一、风险评估项目概况

二、风险评估活动概述

2.1 风险评估工作组织管理

公司本次风险评估工作成员：

组长：

主任：

成员：

工作原则：依据综合审计日志和信息安全策略准则，在风险评估过程中把最真实的数据和结果反映出来，并及时调整信息的安全保密策略，及时补充完善技术与管理措施，使计算机保持与等级要求相一致的安全保护水平。

2.2 风险评估工作过程

此次评估阶段和具体工作内容包括

第一阶段：资产识别与分析

第二阶段：威胁识别与分析

第三阶段：脆弱性识别与分析

第四阶段：综合分析与评价

第五阶段：整改意见

2.3 依据的技术标准及相关法规文件

本次风险评估依据公司保密安全策略和综合审计报告等文件

三、评估对象

此次风险评估对象包括公司所有计算机，其担任的主要任务是信息的产生、传输、与最终流向。

四、资产识别与分析

4.1 资产类型与赋值

4.1.1资产类型

按照评估对象的构成，分类描述评估对象的资产构成。详细的资产分类与赋值，以附件形式附在评估报告后面，见附件3《资产类型与赋值表》。

4.1.2资产赋值

资产赋值表

五、威胁识别与分析

5.1 威胁数据采集

5.2 威胁赋值

见《威胁赋值表》。

六、脆弱性识别与分析

按照检测对象、检测结果、脆弱性分析分别描述以下各方面的脆弱性检测结果和结果分析。

6.1 常规脆弱性描述

6.1.1 管理脆弱性

在计算机的管理上采用严格的管理制度和安全策略，脆弱性赋值为低。

6.1.2系统脆弱性

计算机安装的是windows xp sp3系统，通过对其稳定性测试和漏洞扫描并及时安装漏洞补丁，脆弱性赋值为低。

6.1.3应用脆弱性

计算机的应用有严格的身份鉴别和软件的安全稳定性测试，脆弱性赋值为低。

6.1.4数据处理和存储脆弱性

计算机的数据处理和存储采用自动保存和定期备份机制，确保完整性，脆弱性赋值为低。

…… …… 余下全文

涉密计算机风险评估报告

（仅供参考，机密级/秘密级计算机每12个月一次）

涉密计算机安全保密管理员：李磊                 

保密办主任：孔维钊 

日期：  ××年××月××日　

1   概述

1.1　评估日期：3月20日

1.2　评估时间范围：3月24日至3月28日

1.3　参加评估人员：孔维钊、李磊。

2   涉密计算机保护措施

2.1    采用封堵端口的办法对涉密计算机的非授权USB端口进行封闭。

2.2    涉密计算机安装了通软主机监控与审计系统V6.0软件进行端口审计。

2.3    涉密计算机安装了涉密计算机及移动储存介质保密管理系统V1.0软件进行介质绑定。

2.4    中间机安装了金山防病毒软件，涉密计算机安装了瑞星防病毒软件，防病毒软件更新周期不超过15天。

2.5    涉密计算机配置了统一的windows组策略，对密码复杂度、位数、更换周期等作出了限制。

2.6    涉密计算机输入输出信息全部通过刻录一次性写入光盘的形式进行，中间机专人管理。

3     安全风险分析

3.1    打印输出风险

无技术手段对涉密计算机打印输出信息进行监控。

3.2    移动介质风险

…… …… 余下全文

涉密计算机风险评估报告

本次风险评估报告是根据对涉密计算机进行检查后的多次检查报告、恢复检查报告、系统安全检查、审计报告等相关资料做的评估。

一、检查报告的内容包括：物理隔离检查、上网信息记录、注册表信息、temp上网记录等信息。经分析没发现上网记录，注册表信息没有更改过，产生的记录都是安装应用软件时产生的。

