信息化建设风险评估报告格式

序号 层面/方面 安全控制/措施 环境管理 资产管理 介质管理 设备管理 监控管理和安全管理中心 网络安全管理 落实 部分落实 没有落实 不适用 系统运维管理 系统安全管理 恶意代码防范管理 密码管理 变更管理 备份与恢复管理 安全事件处置 应急预案管理 小计

附件2:技术措施表

序号 1 物理安全 层面/方面 安全控制/措施 物理位置的选择 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 防静电 温湿度控制 电力供应 电磁防护 9

落实 部分落实 没有落实 不适用 数据安全及备份与恢复 应用安全 主机安全 网络安全 网络结构安全 网络访问控制 网络安全审计 边界完整性检查 网络入侵防范 恶意代码防范 网络设备防护 身份鉴别 访问控制 安全审计 剩余信息保护 入侵防范 恶意代码防范 资源控制 身份鉴别 访问控制 安全审计 剩余信息保护 通信完整性 通信保密性 抗抵赖 软件容错 资源控制 数据完整性 数据保密性 备份和恢复 10

附件3:资产类型与赋值表

针对每一个系统或子系统,单独建表

类别 项目 子项 资产编号

资产名称 资产权重 赋值说明 附件4:威胁赋值表

威胁 资产名称 编号 操作失误 滥用授权 行为抵赖 身份假冒 口令攻击 密码分析 漏洞利用 拒绝服务 恶意代码 窃取数据 物理破坏 社会工程 意外故障 通信中断 数据受损 电源中断 灾害 管理不到位 越权使用 总分值 威胁等级 11

附件5:脆弱性分析赋值表

编号 检测项 检测子项 机构、制度、人员 安全策略 1 管理脆弱性检测 检测与响应脆弱性 日常维护 …… 网络拓扑及结构脆弱性 网络脆弱性检测 网络设备脆弱性 网络安全设备脆弱性 …… 操作系统脆弱性 3 系统脆弱性检测 数据库脆弱性 …… 脆弱性 作用对象 赋值 潜在影响 整改建议 标识 V1 V2 V3 V4 V5 V6 V7 V8 V9 V10 V11 V12 2 12

联系客服:779662525#qq.com(#替换为@)