1、XXXXXXXX信息系統信息平安風險評估報告模板工程名稱：工程建設單位：風險評估單位：*年*月*一、風險評估工程概述11.1 工程工程概況11.1.1 建設工程根本信息11.1.2 建設單位根本信息11.1.3 承建單位根本信息21.2 風險評估實施單位根本情況3:、風險評估活動概述32.1 風險評估工作組織治理32.2 風險評估工作過程32.3 依據的技術標準及相關法規文件32.4 保證與限制條件4;、評估對象43.1 評估對象構成與定級43.1.1 網絡結構43.1.2 業務應用43.1.3 子系統構成及定級43.2 評估對象等級保護舉措53.2.1 XX子系統的等級保護舉措53.2.2

2、子系統N的等級保護舉措5四、資產識別與分析54.1 資產類型與賦值54.1.1 資產類型54.1.2 資產賦值54.2 關鍵資產說明6五、威脅識別與分析65.1 威脅數據采集65.2 威脅描述與分析65.2.1 威脅源分析75.2.2 威脅行為分析75.2.3 威脅能量分析75.3 威脅賦值7六、脆弱性識別與分析76.1 常規脆弱性描述76.1.1 治理脆弱性76.1.2 網絡脆弱性76.1.3 系統脆弱性76.1.4 應用脆弱性76.1.5 數據處理和存儲脆弱性86.1.6 運行維護脆弱性86.1.7 災備與應急響應脆弱性86.1.8 物理脆弱性86.2 脆弱性專項檢測86.2.1 木馬病毒

3、專項檢查86.2.2 滲透與攻擊性專項測試86.2.3 關鍵設備平安性專項測試86.2.4 設備采購和維保效勞專項檢測86.2.5 其他專項檢測86.2.6 平安保護效果綜合驗證86.3 脆弱性綜合列表8七、風險分析97.1 關鍵資產的風險計算結果97.2 關鍵資產的風險等級97.2.1 風險等級列表97.2.2 風險等級統計97.2.3 基于脆弱性的風險排名97.2.4 風險結果分析1.Q.八、綜合分析與評價10九、整改意見10附件1:治理舉措表11附件2:技術舉措表13附件3:資產類型與賦值表15附件4:威脅賦值表15附件5:脆弱性分析賦值表16一、風險評估工程概述1.1 工程工程概況1.

4、1.1 建設工程根本信息工程工程名稱非涉密信息系統局部的建設工程工程內容批復的建相應的信息安設內容全保護系統建設內容工程完成時間工程試運行時間1.1.2 建設單位根本信息工程建設牽頭部門部門名稱工程責任人通信地址聯系電子郵件工程建設參與部門部門名稱工程責任人通信地址聯系電子郵件如有多個參與部門,分別填寫上1.1.3 承建單位根本信息如有多個承建單位,分別填寫下表.企業名稱企業性質是國內企業/還是國外企業法人代表通信地址聯系電子郵件1.2 風險評估實施單位根本情況評估單位名稱法人代表通信地址聯系電子郵件二、風險評估活動概述2.1 風險評估工作組織治理描述本次風險評估工作的組織體系含評估人員構成、

5、工作原那么和采取的保密舉措.2.2 風險評估工作過程工作階段及具體工作內容.2.3 依據的技術標準及相關法規文件2.4 保證與限制條件需要被評估單位提供的文檔、工作條件和配合人員等必要條件,以及可能的限制條件.三、評估對象3.1 評估對象構成與定級3.1.1 網絡結構文字描述網絡構成情況、分區情況、主要功能等,提供網絡拓撲圖3.1.2 業務應用文字描述評估對象所承載的業務,及其重要性.3.1.3 子系統構成及定級描述各子系統構成.根據平安等級保護定級備案結果,填寫各子系統的平安保護等級定級情況表：各子系統的定級情況表序號子系統名稱平安保護等級其中業務信息平安等級其中系統效勞平安等級3.2 評估

6、對象等級保護舉措根據工程工程平安域劃分和保護等級的定級情況,分別描述不同保護等級保護范圍內的子系統各自所采取的平安保護舉措,以及等級保護的測評結果.根據需要,以下子目錄根據子系統重復.3.2.1 XX子系統的等級保護舉措根據等級測評結果,XX子系統的等級保護治理舉措情況見附表一.根據等級測評結果,XX子系統的等級保護技術舉措情況見附表二.3.2.2 子系統N的等級保護舉措四、資產識別與分析4.1 資產類型與賦值4.1.1 資產類型根據評估對象的構成,分類描述評估對象的資產構成.詳細的資產分類與賦值,以附件形式附在評估報告后面,見附件3?資產類型與賦值表?.4.1.2 資產賦值填寫?資產賦值表?

