信息系统风险评估报告格式

国家电子政务工程建设项目非涉密信息獭信息安全风险评估报告格式项目名称:_____________________________________项目建设单位:__________________________________风险评估单位:__________________________________年月曰目录

1.

1.

1.

1.

3.L

33、

3.

433、

44、

5.

55、

55.3威胁赋值

6.

6.L

6.

66、

6.

6.

2.

6.

2.

66、

7、风险等级统计

72.

77、

77、

一、风险评估项目概述工程项目概况

1.1建设项目基本信息工程项目名称非涉密信息系统工程项目批部分得建设内容复得建设内相应得信息安全容保护系统建设内容项目完成时间项目试运行时间

1.

1.2建设单位基本信息工程建设牵头部门部门名称工程责任人通信地址联系电话电子邮件工程建设参与部门部门名称工程责任人通信地址联系电话电子邮件如有多个参与部门，分别填写H

1.

1.3承建单位基本信息如有多个承建单位，分别填写下表企业名称企业性质就是国内企业/还就是国外企业法人代表通信地址联系电话电子邮件风险评估实施

1.2单位基本情况评估单位名称法人代表通信地址联系电话电子邮件

二、风险评估活动概述风险评估工作组织管理

2.1描述本次风险评估工作得组织体系（含评估人员构成）、工作原则与采取得保密措施风险评估工作过程

2.2工作阶段及具体工作内容、依据得技术标准及相关法规文件

2.

32.4保障与限制条件需要被评估单位提供得文档、工作条件与配合人员等必要条件，以及可能得限制条件

三、评估对象评估对象构成与定级

3.

13、

1.1网络结构文字描述网络构成情况、分区情况、主要功能等，提供网络拓扑图

3.

1.2业务应用文字描述评估对象所承载得业务,及其重要性

3.

1.3子系统构成及定级描述各子系统构成根据安全等级保护定级备案结果,填写各子系统得安全保护等级定级情况表各子系统得定级情况表其中业务信息安全等其中系统服务安全等序号子系统名称安全保护等级级级评估对象等级保护措施

3.2按照工程项目安全域划分与保护等级得定级情况，分别描述不同保护等级保护范围内得子系统各自所采取得安全保护措施,以及等级保护得测评结果根据需要，以下子目录按照子系统重复

3.

2.1XX子系统得等级保护措施根据等级测评结果,XX子系统得等级保护管理措施情况见附表一根据等级测评结果,XX子系统得等级保护技术措施情况见附表二

3.

2.2子系统N得等级保护措施、资产识别与分析U!资产类型与赋值

4.

14、L1资产类型按照评估对象得构成，分类描述评估对象得资产构成详细得资产分类与赋值，以附件形式附在评估报告后面,见附件3《资产类型与赋值表》资产赋值填写《资产赋值表》资产赋值表序号资产编号资产名称子系统资产重要性关键资产说明

4.2在分析被评估系统得资产基础上洌出对评估单位十分重要得资产，作为风险评估得重点对象，并以清单形式列出如下关键资产列表资产重要程度子系统名称应用其她说明资产编号权重

五、威胁识别与分析对威胁来源（内部/外部;主观/不可抗力等）、威胁方式、发生得可能性，威胁主体得能力水平等进行列表分析威胁数据采集

5.1威胁描述与分析

5.2依据《威胁赋值表》，对资产进行威胁源与威胁行为分析

5.

2.1威胁源分析填写《威胁源分析表》

5.

2.2威胁行为分析填写《威胁行为分析表》

5.

2.3威胁能量分析威胁赋值

5.3填写《威胁赋值表》

六、脆弱性识别与分析按照检测对象、检测结果、脆弱性分析分别描述以下各方面得脆弱性检测结果与结果分析常规脆弱性描述

6.

16.

1.1管理脆弱性

6.

1.2网络脆弱性

6.

1.3系统脆弱性

6.

1.4应用脆弱性

6.

1.5数据处理与存储脆弱性

6.

1.6运行维护脆弱性

6.

1.7灾备与应急响应脆弱性

6、

1.8物理脆弱性脆弱性专项检测

6.

26.

2.1木马病毒专项检查

6.

2.2渗透与攻击性专项测试

6.

2.3关键设备安全性专项测试

6.

2.4设备采购与维保服务专项检测

6、

2.5其她专项检测包括:电磁辐射、卫星通信、光缆通信等

6.

2.6安全保护效果综合验证脆弱性综合列表

6.3填写《脆弱性分析赋值表》

七、风险分析、关键资产得风险计算结果71填写《风险列表》风险列表资产编号资产风险值资产名称、关键资产得风险等级

727、

2.1风险等级列表填写《风险等级表》资产风险等级表资产编号资产风险值资产名称资产风险等级

7、

2.2风险等级统计资产风险等级统计表风险等级资产数量所占比例

7、

2.3基于脆弱性得风险排名基于脆弱性得风险排名表脆弱性风险值所占比例7\

2.4风险结果分析

八、综合分析与评价

九、整改意见附件管理措施表1:序号层面/方面安全控制/措施落实部分落实没有落实不适用。