信息安全风险评估报告

信息安全风险评估

报告

附件：

国家电子政务工程建设项目非涉密信息系统

信息安全风险评估报告格式

项目名称：

项目建设单位：

风险评估单位：

年月日

一、风险评估项目概述 ............................................... 错误!未定义书签。

1.1工程项目概况......................................................... 错误!未定义书签。

1.1.1 建设项目基本信息............................................ 错误!未定义书签。

1.1.2 建设单位基本信息............................................ 错误!未定义书签。

1.1.3承建单位基本信息 ........................................... 错误!未定义书签。

1.2风险评估实施单位基本情况 ................................. 错误!未定义书签。

二、风险评估活动概述 ............................................... 错误!未定义书签。

2.1风险评估工作组织管理 ......................................... 错误!未定义书签。

2.2风险评估工作过程................................................. 错误!未定义书签。

2.3依据的技术标准及相关法规文件 ......................... 错误!未定义书签。

2.4保障与限制条件..................................................... 错误!未定义书签。

三、评估对象 .............................................................. 错误!未定义书签。

3.1评估对象构成与定级 ............................................. 错误!未定义书签。

3.1.1 网络结构 ........................................................... 错误!未定义书签。

3.1.2 业务应用 ........................................................... 错误!未定义书签。

3.1.3 子系统构成及定级............................................ 错误!未定义书签。

3.2评估对象等级保护措施 ......................................... 错误!未定义书签。

3.2.1XX子系统的等级保护措施 .............................. 错误!未定义书签。

3.2.2子系统N的等级保护措施............................... 错误!未定义书签。

四、资产识别与分析 ................................................... 错误!未定义书签。

4.1资产类型与赋值..................................................... 错误!未定义书签。

4.1.1资产类型 ........................................................... 错误!未定义书签。

4.1.2资产赋值 ........................................................... 错误!未定义书签。

4.2关键资产说明......................................................... 错误!未定义书签。

五、威胁识别与分析 ................................................... 错误!未定义书签。

5.1威胁数据采集......................................................... 错误!未定义书签。

5.2威胁描述与分析..................................................... 错误!未定义书签。

5.2.1 威胁源分析 ....................................................... 错误!未定义书签。

5.2.2 威胁行为分析 ................................................... 错误!未定义书签。

5.2.3 威胁能量分析 ................................................... 错误!未定义书签。

5.3威胁赋值................................................................. 错误!未定义书签。

六、脆弱性识别与分析 ............................................... 错误!未定义书签。

6.1常规脆弱性描述..................................................... 错误!未定义书签。

6.1.1 管理脆弱性 ....................................................... 错误!未定义书签。

6.1.2 网络脆弱性 ....................................................... 错误!未定义书签。

6.1.3系统脆弱性 ....................................................... 错误!未定义书签。

6.1.4应用脆弱性 ....................................................... 错误!未定义书签。

6.1.5数据处理和存储脆弱性.................................... 错误!未定义书签。

6.1.6运行维护脆弱性 ............................................... 错误!未定义书签。

6.1.7灾备与应急响应脆弱性.................................... 错误!未定义书签。

6.1.8物理脆弱性 ....................................................... 错误!未定义书签。

6.2脆弱性专项检测 .................................................... 错误!未定义书签。

6.2.1木马病毒专项检查 ........................................... 错误!未定义书签。

6.2.2渗透与攻击性专项测试.................................... 错误!未定义书签。

6.2.3关键设备安全性专项测试................................ 错误!未定义书签。

6.2.4设备采购和维保服务专项检测........................ 错误!未定义书签。

6.2.5其它专项检测 ................................................... 错误!未定义书签。

6.2.6安全保护效果综合验证.................................... 错误!未定义书签。

6.3脆弱性综合列表..................................................... 错误!未定义书签。

七、风险分析 .............................................................. 错误!未定义书签。

7.1关键资产的风险计算结果 ..................................... 错误!未定义书签。

7.2关键资产的风险等级 ............................................. 错误!未定义书签。

7.2.1 风险等级列表 ................................................... 错误!未定义书签。

7.2.2 风险等级统计 ................................................... 错误!未定义书签。

7.2.3 基于脆弱性的风险排名.................................... 错误!未定义书签。

7.2.4 风险结果分析 ................................................... 错误!未定义书签。

八、综合分析与评价 ................................................... 错误!未定义书签。

九、整改意见 .............................................................. 错误!未定义书签。附件1：管理措施表.................................................... 错误!未定义书签。附件2：技术措施表.................................................... 错误!未定义书签。附件3：资产类型与赋值表......................................... 错误!未定义书签。

附件4：威胁赋值表.................................................... 错误!未定义书签。附件5：脆弱性分析赋值表......................................... 错误!未定义书签。

一、风险评估项目概述

1.1 工程项目概况

1.1.1 建设项目基本信息

1.1.2 建设单位基本信息工程建设牵头部门

工程建设参与部门

如有多个参与部门，分别填写上

1.1.3承建单位基本信息

如有多个承建单位，分别填写下表。

1.2 风险评估实施单位基本情况

二、风险评估活动概述

2.1 风险评估工作组织管理

描述本次风险评估工作的组织体系（含评估人员构成）、工作原则和采取的保密措施。

2.2 风险评估工作过程

工作阶段及具体工作内容.

