信息安全风险评估报告7684.pdf

信息安全风险评估报告

TPMKstandardizationoffice【TPMK5AB-TPMK08-TPMK2C-TPMK18】

附件：

国家电子政务工程建设项目非涉密信息系统

信息安全风险评估报告格式

项目名称：

项目建设单位：

风险评估单位：

年月日

目录

一、风险评估项目概述1

1.1工程项目概况1

1.1.1建设项目基本信息1

1.1.2建设单位基本信息1

1.1.3承建单位基本信息2

1.2风险评估实施单位基本情况2

二、风险评估活动概述2

2.1风险评估工作组织管理2

2.2风险评估工作过程2

2.3依据的技术标准及相关法规文件2

2.4保障与限制条件3

三、评估对象3

3.1评估对象构成与定级3

3.1.1网络结构3

3.1.2业务应用3

3.1.3子系统构成及定级3

3.2评估对象等级保护措施3

3.2.1XX子系统的等级保护措施3

3.2.2子系统N的等级保护措施3

四、资产识别与分析4

4.1资产类型与赋值4

4.1.1资产类型4

4.1.2资产赋值4

4.2关键资产说明4

五、威胁识别与分析4

5.1威胁数据采集5

5.2威胁描述与分析5

5.2.1威胁源分析5

5.2.2威胁行为分析5

5.2.3威胁能量分析5

5.3威胁赋值5

六、脆弱性识别与分析5

6.1常规脆弱性描述5

6.1.1管理脆弱性5

6.1.2网络脆弱性5

5

5

6

6

6

6

6.2脆弱性专项检测6

6

6

6

6

6

6

6.3脆弱性综合列表6

七、风险分析6

7.1关键资产的风险计算结果6

7.2关键资产的风险等级7

7.2.1风险等级列表7

7.2.2风险等级统计7

7.2.3基于脆弱性的风险排名7

7.2.4风险结果分析7

八、综合分析与评价7

九、整改意见7

附件1：管理措施表8

附件2：技术措施表9

附件3：资产类型与赋值表11

附件4：威胁赋值表11

附件5：脆弱性分析赋值表12

一、风险评估项目概述

1.1工程项目概况

1.1.1建设项目基本信息

工程项目名称

非涉密信息

系统部分的

工程项

建设内容

目批复

的建设

相应的信息

内容

安全保护系

统建设内容

项目完成时间

项目试运行时间

1.1.2建设单位基本信息

工程建设牵头部门

部门名称

工程责任人

通信地址

联系电话

电子邮件

工程建设参与部门

部门名称

工程责任人

通信地址

联系电话

电子邮件

如有多个参与部门，分别填写上

1.1.3承建单位基本信息

如有多个承建单位，分别填写下表。

企业名

称

企业性