4.2 关键资产说明
在分析被评估系统的资产基础上,列出对评估单位十分重要的资产,作为风险评估的重点对象,并以清单形式列出如下:
关键资产列表
资产编号
| 子系统名称
| 应用
| 资产重要程度权重
| 其他说明
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
五、威胁识别与分析
对威胁来源(内部/外部;主观/不可抗力等)、威胁方式、发生的可能性,威胁主体的能力水平等进行列表分析。
5.1 威胁数据采集
5.2 威胁描述与分析
依据《威胁赋值表》,对资产进行威胁源和威胁行为分析。
5.2.1 威胁源分析
填写《威胁源分析表》。
5.2.2 威胁行为分析
填写《威胁行为分析表》。
5.2.3 威胁能量分析
5.3 威胁赋值
填写《威胁赋值表》。
六、脆弱性识别与分析
按照检测对象、检测结果、脆弱性分析分别描述以下各方面的脆弱性检测结果和结果分析。
6.1 常规脆弱性描述
6.1.1 管理脆弱性
6.1.2 网络脆弱性
6.1.3系统脆弱性
6.1.4应用脆弱性
6.1.5 数据处理和存储脆弱性
6.1.6 运行维护脆弱性
6.1.7 灾备与应急响应脆弱性
6.1.8 物理脆弱性
6.2 脆弱性专项检测
6.2.1 木马病毒专项检查
6.2.2 渗透与攻击性专项测试
6.2.3 关键设备安全性专项测试
6.2.4 设备采购和维保服务专项检测
6.2.5 其他专项检测
包括:电磁辐射、卫星通信、光缆通信等。
6.2.6 安全保护效果综合验证
6.3 脆弱性综合列表
填写《脆弱性分析赋值表》。
七、风险分析
7.1 关键资产的风险计算结果
填写《风险列表》
风险列表
7.2 关键资产的风险等级
7.2.1 风险等级列表
填写《风险等级表》
资产风险等级表
7.2.2 风险等级统计
资产风险等级统计表
7.2.3 基于脆弱性的风险排名
基于脆弱性的风险排名表
7.2.4 风险结果分析
八、综合分析与评价
九、整改意见
附件1:管理措施表
序号
| 层面/方面
| 安全控制/措施
| 落实
| 部分落实
| 没有落实
| 不适用
|
| 安全管理制度
| 管理制度
|
|
|
|
|
| 制定和发布
|
|
|
|
|
| 评审和修订
|
|
|
|
|
| 安全管理机构
| 岗位设置
|
|
|
|
|
| 人员配备
|
|
|
|
|
| 授权和审批
|
|
|
|
|
| 沟通和合作
|
|
|
|
|
| 审核和检查
|
|
|
|
|
| 人员安全管理
| 人员录用
|
|
|
|
|
| 人员离岗
|
|
|
|
|
| 人员考核
|
|
|
|
|
| 安全意识教育和培训
|
|
|
|
|
| 外部人员访问管理
|
|
|
|
|
| 系统建设管理
| 系统定级
|
|
|
|
|
| 安全方案设计
|
|
|
|
|
| 产品采购
|
|
|
|
|
| 自行软件开发
|
|
|
|
|
| 外包软件开发
|
|
|
|
|
| 工程实施
|
|
|
|
|
| 测试验收
|
|
|
|
|
| 系统交付
|
|
|
|
|
| 系统备案
|
|
|
|
|
| 安全服务商选择
|
|
|
|
|
| 系统运维管理
| 环境管理
|
|
|
|
|
| 资产管理
|
|
|
|
|
| 介质管理
|
|
|
|
|
| 设备管理
|
|
|
|
|
| 监控管理和安全管理中心
|
|
|
|
|
| 网络安全管理
|
|
|
|
|
| 系统安全管理
|
|
|
|
|
| 恶意代码防范管理
|
|
|
|
|
| 密码管理
|
|
|
|
|
| 变更管理
|
|
|
|
|
| 备份与恢复管理
|
|
|
|
|
| 安全事件处置
|
|
|
|
|
| 应急预案管理
|
|
|
|
|
小计
|
|
|
|
|
|
