XX信息系统安全风险分析与评估报告模板(公开).docxVIP

XX信息系统安全风险分析与评估报告模板(公开) 说明文字：大致内容如此，依据详细状况增删XXXX信息系统平安风险评估报告二〇一五年七月名目1 评估工作概述 (4)1.1评估目的 (4)1.2评估组织 (4)1.3评估对象 (4)1.3.1业务职能与组织构造 (4)1.3.2系统定级 (4)1.3.3物理环境 (5)1.3.4网络构造 (5)1.3.5平安保密措施 (5)1.3.6重要XX部门、部位 (5)2 评估根据和标准 (6)3 评估方案 (6)4 资产识别 (7)4.1资产重要性等级定义 (7)4.2资产分类 (8)4.2.1效劳器状况列表 (8)4.2.2交换机状况列表 (9)4.2.3用户终端和XX单机 (9)4.2.4特种设备 (9)4.2.5软件平台 (9)4.2.6平安保密设备 (10)4.2.7应用系统状况列表 (10)4.2.8试运行应用系统状况列表 (11)5 威逼识别 (11)5.1威逼分类 (11)5.2威逼赋值 (12)6 脆弱性识别 (13)6.1脆弱性识别内容 (13)6.2脆弱性赋值 (13)6.3脆弱性专向检测 (14)6.3.1病毒木马专项检查 (14)6.3.2网络扫描专项测试 (14)7 风险分析 (17)8 风险统计 (18)9 评估结论 (18)10 整改建议 (18)1评估工作概述2015年7月7-9日，由XX部门组织相关人员对XX信息系统进展了平安风险评估。本报告的评估结论仅针对xx厂XX信息系统本次平安风险评估时的情况。1.1评估目的本次评估工作根据有关信息平安技术与管理标准，对xx厂XX 信息系统及由其处理、传输和存储的信息的平安属性进展评估，分析该XX信息系统内的效劳器、网络设备、用户终端及支撑平台等资产在日常运行、管理过程中面临的威逼、存在的脆弱性以及由此带来的平安风险，为将平安风险掌握在可承受的程度，最大限度地保障该XX信息系统的信息平安保密供应指导根据。1.2评估组织本次风险评估由XX信息系统管理领导小组负责组织。由xx部门现场开展本次评估工作，XX业务部门相关人员进展协作。1.3评估对象1.3.1业务职能与组织构造Xx1.3.2系统定级Xx厂XX信息系统经xx批准同意，根据所处理XX信息的最高密级定为机密级，采纳增加爱护要求进展爱护。1.3.3物理环境XX1.3.4网络构造图1 、组织机构图图2周边物理环境图3 、网络拓扑构造图1.3.5平安保密措施XX厂XX信息系统装备了防火墙、网络入侵检测系统、破绽扫描系统、主机监控与审计系统、XX计算机及挪动存储介质保密管理系统〔“三合一〞系统〕、中孚信息消退工具、打印平安监控与审计系统、平安邮件、网间文件交换系统、防计算机病毒软件、线路传导干扰器、一级电磁干扰器、红黑电源滤波隔离插座等平安保密产品。身份鉴别口令认证，冗杂度，密码长度等符合要求否？XX便携式计算机、XX单机和XX数据中转单机采纳用户名与口令相结合的方式进展身份鉴别。1.3.6重要XX部门、部位XX厂XX信息系统保密要害部门为2个，保密要害部位为5个，详细状况如下表所示。2评估根据和标准《武器装备科研生产单位三级保密资格评分标准》3评估方案本次风险评估采纳文档批阅、人员问询、脆弱性扫描和现场查验等风险评估方法。〔1〕文档批阅：理解XX信息系统的根本状况、2015年上半年发生的改变，问题项的整改状况，确定后续查验的重点。批阅的文档材料主要包括：平安审计报告与审计报告、例行检查记录、工作和审批记录。〔2〕人员问询：对XX信息系统管理人员和局部用户〔包括行政管理人员和技术人员〕进展了问询，评估XX信息系统的管理者和用法者对自身保密职责的知悉状况，以及理解相关制度和标准并落实到日常工作中的状况。〔3〕脆弱性扫描：通过用法中科网威网络破绽扫描系统对XX 厂XX信息系统进展脆弱性扫描，搜集效劳器、用户终端、网络设备和数据库的平安破绽。〔4〕现场查验：评估规章制度的建立和执行状况；评估局部效劳器、用户终端、网络设备、应用系统和平安保密设备的平安保密防护状况；评估系统的物理平安和电磁泄漏放射防护状况。4资产识别资产是对组织具有价值的信息或资源。机密性、完好性和可用性是评价资产的三个平安属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个平安属性上的达成程度或者其平安属性未达成时所造成的影响程度来打算的。平安属性达成程度的不同将使资产具有不同的价值，而资产面临的威逼、存在的脆弱性、以及已采纳的平安措施都将对资产平安属性的达成程度产生影响。为此，必需对XX厂XX信息系统内的资产进展识别。4.1资产重要性等级定