信息安全风险评估记录表

信息安全风险评估记录表XXX信息安全风险评估记录表部门：XX部资产名称：1.台式计算机2.服务器3.笔记本4.网线5.INTEL网络服务6.路由器7.U盘8.WINDOWS XP9.源代码10.软件11.概要设计说明书12.产品数据库数据13.产品用户手册14.BUG报告15.用户培训记录重要度面临威胁脆弱性措施有效可能性风险1.台式计算机 6 10 3 3 5 302.服务器 10 10 5 3 7 703.笔记本 8 8 4 4 8 644.网线 8 8 4 4 8 645.INTEL网络服务 6 6 3 3 5 306.路由器 4 4 4 4 7 287.U盘 4 4 4 4 7 288.WINDOWS XP 10 1 1 1 4 49.源代码 10 5 5 5 9 4510.软件 6 4 4 4 8 3211.概要设计说明书 4 4 4 5 6 2412.产品数据库数据 4 4 4 4 8 3213.产品用户手册 4 4 4 4 7 2814.BUG报告 1 5 5 5 9 4515.用户培训记录 10 3 2 5 8 40存在的问题：1.台式计算机：无杀毒软件，无备份策略，无口令策略，配置被修改，无法使用。

2.服务器：无杀毒软件，服务器损坏无法使用。

3.笔记本：无法使用。

4.网线：无防护措施，数据泄密。

5.XXX网络服务：无管理制度。

6.路由器：操作系统存在漏洞，无访问控制，无安全备份。

7.U盘：无备份安全策略。

8.WINDOWS XP：暴露。

9.源代码：人为破环，盗窃。

10.软件：数据丢失/损坏/篡改，存储介质故障。

11.概要设计说明书：无拷贝控制，存储介质故障。

12.产品数据库数据：无备份安全策略，存储介质故障。

13.产品用户手册：无备份安全策略，存储介质故障。

14.BUG报告：存储介质故障。

15.用户培训记录：无访问控制。

措施：1.台式计算机：安装杀毒软件，制定备份策略，设置口令策略，修复配置，恢复使用。

信息安全风险评估表格
风险类型风险描述
影响程
度
发生概
率
风险级
别
建议控制措施
1 数据泄露高中高加强访问控制、加密敏感数
据
2 病毒感染中高高安装有效的防病毒软件、定
期更新
3 员工错误中中中提供培训、建立标准操作流
程
4 物理入侵高低中使用安全门禁系统、视频监
控
5 网络攻击高中高实施防火墙、入侵检测和预
防系统
6 不当使用
权限
中中中角色分离、最小权限原则... ... ... ... ... ...
在表格中，每一行代表一个特定的风险。

