信息安全风险评估报告格式.docxVIP

信息安全风险评估报告格式 附件：信息平安风险评估报告格式工程名称：工程建立单位：风险评估单位：年月日名目  一、风险评估工程概述工程工程概况1.1.1 建立工程根本信息1.1.2 建立单位根本信息工程建立牵头部门工程建立参加部门如有多个参加部门，分别填写上1.1.3承建单位根本信息风险评估施行单位根本状况二、风险评估活动概述风险评估工作组织管理描绘本次风险评估工作的组织体系〔含评估人员构成〕、工作原那么和实行的保密措施。风险评估工作过程工作阶段及详细工作内容.根据的技术标准及相关法规文件保障与限制条件需要被评估单位供应的文档、工作条件和协作人员等必要条件，以及可能的限制条件。三、评估对象评估对象构成与定级3.1.1 网络构造文字描绘网络构成状况、分区状况、主要功能等，供应网络拓扑图。3.1.2 业务应用文字描绘评估对象所承载的业务，及其重要性。3.1.3 子系统构成及定级描绘各子系统构成。依据平安等级爱护定级备案结果，填写各子系统的平安爱护等级定级状况表：评估对象等级爱护措施根据工程工程平安域划分和爱护等级的定级状况，分别描绘不同爱护等级爱护范围内的子系统各自所实行的平安爱护措施，以及等级爱护的测评结果。依据需要，以下子名目根据子系统重复。3.2.1XX子系统的等级爱护措施依据等级测评结果，XX子系统的等级爱护管理措施状况见附表一。依据等级测评结果，XX子系统的等级爱护技术措施状况见附表二。3.2.2子系统N的等级爱护措施四、资产识别与分析资产类型与赋值4.1.1资产类型根据评估对象的构成，分类描绘评估对象的资产构成。具体的资产分类与赋值，以附件形式附在评估报告后面，见附件3《资产类型与赋值表》。4.1.2资产赋值填写《资产赋值表》。资产赋值表关键资产说明在分析被评估系统的资产根底上，列出对评估单位非常重要的资产，作为风险评估的重点对象，并以清单形式列出如下：五、威逼识别与分析对威逼来源〔内部/外部；主观/不行抗力等〕、威逼方式、发生的可能性，威逼主体的力量程度等进展列表分析。威逼数据采集威逼描绘与分析根据《威逼赋值表》，对资产进展威逼源和威逼行为分析。5.2.1 威逼源分析填写《威逼源分析表》。5.2.2 威逼行为分析填写《威逼行为分析表》。5.2.3 威逼能量分析威逼赋值填写《威逼赋值表》。六、脆弱性识别与分析根据检测对象、检测结果、脆弱性分析分别描绘以下各方面的脆弱性检测结果和结果分析。常规脆弱性描绘6.1.1 管理脆弱性6.1.2 网络脆弱性6.1.3系统脆弱性6.1.4应用脆弱性6.1.5数据处理和存储脆弱性6.1.6运行维护脆弱性6.1.7灾备与应急响应脆弱性6.1.8物理脆弱性脆弱性专项检测6.2.1木马病毒专项检查6.2.2浸透与攻击性专项测试6.2.3关键设备平安性专项测试6.2.4设备选购和维保效劳专项检测6.2.5其他专项检测包括：电磁辐射、卫星通信、光缆通信等。6.2.6平安爱护效果综合验证脆弱性综合列表填写《脆弱性分析赋值表》。七、风险分析关键资产的风险计算结果填写《风险列表》风险列表关键资产的风险等级7.2.1 风险等级列表填写《风险等级表》7.2.2 风险等级统计7.2.3 基于脆弱性的风险排名7.2.4 风险结果分析八、综合分析与评价九、整改看法附件1：管理措施表附件2：技术措施表附件3：资产类型与赋值表针对每一个系统或子系统，单独建表附件4：威逼赋值表附件5：脆弱性分析赋值表