2.3 依据的技术标准及相关法规文件

2.4 保障与限制条件

需要被评估单位提供的文档、工作条件和配合人员等必要条件，以及可能的限制条件。

三、评估对象

3.1 评估对象构成与定级

3.1.1 网络结构

文字描述网络构成情况、分区情况、主要功能等，提供网络拓扑图。

3.1.2 业务应用

文字描述评估对象所承载的业务，及其重要性。

3.1.3 子系统构成及定级

描述各子系统构成。根据安全等级保护定级备案结果，填写各子系统的安全保护等级定级情况表：

各子系统的定级情况表

3.2 评估对象等级保护措施

按照工程项目安全域划分和保护等级的定级情况，分别描述不同保护等级保护范围内的子系统各自所采取的安全保护措施，以及等级保护的测评结果。

根据需要，以下子目录按照子系统重复。

3.2.1XX子系统的等级保护措施

根据等级测评结果，XX子系统的等级保护管理措施情况见附表一。

根据等级测评结果，XX子系统的等级保护技术措施情况见附表二。

3.2.2子系统N的等级保护措施

四、资产识别与分析

4.1 资产类型与赋值

4.1.1资产类型

按照评估对象的构成，分类描述评估对象的资产构成。详细的资产分类与赋值，以附件形式附在评估报告后面，见附件3《资产类型与赋值表》。

4.1.2资产赋值

填写《资产赋值表》。

资产赋值表

4.2 关键资产说明

在分析被评估系统的资产基础上，列出对评估单位十分重要的资产，作为风险评估的重点对象，并以清单形式列出如下：

关键资产列表

五、威胁识别与分析

对威胁来源（内部/外部；主观/不可抗力等）、威胁方式、发生的可能性，威胁主体的能力水平等进行列表分析。

5.1 威胁数据采集

5.2 威胁描述与分析

依据《威胁赋值表》，对资产进行威胁源和威胁行为分析。

5.2.1 威胁源分析

填写《威胁源分析表》。

5.2.2 威胁行为分析

填写《威胁行为分析表》。

5.2.3 威胁能量分析

5.3 威胁赋值

填写《威胁赋值表》。

六、脆弱性识别与分析

按照检测对象、检测结果、脆弱性分析分别描述以下各方面的脆弱性检测结果和结果分析。

6.1 常规脆弱性描述

6.1.1 管理脆弱性

6.1.2 网络脆弱性

6.1.3系统脆弱性

6.1.4应用脆弱性

6.1.5数据处理和存储脆弱性

6.1.6运行维护脆弱性

6.1.7灾备与应急响应脆弱性

6.1.8物理脆弱性

6.2脆弱性专项检测

6.2.1木马病毒专项检查

6.2.2渗透与攻击性专项测试

6.2.3关键设备安全性专项测试

6.2.4设备采购和维保服务专项检测

6.2.5其它专项检测

包括：电磁辐射、卫星通信、光缆通信等。

6.2.6安全保护效果综合验证

6.3 脆弱性综合列表

填写《脆弱性分析赋值表》。

七、风险分析

7.1 关键资产的风险计算结果

填写《风险列表》

风险列表

7.2 关键资产的风险等级

7.2.1 风险等级列表

填写《风险等级表》

资产风险等级表

7.2.2 风险等级统计

资产风险等级统计表

7.2.3 基于脆弱性的风险排名

基于脆弱性的风险排名表

7.2.4 风险结果分析

八、综合分析与评价

九、整改意见

附件1：管理措施表

附件2：技术措施表

附件3：资产类型与赋值表

针对每一个系统或子系统，单独建表

附件4：威胁赋值表

风险评估实施方案

一、风险评估概述 1、风险服务的重要性对于构建一套良好的信息安全系统，需要对整个系统的安全风险有一个清晰的认识。只有清晰的了解了自身的弱点和风险的来源，才能够真正的解决和削弱它，并以此来构建有着对性的、合理有效的安全策略，而风险评估既是安全策略规划的第一步，同时也是实施其它安全策略的必要前提。近几年随着几次计算机蠕虫病毒的大规模肆虐攻击，很对用户的网络都遭受了不同程度的攻击，仔细分析就会发现，几乎所有的用户都部署了防病毒软件和类似的安全防护系统，越来越多的用户发现淡村的安全产品已经不能满足现在的安全防护体系的需求了。安全是整体的体系建设过程，根据安全的木桶原理，组织网络的整个安全最大强度取决于最短最脆弱的那根木头，因此说在安全建设的过程中，如果不仔细的找到最短的那根木头，而盲目的在外面加钉子，并不能改进整体强度。信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制，只有经过全面的风险评估，才能让客户对自身信息安全的状况做出准确的判断。 2、风险评估服务的目的及其意义信息安全风险是指人为或自然的威胁利用信息系统及其团里