各列的含义如下：
风险类型：对风险进行分类或编号，方便跟踪和识别。

风险描述：简要描述风险的具体情况，例如数据泄露、病毒感染等。

影响程度：评估风险发生后可能对组织造成的影响程度，如高、中、低等级。

发生概率：评估风险发生的概率，通常使用高、中、低等级或百分比表示。

风险级别：根据影响程度和发生概率综合评估的风险级别，可以通过计算得出或根据经验判断。

建议控制措施：提供针对该风险的建议控制措施，用于降低风险的发生和影响。

ISO20000-2018信息技术服务管理体系信息安全风险评估表类别编号资产编号资产名称功能描述威胁内容(威胁源、动机）脆弱性影响后果资产重要程度现行控制方式威胁发率脆弱被利用率风险值风险等级风险处理方式改善措施资产重要程度威胁发生的评率脆弱性被利用率残余风险值风险等级是否接受文档与数据SL-DATA-001解决方案针对客户需求提出的信息安全解决方案被竞争对手获取人员道德缺乏文件被竞争对手获取，影响业务开展5数据加密系统控制1 2 10 1 接受未经授权使用、访问、复制人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训，1 2 10 1 接受电子存储媒体故障设备损坏资料丢失，影响项目进度5使用数据备份系统，对数据实时备份1 2 10 1 接受手工误删操作不小心资料丢失，影响项目进度5使用数据备份系统，对数据实时备份1 2 10 1 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制2 3 30 3 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制客户信息丢失，业务开展产生困难5设置必要的放火，放雷机制1 2 10 1 接受自然灾难：地缺乏应急机客户信息丢失，业 5 对重要数据 1 2 10 1 接受震、洪水、台风制务开展产生困难进行定期移动硬盘备份SL-DATA-003SL-DATA-00 4SL-DATA-01 8 体系文件管理制度各项规章制度公司管理类文档未经授权使用、访问、复制人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训，1 2 10 1 接受电子存储媒体故障设备损坏资料丢失，影响项目进度5使用数据备份系统，对数据实时备份1 2 10 1 接受手工误删操作不小心资料丢失，影响项目进度5使用数据备份系统，对数据实时备份1 2 10 1 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，业务缺乏指导5设置必要的放火，放雷机制2 3 30 3 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，业务缺乏指导5对重要数据进行定期移动硬盘备份1 2 10 1 接受SL-DATA-00 8SL-DATA-01 0 在职员工个人信息员工劳动合同人事档案信息未经授权使用、访问、复制缺乏物理防护机制员工个人信息资料丢失或泄密4人事资料放在人事文件柜中1 4 162 避免员工档案资料文件柜应上锁，防止非授权的获取4 1 2 8 1 接受瘟疫、火灾、爆缺乏应急机文件信息丢失，人 5 设置必要的 2 3 30 3 接受炸、雷击、恐怖袭击等制事工作开展困难放火，放雷机制自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受SL-DATA-013SL-DATA-01 6SL-DATA-02 1SL-DATA-02 2 供应商合作协议书采购合同代理合同厂商报价合同未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得，供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5设置必要的放火，放雷机制2 3 30 3 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制2 3 30 3 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失，影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中1 2 10 1 接受SL-DATA-01 4SL-DATA-01 5SL-DATA-02 3SL-DATA-02报价、合同样本销售合同客户报价客户合同报价单合同未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得，供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训，1 2 10 1 接受4SL-DATA-03 3 瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5设置必要的放火，放雷机制2 3 30 3 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失，影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中SL-DATA-02 6 客户资料供开票及联系未经授权使用、访问、复制缺乏物理防护机制客户信息被客户或竞争对手获得，供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5设置必要的放火，放雷机制2 3 30 3 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制2 3 30 3 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失，影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中1 2 10 1 接受SL-DATA-02 7 CRME和快普数据库ERP系统数据未经授权使用、访问、复制访问权限没有控制数据被删除，修改或泄密5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受未经授权更改访问权限没有控制公司业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受电子存储媒体故障存放缺乏保护数据丢失业务无法开展5通过服务器备份数据2 3 30 3 控制增加专门数据备份系统，对数据进行实时备份5 1 1 5 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份，设置放雷机制1 2 10 1 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受SL-DATA-02 8 公司办公租赁合同合同未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得，供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5设置必要的放火，放雷机制2 3 30 3 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制2 3 30 3 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失，影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中1 2 10 1 接受SL-DATA-03 0SL-DATA-03 2 公司各类财务数据及报表公司经营相关数据及资料财务数据未经授权使用、访问、复制访问权限没有控制数据被删除，修改或泄密5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受未经授权更改访问权限没有控制公司业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受电子存储媒体故障存放缺乏保护数据丢失业务无法开展5通过服务器备份数据2 3 30 3 控制增加专业数据备份系统，对数据进行实时备份5 1 1 5 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份，设置放雷机制1 2 10 1 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受SL-DATA-03 1 公司资质文件及认资质资料未经授权使用、访问、复制人员缺乏安全意识文件信息外泄 5进行员工信息安全意识1 2 10 1 接受证证书培训不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训，1 2 10 1 接受SL-DATA-036SL-DATA-042 报价（给渠道）渠道合同合同，报价信息未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得，供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训，1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5设置必要的放火，放雷机制2 3 30 3 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失，影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中SL-DATA-037 报价（厂家供货价）合同，报价信息未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得，供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训，1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5设置必要的放火，放雷机制2 3 30 3 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失，影响后续服务等内容5合同报价等资料放在上锁的文件柜中SL-DATA-04 0 销售部管理周报未经授权使用、访问、复制访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 3 用友OA日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 4 快普ERP日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 5 豪创日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 6 管家婆日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 7 SSLvpn日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 8 广域网加速设备日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 9 准入系统日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 0 爱数备份日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 1 趋势防毒日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 2 守内安日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 3 上网行为管理日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 4 视屏监控日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 5 电话录音日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 6 考勤机日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受第11 页共36 页。

表1：基本信息调查1.单位基本情况精选文档2.硬件资产情况精选文档网络设备：路由器、网关、交换机等。

安全设备：防火墙、入侵检测系统、身份鉴别等。

服务器设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等。

终端设备：办公计算机、移动存储设备。

重要程度：依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。

精选文档3.软件资产情况填写说明系统软件：操作系统、系统服务、中间件、数据库管理系统、开发系统等。

应用软件：项目管理软件、网管软件、办公软件等。

精选文档4.服务资产情况服务类型包括：1.网络服务；2.安全工程；3.灾难恢复；4.安全运维服务；5.安全应急响应；6.安全培训；7.安全咨询；8.安全风险评估；9.安全审计；10.安全研发。

5.人员资产情况岗位名称：1、数据录入员；2、软件开发员；3、桌面管理员；4、系统管理员；5、安全管理员；6、数据库管理员；7、网络管理员；8、质量管理员。

精选文档6.文档资产情况填写说明信息系统文档类别：信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档；系统开发程序文件、资料等。

