附件:
国家电子政务工程建设项目非涉密信息系统
信息安全风险评估报告格式
项 目 名 称:
项目建设单位:
风险评估单位:
年 月 日
目 录
风险评估项目概述1
11 工程项目概况1
111 建设项目基信息1
112 建设单位基信息1
113承建单位基信息2
12 风险评估实施单位基情况2
二风险评估活动概述2
21 风险评估工作组织理2
22 风险评估工作程2
23 技术标准相关法规文件2
24 保障限制条件3
三评估象3
31 评估象构成定级3
311 网络结构3
312 业务应3
313 子系统构成定级3
32 评估象等级保护措施3
321XX子系统等级保护措施3
322子系统N等级保护措施3
四资产识分析4
41 资产类型赋值4
411资产类型4
412资产赋值4
42 关键资产说明4
五威胁识分析4
51 威胁数采集5
52 威胁描述分析5
521 威胁源分析5
522 威胁行分析5
523 威胁量分析5
53 威胁赋值5
六脆弱性识分析5
61 常规脆弱性描述5
611 理脆弱性5
612 网络脆弱性5
613系统脆弱性5
614应脆弱性5
615数处理存储脆弱性6
616运行维护脆弱性6
617灾备应急响应脆弱性6
618物理脆弱性6
62脆弱性专项检测6
621木马病毒专项检查6
622渗透攻击性专项测试6
623关键设备安全性专项测试6
624设备采购维保服务专项检测6
625专项检测6
626安全保护效果综合验证6
63 脆弱性综合列表6
七风险分析6
71 关键资产风险计算结果6
72 关键资产风险等级7
721 风险等级列表7
722 风险等级统计7
723 基脆弱性风险排名7
724 风险结果分析7
八综合分析评价7
九整改意见7
附件1:理措施表8
附件2:技术措施表9
附件3:资产类型赋值表11
附件4:威胁赋值表11
附件5:脆弱性分析赋值表12
风险评估项目概述
11 工程项目概况
111 建设项目基信息
工程项目名称
工程项目批复建设容
非涉密信息系统部分建设容
相应信息安全保护系统建设容
项目完成时间
项目试运行时间
112 建设单位基信息
工程建设牵头部门
部门名称
工程责
通信址
联系
电子
工程建设参部门
部门名称
工程责
通信址
联系
电子
参部门分填写
113承建单位基信息
承建单位分填写表
企业名称
企业性质
国企业国外企业
法代表
通信址
联系
电子
12 风险评估实施单位基情况
评估单位名称
法代表
通信址
联系
电子
二风险评估活动概述
21 风险评估工作组织理
描述次风险评估工作组织体系(含评估员构成)工作原采取措施
22 风险评估工作程
工作阶段具体工作容
23 技术标准相关法规文件
24 保障限制条件
需评估单位提供文档工作条件配合员等必条件限制条件
三评估象
31 评估象构成定级
311 网络结构
文字描述网络构成情况分区情况功等提供网络拓扑图
312 业务应
文字描述评估象承载业务重性
313 子系统构成定级
描述子系统构成根安全等级保护定级备案结果填写子系统安全保护等级定级情况表:
子系统定级情况表
序号
子系统名称
安全保护等级
中业务信息安全等级
中系统服务安全等级
32 评估象等级保护措施
工程项目安全域划分保护等级定级情况分描述保护等级保护围子系统采取安全保护措施等级保护测评结果
根需子目录子系统重复
321 XX子系统等级保护措施
根等级测评结果XX子系统等级保护理措施情况见附表
根等级测评结果XX子系统等级保护技术措施情况见附表二
322 子系统N等级保护措施
四资产识分析
41 资产类型赋值
411资产类型
评估象构成分类描述评估象资产构成详细资产分类赋值附件形式附评估报告面见附件3资产类型赋值表
412资产赋值
填写资产赋值表
资产赋值表
序号
资产编号
资产名称
子系统
资产重性
42 关键资产说明
分析评估系统资产基础列出评估单位十分重资产作风险评估重点象清单形式列出:
关键资产列表
资产编号
子系统名称
应
资产重程度权重
说明
五威胁识分析
威胁源(部外部观抗力等)威胁方式发生性威胁体力水等进行列表分析
51 威胁数采集
52 威胁描述分析
威胁赋值表资产进行威胁源威胁行分析
521 威胁源分析
填写威胁源分析表
522 威胁行分析