体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。她要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组造成的影响。信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法，其结果为信息安全更显管理提供依据。 3、风险评估服务机制在信息系统生命周期里，有许多种情况必须对信息系统所涉及的人员、技术环境、物理环境进行风险评估： ●在设计规划或升级新的信息系统时； ●给当前的信息系统增加新应用时； ●在与其它组织（部门）进行网络互联时； ●在技术平台进行大规模更新（例如，从Linux系统移植到 Sliaris系统）时； ●在发生计算机安全事件之后，或怀疑可能会发生安全事件时； ●关心组织现有的信息安全措施是否充分或食后具有相应的安全效力时；

信息安全风险评估报告

1111单位:1111系统安全项目信息安全风险评估报告我们单位名日期

报告编写人: 日期：批准人：日期：版本号：第一版本日期第二版本日期终板

目录 1概述 (5) 1.1项目背景 (5) 1.2工作方法 (5) 1.3评估范围 (5) 1.4基本信息 (5) 2业务系统分析 (6) 2.1业务系统职能 (6) 2.2网络拓扑结构 (6) 2.3边界数据流向 (6) 3资产分析 (6) 3.1信息资产分析 (6) 3.1.1信息资产识别概述 (6) 3.1.2信息资产识别 (7) 4威胁分析 (7) 4.1威胁分析概述 (7) 4.2威胁分类 (8) 4.3威胁主体 (8) 4.4威胁识别 (9) 5脆弱性分析 (9) 5.1脆弱性分析概述 (9) 5.2技术脆弱性分析 (10) 5.2.1网络平台脆弱性分析 (10) 5.2.2操作系统脆弱性分析 (10) 5.2.3脆弱性扫描结果分析 (10) 5.2.3.1扫描资产列表 (10) 5.2.3.2高危漏洞分析 (11) 5.2.3.3系统帐户分析 (11) 5.2.3.4应用帐户分析 (11)

5.3管理脆弱性分析 (11) 5.4脆弱性识别 (13) 6风险分析 (14) 6.1风险分析概述 (14) 6.2资产风险分布 (14) 6.3资产风险列表 (14) 7系统安全加固建议 (15) 7.1管理类建议 (15) 7.2技术类建议 (15) 7.2.1安全措施 (15) 7.2.2网络平台 (16) 7.2.3操作系统 (16) 8制定及确认................................................................................................................. 错误!未定义书签。9附录A：脆弱性编号规则.. (17)

信息安全风险评估方法

从最开始接触风险评估理论到现在，已经有将近5个年头了，从最开始的膜拜捧为必杀技，然后是有一阵子怀疑甚至预弃之不用，到现在重拾之，尊之为做好安全的必备法宝，这么一段起起伏伏的心理历程。对风险的方法在一步步的加深，本文从风险评估工作最突出的问题：如何得到一致的、可比较的、可重复的风险评估结果，来加以分析讨论。 1. 风险评估的现状风险理论也逐渐被广大信息安全专业人士所熟知，以风险驱动的方法去管理信息安全已经被大部分人所共知和接受，这几年国内等级保护的如火如荼的开展，风险评估工作是水涨船高，加之国内信息安全咨询和服务厂商和机构不遗余力的推动，风险评估实践也在不断的深入。当前的风险评估的方法主要参照两个标准，一个是国际标准《ISO13335信息安全风险管理指南》和国内标准《GB/T 20984-2007信息安全风险评估规范》，其本质上就是以信息资产为对象的定性的风险评估。基本方法是识别并评价组织/企业内部所要关注的信息系统、数据、人员、服务等保护对象，在参照当前流行的国际国内标准如ISO2700 2,COBIT，信息系统等级保护，识别出这些保护对象面临的威胁以及自身所存在的能被威胁利用的弱点，最后从可能性和影响程度这两个方面来评价信息资产的风险，综合后得到企业所面临的信息安全风险。这是大多数组织在做风险评估时使用的方法。当然也有少数的组织/企业开始在资产风险评估的基础上，在实践中摸索和开发出类似与流程风险评估等方法，补充完善了资产风险评估。 2. 风险评估的突出问题信息安全领域的风险评估甚至风险管理的方法是借鉴了银行业成熟的风险管理方法，银行业业务风险管理的方法已经发展到相当成熟的地步，并且银行业也有非常丰富的基础数据支撑着风险分析方法的运用。但是，风险评估作为信息安全领域的新生事物，或者说舶来之物，尽管信息安全本身在国内开展也不过是10来年，风险评估作为先进思想也存在着类似“马列主义要与中国的实际国情结合走中国特色社会主义道路”的问题。风险评估的定量评估方法缺少必要的土壤，没有基础的、统计数据做支撑，定量风险评估寸步难移;而定性的风险评估其方法的本质是定性，所谓定性，则意味着估计、大概，不准确，其本质的缺陷给实践带来无穷的问题，重要问题之一就是投资回报问题，由于不能从财务的角度去评价一个/组风险所带来的可能损失，因此，也就没有办法得到投资回报率，尽管这是个问题，但是实践当中，一般大的企业都会有个基本的年度预算，IT/安全占企业年度预算的百分之多少，然后就是反正就这么些钱，按照风险从高到低或者再结合其他比如企业现有管理和技术水平，项目实施的难易度等情况综合考虑得到风险处理优先级，从高到低依次排序，钱到哪花完，风险处理今年就处理到哪。这方法到也比较具有实际价值，操作起来也容易，预算多的企业也不怕钱花不完，预算少的企业也有其对付办法，你领导就给这么些钱，哪些不能处理的风险反正我已经告诉你啦，要是万一出了事情你也怪不得我，没有出事情，等明年有钱了再接着处理。

