信息安全风险评估报告精选.docVIP

附件： 国家电子政务工程建设项目非涉密信息系统 信息平安风险评估报告格式 项 目 名 称 ： 项目建设单位： 风险评估单位： 年 月 日 目 录 一、风险评估项目概述 0 1.1 工程项目概况 0 1.1.1 建设项目基本信息 0 1.1.2 建设单位基本信息 0 1.1.3 承建单位基本信息 1 1.2 风险评估实施单位基本状况 2 二、风险评估活动概述 3 2.1 风险评估工作组织管理 3 2.2 风险评估工作过程 3 2.3 依据的技术标准与相关法规文件 3 2.4 保障与限制条件 3 三、评 估 对 象 3 3.1 评估对象构成与定级 3 3.1.1 网络结构 3 3.1.2 业务应用 4 3.1.3 子系统构成与定级 4 3.2 评估对象等级爱惜措施 4 XX子系统的等级爱惜措施 4 子系统N的等级爱惜措施 4 四、资产识别与分析 5 4.1 资产类型与赋值 5 4.1.1 资产类型 5 4.1.2 资产赋值 5 4.2 关键资产说明 5 五、威逼识别与分析 6 5.1 威逼数据采集 6 5.2 威逼描述与分析 6 5.2.1 威逼源分析 6 5.2.2 威逼行为分析 6 5.2.3 威逼能量分析 6 5.3 威逼赋值 6 六、脆弱性识别与分析 7 6.1 常规脆弱性描述 7 6.1.1 管理脆弱性 7 6.1.2 网络脆弱性 7 6.1.3 系统脆弱性 7 6.1.4 应用脆弱性 7 6.1.5 数据处理和存储脆弱性 8 6.1.6 运行维护脆弱性 8 6.1.7 灾备与应急响应脆弱性 8 6.1.8 物理脆弱性 8 6.2 脆弱性专项检测 8 6.2.1 木马病毒专项检查 8 6.2.2 渗透与攻击性专项测试 8 6.2.3 关键设备平安性专项测试 8 6.2.4 设备选购 和维保服务专项检测 8 6.2.5 其他专项检测 8 6.2.6 平安爱惜效果综合验证 8 6.3 脆弱性综合列表 8 七、风险分析 9 7.1 关键资产的风险计算结果 9 7.2 关键资产的风险等级 9 7.2.1 风险等级列表 9 7.2.2 风险等级统计 9 7.2.3 基于脆弱性的风险排名 9 7.2.4 风险结果分析 10 八、综合分析与评价 10 九、整改看法 10 附件1:管理措施表 11 附件 2:技术措施表 13 附件 3:资产类型与赋值表 15 附件 4:威逼赋值表 15 附件 5:脆弱性分析赋值表 16 一、风险评估项目概述 1.1 工程项目概况 1.1.1 建设项目基本信息 工程项目名称 工程项 目批复 的建设 内容 非涉密信 息系统部 分的建设 内容 相应的信 息平安爱 惜系统建 设内容 项目完成时间 项目试运行时间 1.1.2 建设单位基本信息 工程建设牵头部门 部门名称 工程责任 人 通信地址 联系电话 电子邮件 工程建设参与部门 部门名称 工程责任 人 通信地址 联系电话 电子邮件 如有多个参与部门，分别填写上 1.1.3承建单位基本信息 如有多个承建单位，分别填写下表。 企业名 称 企业性 是国内企业/还是国外企业 质 法人代 表 通信地 址 联系电 话 电子邮 件 1.2 风险评估实施单位基本状况 评估单位 名称 法人代表 通信地址 联系电话 电子邮件 二、风险评估活动概述 2.1 风险评估工作组织管理 描述本次风险评估工作的组织体系(含评估人员构成)、工作原则和 实行的保密措施。 2.2 风险评估工作过程 工作阶段与详细工作内容. 2.3 依据的技术标准与相关法规文件 2.4 保障与限制条件 须要被评估单位供应的文档、工作条件和协作人员等必要条件，以与 可能的限制条件。 三、评估对象 3.1 评估对象构成与定级 3.1.1 网络结构 文字描述网络构成状况、分区状况、主要功能等，供应网络拓扑图。 3.1.2 业务应用 文字描述评估对象所承载的业务，与其重要性。 3.1.3