5.1 威胁数据采集 5.2 威胁描述与分析
依据《威胁赋值表》,对资产进行威胁源和威胁行为分析。 5.2.1 威胁源分析
填写《威胁源分析表》。 5.2.2 威胁行为分析
填写《威胁行为分析表》。 5.2.3 威胁能量分析
5.3 威胁赋值
填写《威胁赋值表》。
六、脆弱性识别与分析
按照检测对象、检测结果、脆弱性分析分别描述以下各方面的脆弱性检测结果和结果分析。
6.1 常规脆弱性描述
6.1.1 管理脆弱性 6.1.2 网络脆弱性 6.1.3系统脆弱性 6.1.4应用脆弱性
5
6.1.5数据处理和存储脆弱性 6.1.6运行维护脆弱性 6.1.7灾备与应急响应脆弱性 6.1.8物理脆弱性
6.2脆弱性专项检测
6.2.1木马病毒专项检查 6.2.2渗透与攻击性专项测试 6.2.3关键设备安全性专项测试 6.2.4设备采购和维保服务专项检测 6.2.5其他专项检测
包括:电磁辐射、卫星通信、光缆通信等。 6.2.6安全保护效果综合验证
6.3 脆弱性综合列表
填写《脆弱性分析赋值表》。
七、风险分析
7.1 关键资产的风险计算结果
填写《风险列表》
风险列表
资产编号 资产风险值 资产名称 6
7.2 关键资产的风险等级
7.2.1 风险等级列表
填写《风险等级表》
资产风险等级表 资产编号 资产风险值 资产名称 资产风险等级 7.2.2 风险等级统计
资产风险等级统计表 风险等级 资产数量 所占比例 7.2.3 基于脆弱性的风险排名
基于脆弱性的风险排名表 脆弱性 风险值 所占比例 7.2.4 风险结果分析
八、综合分析与评价
九、整改意见
7
附件1:管理措施表
序号 人员安全管理 系统建设管理 层面/方面 安全控制/措施 管理制度 安全管理制度 制定和发布 评审和修订 岗位设置 人员配备 安全管理机构 授权和审批 沟通和合作 审核和检查 人员录用 人员离岗 人员考核 安全意识教育和培训 外部人员访问管理 系统定级 安全方案设计 产品采购 自行软件开发 外包软件开发 工程实施 测试验收 系统交付 系统备案 安全服务商选择 落实 部分落实 没有落实 不适用 8