信息安全风险评估报告DOC

XXXXX公司信息安全风险评估报告历史版本编制、审核、批准、发布实施、分发信息记录表

一. 风险项目综述 1.企业名称: XXXXX公司 2.企业概况：XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持与服

务的企业。 3.ISMS方针：预防为主，共筑信息安全；完善管理，赢得顾客信赖。 4.ISMS范围：计算机应用软件开发，网络安全产品设计/开发，系统集成及服务的信息安全管理。二. 风险评估目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平,进行本次风险评估。三. 风险评估日期： 2017-9-10至2017-9-15 四. 评估小组成员 XXXXXXX。五. 评估方法综述 1、首先由信息安全管理小组牵头组建风险评估小组； 2、通过咨询公司对风险评估小组进行相关培训； 3、根据我们的信息安全方针、范围制定信息安全风险管理程序，以这个程序作为我们风险评估的依据和方法； 4、各部门识别所有的业务流程，并根据这些业务流程进行资产识别，对识别的资产进行打分形成重要资产清单； 5、对每个重要资产进行威胁、脆弱性识别并打分，并以此得到资产的风险等级； 6、根据风险接受准则得出不可接受风险，并根据标准ISO27001:2013的附录A制定相关的风险控制措施； 7、对于可接受的剩余风险向公司领导汇报并得到批准。六. 风险评估概况根据第一阶段审核结果，修订了信息安全风险管理程序，根据新修订程序文件，再次进行了风险评估工作

从2017年9月10日开始进入风险评估阶段，到2017年9月15日止基本工作告一段落。主要工作过程如下： 1.2017-9-10 ~ 2017-9-10，风险评估培训； 2.2017-9-11 ~ 2017-9-11，公司评估小组制定《信息安全风险管理程序》，制定系统化的风险评估方法； 3.2017-9-12 ~ 2017-9-12，本公司各部门识别本部门信息资产，并对信息资产进行等级评定，其中资产分为物理资产、软件资产、数据资产、文档资产、无形资产，服务资产等共六大类； 4.2017-9-13 ~ 2017-9-13，本公司各部门编写风险评估表，识别信息资产的脆弱性和面临的威胁，评估潜在风险，并在ISMS工作组内审核； 5.2017-9-14 ~ 2017-9-14，本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表； 6. 2017-9-15 ~ 2017-9-15，各部门修订风险评估表，识别重大风险，制定控制措施；ISMS工作组组织审核，并最终汇总形成本报告。 . 七. 风险评估结果统计本次风险评估情况详见各部门“风险评估表”，其中共识别出资产190个，重要资产115个，信息安全风险115个，不可接受风险42个. 表1 资产面临的威胁和脆弱性汇总表

信息安全风险评估方案教程文件

信息安全风险评估方案

第一章网络安全现状与问题 1.1目前安全解决方案的盲目性现在有很多公司提供各种各样的网络安全解决方案，包括加密、身份认证、防病毒、防黑客等各个方面，每种解决方案都强调所论述方面面临威胁的严重性，自己在此方面的卓越性，但对于用户来说这些方面是否真正是自己的薄弱之处，会造成多大的损失，如何评估，投入多大可以满足要求，对应这些问题应该采取什麽措施，这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时，往往是头痛医头、脚痛医脚，面对层出不穷的安全问题，疲于奔命，再加上各种各样的安全产品与安全服务，使用户摸不着头脑，没有清晰的思路，其原因是由于没有一套完整的安全体系，不能从整体上有所把握。在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下，安全规划显然未跟上网络管理方式发展的趋势。第二章网络动态安全防范体系用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象，它们过分强调了某个方面的重要性，而忽略了安全构件（产品）之间的关系。因此在客户化的、可操作的安全策略基础上，需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面，涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。静态的安全产品不可能解决动态的安全问题，应该使之客户化、可定义、可管理。无论静态或动态（可管理）安全产品，简单的叠加并不是有效的防御措施，应该要求安全产品构件之间能够相互联动，以便实现安全资源的集中管理、统一审计、信息共享。目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点，因此即使是多层面的安全防御体系，如果是静态的，也无法抵御来自外部