填写威胁行分析表
523 威胁量分析
53 威胁赋值
填写威胁赋值表
六脆弱性识分析
检测象检测结果脆弱性分析分描述方面脆弱性检测结果结果分析
61 常规脆弱性描述
611 理脆弱性
612 网络脆弱性
613系统脆弱性
614应脆弱性
615数处理存储脆弱性
616运行维护脆弱性
617灾备应急响应脆弱性
618物理脆弱性
62脆弱性专项检测
621木马病毒专项检查
622渗透攻击性专项测试
623关键设备安全性专项测试
624设备采购维保服务专项检测
625专项检测
包括:电磁辐射卫星通信光缆通信等
626安全保护效果综合验证
63 脆弱性综合列表
填写脆弱性分析赋值表
七风险分析
71 关键资产风险计算结果
填写风险列表
风险列表
资产编号
资产风险值
资产名称
72 关键资产风险等级
721 风险等级列表
填写风险等级表
资产风险等级表
资产编号
资产风险值
资产名称
资产风险等级
722 风险等级统计
资产风险等级统计表
风险等级
资产数量
占例
723 基脆弱性风险排名
基脆弱性风险排名表
脆弱性
风险值
占例
724 风险结果分析
八综合分析评价
九整改意见
附件1:理措施表
序号
层面方面
安全控制措施
落实
部分落实
没落实
适
安全理制度
理制度
制定发布
评审修订
安全理机构
岗位设置
员配备
授权审批
沟通合作
审核检查
员安全理
员录
员离岗
员考核
安全意识教育培训
外部员访问理
系统建设理
系统定级
安全方案设计
产品采购
行软件开发
外包软件开发
工程实施
测试验收
系统交付
系统备案
安全服务商选择
系统运维理
环境理
资产理
介质理
设备理
监控理安全理中心
网络安全理
系统安全理
恶意代码防理
密码理
变更理
备份恢复理
安全事件处置
应急预案理
计
附件2:技术措施表
序号
层面方面
安全控制措施
落实
部分落实
没落实
适
1
物理安全
物理位置选择
物理访问控制
防盗窃防破坏
防雷击
防火
防水防潮
防静电
温湿度控制
电力供应
电磁防护
网络安全
网络结构安全
网络访问控制
网络安全审计
边界完整性检查
网络入侵防
恶意代码防
网络设备防护
机安全
身份鉴
访问控制
安全审计
剩余信息保护
入侵防
恶意代码防
资源控制
应安全
身份鉴
访问控制
安全审计
剩余信息保护
通信完整性
通信性
抗抵赖
软件容错
资源控制
数安全备份恢复
数完整性
数性
备份恢复
附件3:资产类型赋值表
针系统子系统单独建表
类
项目
子项
资产编号
资产名称
资产权重
赋值说明
附件4:威胁赋值表
资产名称
编号
威胁
总分值
威胁等级
操作失误
滥授权
行抵赖
身份假
口令攻击
密码分析
漏洞利
拒绝服务
恶意代码
窃取数
物理破坏
社会工程
意外障
通信中断
数受损
电源中断
灾害
理位
越权
附件5:脆弱性分析赋值表
编号
检测项
检测子项
脆弱性
作象
赋值
潜影响
整改建议
标识
1
理脆弱性检测
机构制度员
V1
安全策略
V2
检测响应脆弱性
V3
日常维护
V4
……
V5
2
网络脆弱性检测
网络拓扑结构脆弱性
V6
网络设备脆弱性
V7
网络安全设备脆弱性
V8
……
V9
3
系统脆弱性检测
操作系统脆弱性
V10
数库脆弱性
V11
……
V12
4
应脆弱性检测
网络服务脆弱性
V13
……
V14
5
数处理存储脆弱性
数处理
V15
数存储脆弱性
V16
……
V17
6
运行维护脆弱性
安全事件理
V18
……
V19
7
灾备应急响应脆弱性
数备份
V20
应急预案演练
V21
……
V22
8
物理脆弱性检测
环境脆弱性
V23
设备脆弱性
V24
存储介质脆弱性
V25
……
V26
……
V27
9
木马病毒检测
远程控制木马
V28
恶意插件
V29
……
V30
10
渗透攻击性检测
现场渗透测试
办公区
V31
生产区
V32
服务区
V33
跨区
V34
远程渗透测试
V35
11
关键设备安全性专项检测
关键设备
V36
关键设备二
V37
……
V38
12
设备采购维保服务
设备采购环节
V39
维护环节
V40
……
V41
13
检测
……
V42
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
