信息化建設風險評估報告格式

1、.信信息息化化建建設設風風險險評評估估報報告告格格式式項項 目目 名名 稱：稱：工程建設單位：工程建設單位：風險評估單位：風險評估單位：年年月月日日.目錄一、風險評估工程概述.11.1工程工程概況.11.1.1建設工程根本信息 .11.1.2建設單位根本信息 .1承建單位根本信息 .21.2風險評估實施單位根本狀況.3二、風險評估活動概述.32.1風險評估工作組織治理.32.2風險評估工作過程.32.3依據的技術標準及相關法規(guī)文件.32.4保障與限制條件.3三、評估對象.43.1評估對象構成與定級.43.1.1網絡結構.43.1.2業(yè)務應用.43.1.3子系統構成及定級 .43.2評估對象等級

2、愛護措施.4xx子系統的等級愛護措施 .5子系統n的等級愛護措施 .5四、資產識別與分析.54.1資產類型與賦值.5資產類型.5.資產賦值.54.2關鍵資產說明.5五、威逼識別與分析.65.1威逼數據采集.65.2威逼描述與分析.65.2.1威逼源分析.65.2.2威逼行為分析.65.2.3威逼能量分析.65.3威逼賦值.6六、脆弱性識別與分析.76.1常規(guī)脆弱性描述.76.1.1治理脆弱性.76.1.2網絡脆弱性.7.7.7.7.7.7.7.7.7.7.7.7.7.86.3 脆弱性綜合列表.8七、風險分析.87.1關鍵資產的風險計算結果.87.2關鍵資產的風險等級.87.2.1風險等級列表.

3、87.2.2風險等級統計.87.2.3基于脆弱性的風險排名 .97.2.4風險結果分析.9八、綜合分析與評價.9九、整改意見.9附件 1：治理措施表.10附件 2：技術措施表.12附件 3：資產類型與賦值表.14附件 4：威逼賦值表.14附件 5：脆弱性分析賦值表.15.工程工程名稱非涉密信息系統局部的建設工程工程內容批復的建設內容相應的信息平安愛護系統建設內容工程完成時間工程試運行時間部門名稱工程責任人通信地址一一、風風險險評評估估工工程程概概述述1.1工工程程工工程程概概況況建建設設工工程程根根本本信信息息建建設設單單位位根根本本信信息息工程建設牽頭部門.部門名稱工程責任人通信地址聯系電子

4、郵件企業(yè)名稱企業(yè)性質是國內企業(yè)/還是國外企業(yè)法人代表通信地址聯系電子郵件聯系電子郵件工程建設參與部門如有多個參與部門，分別填寫上承承建建單單位位根根本本信信息息如有多個承建單位，分別填寫下表。.評估單位名稱法人代表通信地址聯系電子郵件1.2風風險險評評估估實實施施單單位位根根本本狀狀況況二二、風風險險評評估估活活動動概概述述2.1風風險險評評估估工工作作組組織織治治理理描述本次風險評估工作的組織體系含評估人員構成、工作原那么和實行的保密措施。2.2風風險險評評估估工工作作過過程程工作階段及具體工作內容.2.3依依據據的的技技術術標標準準及及相相關關法法規(guī)規(guī)文文件件2.4保保障障與與限限制制條條

5、件件需要被評估單位供應的文檔、工作條件和協作人員等必要條件，以及可能的.序號子系統名稱平安愛護等級其中業(yè)務信息平安等級其中系統效勞平安等級限制條件。三三、評評估估對對象象3.1評評估估對對象象構構成成與與定定級級網網絡絡結結構構文字描述網絡構成狀況、分區(qū)狀況、主要功能等，供應網絡拓撲圖。業(yè)業(yè)務務應應用用文字描述評估對象所承載的業(yè)務，及其重要性。子子系系統統構構成成及及定定級級描述各子系統構成。依據平安等級愛護定級備案結果，填寫各子系統的平安愛護等級定級狀況表：各子系統的定級狀況表3.2評評估估對對象象等等級級愛愛護護措措施施依據工程工程平安域劃分和愛護等級的定級狀況，分別描述不同愛護等級愛護范

6、圍內的子系統各自所實行的平安愛護措施，以及等級愛護的測評結果。依據需要，以下子名目依據子系統重復。.序號資產編號資產名稱子系統資產重要性3.2.1xx 子系統的等級愛護措施子系統的等級愛護措施依據等級測評結果，xx 子系統的等級愛護治理措施狀況見附表一。依據等級測評結果，xx 子系統的等級愛護技術措施狀況見附表二。3.2.2子子系系統統 n 的的等等級級愛愛護護措措施施四四、資資產產識識別別與與分分析析4.1資資產產類類型型與與賦賦值值資資產產類類型型依據評估對象的構成，分類描述評估對象的資產構成。具體的資產分類與賦值，以附件形式附在評估報告后面，見附件 3?資產類型與賦值表?。資資產產賦賦值