信息安全风险评估方案

信息安全风险评估方案第一章网络安全现状与问题 1、1 目前安全解决方案的盲目性现在有很多公司提供各种各样的网络安全解决方案，包括加密、身份认证、防病毒、防黑客等各个方面，每种解决方案都强调所论述方面面临威胁的严重性，自己在此方面的卓越性，但对于用户来说这些方面是否真正是自己的薄弱之处，会造成多大的损失，如何评估，投入多大可以满足要求，对应这些问题应该采取什麽措施，这些用户真正关心的问题却很少有人提及。 1、2 网络安全规划上的滞后网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时，往往是头痛医头、脚痛医脚，面对层出不穷的安全问题，疲于奔命，再加上各种各样的安全产品与安全服务，使用户摸不着头脑，没有清晰的思路，其原因是由于没有一套完整的安全体系，不能从整体上有所把握。在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下，安全规划显然未跟上网络管理方式发展的趋势。第二章网络动态安全防范体系用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象，它们过分强调了某个方面的重要性，而忽略了安全构件（产品）之间的关系。因此在客户化的、可操作的安全策略基础上，需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面，涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、 DNS、 WWW、 MAIL 及其它应用系统。静态的安全产品不可能解决动态的安全问题，应该使之客户化、可定义、可管理。无论静态或动态（可管理）安全产品，简单的叠加并不是有效的防御措施，应该要求安全产品构件之间能够相互联动，以便实现安全资源的集中管理、统一审计、信息共享。

信息安全风险评估报告

附件：国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式项目名称：项目建设单位：风险评估单位：年月日

目录一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)

5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)

企业网络与信息安全风险评估规范

目录第一章总则 (3) 第二章风险评估原则 (5) 第三章风险评估模型 (5) 第四章风险评估策略 (9) 第五章风险评估过程框架 (11) 第六章风险评估手段 (15) 第七章文档要求 (16) 第八章项目管理 (17)

第一章总则第一条网络与信息安全风险评估是网络与信息安全管理的基础性工作，是实现网络与信息系统安全水平持续改进的重要手段。为了指导、规范和促进各单位开展网络与信息安全风险评估工作，加强网络与信息安全的全过程动态管理，进一步提高网络与信息安全保障水平,特制定本规范。第二条网络与信息安全风险评估是对企业现有的网络、信息系统、业务流程、安全策略等进行风险分析，并根据风险分析结论提出安全建议的过程。第三条通过对网络与信息系统（以下简称信息系统）进行安全评估，至少应该达到以下目标：（一）掌握信息系统的安全现状和面临的安全风险；（二）明确信息系统面对的主要风险以及这些风险产生的原因；（三）为信息系统的建设、运行、维护、使用和改进提供安全性建议。（四）改进与完善企业现有安全策略，实施有效的信息系统风险管理，加强重要信息系统的安全保障。第四条本规范适用于国家电网公司系统各单位，用于指导各单位信息安全评估项目的开展和实施。第五条名词解释

使命：一个组织通过信息化实现的工作任务。信息资产：在信息化建设过程中积累起来的信息系统、信息数据、生产或服务能力、人员能力和应得的信誉。价值：指信息资产对信息系统的重要程度，以及对信息系统为完成组织使命的重要程度。威胁：信息资产可能受到的来自内部和来自外部的安全侵害。脆弱性：信息资产及其防护措施在安全方面的不足，通常也称为漏洞。风险：是指人为或自然的威胁利用信息系统存在的脆弱性，从而导致信息安全事件发生的可能性及其影响。残余风险：采取了安全防护措施，提高了防护能力后，仍然可能存在的风险。安全措施：为对付威胁，减少脆弱点，保护资产，限制意外事件的影响，检测和响应意外事件，促进灾难恢复和打击信息犯罪而采取的各种实践、规程和机制统称为安全措施。安全防护需求：指为保证信息系统能够正常使用，在信息安全防护措施方面的要求。

信息安全风险评估需求方案完整版

信息安全风险评估需求方案 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】

信息安全风险评估需求方案一、项目背景多年来，天津市财政局（地方税务局）在加快信息化建设和信息系统开发应用的同时，高度重视信息安全工作，采取了很多防范措施，取得了较好的工作效果，但同新形势、新任务的要求相比，还存在有许多不相适应的地方。2009年，国家税务总局和市政府分别对我局信息系统安全情况进行了抽查，在充分肯定成绩的同时，也指出了我局在信息安全方面存在的问题。通过抽查所暴露的这些问题，给我们敲响了警钟，也对我局信息安全工作提出了新的更高的要求。因此，天津市财政局（地方税务局）在对现有信息安全资源进行整合、整改的同时，按照国家税务总局信息安全管理规定，结合本单位实际情况确定实施信息安全评估、安全加固、应急响应、安全咨询、安全事件通告、安全巡检、安全值守、安全培训、应急演练服务等工作内容（以下简称“安全风险评估”），形成安全规划、实施、检查、处置四位一体的长效机制。二、项目目标通过开展信息“安全风险评估”, 完善安全管理机制；通过安全服务的引入，进一步建立健全财税系统安全管理策略，实现安全风险的可知、可控和可管理；通过建立财税系统信息安全风险评估机制，实现财税系统信息安全风险的动态跟踪分析，为财税系统信息安全整体规划提供科学的决策依据，进一步加强财税内部网络的

