收藏
下载资源

信息安全风险评估报告框架.docx

上传人:太** 文档编号:97687956 上传时间:2024-06-24 格式:DOCX 页数:21 大小:38.04KB
返回 下载 相关 举报
信息安全风险评估报告框架.docx_第1页
第1页 / 共21页
信息安全风险评估报告框架.docx_第2页
第2页 / 共21页
点击查看更多>>
资源描述

《信息安全风险评估报告框架.docx》由会员分享,可在线阅读,更多相关《信息安全风险评估报告框架.docx(21页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、XXXXXXXX信息系统信息安全风险评估汇报模板项目名称:项目建设单位:风险评估单位:*年*月*曰值,以附件形式附在评估汇报背面,见附件3资产类型与赋值表。资产赋值填写资产赋值表。资产赋值表序号资产编号资产名称子系统资产重要性4.2关键资产阐明在分析被评估系统日勺资产基础上,列出对评估单位十分重要日勺资产,作为风险评估日勺重点对象,并以清单形式列出如下:关键资产列表资产编 号子系统名称应用资产重要程 度权重其他阐明五、威胁识别与分析对威胁来源(内部/外部;主观/不可抗力等)、威胁方式、发生日勺也许性, 威胁主体日勺能力水平等进行列表分析。5.1 威胁数据采集5.2 威胁描述与分析根据威胁赋值表

2、,对资产进行威胁源和威胁行为分析。威胁源分析填写威胁源分析表。威胁行为分析填写威胁行为分析表。威胁能量分析5.3 威胁赋值填写威胁赋值表。六、脆弱性识别与分析按照检测对象、检测成果、脆弱性分析分别描述如下各方面日勺脆弱性检测 成果和成果分析。6.1 常规脆弱性描述管理脆弱性网络脆弱性系统脆弱性应用脆弱性数据处理和存储脆弱性运行维护脆弱性灾备与应急响应脆弱性物理脆弱性6.2 脆弱性专题检测木马病毒专题检查渗透与袭击性专题测试关键设备安全性专题测试设备采购和维保服务专题检测其他专题检测包括:电磁辐射、卫星通信、光缆通信等。安全保护效果综合验证6.3 脆弱性综合列表填写脆弱性分析赋值表。七、风险分析

3、7.1 关键资产的风险计算成果填写风险列表风险列表资产编号资产风险值资产名称7.2 关键资产的风险等级风险等级列表填写风险等级表资产风险等级表资产编号资产风险值资产名称资产风险等级风险等级记录资产风险等级记录表风险等级资产数量所占比例基于脆弱性的风险排名基于脆弱性的风险排名表脆弱性风险值所占比例风险成果分析八、综合分析与评价九、整改意见附件1:管理措施表序号层面/方面安全控制/措施贯彻部分贯彻没有贯彻不合用安全管理制度管理制度制定和公布评审和修订安全管理机构岗位设置人员配置授权和审批沟通和合作审核和检查人员安全管理人员录取人员离岗人员考核安全意识教育和培训外部人员访问管理系统建设管理系统定级安

4、全方案设计产品采购自行软件开发外包软件开发工程实行测试验收系统交付系统立案安全服务商选择序号层面/方面安全控制/措施贯彻部分贯彻没有贯彻不合用系统运维管理环境管理资产管理介质管理设备管理监控管理和安全管理中心网络安全管理系统安全管理恶意代码防备管理密码管理变更管理备份与恢复管理安全事件处置应急预案管理小计附件2:技术措施表序号层面/方面安全控制/措施贯彻部分贯彻没有贯彻不合用1物理安全物理位置日勺选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应序号层面/方面安全控制/措施贯彻部分贯彻没有贯彻不合用电磁防护网络安全网络构造安全网络访问控制网络安全审计边界完整性检查网络入

5、侵防备恶意代码防备网络设备防护主机安全身份鉴别访问控制安全审计剩余信息保护入侵防备恶意代码防备资源控制应用安全身份鉴别访问控制安全审计剩余信息保护通信完整性通信保密性抗抵赖软件容错资源控制数据安全及备 份与恢复数据完整性数据保密性备份和恢复附件3:资产类型与赋值表针对每一种系统或子系统,单独建表类别项目子项资产编 号资产名称资产权重赋值阐 明附件4:威胁赋值表资产名称编号威胁总分值威胁等级操作失误滥用授权行为抵赖身份假冒口令袭击密码分析漏洞运用拒绝服务恶意代码窃取数据物理破坏社会工程意外故障通信中断数据受损电源中断灾害管理不到位越权使用附件5:脆弱性分析赋值表编 号检测项检测子项脆弱性作用对象

6、赋值潜在影响整改提议标识1管理脆弱 性检测机构、制度、人员VI安全方略V2检测与响应脆弱性V3平常维护V4V52网络脆弱 性检测网络拓扑及构造脆弱性V6网络设备脆弱性V7网络安全设备脆弱性V8V93系统脆弱 性检测操作系统脆弱性V10数据库脆弱性VIIV12一、风险评估项目概述错误!未定义书签。1.1 工程项目概况错误!未定义书签。1.1.1 建设项目基本信息错误!未定义书签。1.1.2 建设单位基本信息错误!未定义书签。承建单位基本信息.错误!未定义书签。1.2 风险评估实行单位基本状况错误味定义书签。二、风险评估活动概述错误!未定义书签。2.1 风险评估工作组织管理错误!未定义书签。2.2

