返回
某信息系统安全风险分析和评估报告书模板(公开)

某信息系统安全风险分析和评估报告书模板(公开)

ID:25812009

大小:330.50 KB

页数:22页

时间:2018-11-22

某信息系统安全风险分析和评估报告书模板(公开)_第1页
某信息系统安全风险分析和评估报告书模板(公开)_第2页
某信息系统安全风险分析和评估报告书模板(公开)_第3页
某信息系统安全风险分析和评估报告书模板(公开)_第4页
某信息系统安全风险分析和评估报告书模板(公开)_第5页
资源描述:

《某信息系统安全风险分析和评估报告书模板(公开)》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、WORD格式可编辑说明文字:大致内容如此,根据具体情况增删专业知识整理分享WORD格式可编辑XXXX信息系统安全风险评估报告二〇一五年七月专业知识整理分享WORD格式可编辑目录1评估工作概述31.1评估目标31.2评估组织31.3评估对象31.3.1业务职能与组织结构31.3.2系统定级61.3.3物理环境61.3.4网络结构91.3.5安全保密措施121.3.6重要XX部门、部位132评估依据和标准133评估方案144资产识别154.1资产重要性等级定义154.2资产分类164.2.1服务器情况列表164.2.2交换机情况列表194.2.3用户终端和XX单机194.2.4特种设备

2、204.2.5软件平台204.2.6安全保密设备204.2.7应用系统情况列表284.2.8试运行应用系统情况列表295威胁识别305.1威胁分类305.2威胁赋值316脆弱性识别336.1脆弱性识别内容336.2脆弱性赋值336.3脆弱性专向检测346.3.1病毒木马专项检查346.3.2网络扫描专项测试347风险分析448风险统计489评估结论4810整改建议48专业知识整理分享WORD格式可编辑1评估工作概述2015年7月7-9日,由XX部门组织相关人员对XX信息系统进行了安全风险评估。本报告的评估结论仅针对xx厂XX信息系统本次安全风险评估时的状况。1.1评估目标本次评估工

3、作依据有关信息安全技术与管理标准,对xx厂XX信息系统及由其处理、传输和存储的信息的安全属性进行评估,分析该XX信息系统内的服务器、网络设备、用户终端及支撑平台等资产在日常运行、管理过程中面临的威胁、存在的脆弱性以及由此带来的安全风险,为将安全风险控制在可接受的水平,最大限度地保障该XX信息系统的信息安全保密提供指导依据。1.2评估组织本次风险评估由XX信息系统管理领导小组负责组织。由xx部门现场开展本次评估工作,XX业务部门相关人员进行配合。1.3评估对象1.3.1业务职能与组织结构Xx1.3.2系统定级Xx厂XX信息系统经xx批准同意,按照所处理XX信息的最高密级定为机密级,采

4、用增强保护要求进行保护。专业知识整理分享WORD格式可编辑1.3.3物理环境XX1.3.4网络结构图1、组织机构图图2周边物理环境图3、网络拓扑结构图1.3.5安全保密措施XX厂XX信息系统配备了防火墙、网络入侵检测系统、漏洞扫描系统、主机监控与审计系统、XX计算机及移动存储介质保密管理系统(“三合一”系统)、中孚信息消除工具、打印安全监控与审计系统、安全邮件、网间文件交换系统、防计算机病毒软件、线路传导干扰器、一级电磁干扰器、红黑电源滤波隔离插座等安全保密产品。身份鉴别口令认证,复杂度,密码长度等符合要求否?XX便携式计算机、XX单机和XX数据中转单机采用用户名与口令相结合的方式

5、进行身份鉴别。1.3.6重要XX部门、部位XX厂XX信息系统保密要害部门为2个,保密要害部位为5个,具体情况如下表所示。序号名称位置所属部门部位性质防护措施监控门控红外报警专业知识整理分享WORD格式可编辑1评估依据和标准Ø《武器装备科研生产单位三级保密资格评分标准》2评估方案本次风险评估采用文档审阅、人员问询、脆弱性扫描和现场查验等风险评估方法。(1)文档审阅:了解XX信息系统的基本情况、2015年上半年发生的变化,问题项的整改情况,确定后续查验的重点。审阅的文档材料主要包括:安全审计报告与审计报告、例行检查记录、工作和审批记录。(2)人员问询:对XX信息系统管理人员和部分用户(

6、包括行政管理人员和技术人员)进行了问询,评估XX信息系统的管理者和使用者对自身保密职责的知悉情况,以及理解相关制度和标准并落实到日常工作中的情况。(3)脆弱性扫描:通过使用中科网威网络漏洞扫描系统对XX厂XX信息系统进行脆弱性扫描,收集服务器、用户终端、网络设备和数据库的安全漏洞。(4)现场查验:评估规章制度的建设和执行情况;评估部分专业知识整理分享WORD格式可编辑服务器、用户终端、网络设备、应用系统和安全保密设备的安全保密防护情况;评估系统的物理安全和电磁泄漏发射防护情况。1资产识别资产是对组织具有价值的信息或资源。机密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产

7、的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此,必须对XX厂XX信息系统内的资产进行识别。4.1资产重要性等级定义资产的重要性等级依据资产在保密性、完整性和可用性上的赋值等级综合评定后得出。本次评估将XX厂XX信息系统内的资产划分为五级,级别越高表示资产越重

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。