还剩19页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
信息系统XXXXXXXX信息安全风险评估汇报模板项目名称:项目建设单位:风险评估单位:****年**月**曰值,以附件形式附在评估汇报背面,见附件3《资产类型与赋值表》资产赋值填写《资产赋值表》资产赋值表序号资产编号资产名称子系统资产重要性关键资产阐明
4.2在分析被评估系统日勺资产基础上,列出对评估单位十分重要日勺资产,作为风险评估日勺重点对象,并以清单形式列出如下关键资产列表资产重要程度权子系统名称应用其他阐明资产编号重
五、威胁识别与分析对威胁来源(内部/外部;主观/不可抗力等)、威胁方式、发生日勺也许性,威胁主体日勺能力水平等进行列表分析威胁数据采集
5.1威胁描述与分析
5.2根据《威胁赋值表》,对资产进行威胁源和威胁行为分析威胁源分析填写《威胁源分析表》威胁行为分析填写《威胁行为分析表》威胁能量分析威胁赋值
5.3填写《威胁赋值表》
六、脆弱性识别与分析按照检测对象、检测成果、脆弱性分析分别描述如下各方面日勺脆弱性检测成果和成果分析常规脆弱性描述
6.1管理脆弱性网络脆弱性系统脆弱性应用脆弱性数据处理和存储脆弱性运行维护脆弱性灾备与应急响应脆弱性物理脆弱性脆弱性专题检测
6.2木马病毒专题检查渗透与袭击性专题测试关键设备安全性专题测试设备采购和维保服务专题检测其他专题检测包括电磁辐射、卫星通信、光缆通信等安全保护效果综合验证脆弱性综合列表
6.3填写《脆弱性分析赋值表》
七、风险分析关键资产的风险计算成果
7.1填写《风险列表》风险列表资产编号资产风险值资产名称关键资产的风险等级
7.2风险等级列表填写《风险等级表》资产风险等级表资产编号资产风险值资产名称资产风险等级风险等级记录资产风险等级记录表风险等级资产数量所占比例基于脆弱性的风险排名基于脆弱性的风险排名表脆弱性风险值所占比例风险成果分析
八、综合分析与评价
九、整改意见附件管理措施表1:序号层面/方面安全控制/措施贯彻部分贯彻没有贯彻不合用管理制度制定和公布安全管理制度评审和修订岗位设置人员配置授权和审批安全管理机构沟通和合作审核和检查人员录取人员离岗人员考核人员安全管理安全意识教育和培训外部人员访问管理系统定级安全方案设计产品采购自行软件开发外包软件开发系统建设管理工程实行测试验收系统交付系统立案安全服务商选择序号层面/方面安全控制/措施贯彻部分贯彻没有贯彻不合用环境管理资产管理介质管理设备管理监控管理和安全管理中心网络安全管理系统安全管理系统运维管理恶意代码防备管理密码管理变更管理备份与恢复管理安全事件处置应急预案管理小计附件技术措施表2序层面/方面安全控制/措施贯彻部分贯彻没有贯彻不合用号1物理位置日勺选择物理访问控制防盗窃和防破坏防雷击防火物理安全防水和防潮防静电温湿度控制电力供应序号层面/方面安全控制/措施贯彻部分贯彻没有贯彻不合用电磁防护网络安全网络构造安全网络访问控制网络安全审计边界完整性检查网络入侵防备恶意代码防备网络设备防护身份鉴别访问控制安全审计主机安全剩余信息保护入侵防备恶意代码防备资源控制身份鉴别访问控制安全审计剩余信息保护应用安全通信完整性通信保密性抗抵赖软件容错资源控制数据完整性数据安全及备份与数据保密性恢复备份和恢复附件资产类型与赋值表3针对每一种系统或子系统,单独建表类别项目子项资产名称资产权重资产编号赋值阐明附件威胁赋值表4威胁口密漏拒恶窃物社意通数电管越威操滥行身令码洞绝意取理会外信据源理权总胁资产名称编号作用为份袭分运服代数破工故中受中灾不使分等失授抵假击析用务码据坏程障断损断害到用值级误权赖冒位附件脆弱性分析赋值表5整改提议编号检测项检测子项脆弱性作用对象赋值潜在影响标识机构、制度、人员VI安全方略V2管理脆弱性1检测与响应脆弱性V3检测平常维护V
4......V5网络拓扑及构造脆弱性V6网络设备脆弱性V7网络脆弱性2检测网络安全设备脆弱性V
8......V9操作系统脆弱性V10系统脆弱性数据库脆弱性3VII检测......V12
一、风险评估项目概述错误!未定义书签
1.1工程项目概况错误!未定义书签
1.
1.1建设项目基本信息错误!未定义书签
1.
