附件:
国家电子政务工程建设项目非涉密信息系统
信息安全风险评估报告格式
项 目 名 称: 项目建设单位: 风险评估单位:
年 月 日
目 录
一、风险评估项目概述 .................................................................................................................. 1 1.1 工程项目概况 .......................................................................................................................... 1 1.1.1 建设项目基本信息 ......................................................................................................... 1 1.1.2 建设单位基本信息 ......................................................................................................... 1 1.1.3承建单位基本信息 .......................................................................................................... 2 1.2 风险评估实施单位基本情况 ............................................................................................. 2 二、风险评估活动概述 .................................................................................................................. 2 2.1 风险评估工作组织管理 ....................................................................................................... 2 2.2 风险评估工作过程 ................................................................................................................ 2 2.3 依据的技术标准及相关法规文件 ................................................................................... 2 2.4 保障与限制条件 ..................................................................................................................... 3 三、评估对象 ..................................................................................................................................... 3 3.1 评估对象构成与定级 ........................................................................................................... 3 3.1.1 网络结构 ............................................................................................................................ 3 3.1.2 业务应用 ............................................................................................................................ 3 3.1.3 子系统构成及定级 ......................................................................................................... 3 3.2 评估对象等级保护措施 ....................................................................................................... 3 3.2.1 XX子系统的等级保护措施 ...................................................................................... 3 3.2.2 子系统N的等级保护措施 ........................................................................................ 3 四、资产识别与分析 ....................................................................................................................... 4 4.1 资产类型与赋值 ..................................................................................................................... 4 4.1.1资产类型 ............................................................................................................................. 4 4.1.2资产赋值 ............................................................................................................................. 4 4.2 关键资产说明 .......................................................................................................................... 4 五、威胁识别与分析 ....................................................................................................................... 4
5.1 威胁数据采集 .......................................................................................................................... 5 5.2 威胁描述与分析 ..................................................................................................................... 5 5.2.1 威胁源分析 ....................................................................................................................... 5 5.2.2 威胁行为分析 .................................................................................................................. 5 5.2.3 威胁能量分析 .................................................................................................................. 5 5.3 威胁赋值 ................................................................................................................................... 5 六、脆弱性识别与分析 .................................................................................................................. 5 6.1 常规脆弱性描述 ..................................................................................................................... 5 6.1.1 管理脆弱性 ....................................................................................................................... 5 6.1.2 网络脆弱性 ....................................................................................................................... 5 6.1.3系统脆弱性 ........................................................................................................................ 5 6.1.4应用脆弱性 ........................................................................................................................ 5 6.1.5数据处理和存储脆弱性 ................................................................................................ 6 6.1.6运行维护脆弱性 ............................................................................................................... 6 6.1.7灾备与应急响应脆弱性 ................................................................................................ 6 6.1.8物理脆弱性 ........................................................................................................................ 6 6.2脆弱性专项检测 ...................................................................................................................... 6 6.2.1木马病毒专项检查 .......................................................................................................... 6 6.2.2渗透与攻击性专项测试 ................................................................................................ 6 6.2.3关键设备安全性专项测试 ............................................................................................ 6 6.2.4设备采购和维保服务专项检测 .................................................................................. 6 6.2.5其他专项检测 ................................................................................................................... 6 6.2.6安全保护效果综合验证 ................................................................................................ 6 6.3 脆弱性综合列表 ..................................................................................................................... 6 七、风险分析 ..................................................................................................................................... 6 7.1 关键资产的风险计算结果 .................................................................................................. 6 7.2 关键资产的风险等级 ........................................................................................................... 7 7.2.1 风险等级列表 .................................................................................................................. 7
7.2.2 风险等级统计 .................................................................................................................. 7 7.2.3 基于脆弱性的风险排名 ............................................................................................... 7 7.2.4 风险结果分析 .................................................................................................................. 7 八、综合分析与评价 ....................................................................................................................... 7 九、整改意见 ..................................................................................................................................... 7 附件1:管理措施表 ........................................................................................................................ 8 附件2:技术措施表 ........................................................................................................................ 9 附件3:资产类型与赋值表 ........................................................................................................ 11 附件4:威胁赋值表 ...................................................................................................................... 11 附件5:脆弱性分析赋值表 ........................................................................................................ 12
一、风险评估项目概述
1.1 工程项目概况
1.1.1 建设项目基本信息 工程项目名称 非涉密信息系统部分的建设内容 相应的信息安全保护系统建设内容 工程项目批复的建设内容 项目完成时间 项目试运行时间
1.1.2 建设单位基本信息
工程建设牵头部门
部门名称 工程责任人 通信地址 联系电话 电子邮件 工程建设参与部门
部门名称 工程责任人 通信地址 联系电话 电子邮件 如有多个参与部门,分别填写上 1