人有過這種感覺，但總的來說，這次的打工生活是我人生中邁向社會的重的，這也算是我的一分財寶吧?，F(xiàn)今，在人才市場上大學(xué)生已不是什么”搶手貨“,而在每個用人單位求有工作閱歷。所以，大學(xué)生不僅僅要有理論學(xué)問，工作閱歷的積存對將來很簡潔，同等學(xué)歷去應(yīng)聘一份工作，公司固然更看重個人的相關(guān)工作閱歷。18生選擇了寒期打工。寒假雖然只有短短的一個月，但是在這段時間里，我們辛苦，熬煉一下意志品質(zhì)，同時積存一些社會閱歷和工作閱歷。這些閱歷是形資產(chǎn)“,真正到了關(guān)鍵時刻，它們的作用就會顯現(xiàn)出來。大學(xué)生除了學(xué)習(xí)書本學(xué)問，還需要參與社會實踐。由于很多的大學(xué)生都窗外事，一心只讀圣賢書“的人不是現(xiàn)代社會需要的人才。大學(xué)生要在社會段，更重要的是借機培育自己的創(chuàng)業(yè)和社會實踐力量?，F(xiàn)在的聘請單位越來越看重大學(xué)生的實踐和動手力量以及與他人的交際只要是自己所能承受的，就應(yīng)當(dāng)把握全部的時機，正確衡量自己，充分發(fā)揮以盡快走上軌道。除了工作中我學(xué)到很多很多在學(xué)習(xí)中無法學(xué)到的學(xué)問和閱歷外，在我看19在我們的小組會議里，我變得很自信，我勇于在大家面前表達我的看法，勇甚者，在每一次活動中，我都踴躍參與，表現(xiàn)相當(dāng)樂觀。組員竟然不