信息化建设风险评估报告格式 下载本文

5.1 威胁数据采集 5.2 威胁描述与分析

依据《威胁赋值表》,对资产进行威胁源和威胁行为分析。 5.2.1 威胁源分析

填写《威胁源分析表》。 5.2.2 威胁行为分析

填写《威胁行为分析表》。 5.2.3 威胁能量分析

5.3 威胁赋值

填写《威胁赋值表》。

六、脆弱性识别与分析

按照检测对象、检测结果、脆弱性分析分别描述以下各方面的脆弱性检测结果和结果分析。

6.1 常规脆弱性描述

6.1.1 管理脆弱性 6.1.2 网络脆弱性 6.1.3系统脆弱性 6.1.4应用脆弱性

5

6.1.5数据处理和存储脆弱性 6.1.6运行维护脆弱性 6.1.7灾备与应急响应脆弱性 6.1.8物理脆弱性

6.2脆弱性专项检测

6.2.1木马病毒专项检查 6.2.2渗透与攻击性专项测试 6.2.3关键设备安全性专项测试 6.2.4设备采购和维保服务专项检测 6.2.5其他专项检测

包括:电磁辐射、卫星通信、光缆通信等。 6.2.6安全保护效果综合验证

6.3 脆弱性综合列表

填写《脆弱性分析赋值表》。

七、风险分析

7.1 关键资产的风险计算结果

填写《风险列表》

风险列表

资产编号 资产风险值 资产名称 6

7.2 关键资产的风险等级

7.2.1 风险等级列表

填写《风险等级表》

资产风险等级表 资产编号 资产风险值 资产名称 资产风险等级 7.2.2 风险等级统计

资产风险等级统计表 风险等级 资产数量 所占比例 7.2.3 基于脆弱性的风险排名

基于脆弱性的风险排名表 脆弱性 风险值 所占比例 7.2.4 风险结果分析

八、综合分析与评价

九、整改意见

7

附件1:管理措施表

序号 人员安全管理 系统建设管理 层面/方面 安全控制/措施 管理制度 安全管理制度 制定和发布 评审和修订 岗位设置 人员配备 安全管理机构 授权和审批 沟通和合作 审核和检查 人员录用 人员离岗 人员考核 安全意识教育和培训 外部人员访问管理 系统定级 安全方案设计 产品采购 自行软件开发 外包软件开发 工程实施 测试验收 系统交付 系统备案 安全服务商选择 落实 部分落实 没有落实 不适用 8