国家电子政务工程建设项目非涉密信息系统
信息安全风险评估报告格式
项 目 名 称:
项目建设单位:
风险评估单位:
年 月 日
目 录
风险评估项目概述1
11 工程项目概况1
111 建设项目基信息1
112 建设单位基信息1
113承建单位基信息2
12 风险评估实施单位基情况2
二风险评估活动概述2
21 风险评估工作组织理2
22 风险评估工作程2
23 技术标准相关法规文件2
24 保障限制条件3
三评估象3
31 评估象构成定级3
311 网络结构3
312 业务应3
313 子系统构成定级3
32 评估象等级保护措施3
321XX子系统等级保护措施3
322子系统N等级保护措施3
四资产识分析4
41 资产类型赋值4
411资产类型4
412资产赋值4
42 关键资产说明4
五威胁识分析4
51 威胁数采集5
52 威胁描述分析5
521 威胁源分析5
522 威胁行分析5
523 威胁量分析5
53 威胁赋值5
六脆弱性识分析5
61 常规脆弱性描述5
611 理脆弱性5
612 网络脆弱性5
613系统脆弱性5
614应脆弱性5
615数处理存储脆弱性6
616运行维护脆弱性6
617灾备应急响应脆弱性6
618物理脆弱性6
62脆弱性专项检测6
621木马病毒专项检查6
622渗透攻击性专项测试6
623关键设备安全性专项测试6
624设备采购维保服务专项检测6
625专项检测6
626安全保护效果综合验证6
63 脆弱性综合列表6
七风险分析6
71 关键资产风险计算结果6
72 关键资产风险等级7
721 风险等级列表7
722 风险等级统计7
723 基脆弱性风险排名7
724 风险结果分析7
八综合分析评价7
九整改意见7
附件1:理措施表8
附件2:技术措施表9
附件3:资产类型赋值表11
附件4:威胁赋值表11
附件5:脆弱性分析赋值表12
风险评估项目概述
11 工程项目概况
111 建设项目基信息
工程项目名称
工程项目批复建设容
非涉密信息系统部分建设容
相应信息安全保护系统建设容
项目完成时间
项目试运行时间
112 建设单位基信息
工程建设牵头部门
部门名称
工程责
通信址
联系
电子
工程建设参部门
部门名称
工程责
通信址
联系
电子
参部门分填写
113承建单位基信息
承建单位分填写表
企业名称
企业性质
国企业国外企业
法代表
通信址
联系
电子
12 风险评估实施单位基情况
评估单位名称
法代表
通信址
联系
电子
二风险评估活动概述
21 风险评估工作组织理
描述次风险评估工作组织体系(含评估员构成)工作原采取措施
22 风险评估工作程
工作阶段具体工作容
23 技术标准相关法规文件
24 保障限制条件
需评估单位提供文档工作条件配合员等必条件限制条件
三评估象
31 评估象构成定级
311 网络结构
文字描述网络构成情况分区情况功等提供网络拓扑图
312 业务应
文字描述评估象承载业务重性
313 子系统构成定级
描述子系统构成根安全等级保护定级备案结果填写子系统安全保护等级定级情况表:
子系统定级情况表
序号
子系统名称
安全保护等级
中业务信息安全等级
中系统服务安全等级
32 评估象等级保护措施
工程项目安全域划分保护等级定级情况分描述保护等级保护围子系统采取安全保护措施等级保护测评结果
根需子目录子系统重复
321 XX子系统等级保护措施
根等级测评结果XX子系统等级保护理措施情况见附表
根等级测评结果XX子系统等级保护技术措施情况见附表二
322 子系统N等级保护措施
四资产识分析
41 资产类型赋值
411资产类型
评估象构成分类描述评估象资产构成详细资产分类赋值附件形式附评估报告面见附件3资产类型赋值表
412资产赋值
填写资产赋值表
资产赋值表
序号
资产编号
资产名称
子系统
资产重性
42 关键资产说明
分析评估系统资产基础列出评估单位十分重资产作风险评估重点象清单形式列出:
关键资产列表
资产编号
子系统名称
应
资产重程度权重
说明
五威胁识分析
威胁源(部外部观抗力等)威胁方式发生性威胁体力水等进行列表分析
51 威胁数采集
52 威胁描述分析
威胁赋值表资产进行威胁源威胁行分析
521 威胁源分析
填写威胁源分析表
522 威胁行分析