7、 风险评估工作过程错误!未定义书签。2.3 根据的技术原则及有关法规文献错误味定义书签。2.4 保障与限制条件错误!未定义书签。三、评估对象错误!未定义书签。3.1 评估对象构成与定级错误!未定义书签。3.1.1 网络构造.错误!未定义书签。3.1.2 业务应用.错误!未定义书签。3.1.3 子系统构成及定级.错误!未定义书签。3.2 评估对象等级保护措施错误!未定义书签。4应用脆弱 性检测网络服务脆弱性V13V145数据处理 和存储脆 弱性数据处理V15数据存储脆弱性V16V176运行维护 脆弱性安全事件管理V18V197灾备与应 急响应脆 弱性数据备份V20应急预案及演习V21V228物理

8、脆弱 性检测环境脆弱性V23设备脆弱性V24存储介质脆弱性V25V26V279木马病毒 检测远程控制木马V28恶意插件V29V3010渗透与袭 击性检测现场渗透 测试办公区V31生产区V32服务区V33跨地区V34远程渗透测试V3511关键设备 安全性专 题检测关键设备一V36关键设备二V37V3812设备采购 和维保服 务设备采购环节V39维护环节V40V4113其他检测V42错误!未定义书签。四、资产识别与分析错误!未定义书签。4.1 资产类型与赋值资产类型.错误!未定义书签。资产赋值.错误!未定义书签。错误!未定义书签。4.2 关键资产阐明五、威胁识别与分析错误!未定义书签。5.1 威胁

9、数据采集错误!未定义书签。5.2 威胁描述与分析错误!未定义书签。5.2.7 威胁源分析.错误!未定义书签。5.2.8 威胁行为分析错误!未定义书签。5.2.9 威胁能量分析错误!未定义书签。5.3 威胁赋值错误!未定义书签。六、脆弱性识别与分析错误!未定义书签。6.1 常规脆弱性描述错误!未定义书签。6.1.1 管理脆弱性错误!未定义书签。6.1.2 网络脆弱性错误!未定义书签。6.1.3 系统脆弱性错误!未定义书签。6.1.4 应用脆弱性错误!未定义书签。6.1.7 灾备与应急响应脆弱性错误!未定义书签。6.1.8 物理脆弱性错误!未定义书签。6.2 脆弱性专题检测错误!未定义书签。6.2

10、.1 木马病毒专题检查.错误!未定义书签。6.2.2 渗透与袭击性专题测试错误!未定义书签。6.2.3 关键设备安全性专题测试.错误!未定义书签。6.2.4 设备米购和维保服务专题检测.错误!未定义书签。6.2.5 其他专题检测错误!未定义书签。6.2.6 安全保护效果综合验证错误!未定义书签。6.3 脆弱性综合列表错误!未定义书签。七、风险分析错误!未定义书签。7.1 关键资产的风险计算成果错误!未定义书签。7.2 关键资产的风险等级错误!未定义书签。7.2.7 风险等级列表错误!未定义书签。7.2.8 风险等级记录错误!未定义书签。7.2.9 基于脆弱性日勺风险排名错误!未定义书签。7.2

11、.10 险成果分析错误!未定义书签。错误!未定义书签。八、综合分析与评价附件1:管理措施表错误!未定义书签。附件2:技术措施表错误!未定义书签。附件3:资产类型与赋值表错误!未定义书签。附件4:威胁赋值表错误!未定义书签。附件5:脆弱性分析赋值表错误!未定义书签。一、风险评估项目概述1.1工程项目概况建设项目基本信息工程项目名称工程项目 批复的建 设内容非涉密信息系 统部分的建设 内容对应的信息安 全保护系统建 设内容项目完毕时间项目试运行时间建设单位基本信息工程建设牵头部门部门名称工程负责人通信地址联络电子邮件工程建设参与部门部门名称工程负责人通信地址联络电子邮件如有多种参与部门,分别填写上

12、承建单位基本信息如有多种承建单位,分别填写下表。企业名称企业性质是国内企业/还是国外企业法人代表通信地址联络电子邮件1.2风险评估实行单位基本状况评估单位名称法人代表通信地址联络电子邮件二、风险评估活动概述2.1 风险评估工作组织管理描述本次风险评估工作的组织体系(含评估人员构成)、工作原则和采用日勺保密措施。2.2 风险评估工作过程工作阶段及详细工作内容.2.3 根据的技术原则及有关法规文献2.4 保障与限制条件需要被评估单位提供日勺文档、工作条件和配合人员等必要条件,以及也许日勺 限制条件。三、评估对象3.1 评估对象构成与定级文字描述网络构成状况、分区状况、重要功能等,提供网络拓扑图。业

13、务应用文字描述评估对象所承载日勺业务,及其重要性。子系统构成及定级描述各子系统构成。根据安全等级保护定级立案成果,填写各子系统的安全保护等级定级状况表:各子系统的定级状况表序号子系统名称安全保护等级其中业务信息安全 等级其中系统服务安全 等级3.2 评估对象等级保护措施按照工程项目安全域划分和保护等级的定级状况,分别描述不一样保护等级保护范围内的子系统各自所采用日勺安全保护措施,以及等级保护的测评成果。根据需要,如下子目录按照子系统反复。3.2.1 XX子系统的等级保护措施根据等级测评成果,XX子系统时等级保护管理措施状况见附表一。根据等级测评成果,XX子系统的等级保护技术措施状况见附表二。3.2.2 子系统N的等级保护措施U!、资产识别与分析4-1资产类型与赋值资产类型按照评估对象日勺构成,分类描述评估对象的资产构成。详细日勺资产分类与赋

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 应用文书 > 解决方案

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