7、.資產賦值表序號資產編號資產名稱子系統資廣重要性4.2 關鍵資產說明在分析被評估系統的資產根底上,列出對評估單位十分重要的資產,作為風險評估的重點對象,并以清單形式列出如下：關鍵資產列表資產編號子系統名稱應用資產重要程度權重其他說明五、威脅識別與分析對威脅來源內部/外部；主觀/不可抗力等、威脅方式、發生的可能性,威脅主體的水平水平等進行列表分析.5.1 威脅數據采集5.2 威脅描述與分析依據?威脅賦值表?,對資產進行威脅源和威脅行為分析.5.2.1 威脅源分析填寫?威脅源分析表?.5.2.2 威脅行為分析填寫?威脅行為分析表?.5.2.3 威脅能量分析5.3 威脅賦值填寫?威脅賦值表?.六、脆

8、弱性識別與分析根據檢測對象、檢測結果、脆弱性分析分別描述以下各方面的脆弱性檢測結果和結果分析.6.1 常規脆弱性描述6.1.1 治理脆弱性6.1.2 網絡脆弱性6.1.3 系統脆弱性6.1.4 應用脆弱性6.1.5 數據處理和存儲脆弱性6.1.6 運行維護脆弱性6.1.7 災備與應急響應脆弱性6.1.8 物理脆弱性6.2 脆弱性專項檢測6.2.1 木馬病毒專項檢查6.2.2 滲透與攻擊性專項測試6.2.3 關鍵設備平安性專項測試6.2.4 設備采購和維保效勞專項檢測6.2.5 其他專項檢測包括：電磁輻射、衛星通信、光纜通信等.6.2.6 平安保護效果綜合驗證6.3 脆弱性綜合列表填寫?脆弱性分

9、析賦值表?.七、風險分析7.1 關鍵資產的風險計算結果填寫?風險列表?風險列表資產編號資產風險值資產名稱7.2 關鍵資產的風險等級7.2.1 風險等級列表填寫?風險等級表?資產風險等級表資產編號資產風險值資產名稱資產風險等級7.2.2風險等級統計資產風險等級統計表風險等級資產數量所占比例7.2.3 基于脆弱性的風險排名基于脆弱性的風險排名表脆弱性風險值所占比例7.2.4 風險結果分析八、綜合分析與評價九、整改意見附件1:治理舉措表序號層囿/力回平安限制/舉措落實局部落實沒有落實不適用平安治理制度治理制度制定和發布評審和修訂平安治理機構崗位設置人員配備授權和審批溝通和合作審核和檢查人員平安治理人

10、員錄用人員離崗人員考核平安意識教育和培訓外部人員訪問治理系統建設治理系統定級平安方案設計產品采購自行軟件開發序號層囿/力回平安限制/舉措落實局部落實沒有落實不適用外包軟件開發工程實施測試驗收系統交付系統備案平安效勞商選擇系統運維治理環境治理資產治理介質治理設備治理監控治理和平安治理中央網絡平安治理系統平安治理惡意代碼防范治理密碼治理義更治理備份與恢復治理平安事件處置應急預案治理小計附件2:技術舉措表序號層囿/力回平安限制/舉措落實局部落實沒有落實不適用1物理平安物理位置的選擇物理訪問限制防盜竊和防破壞防雷擊防火防水和防潮防靜電溫濕度限制電力供給電磁防護網絡平安網絡結構平安網絡訪問限制網絡平安審

11、計邊界完整性檢查網絡入侵防范惡意代碼防范網絡設備防護主機平安身份鑒別訪問限制平安審計剩余信息保護入侵防范惡意代碼防范資源限制應用平安身份鑒別訪問限制平安審計剩余信息保護通信完整性通信保密性抗抵賴軟件容錯資源限制數據平安及備份與恢復數據完整性數據保密性備份和恢復附件3:資產類型與賦值表針對每一個系統或子系統,單獨建表類別工程子項資產編號資產名稱資產權重賦值說明附件4:威脅賦值表資產名稱編R威脅總分值威脅等級操作失誤濫用授權行為抵賴身份假冒口令攻擊密碼分析漏洞利用拒絕月艮務惡意代碼竊取數據物理破壞社會工程意外故障通信中斷數據受損電源中斷災害管理不到位越權使用可編輯附件5:脆弱性分析賦值表編號檢測項檢測子項脆弱性作用對象賦值潛在影響整改建議標識1治理脆弱性檢測機構、制度、人員V1平安策略V2檢測與響應脆弱性V3日常維護V4V52網絡脆弱性檢測網絡拓撲及結構脆弱性V6網絡設備脆弱性V7可編輯網絡平安設備脆弱性V8V93系統脆弱性檢測操作系統脆弱性V10數據庫脆弱性V11V124應用脆弱性檢測網絡效勞脆弱性V13V145數據處理和存儲脆弱性數據處理V15數據存儲脆弱性V16V17可編輯6運行維護脆弱性平安事件治理V18V197災備與應急響應脆弱性數據備份V20應急預案及演練V21V228物理脆弱性檢測