填写威胁行分析表
523 威胁量分析
53 威胁赋值
填写威胁赋值表
六脆弱性识分析
检测象检测结果脆弱性分析分描述方面脆弱性检测结果结果分析
61 常规脆弱性描述
611 理脆弱性
612 网络脆弱性
613系统脆弱性
614应脆弱性
615数处理存储脆弱性
616运行维护脆弱性
617灾备应急响应脆弱性
618物理脆弱性
62脆弱性专项检测
621木马病毒专项检查
622渗透攻击性专项测试
623关键设备安全性专项测试
624设备采购维保服务专项检测
625专项检测
包括:电磁辐射卫星通信光缆通信等
626安全保护效果综合验证
63 脆弱性综合列表
填写脆弱性分析赋值表
七风险分析
71 关键资产风险计算结果
填写风险列表
风险列表
资产编号
资产风险值
资产名称
72 关键资产风险等级
721 风险等级列表
填写风险等级表
资产风险等级表
资产编号
资产风险值
资产名称
资产风险等级
722 风险等级统计
资产风险等级统计表
风险等级
资产数量
占例
723 基脆弱性风险排名
基脆弱性风险排名表
脆弱性
风险值
占例
724 风险结果分析
八综合分析评价
九整改意见
附件1:理措施表
序号
层面方面
安全控制措施
落实
部分落实
没落实
适
安全理制度
理制度
制定发布
评审修订
安全理机构
岗位设置
员配备
授权审批
沟通合作
审核检查
员安全理
员录
员离岗
员考核
安全意识教育培训
外部员访问理
系统建设理
系统定级
安全方案设计
产品采购
行软件开发
外包软件开发
工程实施
测试验收
系统交付
系统备案
安全服务商选择
系统运维理
环境理
资产理
介质理
设备理
监控理安全理中心
网络安全理
系统安全理
恶意代码防理
密码理
变更理
备份恢复理
安全事件处置
应急预案理
计
附件2:技术措施表
序号
层面方面
安全控制措施
落实
部分落实
没落实
适
1
物理安全
物理位置选择
物理访问控制
防盗窃防破坏
防雷击
防火
防水防潮
防静电
温湿度控制
电力供应
电磁防护
网络安全
网络结构安全
网络访问控制
网络安全审计
边界完整性检查
网络入侵防
恶意代码防
网络设备防护
机安全
身份鉴
访问控制
安全审计
剩余信息保护
入侵防
恶意代码防
资源控制
应安全
身份鉴
访问控制
安全审计
剩余信息保护
通信完整性
通信性
抗抵赖
软件容错
资源控制
数安全备份恢复
数完整性
数性
备份恢复
附件3:资产类型赋值表
针系统子系统单独建表
类
项目
子项
资产编号
资产名称
资产权重
赋值说明
附件4:威胁赋值表
资产名称
编号
威胁
总分值
威胁等级
操作失误
滥授权
行抵赖
身份假
口令攻击
密码分析
漏洞利
拒绝服务
恶意代码
窃取数
物理破坏
社会工程
意外障
通信中断
数受损
电源中断
灾害
理位
越权
附件5:脆弱性分析赋值表
编号
检测项
检测子项
脆弱性
作象
赋值
潜影响
整改建议
标识
1
理脆弱性检测
机构制度员
V1
安全策略
V2
检测响应脆弱性
V3
日常维护
V4
……
V5
2
网络脆弱性检测
网络拓扑结构脆弱性
V6
网络设备脆弱性
V7
网络安全设备脆弱性
V8
……
V9
3
系统脆弱性检测
操作系统脆弱性
V10
数库脆弱性
V11
……
V12
4
应脆弱性检测
网络服务脆弱性
V13
……
V14
5
数处理存储脆弱性
数处理
V15
数存储脆弱性
V16
……
V17
6
运行维护脆弱性
安全事件理
V18
……
V19
7
灾备应急响应脆弱性
数备份
V20
应急预案演练
V21
……
V22
8
物理脆弱性检测
环境脆弱性
V23
设备脆弱性
V24
存储介质脆弱性
V25
……
V26
……
V27
9
木马病毒检测
远程控制木马
V28
恶意插件
V29
……
V30
10
渗透攻击性检测
现场渗透测试
办公区
V31
生产区
V32
服务区
V33
跨区
V34
远程渗透测试
V35
11
关键设备安全性专项检测
关键设备
V36
关键设备二
V37
……
V38
12
设备采购维保服务
设备采购环节
V39
维护环节
V40
……
V41
13
检测
……
V42
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档