信息系统安全风险评估报告书模板.docxVIP

— PAGE \* Arabic 1 — 信息系统安全风险评估报告书模板   项目名称： XXX风险评估报告被评估公司单位： XXX有限公司  参与评估部门：XXXX委员会  一、风险评估项目概述  1.1 工程项目概况  1.1.1 建设项目基本信息   1.2 风险评估实施单位基本情况   二、风险评估活动概述  2.1 风险评估工作组织管理  描述本次风险评估工作的组织体系（含评估人员构成）、工作原则和采取的保密措施。  2.2 风险评估工作过程  本次评估供耗时2天，采取抽样的的方式结合现场的评估，涉及了公司所有部门及所有的产品，已经包括了位于公司地址位置的相关产品。  2.3 依据的技术标准及相关法规文件  本次评估依据的法律法规条款有：     2.4 保障与限制条件  需要被评估单位提供的文档、工作条件和配合人员等必要条件，以及可能的限制条件。  三、评估对象  3.1 评估对象构成与定级  3.1.1 网络结构  根据提供的网络拓扑图，进行结构化的审核。  3.1.2 业务应用  本公司涉及的数据中心运营及服务活动。  3.1.3 子系统构成及定级  N/A  3.2 评估对象等级保护措施  按照工程项目安全域划分和保护等级的定级情况，分别描述不同保护等级保护范围内的子系统各自所采取的安全保护措施，以及等级保护的测评结果。  根据需要，以下子目录按照子系统重复。  3.2.1XX子系统的等级保护措施  根据等级测评结果，XX子系统的等级保护管理措施情况见附表一。  根据等级测评结果，XX子系统的等级保护技术措施情况见附表二。  四、资产识别与分析  4.1 资产类型与赋值  4.1.1资产类型  按照评估对象的构成，分类描述评估对象的资产构成。详细的资产分类与赋值，以附件形式附在评估报告后面，见附件3《资产类型与赋值表》。  4.1.2资产赋值  填写《资产赋值表》。      6.2. 资产赋值判断准则  对资产的赋值不仅要考虑资产的经济价值，更重要的是要考虑资产的安全状况对于系统或组织的重要性，由资产在其三个安全属性上的达成程度决定。  资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析，并在  此基础上得出综合结果的过程。达成程度可由安全属性缺失时造成的影响来表示，这种影响可能造成某些资产的损害以至危及信息系统，还可能导致经济效益、市场份额、组织形象的损失。  6.2.1. 机密性赋值  根据资产在机密性上的不同要求，将其分为三个不同的等级，分别对应资产在机密性上   6.2.2. 完整性赋值  根据资产在完整性上的不同要求，将其分为三个不同的等级，分别对应资产在完整性上    6.2.3. 可用性赋值  根据资产在可用性上的不同要求，将其分为三个不同的等级，分别对应资产在可用性上   6.2.4. 资产重要性等级  资产价值（V）＝机密性价值（C）＋完整性价值（I）＋可用性价值（A）  资产等级：   4.2 重要资产清单及说明  在分析被评估系统的资产基础上，列出对评估单位十分重要的资产，作为风险评估的重点对象，并以清单形式列出如下：  重要资产列表    五、威胁识别与分析  对威胁来源（内部/外部；主观/不可抗力等）、威胁方式、发生的可能性，威胁主体的能力水平等进行列表分析。下面是典型的威胁范本：    5.1 威胁数据采集  5.2 威胁描述与分析  依据《威胁赋值表》，对资产进行威胁源和威胁行为分析。  5.2.1 威胁源分析  填写《威胁源分析表》。  5.2.2 威胁行为分析  填写《威胁行为分析表》。  5.2.3 威胁能量分析  5.3 威胁赋值  威胁发生可能性等级对照表   判断威胁出现的频率是威胁识别的重要工作，评估者应根据经验和（或）有关的统计数据来进行判断。在风险评估过程中，还需要综合考虑以下三个方面，以形成在某种评估环境中各种威胁出现的频率