计算机风险评估报告.pdfVIP

一、风险评估项目概况 名称 完成时间 试运行时间 二、风险评估活动概述 2.1 风险评估工作组织管理 公司本次风险评估工作成员： 组长： 主任： 成员： 工作原则：依据综合审计日志和信息安全策略准则，在风险评估 过程中把最真实的数据 结果反映出来，并及时调整信息的安全保密 策略，及时补充完善技术与管理措施，使计算机保持与等级要求相一 致的安全保护水平。 2.2 风险评估工作过程 此次评估阶段和具体工作内容包括 第一阶段：资产识别与分析 1 第二阶段：威胁识别与分析 第三阶段：脆弱性识别与分析 第四阶段：综合分析与评价 第五阶段：整改意见 2.3 依据的技术标准及相关法规文件 本次风险评估依据公司保密安全策略 综合审计报告等文件 三、评估对象 此次风险评估对象包括公司所有计算机，其担任的主要任务是信 息的产生、传输、与最终流向。 四、资产识别与分析 4.1 资产类型与赋值 4.1.1 资产类型 按照评估对象的构成，分类描述评估对象的资产构成。详细的资 产分类与赋值，以附件形式附在评估报告后面，见附件 3《资产类型与 赋值表》。 4.1.2 资产赋值 资产赋值表 2 序 编号 名称 密级 号 1 计算机 2 计算机 3 计算机 4 中间机 五、威胁识别与分析 种类 描述 　 由于设备硬件故障、系统本身或软件 软硬件故障 Bug 导致对业务高效稳定运行的影响 　 断电、静电、灰尘、潮湿、温度、鼠蚁虫 物理环境威 害、电磁干扰、洪灾、火灾、地震等环境 问题 自然灾害 无作为或操作 　 由于应该执行而没有执行相应的操作， 失误 或无意地执行了错误的操作，对系统造成影响 　 安全管理无法落实，不到位，造成安全 管理不到位 管理不规范，或者管理混乱，从而破坏信息系 统正常有序运行 3 恶意代码和病 　 具有自我复制、自我传播能力，对信息 毒 系统构成破坏的程序代码 　 通过采用一些措施，超越自己的权限访 越权或滥用 问了本来无权访问的资源；或者滥用自己的职 权，做出破坏信息系统的行为 物理攻击 　　物理接触、物理破坏、盗窃 泄密 　　泄漏，信息泄漏给他人 篡改