二、系统安全检查包括：系统共享、移动介质插拔记录、系统开放的端口、安全漏洞、操作系统等信息。

经分析发现系统有段时间禁用的端口有问题，产生很多非法硬件接入的信息，这是由于开始对软件不是很熟悉，但没有造成信息的泄密；安全漏洞和病毒库补丁程序有时没有及时打上，但每月都有更新。 采取的措施：熟悉软件，重新设定了端口的权限，保证电脑的正常使用，及时打上系统补丁和病毒库程序，并提醒以后要在规定的时间内及时更新。

三、计算机恢复检查报告包括：上网信息记录、历史上网信息记录、Cookies文件夹下遗留的上网文件、网络信息等信息。

经分析发现有疑似上网的信息，但经确定没发现上网，检查过所有的网线接口，接口都被封掉，根本不可能连接网络，而且没有无线联网功能。

四、审计报告的内容包括：管理日志、登录状态、拷贝审计、非法硬件接入、目录监控等信息。

经分析发现有非法硬件接入，这是由于端口禁用产生的信息，后来重新设定了端口的权限，解决了此类问题。

另外，经分析发现计算机的管理还可以更加的规范，制定了计算机使用日志台账，在每次使用计算机时，都要登记使用人的姓名，使用的电脑，以及开机和关机的时间，这样能够很容易掌握每台计算机的使用情况。

风险评估人：

评估时间：

…… …… 余下全文

                     保密风险评估报告

一、做好保密风险评估的重要性

我公司是专门的秘密载体印制企业，所以，保密工作是重中之重。

众所周知，国家秘密一旦泄露，后果不堪设想。为切实有效地保护国家秘密．必须事先做好保密风险评估报告，让保密工作有的放矢。

随着现代科学技术的发展，信息化程度越来越高，保密工作已成为企业的中心工作之一。在信息化条件下，保密工作既是一项复杂的系统工程，同时也是关系到企业的正常工作是否能够顺利进行的重要因素。

保密风险评估是保密工作的重要组成部分。保密风险评估要坚持实事求是的原则，深入调查研究，全面掌握保密风险因素及其影响，进而科学分析企业保密工作面临的形势、存在的问题，在此基础上提出切实可行的关于风险防范控制措施的建议方案。

保密风险一词包括了两方面的内涵。其一，风险意味着会对企业正常的工作带来不良影响；其二，这种影响的出现与否是一种不确定性随机现象，它可用概率表示出现的可能程度，但不能对出现与否做出确定性判断。从而可知，风险因素、风险事故和影响密切相关，它们构成了企业保密风险存在与否的基本条件。因此，要真正领悟企业保密风险的本质，就必须弄清这三个概念及其相互联系。

引起                      导致      

简单概括而言：风险因素引起风险事故，风险事故导致对企业带来不良影响。

…… …… 余下全文

保密风险评估报告

一、做好保密风险评估的重要性

XXX是专门从事信息工程咨询和监理业务的企业，主要面向政府机关、行政事业单位及大型企业提供信息化建设咨询工作，并提供项目实施全过程监理。目前，信息化的应用越来越广泛，政府机关、行政企事业单位大量运用信息化技术和手段，改变原有工作方式及业务流程，极大的提高工作效率，更好的服务于社会。这些众多业务应用系统中或多或少会涉及到不同级别的秘密，因此，信息化下的保密工作非常重要。对于我公司来说，如何在项目咨询过程，为用户提供的解决方案能够达到保密的要求；在项目监理工作中，避免项目实施过程及系统运行产生漏洞，降低保密风险；公司的工作人员如何遵守保密制度和职业操守，避免因用户保密信息泄露，这是我公司在保密制度建设及相应保密措施执行上，需要重点考虑解决的问题，是我公司保密工作的重中之重。

