7.2 关键资产的风险等级

7.2.1 风险等级列表

填写《风险等级表》

资产风险等级表 资产编号 资产风险值 资产名称 资产风险等级 7.2.2 风险等级统计

资产风险等级统计表 风险等级 资产数量 所占比例 7.2.3 基于脆弱性的风险排名

基于脆弱性的风险排名表 脆弱性 风险值 所占比例 7.2.4 风险结果分析

八、综合分析与评价

九、整改意见

7

附件1：管理措施表

序号 人员安全管理 系统建设管理 层面/方面 安全控制/措施 管理制度 安全管理制度 制定和发布 评审和修订 岗位设置 人员配备 安全管理机构 授权和审批 沟通和合作 审核和检查 人员录用 人员离岗 人员考核 安全意识教育和培训 外部人员访问管理 系统定级 安全方案设计 产品采购 自行软件开发 外包软件开发 工程实施 测试验收 系统交付 系统备案 安全服务商选择 落实 部分落实 没有落实 不适用 8

序号 层面/方面 安全控制/措施 环境管理 资产管理 介质管理 设备管理 监控管理和安全管理中心 网络安全管理 落实 部分落实 没有落实 不适用 系统运维管理 系统安全管理 恶意代码防范管理 密码管理 变更管理 备份与恢复管理 安全事件处置 应急预案管理 小计

附件2：技术措施表

序号 1 物理安全 层面/方面 安全控制/措施 物理位置的选择 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 防静电 温湿度控制 电力供应 电磁防护 9

落实 部分落实 没有落实 不适用 数据安全及备份与恢复 应用安全 主机安全 网络安全 网络结构安全 网络访问控制 网络安全审计 边界完整性检查 网络入侵防范 恶意代码防范 网络设备防护 身份鉴别 访问控制 安全审计 剩余信息保护 入侵防范 恶意代码防范 资源控制 身份鉴别 访问控制 安全审计 剩余信息保护 通信完整性 通信保密性 抗抵赖 软件容错 资源控制 数据完整性 数据保密性 备份和恢复 10

附件3：资产类型与赋值表

针对每一个系统或子系统，单独建表

类别 项目 子项 资产编号

资产名称 资产权重 赋值说明 附件4：威胁赋值表

威胁 资产名称 编号 操作失误 滥用授权 行为抵赖 身份假冒 口令攻击 密码分析 漏洞利用 拒绝服务 恶意代码 窃取数据 物理破坏 社会工程 意外故障 通信中断 数据受损 电源中断 灾害 管理不到位 越权使用 总分值 威胁等级 11