1.2建设单位基本信息错误!未定义书签承建单位基本信息.错误!未定义书签
1.2风险评估实行单位基本状况错误味定义书签
二、风险评估活动概述错误!未定义书签
2.1风险评估工作组织管理错误!未定义书签
2.2风险评估工作过程错误!未定义书签
2.3根据的技术原则及有关法规文献错误味定义书签
2.4保障与限制条件错误!未定义书签
三、评估对象错误!未定义书签
3.1评估对象构成与定级错误!未定义书签
3.
1.1网络构造.错误!未定义书签
3.
1.2业务应用.错误!未定义书签
3.
1.3子系统构成及定级.错误!未定义书签
四、资产识别与分析错误!未定义书签
4.1资产类型与赋值错误!未定义书签资产类型.错误!未定义书
4.2关键资产阐明错误!未定义书签签资产赋值.错误!未定义书
五、威胁识别与分析错误!未定义书签签
5.1威胁数据采集错误!未定义书签
5.2威胁描述与分析错误!未定义书签
5.
2.7威胁源分析.错误!未定义书签
5.
2.8威胁行为分析错误!未定义书签
5.
2.9威胁能量分析错误!未定义书签
5.3威胁赋值错误!未定义书签
六、脆弱性识别与分析错误!未定义书签
6.1常规脆弱性描述错误!未定义书签
6.
1.1管理脆弱性错误!未定义书签
6.
1.2网络脆弱性错误!未定义书签
6.
1.3系统脆弱性错误!未定义书签
6.
1.4应用脆弱性错误!未定义书签
6.
1.7灾备与应急响应脆弱性错误!未定义书签
6.
1.8物理脆弱性错误!未定义书签
6.2脆弱性专题检测错误!未定义书签
6.
2.1木马病毒专题检查.错误!未定义书签
6.
2.2渗透与袭击性专题测试错误!未定义书签
6.
2.3关键设备安全性专题测试.错误!未定义书签
6.
2.4设备米购和维保服务专题检测.错误!未定义书签
6.
2.5其他专题检测错误!未定义书签
6.
2.6安全保护效果综合验证错误!未定义书签
6.3脆弱性综合列表错误!未定义书签
七、风险分析错误!未定义书签
7.
2.7风险等级列表错误!未定义书签
7.
2.8风险等级记录错误!未定义书签
7.
2.9基于脆弱性日勺风险排名错误!未定义书签
7.
2.10险成果分析错误!未定义书签
八、综合分析与评价错误!未定义书签附件1:管理措施表错误!未定义书签附件2:技术措施表错误!未定义书签附件3:资产类型与赋值表错误!未定义书签附件4:威胁赋值表错误!未定义书签附件5:脆弱性分析赋值表错误!未定义书签
一、风险评估项目概述
1.1工程项目概况建设项目基本信息工程项目名称非涉密信息系统部工程项目批分的建设内容复的建设内容对应的信息安全保护系统建设内容项目完毕时间项目试运行时间建设单位基本信息工程建设牵头部门部门名称工程负责人通信地址联络电子邮件工程建设参与部门部门名称工程负责人通信地址联络电子邮件如有多种参与部门,分别填写上承建单位基本信息如有多种承建单位,分别填写下表企业名称企业性质是国内企业/还是国外企业法人代表通信地址联络电子邮件风险评估实行单位基本状况
1.2评估单位名称法人代表通信地址联络电子邮件
二、风险评估活动概述风险评估工作组织管理
2.1描述本次风险评估工作的组织体系(含评估人员构成)、工作原则和采用日勺保密措施风险评估工作过程
2.2工作阶段及详细工作内容.根据的技术原则及有关法规文献
2.3保障与限制条件
2.4需要被评估单位提供日勺文档、工作条件和配合人员等必要条件,以及也许日勺限制条件
三、评估对象评估对象构成与定级
3.1文字描述网络构成状况、分区状况、重要功能等,提供网络拓扑图业务应用文字描述评估对象所承载日勺业务,及其重要性子系统构成及定级描述各子系统构成根据安全等级保护定级立案成果,填写各子系统的安全保护等级定级状况表:各子系统的定级状况表序号子系统名称安全保护等级其中业务信息安全等级其中系统服务安全等级评估对象等级保护措施
3.2按照工程项目安全域划分和保护等级的定级状况,分别描述不一样保护等级保护范围内的子系统各自所采用日勺安全保护措施,以及等级保护的测评成果根据需要,如下子目录按照子系统反复
3.
2.1XX子系统的等级保护措施根据等级测评成果,XX子系统时等级保护管理措施状况见附表一根据等级测评成果,XX子系统的等级保护技术措施状况见附表
二、资产识别与分析U!
3.
2.2子系统N的等级保护措施资产类型与赋值4-1资产类型按照评估对象日勺构成,分类描述评估对象的资产构成详细日勺资产分类与赋。