信息系统 信息安全风险评估报告格式》 目 录

一、风险评估项目概述

1.1 工程项目概况

1.1.1 建设项目基本信息

1.1.2 建设单位基本信息

1.1.3承建单位基本信息

1.2 风险评估实施单位基本情况

二、风险评估活动概述

2.1 风险评估工作组织管理

2.2 风险评估工作过程

2.3 依据的技术标准及相关法规文件

2.4 保障与限制条件

三、评估对象

3.1 评估对象构成与定级

3.1.1 网络结构

3.1.2 业务应用

3.1.3 子系统构成及定级

3.2 评估对象等级保护措施

3.2.1 XX子系统的等级保护措施

3.2.2 子系统N的等级保护措施

四、资产识别与分析

4.1 资产类型与赋值

4.1.1资产类型

4.1.2资产赋值

4.2 关键资产说明

五、威胁识别与分析

5.1 威胁数据采集

5.2 威胁描述与分析

5.2.1 威胁源分析

5.2.2 威胁行为分析

5.2.3 威胁能量分析

5.3 威胁赋值

六、脆弱性识别与分析

6.1 常规脆弱性描述

6.1.1 管理脆弱性

6.1.2 网络脆弱性

6.1.3系统脆弱性

6.1.4应用脆弱性

6.1.5数据处理和存储脆弱性

6.1.6运行维护脆弱性

6.1.7灾备与应急响应脆弱性

6.1.8物理脆弱性

6.2脆弱性专项检测

6.2.1木马病毒专项检查

6.2.2渗透与攻击性专项测试

6.2.3关键设备安全性专项测试

6.2.4设备采购和维保服务专项检测

6.2.5其他专项检测

6.2.6安全保护效果综合验证

6.3 脆弱性综合列表

七、风险分析

7.1 关键资产的风险计算结果

7.2 关键资产的风险等级

7.2.1 风险等级列表

7.2.2 风险等级统计

7.2.3 基于脆弱性的风险排名

7.2.4 风险结果分析

…… …… 余下全文

信息安全风险评估检查报告

填表人：            单位：                电话：                         

---

[1] 本表所称高风险漏洞，是指计算机硬件、软件或信息系统中存在的严重安全缺陷，利用这些缺陷可完全控制或部分控制计算机及信息系统，对计算机及信息系统实施攻击、破坏、信息窃取等行为。

[2] 服务内容主要包括：系统集成、系统运维、风险评估、安全检测、安全加固、应急支持、数据存储等。

…… …… 余下全文

XX县信用联社关于对

信息科技风险自评估工作的汇报

X联社XX办事处:

按照办事处《转发银监会办公厅关于落实银行业金融机构信息科技风险评价审计整改和开展信息科技风险自评估工作的通知》要求,我县联社迅速组成自评估调查小组,按照全面、系统的要求,认真进行自评估分析,现将情况汇报如下:

﹙一﹚、提高认识，建立健全了信息系统安全风险防范体系。

随着电子化建设不断走向深入，信用社主要业务逐步依赖于计算机综合业务系统，随之而来的系统和网络安全已成为安全管理的关键环节和薄弱环节，尤其自二00六年五月底我县农村信用社顺利并入全X农信社通存通兑网络后，网络安全运行工作事关全县农村信用社改革，经营、管理大局。我县联社从防范科技风险的高度充分认识到加强系统和网络安全运行工作的必要性和重要意义，正确处理了发展与安全的关系，一手抓电子化建设，一手抓风险防范。截止目前，已经初步按照上级主管部门统一标准建立起较完善的网络和信息安全风险防范体系。我们主要做到了以下几方面工作:

一、加强制度建设，规范操作行为

,我们从健全制度入手,先后修改完善了《XX县农村信用社综合业务网络系统柜员管理办法》、《XX县农村信用社综合业务网络系统业务授权管理办法》、《XX县农村信用社综合业务网络系统网点运行管理制度》、《XX县农村信用社综合业务网络系统 1

设备管理制度》、《XX县农村信用社综合业务网络系统突发事件应急处置预案》、《XX县信用联社防范病毒管理制度》、《XX县信用联社机房管理制度》，修改制定了《XX县农村信用社综合业务网络系统安全运行管理处罚办法》等制度、规定，切实将我县农村信用社的网络安全管理责任落到实处。

二、加强硬件及网络环境建设，避免系统风险。

1、实现了内网与外网的严格的物理分离，内网主线路为光纤专线，备份线路为音频专线，有关内网用机保证了专机专用。

2、为每个网点制做了规范的地线，并为网络设备配备了专用机柜。与综合业务网络系统有关的机房、办公室、营业网点都配备有消防器材。

…… …… 余下全文

信息安全风险评估需求方案

一、项目背景

多年来，天津市财政局（地方税务局）在加快信息化建设和信息系统开发应用的同时，高度重视信息安全工作，采取了很多防范措施，取得了较好的工作效果，但同新形势、新任务的要求相比，还存在有许多不相适应的地方。20##年，国家税务总局和市政府分别对我局信息系统安全情况进行了抽查，在充分肯定成绩的同时，也指出了我局在信息安全方面存在的问题。通过抽查所暴露的这些问题，给我们敲响了警钟，也对我局信息安全工作提出了新的更高的要求。