整体安全防护能力，全面提升我局信息系统整体安全防范能力，极大提高财税系统网络与信息安全管理水平；通过深入挖掘网络与信息系统存在的脆弱点，并以业务系统为关键要素，对现有的信息安全管理制度和技术措施的有效性进行评估，不断增强系统的网络和信息系统抵御风险安全风险能力，促进我局安全管理水平的提高，增强信息安全风险管理意识，培养信息安全专业人才，为财税系统各项业务提供安全可靠的支撑平台。三、项目需求（一）服务要求 1基本要求 “安全风险评估服务”全过程要求有据可依，并在产品使用有据可查，并保持项目之后的持续改进。针对用户单位网络中的IT 设备及应用软件，需要有软件产品识别所有设备及其安全配置，或以其他方式收集、保存设备明细及安全配置，进行资产收集作为建立信息安全体系的基础。安全评估的过程及结果要求通过软件或其他形式进行展示。对于风险的处理包括：协助用户制定安全加固方案、在工程建设及日常运维中提供安全值守、咨询及支持服务，通过安全产品解决已知的安全风险。在日常安全管理方面提供安全支持服务，并根据国家及行业标准制定信息安全管理体系，针对安全管理员提供安全培训，遇有可能的安全事件发生时，提供应急的安全分析、紧急响应服务。

企业信息安全风险评估方案

知识域：信息安全风险评估 ?:?知识子域：风险评估流程和方法 ■掌握国家对开展风险评估工作的政策要求 ■理解风险评估、检查评估和等级保护测评之间的关系掌握风险评估的实施流程：风险评估准备、资产识别、威胁评估、脆弱性评估、已有安全措施确认、风险分析、风险评估文档记录 -理解走量风险分析和定性风险分析的区别及优缺点理解自评估和检查评估的区别及优缺点 ■掌握典型风险计算方法：年度损失值(ALE)、矩阵法、相乘法掌握风险评估工具：风险评估与管理工具、系统基础平台风险评估工具、风险评估辅助工具

1、《国家信息化领导小组关于加强信息安全保障工作的意见》仲办发[2003]27号）中明确提出 :”要重视信息安全风险评估工作”对网络与信息系统安全的潜在威胁.薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性.涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理〃

国家对开展风险评估工作的政 2、《国家网络与信息安全协调小组〈关于开展信息安全风险评估工作的意见〉》（国信办［2006 】5号文）中明确规定了风险评估工作的相关要求：风险评估的基本内容和原则开展风险评估工作的有关安排风险评估工作的基本要求 K信息安全风险评估工作应当贯穿信息系统全生命周期。在信息系统规划设计阶段，通过信息安全风险评估工作，可以明确信息系统的安全需求及其安全目标，有针对性地制定和部署安全措施”从而避免产生欠保护或过保护的情况。

2、在信息系统建设完成验收时，通过风险评估工作可以检验信息系统是否实现了所设计的安全功能, 是否满足了信息系统的安全需求并达到预期的安全目标。 3. 由于信息技术的发展.信息系统业务以及所处安全环境的变化，会不断出现新的信息安全风险，因此，在信息系统的运行阶段，应当定期逬行信息安全风险评估，以检验安全措施的有效性以及对安全环境的适应性。当安全形势发生重大变化或信息系统使命有重大变更时，应及时逬行信息安全风险评估。 4. 信息安全风险评估也是落实等级保护制度的重要手段，应通过信息安全风险评估为信息系统确定安全

信息安全风险评估方案

第一章网络安全现状与问题目前安全解决方案的盲目性现在有很多公司提供各种各样的网络安全解决方案，包括加密、身份认证、防病毒、防黑客等各个方面，每种解决方案都强调所论述方面面临威胁的严重性，自己在此方面的卓越性，但对于用户来说这些方面是否真正是自己的薄弱之处，会造成多大的损失，如何评估，投入多大可以满足要求，对应这些问题应该采取什麽措施，这些用户真正关心的问题却很少有人提及。网络安全规划上的滞后网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时，往往是头痛医头、脚痛医脚，面对层出不穷的安全问题，疲于奔命，再加上各种各样的安全产品与安全服务，使用户摸不着头脑，没有清晰的思路，其原因是由于没有一套完整的安全体系，不能从整体上有所把握。在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下，安全规划显然未跟上网络管理方式发展的趋势。第二章网络动态安全防范体系用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象，它们过分强调了某个方面的重要性，而忽略了安全构件（产品）之间的关系。因此在客户化的、可操作的安全策略基础上，需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面，涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。静态的安全产品不可能解决动态的安全问题，应该使之客户化、可定义、可管理。无论静态或动态（可管理）安全产品，简单的叠加并不是有效的防御措施，应该要求安全产品构件之间能够相互联动，以便实现安全资源的集中管理、统一审计、信息共享。目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点，因此即使是多层面的安全防御体系，如果是静态的，也无法抵御来自外部和内部的攻击，只有将众多的攻击手法进行搜集、归类、分析、消化、综合，将其体系化，才有可能使防御系统与之相匹配、相耦合，以自动适应攻击的变化，从而