二、涉密项目监理工作保密重点

涉密信息系统工程建设过程中监理的作用主要体现在：发挥工程监理的咨询服务功能；发挥工程监理对工程项目的管理作用。对于前者，工程监理可以向建设方提供关于涉密信息系统工程建设准备和过程中相关的国家标准及规范提供咨询，也可以协助建设方完善安全保密管理体系及相关制度的建设，为工程的测评、审批和运维打下坚实基础，同时也可为承建方在方案设计、涉密改造、系统检测测试、试运行、验收等各阶段提供咨询，确保项目能够按时按质量完成。对于后者而言，由于涉密信息工程涉及的业务内容繁多，过程较长，一些不按要求进行工作从而引起一些不可预见的影响工程进度的情况出现，大大的增加了工程建设的复杂性。此时，工程监理的重要性就体现出来了，工程监理按照管理规范对涉密信息系统进行监督、控制和管理，严格按照施工流程控制，并规范过程文档，协调各组织的关系，及时发现、妥善处理施工过程中出现的问题就显的非常重要。

工程监理在涉密信息系统建设过程中，通过运用自身对国家相关涉密信息系统建设的管理规范和要求，能够保证工程的实施过程符合国家涉密信息系统分级保护设计方案及工程建设相关要求，能够快速发现和解决施工过程中承建单位不安管理规范进行的影响工程进度、质量的一系列行为。同时工程监理作为独立的第三方，有利于涉密工程项目依据国家保密标准、信息系统工程相关标准以及工程建设合同等有关问题进行协调处理，避免与监理项目的承建单位存在隶属关系和利益关系，或作为其投资者或合伙经营者造成的不按照法律、科学、标准、经验、技术要求来办事的弊端。

…… …… 余下全文

印刷厂保密风险评估报告

随着社会经济的高速发展，各类票据在市场经济与社会生活中所占的地位越来越重要。由于票据一般都具有一定的商业价值，在一定程度上要求商业票据在设计和性能要求不易被伪造、不易涂改、不易变更等特点。近年来，科技的不断进步，使得各类票据印刷中的防伪技术得到了很大的发展，而做好保密工作已经成为防伪票据印刷工作中的重中之重。我公司保密风险评估坚持以“积极防范、严谨务实、重点突出、管理细致”为原则，严格按照国家关于秘密载体印制资质管理的相关要求，未雨绸缪，防微杜渐，深入调查研究，全面分析企业所面临的保密风险因素及其影响，解决保密工作中存在的问题。

现将我公司保密风险评估结果报告如下：

一、保密意识风险

1、我公司为中国检验检疫科学研究院院属企业，属国有控股公司。公司骨干及中层以上领导干部均为中国共 产 党党员，党性坚定，且多为大专及以上学历，具有中高级技术职称，个人文化素质较高，多次接受上级主管部门的保密方面的教育培训。

2、我公司已制定详细的保密教育培训计划，公司设立专门的保密办公室，负责保密培训的组织及相关工作有委员会确定，新入职员工经保密培训后方可上岗，对要害部位的关键人员坚持从严考核的原则。

公司现有员工均经过保密培训，从讲政治的高度充分认识保密工作的重要性，进一步增强保密观念，切实加强对保密管理文件、规定的学习教育，强化保密意识，切实做好秘密载体印制过程的保密工作。

二、领导组织结构风险

1、我公司保密工作结构层次清晰，相关人员权责明确。我公司保密工作的领导机构为XX，由法定代表人XX总负责，主管全厂保密工作，包括制定符合公司安全保密制度方案，负责系统运维队伍的组织与管理。

2、按照“谁使用、谁负责”的原则，各科室、各部门负责人为本科室、本部门保密工作第一责任人，设备使用者为直接责任人，负责本单位各领域保密工作的具体事务。

…… …… 余下全文

涉密计算机安全保密审计报告

审计对象：XX计算机

审计日期：XXXX年XX月XX日

审计小组人员组成：

姓名：XX      部门：XXX

姓名：XXX  部门：XXX

审计主要内容清单：

1.  安全策略检查

2.  外部环境检查

3.  管理人员检查

审计记录

…… …… 余下全文