因此，天津市财政局（地方税务局）在对现有信息安全资源进行整合、整改的同时，按照国家税务总局信息安全管理规定，结合本单位实际情况确定实施信息安全评估、安全加固、应急响应、安全咨询、安全事件通告、安全巡检、安全值守、安全培训、应急演练服务等工作内容（以下简称“安全风险评估”），形成安全规划、实施、检查、处置四位一体的长效机制。

二、项目目标

通过开展信息“安全风险评估”, 完善安全管理机制；通过安全服务的引入，进一步建立健全财税系统安全管理策略，实现安全风险的可知、可控和可管理；通过建立财税系统信息安全风险评估机制，实现财税系统信息安全风险的动态跟踪分析，为财税系统信息安全整体规划提供科学的决策依据，进一步加强财税内部网络的整体安全防护能力，全面提升我局信息系统整体安全防范能力，极大提高财税系统网络与信息安全管理水平；通过深入挖掘网络与信息系统存在的脆弱点，并以业务系统为关键要素，对现有的信息安全管理制度和技术措施的有效性进行评估，不断增强系统的网络和信息系统抵御风险安全风险能力，促进我局安全管理水平的提高，增强信息安全风险管理意识，培养信息安全专业人才，为财税系统各项业务提供安全可靠的支撑平台。

三、项目需求

（一）服务要求

1基本要求

 “安全风险评估服务”全过程要求有据可依，并在产品使用有据可查，并保持项目之后的持续改进。针对用户单位网络中的IT设备及应用软件，需要有软件产品识别所有设备及其安全配置，或以其他方式收集、保存设备明细及安全配置，进行资产收集作为建立信息安全体系的基础。安全评估的过程及结果要求通过软件或其他形式进行展示。对于风险的处理包括：协助用户制定安全加固方案、在工程建设及日常运维中提供安全值守、咨询及支持服务，通过安全产品解决已知的安全风险。在日常安全管理方面提供安全支持服务，并根据国家及行业标准制定信息安全管理体系，针对安全管理员提供安全培训，遇有可能的安全事件发生时，提供应急的安全分析、紧急响应服务。

…… …… 余下全文

信息安全评估报告

(管理信息系统)

二零一六年一月

1

1 目标

××单位信息安全检查工作的主要目标是通过自评估工作，发现本局信息系统当前面临的主要安全问题，边检查边整改，确保信息网络和重要信息系统的安全。

2 评估依据、范围和方法

2.1 评估依据

根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》（信安通［2006］15号）、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》（办信息[2006]48号）以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。

2.2 评估范围

本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等，管理信息系统中业务种类相对较多、网络和业务结构较为复杂，在检查工作中强调对基础信息系统和重点业务系统进行安全性评估，具体包括：基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。

2.3 评估方法

采用自评估方法。

3 重要资产识别

对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总，形成重要资产清单。资产清单见附表1。

2

4 安全事件

对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录，形成本单位的安全事件列表。安全事件列表见附表2。

5 安全检查项目评估

5.1 规章制度与组织管理评估

5.1.1 组织机构

5.1.1.1 评估标准

信息安全组织机构包括领导机构、工作机构。

5.1.1.2 现状描述

本局已成立了信息安全领导机构，但尚未成立信息安全工作机构。

5.1.1.3 评估结论

完善信息安全组织机构，成立信息安全工作机构。

…… …… 余下全文

附件：

国家电子政务工程建设项目非涉密信息系统

信息安全风险评估报告格式

项目名称：                                

项目建设单位：                                

风险评估单位：                                

年   月  日

目       录

一、风险评估项目概述.... 1

1.1 工程项目概况.... 1

1.1.1 建设项目基本信息... 1

1.1.2 建设单位基本信息... 1

1.1.3承建单位基本信息... 2

…… …… 余下全文

北京信息科技大学

信息管理学院

（课程设计）实验报告

课程名称: 信息安全管理与评估  专业:信息安全班级:信安1001学号: 2010012702姓名:   葛彬   

说明：

1.        课程名称、课程设计目的、课程设计内容、课程设计要求由教师确定，实验前由教师事先填好，然后作为实验报告模版供学生使用；

2.        实验条件由学生在实验或上机之前填写，教师应该在实验前检查并指导；

3.        实验过程由学生记录实验的过程，包括操作过程、遇到哪些问题以及如何解决等；

4.        实验总结由学生在实验后填写，总结本次实验的收获、未解决的问题以及体会和建议等；

5.        源程序、代码、具体语句等，若表格空间不足时可作为附录另外附页。

…… …… 余下全文