信息安全风险评价表汇总

信息安全风险评估表 表 1： 基本信息调查 1.单位基本情况 单位名称单位地址 （公章） 联系人联系电话 Email填表时间 信息安全主管领导（签字）职务 检查工作负责人（签字）职务 1 信息安全风险评估表 2.硬件资产情况 2.1. 网络设备情况 网络设备名称型号物理位置所 属 网 络 区域 IP 地址/掩码/网关系统软件 及版本 端 口 类 型 及数量 主要用途是否热备重要程度 2.2. 安全设备情况 安全设备名称型号 (软件 / 硬件) 物 理 位所属网络 置区域 IP 地址/掩码/网 关 系 统 及 运 行 平台 端口类型及 数量 主要用途是否热备重 要 程 度 - - 2 2 - - 信息安全风险评估表 2.3. 服务器设备情况 设备名称型号物理位置所 属 网 络 区域 IP 地址/掩码/网关操 作 系 统 版本/补丁 安装应用系统软 件名称 主 要 业 务应 用 涉及数据是否热备 终端设备名称型号物理位置所属网络 区域 设备数量IP 地址/掩码/网关操作系统安装应用系统软 件名称 2.4. 终端设备情况 涉及数据主要用途 填写说明 网络设备：路由器、网关、交换机等。 安全设备：防火墙、入侵检测系统、身份鉴别等。 服务器设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等。 终端设备：办公计算机、移动存储设备。 重要程度：依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。 - - 3 3 - - 信息安全风险评估表 3.软件资产情况 3.1. 系统软件情况 系统软件名称版本软件厂商硬件平台涉及应用系统 3.2. 应用软件情况 应用系统软件名称开发商硬件/软件平台C/S 或 B/S 模式 填写说明 系统软件：操作系统、系统服务、中间件、数据库管理系统、开发系统等。 应用软件：项目管理软件、网管软件、办公软件等。 涉及数据现有用户数量主要用户角色 - - 4 4 - - 信息安全风险评估表 4.服务资产情况 4.1.本年度信息安全服务情况 服务类型服务方单位名称服务内容服务方式(现场、非现场) 填写说明 服务类型包括： 1.网络服务；2.安全工程；3.灾难恢复；4.安全运维服务；5.安全应急响应；6.安全培训；7.安全咨询；8.安全风险评估；9.安全审计； 10.安全研发。 5.人员资产情况 .1、信息系统人员情况 岗位名称岗位描述人数兼任人数 填写说明 岗位名称： 1、数据录入员；2、软件开发员；3、桌面管理员；4、系统管理员； 5、安全管理员；6、数据库管理员；7、网络管理员； 8、质量管理员。 - - 5 5 - - 信息安全风险评估表 6.文档资产情况 6.1.信息系统安全文档列表 文档类别文档名称 填写说明 信息系统文档类别：信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档；系统开发程序文件、资料等。 - - 6 6 - - 信息安全风险评估表 7.信息系统情况 7.1、系统网络拓扑图 网络结构图要求： 1、应该标识出网络设备、服务器设备和主要终端设备及其名称； 2、应该标识出服务器设备的IP 地址； 3、应该标识网络区域划分等情况； 4、应该标识网络与外部的连接等情况； 5、应该能够对照网络结构图说明所有业务流程和系统组成。 如果一张图无法表示，可以将核心部分和接入部分分别画出，或以多张图表示。 - - 7 7 - - 信息安全风险评估表 7.2、信息系统承载业务情况 信息系统名称业务描述 填写说明: 1、用户分布范围栏填写全国、全省、本地区、本单位 2、业务处理信息类别一栏填写：a) 国家秘密信息；b) 非密敏感信息 (机构或公民的专有信息) ；c) 可公开信息 3、重要程度栏填写非常重要、重要、一般 4、如通过测评，请填写时间和测评机构名称。 业务处理信息 类别 用户数量用户分布范围重要程度是否通过第三方安全 测评 7.3、信息系统网络结构情况 网络区域名称主要业务和信息描述IP 网段地址服务器与其连接的其它网 络 区 域边重要程度责任部门 数量网络区域界设备 填写说明： 1、网络区域主要包括： 服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等； 2、重要程度填写非常重要、重要、一般。 7.4、外联线路及设备端口(网络边界)情况 外联线路名称 (边界名称) 所属网络区域连接对象接入线路种类传输速率(带宽)线路接入设备承载主要业务应用备注 - - 8 8 - - 信息安全风险评估表 7.5、业务数据情况 数据名称数据使用者或管理数据安全性要求 者及其访问权限保密 注:数据安全性要求每项填写高、中、底 完整可用 数据总量及日增 量 涉及业务应用涉及存储系统与 处理设备 7.6、数据备份情况 备份数据名 安全事件类别 介质类型 特 别 重 大 事 件次数 备份周期 重大事件次数 保存期 较大事件次数 是否异地保存过期处理方法所属备份系统 承载主要业务应用 备注 备注 7.7、一年来信息安全事件情况 一般事件次数线路接入设备 有害程序安全事件 网络攻击事件 信息破坏事件 信息内容安全事件 设备设施故障 灾害性事件 其它事件 注：安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》 - - 9 9 - - 信息安全风险评估表 - - 1010 - - 信息安全风险评估表 表 2： 安全状况调查 1. 1. 安全管理机构安全管理机构 安全组织体系是否健全， 管理职责是否明确， 安全管理机构岗位 设置、人员配备是否充分合理。 序号 1. 检查项 信息安全管理 机构设置 结果 □ 以下发公文方式正式设置了信息安全管理工作的 专门职能机构。 □ 设立了信息安全管理工作的职能机构， 但还不是专 门的职能机构。 □ 其它。 信息安全管理□ 信息安全管理的各个方面职责有正式的书面分工， 职责分工情况并明确具体的责任人。 □ 有明确的职责分工，但责任人不明确。 □ 其它。 人员配备□ 配备一定数量的系统管理人员、 网络管理人员、 安 全管理人员等;安全管理人员不能兼任网络管理员、 系统管理员、数据库管理员等。 □ 配备一定数量的系统管理人员、 网络管理人员、 安 全管理人员等，但安全管理人员兼任网络管理员、系 统管理员、数据库管理员等。 □ 其它。 关键安全管理□ 定义关键安全管理活动的列表， 并有正式成文的审 活动的授权和批程序，审批活动有完整的记录。 审批 □ 有正式成文的审批程序， 但审批活动没有完整的记 录。 与外部组织沟 通合作 □ 其它。 □ 与外部组织建立沟通合作机制， 并形成正式文件和 程序。 □ 与外部组织仅进行了沟通合作的口头承诺。 □ 其它。 □ 各部门之间建立沟通合作机制， 并形成正式文件和 程序 。 □ 各部门之间的沟通合作基于惯例， 未形成正式文件 和程序。 □ 其它。 备注 2. 3. 4. 5. 6.与组织机构内 部沟通合作 - - 1111 - - 信息安全风险评估表 2. 2. 安全管理制度安全管理制度 安全策略及管理规章制度的完善性、 可行性和科学性的有关规章 制度的制定、发布、修订及执行情况。 1 检查项结果 信息安全策略□ 明确