信息安全风险评估报告

胜达集团信息安全评估报告 (管理信息系统) 胜达集团二零一六年一月

1目标胜达集团信息安全检查工作的主要目标是通过自评估工作，发现本局信息系统当前面临的主要安全问题，边检查边整改，确保信息网络和重要信息系统的安全。 2评估依据、范围和方法 2.1 评估依据根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》（信安通［2006］15号）、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》（办信息[2006]48号）以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。 2.2 评估范围本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等，管理信息系统中业务种类相对较多、网络和业务结构较为复杂，在检查工作中强调对基础信息系统和重点业务系统进行安全性评估，具体包括：基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。2.3 评估方法采用自评估方法。 3重要资产识别对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总，形成重要资产清单。资产清单见附表1。 4安全事件对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录，形成本单位的安全事件列表。安全事件列表见附表2。 5安全检查项目评估 5.1 规章制度与组织管理评估 5.1.1组织机构 5.1.1.1评估标准信息安全组织机构包括领导机构、工作机构。 5.1.1.2现状描述本局已成立了信息安全领导机构，但尚未成立信息安全工作机构。 5.1.1.3 评估结论

信息系统风险评估报告格式欧阳歌谷创编

国家电子政务工程建设项目非涉密信息系统欧阳歌谷（2021.02.01）信息安全风险评估报告格式项目名称：项目建设单位：风险评估单位：年月日目录一、风险评估项目概述1 1.1工程项目概况1 1.1.1 建设项目基本信息1 1.1.2 建设单位基本信息1 1.1.3承建单位基本信息2 1.2风险评估实施单位基本情况2 二、风险评估活动概述2 2.1风险评估工作组织管理2 2.2风险评估工作过程2 2.3依据的技术标准及相关法规文件2

2.4保障与限制条件3 三、评估对象3 3.1评估对象构成与定级3 3.1.1 网络结构3 3.1.2 业务应用3 3.1.3 子系统构成及定级3 3.2评估对象等级保护措施3 3.2.1XX子系统的等级保护措施3 3.2.2子系统N的等级保护措施3 四、资产识别与分析4 4.1资产类型与赋值4 4.1.1资产类型4 4.1.2资产赋值4 4.2关键资产说明4 五、威胁识别与分析4 5.1威胁数据采集5 5.2威胁描述与分析5 5.2.1 威胁源分析5 5.2.2 威胁行为分析5 5.2.3 威胁能量分析5 5.3威胁赋值5

六、脆弱性识别与分析5 6.1常规脆弱性描述5 6.1.1 管理脆弱性5 6.1.2 网络脆弱性5 6.1.3系统脆弱性5 6.1.4应用脆弱性5 6.1.5数据处理和存储脆弱性6 6.1.6运行维护脆弱性6 6.1.7灾备与应急响应脆弱性6 6.1.8物理脆弱性6 6.2脆弱性专项检测6 6.2.1木马病毒专项检查6 6.2.2渗透与攻击性专项测试6 6.2.3关键设备安全性专项测试6 6.2.4设备采购和维保服务专项检测6 6.2.5其他专项检测6 6.2.6安全保护效果综合验证6 6.3脆弱性综合列表6 七、风险分析6 7.1关键资产的风险计算结果6 7.2关键资产的风险等级7 7.2.1 风险等级列表7

信息安全风险评估项目流程-

信息安全风险评估项目流程一、项目启动会议 1.1、工作说明 ?项目经理与甲方召开项目启动会议，确定各自接口负责人。 ?要求甲方按合同范围提供《资产表》，确定扫描评估范围、人工评估范围和渗透测试范围。 ?请甲方给所有资产赋值（双方确认资产赋值） ?请甲方指定安全评估调查（访谈）人员 1.2、输出文档《项目启动会议记要》客户提交《信息资产表》、《网络拓扑图》，由项目小组暂时保管，以供项目实施使用 1.3、注意事项 ?资产数量正负不超过15%；给资产编排序号，以方便事后检查。 ?给人工评估资产做标记，以方便事后检查。 ?资产值是评估报告的重要数据。 ?销售跟客户沟通，为项目小组提供信息资产表及拓扑图，以

