管理风险评估报告模板.docVIP

XXXXXXXXXXXXX项目 风险评估报告 中科正阳信息安全技术有限公司 2008年11月17日 声 明 xxxxxxxxxxxxxxxxxxxxxx（以下简称工程中心）依据相应技术标准和有关法律法规实施信息系统风险评估。 本报告中给出的结论仅对被评估系统的当时状况有效，当评估后系统出现任何变更时，涉及到的任何模块（或子系统）都应重新进行评估，本评估结果不再适用。 报告中描述的被测系统存在的安全问题，不限于报告中指出的位置。 在任何情况下，若需引用本报告中的结果或数据都应保持其本来的意义，不得擅自进行增加、修改、伪造或掩盖事实。 为保证系统所属方的利益，本报告仅提供给被测系统所属方，工程中心不向第三方提供，并为其必威体育官网网址。被测方不能将此报告或报告中的某一部分拷贝或复制，作为广告宣传材料。 本报告结论的有效性建立在用户提供材料的真实性基础上。 xxxxxxxxxxxxxxxxxxxxxx 风险评估报告 系统名称 XXXX单位YYYY系统 测试类别 风险评估 委托日期 20XX年XX月 委托单位 联 系 人 联系电话 评估依据 《信息系统安全等级保护基本要求》(DB11/T 171-2002) 参考依据 （不在认可能力范围内） 北京市《电子政务信息安全保障技术框架》 《信息安全技术 信息安全风险评估规范》（GB/T 20984 -2007） 《信息技术 信息安全管理实用规则》（GB/T 19716 -2005)(ISO/IEC 17799:2000) 《信息系统安全风险评估实施指南》 评估时间 20XX年XX月XX日 至 20XX年XX月XX日 评估结论 工程中心 20XX年XX月XX日 备 注 无 批准人： 质量审核： 技术审核： 年 月 日 年 月 日 年 月 日 目 录 1. 评估基本情况 6 1.1. 委托单位信息 6 1.2. 评估单位信息 6 2. 评估目的 6 3. 评估依据 6 4. 评估范围 7 5. 体系结构分析 7 5.1. 技术体系结构分析 8 5.1.1. 网络边界安全分析 8 5.1.2. 已有安全措施有效性分析 8 5.1.3. 主机体系结构（服务器操作系统和数据库、终端） 8 5.1.4. 防病毒体系结构 8 5.1.5. 应用系统体系结构 8 5.2. 管理体系结构分析 8 6. 资产分析 9 6.1. 物理资产分析 11 6.2. 设备资产分析 11 6.3. 主机资产分析 11 6.4. 人员资产分析 12 7. 脆弱性分析 12 7.1. 技术脆弱性分析 12 7.1.1. 物理脆弱性分析 13 7.1.2. 设备脆弱性分析 13 7.1.3. 主机脆弱性分析 14 7.2. 管理脆弱性分析 14 7.2.1. 安全管理机构脆弱性分析 14 7.2.2. 安全管理制度脆弱性分析 14 7.2.3. 人员安全管理脆弱性分析 14 7.2.4. 系统建设管理脆弱性分析 14 7.2.5. 系统运维管理脆弱性分析 14 8. 威胁分析 15 8.1. 威胁分析概述 15 8.2. 威胁来源 15 8.3. 威胁种类 16 9. 风险分析 18 9.1. 风险分析概述 18 9.2. 风险列表 19 10. 安全建议/综合评估 21 评估基本情况 委托单位信息 单位名称 委托项目名称 单位地址 邮政编码 传真 联系人 联系电话 联系人E-MAIL 评估单位信息 单位名称 工程中心 地址 北京市海淀区中关村大街19号新中关大厦B座北翼16层 邮编 100080 联系人 王俊丰 E-mail wangjf@ 电话 （010传真 （010 URL Http:// 参与本次评估小组成员有： 组长： 监督员： 组员： 评估目的 [本次评估所依据的标准规范] 《信息系统安全等级保护基本要求》(DB11/T 171-2002) [本次评估所参考的标准规范] 北京市《电子政务信息安全保障技术框架》 信息安全技术 信息安全风险评估规范（GB/T 20984-2007） 信息技术 信息安全管理实用规则（GB/T 19716-2005)(ISO/IEC 17799:2000) 《信息系统安全风险评估实施指南》 [其他参考资料] XXXXX安全方案 XXXXXXXXXX 其它有关技术规范和用户需求 评估范围理 已有安全措施有效性分析 列出已有的安全措施，并对安全措施