計(jì)算機(jī)風(fēng)險(xiǎn)評(píng)估報(bào)告

PAGEPAGE1計(jì)算機(jī)安全風(fēng)險(xiǎn)評(píng)估報(bào)告XXXXXXXXXX公司評(píng)估日期擬稿人審核目錄1評(píng)估工作概述 31.1評(píng)估范圍 31.1.1評(píng)估范圍概述 31.1.2sm計(jì)算機(jī)主要應(yīng)用范圍 31.1.3網(wǎng)絡(luò)拓?fù)?31.2評(píng)估組織 32評(píng)估依據(jù)和標(biāo)準(zhǔn) 43資產(chǎn)識(shí)別 63.1資產(chǎn)識(shí)別內(nèi)容和方法 64威脅識(shí)別 105脆弱性識(shí)別 115.1脆弱性識(shí)別內(nèi)容及方法 115.2脆弱性識(shí)別結(jié)果 126綜合風(fēng)險(xiǎn)分析 136.1風(fēng)險(xiǎn)分析方法 136.2風(fēng)險(xiǎn)等級(jí)劃分 146.3不可接受風(fēng)險(xiǎn)劃分 146.4風(fēng)險(xiǎn)分析結(jié)果 147風(fēng)險(xiǎn)統(tǒng)計(jì) 178不可接受風(fēng)險(xiǎn)處理計(jì)劃 18風(fēng)險(xiǎn)評(píng)論結(jié)論（詳細(xì)內(nèi)容請(qǐng)?zhí)砑観Q1282308814）XXXXXXXXXXXXXXXXX為消除不可接受的風(fēng)險(xiǎn)，相應(yīng)的處理計(jì)劃如下：1）檢查sm計(jì)算機(jī)適用記錄及日記內(nèi)容，嚴(yán)格對(duì)sm計(jì)算機(jī)進(jìn)行安全審計(jì)并形成相應(yīng)文檔；2）SM中間轉(zhuǎn)換機(jī)設(shè)置端口訪問(wèn)權(quán)限，防止誤操作；評(píng)估單位XXXXXXXXXX公司批準(zhǔn)人

1評(píng)估工作概述1.1評(píng)估范圍1.1.1評(píng)估范圍概述。。1.1.2SM計(jì)算機(jī)主要應(yīng)用范圍。1.1.3網(wǎng)絡(luò)拓?fù)洹?.1.4評(píng)估邊界。1.2評(píng)估組織。2評(píng)估依據(jù)和標(biāo)準(zhǔn)1)國(guó)家信息化領(lǐng)導(dǎo)小組《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)〔2003〕27號(hào)）2)國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》（國(guó)信辦〔2006〕5號(hào)）3)深圳市關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的實(shí)施意見(jiàn)（深科信〔2006〕268號(hào)）4)信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范（GB/T20984-2007）5)信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則（GB/T18336-2001）6)電子計(jì)算機(jī)場(chǎng)地通用規(guī)范（GB/T2887-2000）7)計(jì)算機(jī)場(chǎng)地安全要求（GB9361-1989）8)信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則（GB/T18336-2001）9)信息技術(shù)信息技術(shù)安全管理指南（GB/T19715.1-2005）10)信息技術(shù)信息安全管理實(shí)用規(guī)則（GB/T19716-2005）11)信息安全技術(shù)操作系統(tǒng)安全評(píng)估準(zhǔn)則（GB/T20008-2005）12)信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全評(píng)估準(zhǔn)則（GB/T20009-2005）13)信息安全技術(shù)包過(guò)濾防火墻評(píng)估準(zhǔn)則（GB/T20010-2005）14)信息安全技術(shù)路由器安全評(píng)估準(zhǔn)則（GB/T20011-2005）15)信息安全技術(shù)信息系統(tǒng)安全管理要求（GB/T20269-2006）16)信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求（GB/T20270-2006）17)信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求（GB/T20271-2006）18)信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求（GB/T20272-2006）19)信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求（GB/T20273-2006）20)信息安全技術(shù)網(wǎng)絡(luò)和終端設(shè)備隔離部件測(cè)試評(píng)價(jià)方法（GB/T20277-2006）21)信息安全技術(shù)網(wǎng)絡(luò)和終端設(shè)備隔離部件安全技術(shù)要求（GB/T20279-2006）22)信息安全技術(shù)防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法（GB/T20281-2006）23)信息安全技術(shù)信息系統(tǒng)安全工程管理要求（GB/T20282-2006）24)信息安全技術(shù)路由器安全技術(shù)要求（GB/T18018-2007）25)信息安全技術(shù)信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求和評(píng)價(jià)方法（GB/T20945-2007）26)信息技術(shù)安全技術(shù)信息安全事件管理指南（GB/Z20985-2007）27)信息安全技術(shù)信息安全事件分類分級(jí)指南（GB/Z20986-2007）28)信息安全技術(shù)服務(wù)器安全技術(shù)要求（GB/T21028-2007）29)信息安全技術(shù)網(wǎng)絡(luò)交換機(jī)安全技術(shù)要求（GB/T21050-2007）30)信息技術(shù)——信息安全管理實(shí)施細(xì)則（ISO/IEC17799:2000）31)信息技術(shù)——信息安全管理實(shí)施規(guī)范（ISO/IEC27001:2005）32)深圳市信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南33)各種檢查機(jī)構(gòu)運(yùn)作的一般規(guī)則（ISO-IEC17020-2004）3資產(chǎn)識(shí)別3.1資產(chǎn)識(shí)別內(nèi)容和方法表格3-1硬件資產(chǎn)識(shí)別表表格3-2人力資產(chǎn)識(shí)別表表格3-3業(yè)務(wù)應(yīng)用資產(chǎn)識(shí)別表表格3-4業(yè)務(wù)應(yīng)用資產(chǎn)識(shí)別表4威脅識(shí)別通過(guò)查閱安全設(shè)備日志和以往的安全事件記錄，分析本系統(tǒng)在物理環(huán)境、網(wǎng)絡(luò)、人員、設(shè)備故障、惡意代碼及病毒等方面可能出現(xiàn)的情況，形成威脅識(shí)別表：表格4-1重要硬件資產(chǎn)威脅識(shí)別表表格4-2重要人力資源資產(chǎn)威脅識(shí)別表表格4-3重要業(yè)務(wù)應(yīng)用資產(chǎn)威脅識(shí)別表5脆弱性識(shí)別5.1脆弱性識(shí)別內(nèi)容及方法。5.2脆弱性識(shí)別結(jié)果表5-1重要資產(chǎn)脆弱性匯總表6綜合風(fēng)險(xiǎn)分析6.1風(fēng)險(xiǎn)分析方法。表格6-1威脅風(fēng)險(xiǎn)系數(shù)計(jì)算矩陣6.2風(fēng)險(xiǎn)等級(jí)劃分。6.3不可接受風(fēng)險(xiǎn)劃分。6.4風(fēng)險(xiǎn)分析結(jié)