风险评估报告模板.docxVIP

附件： 信息系统 信息安全风险评估报告格式 项目名称： 项目建设单位： 风险评估单位： 年月日 目录 一、风险评估项目概括 工程项目概略 1.1.1建设项目基本信息 工程项目名称 非涉密信息系 统部分的建设 工程项目 内容 批复的建 相应的信息安 设内容 全保护系统建 设内容 项目达成时间 项目试运行时间 1.1.2建设单位基本信息 工程建设牵头部门 部门名称 工程责任人 通信地点 联系电话 电子邮件 工程建设参与部门 部门名称 工程责任人 通信地点 联系电话 电子邮件 如有多个参与部门，分别填写上 承建单位基本信息 如有多个承建单位，分别填写下表。 公司名称 公司性质是国内公司/仍是外国公司 法人代表 通信地点 联系电话 电子邮件 风险评估实施单位基本情况 评估单位名称 法人代表 通信地点 联系电话 电子邮件 二、风险评估活动概括 风险评估工作组织管理 描绘本次风险评估工作的组织体系（含评估人员组成）、工作原则和采取的 保密举措。 风险评估工作过程 工作阶段及详细工作内容. 依据的技术标准及有关法例文件 保障与限制条件 需要被评估单位提供的文档、工作条件和配合人员等必要条件，以及可能的 限制条件。 三、评估对象 评估对象组成与定级 3.1.1网络构造 文字描绘网络组成情况、分区情况、主要功能等，提供网络拓扑图。 3.1.2业务应用 文字描绘评估对象所承载的业务，及其重要性。 3.1.3子系统组成及定级 描绘各子系统组成。根据安全等级保护定级备案结果，填写各子系统的安全 保护等级定级情况表： 各子系统的定级情况表 其中业务信息安全其中系统服务安全 序号子系统名称安全保护等级 等级等级 评估对象等级保护举措 按照工程项目安全域区分和保护等级的定级情况，分别描绘不同保护等级保 护范围内的子系统各自所采取的安全保护举措，以及等级保护的测评结果。 根据需要，以下子目录按照子系统重复。 3.2.1XX子系统的等级保护举措 根据等级测评结果，XX子系统的等级保护管理举措情况见附表一。 根据等级测评结果，XX子系统的等级保护技术举措情况见附表二。 子系统N的等级保护举措 四、财产辨别与剖析 财产种类与赋值 财产种类 按照评估对象的组成，分类描绘评估对象的财产组成。详尽的财产分类与赋 值，以附件形式附在评估报告后边，见附件3《财产种类与赋值表》。 财产赋值 填写《财产赋值表》。 财产赋值表 序号财产编号财产名称子系统财产重要性 重点财产说明 在剖析被评估系统的财产基础上，列出对评估单位十分重要的财产，作为风 险评估的重点对象，并以清单形式列出如下： 重点财产列表 财产编  财产重要程 子系统名称  应用  其他说明 号  度权重 五、威胁辨别与剖析 对威胁根源（内部/外部；主观/不可抗力等）、威胁方式、发生的可能性， 威胁主体的能力水同等进队列表剖析。 威胁数据采集 威胁描绘与剖析 依据《威胁赋值表》，对财产进行威胁源和威胁行为剖析。 5.2.1威胁源剖析 填写《威胁源剖析表》。 5.2.2威胁行为剖析 填写《威胁行为剖析表》。 5.2.3威胁能量剖析 威胁赋值 填写《威胁赋值表》。 六、柔弱性辨别与剖析 按照检测对象、检测结果、柔弱性剖析分别描绘以下各方面的柔弱性检测 结果和结果剖析。 惯例柔弱性描绘 6.1.1管理柔弱性 6.1.2网络柔弱性 系统柔弱性 应用柔弱性 数据办理和存储柔弱性 运行维护柔弱性 灾备与应急响应柔弱性 物理柔弱性 柔弱性专项检测 木马病毒专项检查 渗透与攻击性专项测试 重点设施安全性专项测试 设施采买和维保服务专项检测 其他专项检测 包括：电磁辐射、卫星通信、光缆通信等。 安全保护效果综合考证 柔弱性综合列表 填写《柔弱性剖析赋值表》。 七、风险剖析 重点财产的风险计算结果 填写《风险列表》 风险列表 财产编号财产风险值财产名称 重点财产的风险等级 7.2.1风险等级列表 填写《风险等级表》 财产风险等级表 财产编号财产风险值财产名称财产风险等级 7.2.2风险等级统计 财产风险等级统计表 风险等级财产数量所占比率 7.2.3鉴于柔弱性的风险排名 鉴于柔弱性的风险排名表 柔弱性风险值所占比率 7.2.4风险结果剖析 八、综合剖析与评论 九、整改建议 附件1：管理举措表 序号层面/方面安全控制/举措落实部分落实没有落实不合用 管理制度 安全管理制度拟订和发布 评审和修订 岗位设置 人员配备 安全管理机构授权和审批 交流和合作 审核和检查 人员安全管理人员录取 序号  层面/方面  安全控制/举措 人员离岗 人员查核 安全意识教育和培训 外部人员接见管理 系统定级 安全方案设计 产品采买 自行软件开发 外包软件开发  落实  部分落实  没有落实  不合用 系统建设管理 工程实施 测试查收 系统交