信息系统风险评估报告格式.doc

国家电子政务工程建设项目非涉密信息系统

信息安全风险评估报告格式

项目名称:

项目建设单位:

风险评估单位:

年月日

目录

TOC\o13\h\z\u一、风险评估项目概述 1

1、1工程项目概况 1

1、1、1建设项目基本信息 1

1、1、2建设单位基本信息 1

1、1、3承建单位基本信息 2

1、2风险评估实施单位基本情况 2

二、风险评估活动概述 2

2、1风险评估工作组织管理 2

2、2风险评估工作过程 2

2、3依据得技术标准及相关法规文件 2

2、4保障与限制条件 3

三、评估对象 3

3、1评估对象构成与定级 3

3、1、1网络结构 3

3、1、2业务应用 3

3、1、3子系统构成及定级 3

3、2评估对象等级保护措施 3

3、2、1 XX子系统得等级保护措施 3

3、2、2 子系统N得等级保护措施 3

四、资产识别与分析 4

4、1资产类型与赋值 4

4、1、1资产类型 4

4、1、2资产赋值 4

4、2关键资产说明 4

五、威胁识别与分析 4

5、1威胁数据采集 5

5、2威胁描述与分析 5

5、2、1威胁源分析 5

5、2、2威胁行为分析 5

5、2、3威胁能量分析 5

5、3威胁赋值 5

六、脆弱性识别与分析 5

6、1常规脆弱性描述 5

6、1、1管理脆弱性 5

6、1、2网络脆弱性 5

6、1、3系统脆弱性 5

6、1、4应用脆弱性 5

6、1、5数据处理与存储脆弱性 6

6、1、6运行维护脆弱性 6

6、1、7灾备与应急响应脆弱性 6

6、1、8物理脆弱性 6

6、2脆弱性专项检测 6

6、2、1木马病毒专项检查 6

6、2、2渗透与攻击性专项测试 6

6、2、3关键设备安全性专项测试 6

6、2、4设备采购与维保服务专项检测 6

6、2、5其她专项检测 6

6、2、6安全保护效果综合验证 6

6、3脆弱性综合列表 6

七、风险分析 6

7、1关键资产得风险计算结果 6

7、2关键资产得风险等级 7

7、2、1风险等级列表 7

7、2、2风险等级统计 7

7、2、3基于脆弱性得风险排名 7

7、2、4风险结果分析 7

八、综合分析与评价 7

九、整改意见 7

附件1:管理措施表 8

附件2:技术措施表 9

附件3:资产类型与赋值表 11

附件4:威胁赋值表 11

附件5:脆弱性分析赋值表 12

一、风险评估项目概述

1、1工程项目概况

1、1、1建设项目基本信息

工程项目名称

工程项目批复得建设内容

非涉密信息系统部分得建设内容

相应得信息安全保护系统建设内容

项目完成时间

项目试运行时间

1、1、2建设单位基本信息

工程建设牵头部门

部门名称

工程责任人

通信地址

联系电话

电子邮件

工程建设参与部门

部门名称

工程责任人

通信地址

联系电话

电子邮件

如有多个参与部门,分别填写上

1、1、3承建单位基本信息

如有多个承建单位,分别填写下表。

企业名称

企业性质

就是国内企业/还就是国外企业

法人代表

通信地址

联系电话

电子邮件

1、2风险评估实施单位基本情况

评估单位名称

法人代表

通信地址

联系电话

电子邮件

二、风险评估活动概述

2、1风险评估工作组织管理

描述本次风险评估工作得组织体系(含评估人员构成)、工作原则与采取得保密措施。

2、2风险评估工作过程

工作阶段及具体工作内容、

2、3依据得技术标准及相关法规文件

2、4保障与限制条件

需要被评估单位提供得文档、工作条件与配合人员等必要条件,以及可能得限制条件。

三、评估对象

3、1评估对象构成与定级

3、1、1网络结构

文字描述网络构成情况、分区情况、主要功能等,提供网络拓扑图。

3、1、2业务应用

文字描述评估对象所承载得业务,及其重要性。

3、1、3子系统构成及定级

描述各子系统构成。根据安全等级保护定级备案结果,填写各子系统得安全保护等级定级情况表:

各子系统得定级情况表

序号

子系统名称

安全保护等级

其中业务信息安全等级

其中系统服务