信息化建设风险评价报告格式

信息化建设风险评估报告格式信息化建设风险评估报告格式 项项 目目 名名 称：称： 项目建设单位：项目建设单位： 风险评估单位：风险评估单位： 年年月月日日 目录 一、风险评估项目概述一、风险评估项目概述 1 1 1.11.1 工程项目概况工程项目概况 1 1.1.1建设项目基本信息 . 1 1.1.2建设单位基本信息 . 1 1.1.3承建单位基本信息 2 1.21.2 风险评估实施单位基本情况风险评估实施单位基本情况 . 3 二、风险评估活动概述二、风险评估活动概述 3 3 2.12.1 风险评估工作组织管理风险评估工作组织管理. 3 2.22.2 风险评估工作过程风险评估工作过程 3 2.32.3 依据的技术标准及相关法规文件依据的技术标准及相关法规文件 3 2.42.4 保障与限制条件保障与限制条件 . 3 三、评估对象三、评估对象 . . 4 4 3.13.1 评估对象构成与定级评估对象构成与定级 4 3.1.1网络结构 4 3.1.2业务应用 4 3.1.3子系统构成及定级 . 4 3.23.2 评估对象等级保护措施评估对象等级保护措施. 4 3.2.1XX子系统的等级保护措施 5 3.2.2子系统N的等级保护措施 5 四、资产识别与分析四、资产识别与分析. . 5 5 4.14.1 资产类型与赋值资产类型与赋值 . 5 4.1.1资产类型. 5 4.1.2资产赋值. 5 4.24.2 关键资产说明关键资产说明 5 五、威胁识别与分析五、威胁识别与分析. . 6 6 5.15.1 威胁数据采集威胁数据采集 6 5.25.2 威胁描述与分析威胁描述与分析 . 6 5.2.1威胁源分析. 6 5.2.2威胁行为分析 6 5.2.3威胁能量分析 6 5.35.3 威胁赋值威胁赋值 . 6 六、脆弱性识别与分析六、脆弱性识别与分析 7 7 6.16.1 常规脆弱性描述常规脆弱性描述 . 7 6.1.1管理脆弱性. 7 6.1.2网络脆弱性. 7 6.1.3系统脆弱性 7 6.1.4应用脆弱性 7 6.1.5数据处理和存储脆弱性 8 6.1.6运行维护脆弱性 . 8 6.1.7灾备与应急响应脆弱性 8 6.1.8物理脆弱性 8 6.26.2 脆弱性专项检测脆弱性专项检测 8 6.2.1木马病毒专项检查 8 6.2.2渗透与攻击性专项测试 8 6.2.3关键设备安全性专项测试 8 6.2.4设备采购和维保服务专项检测 8 6.2.5其他专项检测 . 8 6.2.6安全保护效果综合验证 8 6.36.3 脆弱性综合列表脆弱性综合列表 . 8 七、风险分析七、风险分析 . . 8 8 7.17.1 关键资产的风险计算结果关键资产的风险计算结果 8 7.27.2 关键资产的风险等级关键资产的风险等级 9 7.2.1风险等级列表 9 7.2.2风险等级统计 9 7.2.3基于脆弱性的风险排名 . 9 7.2.4风险结果分析 9 八、综合分析与评价八、综合分析与评价. . 1 10 0 九、整改意见九、整改意见 . . 1 10 0 附件附件 1 1：管理措施表：管理措施表 11 11 附件附件 2 2：技术措施表：技术措施表 1 13 3 附件附件 3 3：资产类型与赋值表：资产类型与赋值表. . 1 15 5 附件附件 4 4：威胁赋值表：威胁赋值表 1 15 5 附件附件 5 5：脆弱性分析赋值表：脆弱性分析赋值表. . 1 16 6 一、风险评估项目概述一、风险评估项目概述 1.11.1 工程项目概况工程项目概况 1.1.11.1.1 建设项目基本信息建设项目基本信息 工程项目名称工程项目名称 非涉密信息系非涉密信息系 统部分的建设统部分的建设 工程项目工程项目 内容内容 批复的建批复的建 相应的信息安相应的信息安 设内容设内容 全保护系统建全保护系统建 设内容设内容 项目完成时间项目完成时间 项目试运行时间项目试运行时间 1.1.21.1.2 建设单位基本信息建设单位基本信息 工程建设牵头部门 部门名称部门名称 工程责任人工程责任人 通信地址通信地址 1 联系电话联系电话 电子邮件电子邮件 工程建设参与部门 部门名称部门名称 工程责任人工程责任人 通信地址通信地址 联系电话联系电话 电子邮件电子邮件 如有多个参与部门，分别填写上 1.1.31.1.3 承建单位基本信息承建单位基本信息 如有多个承建单位，分别填写下表。 企业名称企业名称 企业性质企业性质是国内企业/还是国外企业 法人代表法人代表 通信地址通信地址 联系电话联系电话 电子邮件电子邮件 2 1.21.2 风险评估实施单位基本情况风险评估实施单位基本情况 评估单位名称评估单位名称 法人代表法人代表 通信地址通信地址 联系电话联系电话 电子邮件电子邮件 二、风险评估活动概述二、风险评估活动概述 2.12.1 风险评估工作组织管理风险评估工作组织管理 描述本次风险评估工作的组织体系（含评估人员构成）、工作原则和采取的 保密措施。 2.22.2 风险评估工作过程风险评估工作过程 工作阶段及具体工作内容. 2.32.3 依据的技术标准及相关法规文件依据的技术标准及相关法规文件 2.42.4 保障与限制条件保障与限制条件 需要被评估单位提供的文档、工作条件和配合人员等必要条件，以及可能的 3 限制条件。 三、评估对象三、评估对象 3.13.1 评估对象构成与定级评估对象构成与定级 3.1.13.1.1 网络结构网络结构 文字描述网络构成情况、分区情况、主要功能等，提供网络拓扑图。 3.1.23.1.2 业务应用业务应用 文字描述评估对象所承载的业务，及其重要性。 3.1.33.1.3 子系统构成及定级子系统构成及定级 描述各子系统构成。根据安全等级保护定级备案结果，填写各子系统的安全 保护等级定级情况表： 各子系统的定级情况表各子系统的定级情况表 序号序号子系统名称子系统名称安全保护等级安全保护等级 其中业务信息安全其中业务信息安全 等级等级 其中系统服务安全其中系统服务安全 等级等级 3.23.2 评估对象等级保护措施评估对象等级保护措施 按照工程项目安全域划分和保护等级的定级情况， 分别描述不同保护等级保 护范围内的子系统各自所采取的安全保护措施，以及等级保护的测评结果。 根据需要，以下子目录按照子系统重复。 4 3.2.13.2.1XXXX 子系统的等级保护措施子系统的等级保护措施 根据等级测评结果，XX 子系统的等级保护管理措施情况见附表一。 根据等级测评结果，XX 子系统的等级保护技术措施情况见附表二。 3.2.23.2.2子系统子系统 N N 的等级保护措施的等级保护措施 四、资产识别与分析四、资产识别与分析 4.14.1 资产类型与赋值资产类型与赋值 4.1.14.1.1 资产类型资产类型 按照评估对象的构成， 分类描述评估对象的资产构成。详细的资产分类与赋 值，以附件形式附在评估报告后面，见附件 3《资产类型与赋值表》。 4.1.24.1.2 资产赋值资产赋值 填写《资产赋值表》。 资产赋值表资产赋值表 序号序号资产编号资产编号资产名称资产名称子系统子系统资产重要性资产重要性 4.24.2 关键资产说明关键资产说明 在分析被