某信息系统安全风险分析和评估报告书模板(公开)

范文范例指导参考

说明文字：大致内容如此，根据具体

情况增删

word版整理

范文范例指导参考

XXXX信息系统安全风险评估报告

word版整理

范文范例指导参考二?一五年七月

word版整理

范文范例指导参考

word版整理目录

1 评估工作概述 (5)

1.1评估目标 (5)

1.2评估组织 (5)

1.3评估对象 (5)

1.3.1业务职能与组织结构 (5)

1.3.2系统定级 (5)

1.3.3物理环境 (6)

1.3.4网络结构 (6)

1.3.5安全保密措施 (6)

1.3.6重要XX部门、部位 (6)

2 评估依据和标准 (7)

3 评估方案 (7)

4 资产识别 (8)

4.1资产重要性等级定义 (8)

4.2资产分类 (9)

4.2.1服务器情况列表 (9)

4.2.2交换机情况列表 (10)

4.2.3用户终端和XX单机 (10)

4.2.4特种设备 (10)

4.2.5软件平台 (10)

4.2.6安全保密设备 (11)

4.2.7应用系统情况列表 (12)

4.2.8试运行应用系统情况列表 (12)

5 威胁识别 (12)

5.1威胁分类 (12)

5.2威胁赋值 (13)

6 脆弱性识别 (14)

6.1脆弱性识别内容 (14)

6.2脆弱性赋值 (14)

6.3脆弱性专向检测 (15)

6.3.1病毒木马专项检查 (15)

6.3.2网络扫描专项测试 (15)

7 风险分析 (19)

8 风险统计 (20)

9 评估结论 (20)

10 整改建议 (20)

1评估工作概述

范文范例指导参考

2015年7月7-9日，由XX部门组织相关人员对XX信息系统进行了安全风险评

估。

本报告的评估结论仅针对xx厂XX信息系统本次安全风险评估时的状况。

1.1评估目标

本次评估工作依据有关信息安全技术与管理标准，对xx厂XX

信息系统及由其处理、传输和存储的信息的安全属性进行评估，分析该XX信息系统内的服务器、网络设备、用户终端及支撑平台等资产在日常运行、管理过程中面临的威胁、存在的脆弱性以及由此带来的安全风险，为将安全风险控制在可接受的水平，最大限度地保障该XX信息系统的信息安全保密提供指导依据。

1.2评估组织

本次风险评估由XX信息系统管理领导小组负责组织。由xx部

门现场开展本次评估工作，XX业务部门相关人员进行配合。

1.3评估对象

1.3.1业务职能与组织结构

Xx

1.3.2系统定级

Xx厂XX信息系统经xx批准同意，按照所处理XX信息的最高密级定为机密级，

采用增强保护要求进行保护。

133物理环境

XX

1.3.4网络结构

图1、组织机构图

word版整理

范文范例指导参考

图2周边物理环境图

3、网络拓扑结构图

1.3.5安全保密措施

XX厂XX信息系统配备了防火墙、网络入侵检测系统、漏洞扫描系统、主机监控与审计系统、XX计算机及移动存储介质保密管理系统“三合一”系统）、中孚信息消除工具、打印安全监控与审计系统、安全邮件、网间文件交换系统、防计算机病毒软件、线路传导干扰器、一级电磁干扰器、红黑电源滤波隔离插座等安全保密产品。

身份鉴别

口令认证，复杂度，密码长度等符合要求否？

XX便携式计算机、XX单机和XX数据中转单机采用用户名与口令相结合的方式进行身份鉴别。

1.3.6重要XX部门、部位

XX厂XX信息系统保密要害部门为2个，保密要害部位为5个,

具体情况如下表所示

word版整理

范文范例指导参考

2评估依据和标准

《武器装备科研生产单位三级保密资格评分标准》

3评估方案

本次风险评估采用文档审阅、人员问询、脆弱性扫描和现场查验等风险评估方法。

（1）文档审阅：了解XX信息系统的基本情况、2015年上半年发生的变化，问题项的整改情况，确定后续查验的重点。审阅的文档材料主要包括：安全审计报告与审计报告、例行检查记录、工作和审批记录。

（2）人员问询：对XX信息系统管理人员和部分用户（包括行政管理人员和技术人员）进行了问询，评估XX信息系统的管理者和使用者对自身保密职责的知悉情况，以及理解相关制度和标准并落实到日常工作中的情况。

（3）脆弱性扫描：通过使用中科网威网络漏洞扫描系统对XX 厂XX信息系统进行脆弱性扫描，收集服务器、用户终端、网络设备和数据库的安全漏洞。

(4)现场查验：评估规章制度的建设和执行情况；评估部分服务器、用户终端、网络设备、应用系统和安全保密设备的安全保密防护情况；评估系统的物理安全和电磁泄漏发射防护情况。

4资产识别

资产是对组织具有价值的信息或资源。机密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此，必须对

word版整理

本文来源：https://www.bwwdw.com/article/f4te.html