便项目小组分析制定项目计划使用。二、项目前期准备 2.1、工作说明 ?准备人工评估原始文档（调查表），扫描工具、渗透测试工具、保密协议和授权书 ?项目小组根据项目内容和范围制定项目实施计划。 2.2、输出文档《信息安全风险评估调查表》《项目保密协议》《漏洞扫描、渗透测试授权书》 2.3、注意事项 ?如无资产表和拓扑图需到现场调查后再制定项目实施计划和工作进度安排。 ?项目实施小组与客户约定进场时间。 ?保密协议和授权书均需双方负责人签字并加盖公章。 ?保密协议需项目双方参与人员签字

三、驻场实施会议 3.1、工作说明项目小组进场与甲方召开项目实施会议，确定评估对象和范围（主机、设备、应用、管理等）、实施周期（工作进度安排），双方各自提出自身要求，项目小组要求甲方提供办公场地、打印机、接入网络等项目必备环境。与甲方签订评估保密协议、授权书（漏洞扫描、人工评估、渗透测试等）。实施过程中需甲方人员陪同。 3.2、输出文档无 3.3、注意事项如前期未准备资产表与拓扑图，在此阶段项目小组进行调查（视情况是否另收费）。四、现场实施阶段 4.1、工作说明 ?按照工作计划和被评估对象安排实施进度。 ?主要工作内容漏洞扫描（主机、应用、数据库等）

信息安全风险评估方案学习资料

企业信息安全风险评估资料

【最新资料，WORD文档，可编辑修改】目录一、信息安全风险评估简介 .............................................................. 二、信息安全风险评估流程 .............................................................. 1.风险评估准备 ................................................................................... 2.资产识别............................................................................................ 3.威胁识别............................................................................................ 4.脆弱性识别........................................................................................ 5.风险分析............................................................................................ 三、信息安全风险评估策略方法 ...................................................... 1）定量分析方法 ................................................................................ 2）定性分析方法 ................................................................................ 3）综合分析方法 ................................................................................ 四、信息安全风险评估的注意事项 .................................................. 1、各级领导对评估工作的重视 ........................................................ 2、加强评估工作的组织和管理 ........................................................ 3、注意评估过程中的风险控制。 .................................................... 4、做好各方的协调配合工作。 ........................................................ 5、提供评估所必须的保障条件。 .................................................... 信息安全风险评估一、信息安全风险评估简介信息安全风险评估的概念涉及资产、威胁、脆弱性和风险4个主要因素。信息安全风险评估就是从管理的角度，运用科学的方法和手段，系统分析网络与信息系统所

信息安全风险评估项目流程

信息安全风险评估项目流程一、售前方案阶段 1.1、工作说明技术部配合项目销售经理（以下简称销售）根据客户需求制定项目解决方案，客户认可后，销售与客户签订合同协议，同时向技术部派发项目工单（项目实施使用） 1.2、输出文档《XXX项目XXX解决方案》输出文档（电子版、纸质版）交付销售助理保管，电子版抄送技术部助理。 1.3、注意事项 ?销售需派发内部工单（售前技术支持） ?输出文档均一式三份（下同）二、派发项目工单 2.1、工作说明销售谈下项目后向技术部派发项目工单，技术部成立项目小组，

指定项目实施经理和实施人员。三、项目启动会议 3.1、工作说明 ?销售和项目经理与甲方召开项目启动会议，确定各自接口负责人。 ?要求甲方按合同范围提供《资产表》，确定扫描评估范围、人工评估范围和渗透测试范围。 ?请甲方给所有资产赋值（双方确认资产赋值） ?请甲方指定安全评估调查（访谈）人员 3.2、输出文档《XXX项目启动会议记要》客户提交《信息资产表》、《网络拓扑图》，由项目小组暂时保管，以供项目实施使用 3.3、注意事项 ?资产数量正负不超过15%；给资产编排序号，以方便事后检查。 ?给人工评估资产做标记，以方便事后检查。 ?资产值是评估报告的重要数据。

?销售跟客户沟通，为项目小组提供信息资产表及拓扑图，以便项目小组分析制定项目计划使用。四、项目前期准备 4.1、工作说明 ?准备项目实施PPT，人工评估原始文档（对象评估文档），扫描工具、渗透测试工具、保密协议和授权书 ?项目小组与销售根据项目内容和范围制定项目实施计划。 4.2、输出文档《XXX项目实施PPT》《XXX项目人工访谈原始文档》《XXX项目保密协议》《XXX项目XXX授权书》 4.3、注意事项 ?如无资产表和拓扑图需到现场调查后再制定项目实施计划和工作进度安排。 ?项目实施小组与客户约定进场时间。 ?保密协议和授权书均需双方负责人签字并加盖公章。 ?保密协议需项目双方参与人员签字

信息安全风险评估报告格式

附件：信息安全风险评估报告格式项目名称：项目建设单位：风险评估单位：年月日

信息安全风险评估报告模板

XXXXXXXX信息系统信息安全风险评估报告模板项目名称：项目建设单位：风险评估单位： ****年**月**日