案例分享信息安全风险评估报告模板

1、案例分享信息安全风险评估报告模板-案例分享-信息安全风险评估报告(模板) 作者：日期： 安全风险评估报告 系统名称：xxxxxxxxxxx送检单位：xxxxxxxxxxxxxxxxxxxx合同编号：评估时间：2011年10月10日2011年10月25日 目录 报告声明 (3)委托方信息 (4)受托方信息 (4)风险评估报告单 (5)1.风险评估项目概述 (7)1.1.建设项目基本信息 (7)1.2.风险评估实施单位基本情况 (7)1.3.风险评估活动概述 (7)1.3.1.风险评估工作组织过程71.3.2.风险评估技术路线91.3.3.依据的技术标准及相关法规文件92.评估对象构成 (11)2

2、.1.评估对象描述 (11)2.2.网络拓扑结构 (11)2.3.网络边界描述 (12)2.4.业务应用描述 (12)2.5.子系统构成及定级 (13)3.资产调查 (14)3.1.资产赋值 (14)3.2.关键资产说明 (17)4.威胁识别与分析 (21)4.1.关键资产安全需求 (21) 4.3.威胁描述汇总 (43) 4.4.威胁赋值 (56)5.脆弱性识别与分析 (58)5.1.常规脆弱性描述 (58)5.1.1.管理脆弱性585.1.2.网络脆弱性585.1.3.系统脆弱性585.1.4.应用脆弱性595.1.5.数据处理和存储脆弱性595.1.6.灾备与应急响应脆弱性595.1.7

3、.物理脆弱性605.2.脆弱性专项检查 (60)5.2.1.木马病毒专项检查605.2.2.服务器漏洞扫描专项检测605.2.3.安全设备漏洞扫描专项检测735.3.脆弱性综合列表 (75)6.风险分析 (82) 6.2.关键资产的风险等级 (86) 6.2.1.风险等级列表866.2.2.风险等级统计876.2.3.基于脆弱性的风险排名876.2.4.风险结果分析897.综合分析与评价 (91)7.1.综合风险评价 (91)7.2.风险控制角度需要解决的问题 (92)8.整改意见 (93)9.注意事项 (94) 1.威胁识别与分析1.1.关键资产安全需求 资产类别重要资产名称重要性程度（重要

4、等级）资产重要性说明安全需求光纤交换机brocade 300非常重要（5）保证xxxx系统数据正常传输到磁盘阵列的设备。可用性-系统可用性是必需的，价值非常高；保证各项系统数据正常传输到磁盘阵列。完整性-完整性价值非常关键，除管理员外其他任何用户不能修改数据。保密性-包含组织的重要秘密，泄露将会造成严重损害。完整性-完整性价值非常关键，除管理员外其他任何用户不能修改数据。保密性-包含组织的重要秘密，泄露将会造成严重损害。保密性-包含组织的重要秘密，泄露将会造成严重损害。 资产类别重要资产名称（重要等 级）资产重要性说明安全需求保密性-包含组织的重要秘密，泄露将会造成严重损害。保密性-包含组织的

5、重要秘密，泄露将会造成严重损害。存储设备磁盘阵列hp eva4400非常重要（5）xxxx系统数据存储设备。可用性-系统可用性是必需的，价值非常高；保证xxxx系统数据存储功能持续正常运行。完整性-完整性价值非常关键，除管理员外其他任何用户不能修改数据。保密性-包含组织的重要秘密，泄露将会造成严重损害。保障设备ups电源santak3c3 ex 30ks重要（4）机房电力保障的重要设备。可用性-系统可用性价值较高；保证xxxx系统供电工作正常。完整性-完整性价值较高；除授权人员外其他任何用户不能修改数据。 资产类别重要资产名称（重要等 级）资产重要性说明安全需求保密性-包含组织内部可公开的信息

6、，泄露将会造成轻微损害。完整性-完整性价值较高，除授权人员外其他任何用户不能修改数据。保密性-包含组织的重要秘密，泄露将会造成严重损害。金农一期业务系统4（高）部署在应用服务器上。可用性-系统可用性价值较高；保证xxxx数据正常采集。完整性-完整性价值较高，除授权人员外其他任何用户不能修改数据。保密性-包含组织的重要秘密，泄露将会造成严重损害。备份管理软件symantecbackup重要（4）xxxx系统数据备份管理软件。可用性-系统可用性价值较高；保证xxxx系统数据备份管理功能正常运行。 资产类别重要资产名称（重要等 级）资产重要性说明安全需求完整性-完整性价值较高，除授权人员外其他任何用户不能修改数据。保密性-包含组织的重要秘密，泄露将会造成严重损害。内容管理软件wcm-mul-v60网站群版重要（4）用户数据采编。可用性-系统可用性价值较高；保证xxxx系统数据的采编。完整性-完整性价值较高，除授权人员外其他任何用户不能修改数据。保密性-包含组织的重要秘密，泄露将会造成严重损害。数据xxxx系统数