企业信息安全评估[信息系统安全风险评估报告书模板].docx

《企业信息安全评估[信息系统安全风险评估报告书模板].docx》由会员分享，可在线阅读，更多相关《企业信息安全评估[信息系统安全风险评估报告书模板].docx（7页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、企业信息安全评估信息系统安全风险评估报告书模板工程名称： 风险评估报告被评估公司单位： 参与评估部门： 委员会一、风险评估工程概述1.1 工程工程概况1.1.1 建设工程根本信息1.2 风险评估实施单位根本状况二、风险评估活动概述2.1 风险评估工作组织治理描述本次风险评估工作的组织体系含评估人员构成、工作原则和实行的保密措施。2.2 风险评估工作过程本次评估供耗时 2 天，实行抽样的的方式结合现场的评估， 涉及了公司全部部门及全部的产品，已经包括了位于公司地址位置的相关产品。2.3 依据的技术标准及相关法规文件本次评估依据的法律法规条款有：2.4 保障与限制条件需要被评估单位供给的文档、工作

2、条件和协作人员等必要条件，以及可能的限制条件。三、评估对象3.1 评估对象构成与定级3.1.1 网络构造依据供给的网络拓扑图，进展构造化的审核。3.1.2 业务应用本公司涉及的数据中心运营及效劳活动。3.1.3 子系统构成及定级N/A3.2 评估对象等级保护措施依据工程工程安全域划分和保护等级的定级状况，分别描述不同保护等级保护范围内的子系统各自所实行的安全保护措施， 以及等级保护的测评结果。依据需要，以下子名目依据子系统重复。3.2.1 子系统的等级保护措施依据等级测评结果， 子系统的等级保护治理措施状况见附表一。依据等级测评结果， 子系统的等级保护技术措施状况见附表二。四、资产识别与分析4

3、.1 资产类型与赋值4.1.1 资产类型依据评估对象的构成，分类描述评估对象的资产构成。具体的资产分类与赋值，以附件形式附在评估报告后面，见附件 3资产类型与赋值表。4.1.2 资产赋值填写资产赋值表。6.2. 资产赋值推断准则对资产的赋值不仅要考虑资产的经济价值，更重要的是要考虑资产的安全状况对于系统或组织的重要性，由资产在其三个安全属性上的达成程度打算。资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进展分析，并在此根底上得出综合结果的过程。达成程度可由安全属性缺失时造成的影响来表示，这种影响可能造成某些资产的损害以至危及信息系统，还可能导致经济效益、市场份额、组织形象的损失

4、。6.2.1. 机密性赋值依据资产在机密性上的不同要求，将其分为三个不同的等级， 分别对应资产在机密性上6.2.2. 完整性赋值依据资产在完整性上的不同要求，将其分为三个不同的等级， 分别对应资产在完整性上6.2.3. 可用性赋值依据资产在可用性上的不同要求，将其分为三个不同的等级， 分别对应资产在可用性上6.2.4. 资产重要性等级资产价值V机密性价值C完整性价值I可用性价值A资产等级：4.2 重要资产清单及说明在分析被评估系统的资产根底上，列出对评估单位格外重要的资产，作为风险评估的重点对象，并以清单形式列出如下：重要资产列表五、威逼识别与分析对威逼来源内部/外部；主观/不行抗力等、威逼方

5、式、发 生的可能性，威逼主体的力量水公平进展列表分析。下面是典型的威逼范本：5.1 威逼数据采集5.2 威逼描述与分析依据威逼赋值表，对资产进展威逼源和威逼行为分析。5.2.1 威逼源分析填写威逼源分析表。5.2.2 威逼行为分析填写威逼行为分析表。5.2.3 威逼能量分析5.3 威逼赋值威逼发生可能性等级比照表推断威逼消灭的频率是威逼识别的重要工作，评估者应依据阅历和或有关的统计数据来进展推断。在风险评估过程中， 还需要综合考虑以下三个方面，以形成在某种评估环境中各种威逼消灭的频率：1) 以往安全大事报告中消灭过的威逼及其频率的统计；2) 实际环境中通过检测工具以及各种日志觉察的威逼及其频率

6、的统计；3) 近一两年来国际组织公布的对于整个社会或特定行业的威逼及其频率统计，以及公布的威逼预警。六、脆弱性识别与分析依据检测对象、检测结果、脆弱性分析分别描述以下各方面的脆弱性检测结果和结果分析。6.1 常规脆弱性描述6.3 脆弱性综合列表威逼发生可能性等级比照表说明：推断威逼消灭的频率是威逼识别的重要工作，评估者应依据阅历和或有关的统计数据来进展推断。在风险评估过程中，还需要综合考虑以下三个方面，以形成在某种评估环境中各种威逼消灭的频率：1) 以往安全大事报告中消灭过的威逼及其频率的统计；2) 实际环境中通过检测工具以及各种日志觉察的威逼及其频率的统计；3) 近一两年来国际组织公布的对于

7、整个社会或特定行业的威逼及其频率统计，以及公布的威逼预警。七、风险分析7.1 关键资产的风险计算结果信息安全风险矩阵计算表说明：在完成了资产识别、威逼识别、弱点识别，以及对已有安全措施确认后，将承受适当的方法确定威逼利用弱点导致安全大事发生的可能性，考虑安全大事一旦发生其所作用的资产的重要性及弱点的严峻程度推断安全大事造成的损失对组织的影响，即安全风险。风险计算的方式如下，风险值弱点被利用可能性等级X 威逼利用弱点影响程度等级 X 资产价值信息安全风险承受准则7.2.4 风险结果分析八、综合分析与评价通过综合的评估，公司现有的风险评估的结果是适宜的、充分的、有效的。九、整改意见1. 加强各部门对风险处理技巧的培训。2. 对A 级风险公司的处理需对各部门进展公示。3. 对 A 级和 B 级风险实行适当的掌握措施，编写入公司的三级文件进展掌握。附件 1：治理措施表附件 2：技术措施表附件 3：资产类型与赋值表针对每一个系统或子系统，单独建表附件 4：威逼赋值表附件 5：脆弱性分析赋值表