7、值填寫?資產賦值表?。資產賦值表4.2關關鍵鍵資資產產說說明明在分析被評估系統的資產根底上，列出對評估單位格外重要的資產，作為風險評估的重點對象，并以清單形式列出如下：.資產編號子系統名稱應用資產重要程度權重其他說明關鍵資產列表五五、威威逼逼識識別別與與分分析析對威逼來源內部/外部；主觀/不行抗力等、威逼方式、發(fā)生的可能性，威逼主體的力量水公平進行列表分析。5.1威威逼逼數數據據采采集集5.2威威逼逼描描述述與與分分析析依據?威逼賦值表?，對資產進行威逼源和威逼行為分析。威威逼逼源源分分析析填寫?威逼源分析表?。威威逼逼行行為為分分析析填寫?威逼行為分析表?。威威逼逼能能量量分分析析5.3威威

8、逼逼賦賦值值填寫?威逼賦值表?。.六六、脆脆弱弱性性識識別別與與分分析析依據檢檢測測對對象象、檢檢測測結結果果、脆脆弱弱性性分分析析 分別描述以下各方面的脆弱性檢測結果和結果分析。6.1 常規(guī)脆弱性描述常規(guī)脆弱性描述治理脆弱性治理脆弱性網絡脆弱性網絡脆弱性系統脆弱性系統脆弱性應用脆弱性應用脆弱性數據處理和存儲脆弱性數據處理和存儲脆弱性運行維護脆弱性運行維護脆弱性災備與應急響應脆弱性災備與應急響應脆弱性物理脆弱性物理脆弱性脆脆弱弱性性專專項項檢檢測測木木馬馬病病毒毒專專項項檢檢查查滲透與攻擊性專項測試滲透與攻擊性專項測試關關鍵鍵設設備備平平安安性性專專項項測測試試設設備備選選購購和和維維保保效效

9、勞勞專專項項檢檢測測其他專項檢測其他專項檢測包括：電磁輻射、衛(wèi)星通信、光纜通信等。.資產編號資產風險值資產名稱資產編號資產風險值資產名稱資產風險等級平平安安愛愛護護效效果果綜綜合合驗驗證證6.3 脆弱性綜合列表脆弱性綜合列表填寫?脆弱性分析賦值表?。七七、風風險險分分析析7.1關關鍵鍵資資產產的的風風險險計計算算結結果果填寫?風險列表?風險列表7.2關關鍵鍵資資產產的的風風險險等等級級風風險險等等級級列列表表填寫?風險等級表?資產風險等級表風風險險等等級級統統計計資產風險等級統計表風險等級資產數量所占比例.基基于于脆脆弱弱性性的的風風險險排排名名基于脆弱性的風險排名表脆弱性風險值所占比例風風險

10、險結結果果分分析析八八、綜綜合合分分析析與與評評價價九九、整整改改意意見見.序號層面/方面平安把握/措施落實局部落實沒有落實不適用治理制度平安治理制度制定和公布評審和修訂崗位設置人員配備平安治理機構授權和審批溝通和合作審核和檢查人員錄用人員離崗人員平安治理人員考核平安意識訓練和培訓外部人員訪問治理系統定級平安方案設計系統建設治理產品選購自行軟件開發(fā)附件附件 1：治理措施表：治理措施表.序號層面/方面平安把握/措施落實局部落實沒有落實不適用外包軟件開發(fā)工程實施測試驗收系統交付系統備案平安效勞商選擇環(huán)境治理資產治理介質治理設備治理監(jiān)控治理和平安治理中心網絡平安治理系統運維治理系統平安治理惡意代碼防

11、范治理密碼治理變更治理備份與恢復治理平安大事處置應急預案治理小計.附件附件 2：技術措施表：技術措施表序層面/方面平安把握/措施號1物理位置的選擇物理訪問把握防盜竊和防破壞防雷擊防火落實局部落實沒有落實不適用物理平安網絡平安主機平安應用平安防水和防潮防靜電溫濕度把握電力供應電磁防護網絡結構平安網絡訪問把握網絡平安審計邊界完整性檢查網絡入侵防范惡意代碼防范網絡設備防護身份鑒別訪問把握平安審計剩余信息愛護入侵防范惡意代碼防范資源把握身份鑒別.訪問把握平安審計剩余信息愛護通信完整性通信保密性抗抵賴軟件容錯資源把握數據完整性數據平安及備份與恢復數據保密性備份和恢復資產名稱編號操作失誤濫用授權行為抵賴身份假冒口令攻擊密碼分析漏洞利用拒絕效勞威逼惡竊意取代數碼據物理破壞社會工程意外故障通信中斷數據受損資產編賦值說類別工程子項資產名稱資產權重號明附件附件 3：資產類型與賦值表：資產類型與賦值表針對每一個系統或子系統，單獨建表附件附件 4：威逼賦值表：威逼賦值表.編檢測項檢測子項脆弱性作用對象賦值潛在影號機構、制度、人員平安策略治理脆弱1性檢測檢測與響應脆弱性日常維護網絡脆弱網絡拓撲及結構脆弱性2性檢測網絡設備脆弱性附件附件 5：脆弱性分析賦值表：脆弱性分析賦值表.網絡平安設備脆弱性操作系統脆弱性系統脆弱3性檢測數據庫脆弱性應用脆弱網絡效勞脆弱性4性檢測