精选文档7.信息系统情况精选文档1、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写：a) 国家秘密信息；b) 非密敏感信息(机构或公民的专有信息) ；c) 可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评，请填写时间和测评机构名称。

1、网络区域主要包括：服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等；2、重要程度填写非常重要、重要、一般。

精选文档精选文档注：安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》精选文档表2：安全状况调查1. 安全管理机构安全组织体系是否健全，管理职责是否明确，安全管理机构岗位设置、人员配备是否充分合理。

表1：基本信息调查1 / 222 / 22网络设备：路由器、网关、交换机等。

安全设备：防火墙、入侵检测系统、身份鉴别等。

服务器设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等。

终端设备：办公计算机、移动存储设备。

重要程度：依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。

3 / 22填写说明系统软件：操作系统、系统服务、中间件、数据库管理系统、开发系统等。

应用软件：项目管理软件、网管软件、办公软件等。

4 / 22服务类型包括：1.网络服务；2.安全工程；3.灾难恢复；4.安全运维服务；5.安全应急响应；6.安全培训；7.安全咨询；8.安全风险评估；9.安全审计；10.安全研发。

岗位名称：1、数据录入员；2、软件开发员；3、桌面管理员；4、系统管理员；5、安全管理员；6、数据库管理员；7、网络管理员；8、质量管理员。

5 / 22填写说明信息系统文档类别：信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档；系统开发程序文件、资料等。

6 / 227 / 221、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写：a) 国家秘密信息；b) 非密敏感信息(机构或公民的专有信息) ；c) 可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评，请填写时间和测评机构名称。

1、网络区域主要包括：服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等；2、重要程度填写非常重要、重要、一般。

8 / 22注：安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》9 / 2210 / 22表2：安全状况调查1. 安全管理机构安全组织体系是否健全，管理职责是否明确，安全管理机构岗位安全策略及管理规章制度的完善性、可行性和科学性的有关规章人员的安全和保密意识教育、安全技能培训情况，重点、敏感岗4. 系统建设管理关键资产采购时是否进行了安全性测评，对服务机构和人员的保密约束情况如何，在服务提供过程中是否采取了管控措施。

表1：基本信息调查1.单位基本情况2.硬件资产情况网络设备：路由器、网关、交换机等。

安全设备：防火墙、入侵检测系统、身份鉴别等。

服务器设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等。

终端设备：办公计算机、移动存储设备。

重要程度：依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。

3.软件资产情况填写说明系统软件：操作系统、系统服务、中间件、数据库管理系统、开发系统等。

应用软件：项目管理软件、网管软件、办公软件等。

4.服务资产情况服务类型包括：1.网络服务；2.安全工程；3.灾难恢复；4.安全运维服务；5.安全应急响应；6.安全培训；7.安全咨询；8.安全风险评估；9.安全审计；10.安全研发。

5.人员资产情况岗位名称：1、数据录入员；2、软件开发员；3、桌面管理员；4、系统管理员；5、安全管理员；6、数据库管理员；7、网络管理员；8、质量管理员。

6.文档资产情况填写说明信息系统文档类别：信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档；系统开发程序文件、资料等。

7.信息系统情况1、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写：a) 国家秘密信息；b) 非密敏感信息(机构或公民的专有信息) ；c) 可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评，请填写时间和测评机构名称。

1、网络区域主要包括：服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等；2、重要程度填写非常重要、重要、一般。

注：安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》表2：安全状况调查1. 安全管理机构安全组织体系是否健全，管理职责是否明确，安全管理机构岗位设置、人员配备是否充分合理。

安全策略及管理规章制度的完善性、可行性和科学性的有关规章制度的制定、发布、修订及执行情况。

数据泄露风险评估记录表模版1. 背景和目的本评估记录表用于评估和记录企业在数据管理和信息安全方面的风险，特别是数据泄露的风险。

评估的目的是为了帮助企业辨识和量化潜在的数据泄露风险，并采取相应的措施来减少和管理这些风险。

2. 评估方法和标准2.1 评估方法评估采用综合性的方法，包括以下步骤：1. 收集相关数据和信息：获取企业的数据管理政策、信息安全规程、数据泄露事件案例等相关资料；2. 分析现有风险控制措施：评估企业目前已经采取的风险控制措施，例如数据备份策略、访问控制措施、加密技术等；3. 识别风险点：通过对企业数据管理流程的分析，识别潜在的数据泄露风险点；4. 评估风险影响：评估数据泄露事件对企业的影响，包括数据泄露的程度、数据的敏感程度、法律责任等；5. 量化风险：将风险以数值形式进行量化，根据风险的概率和影响程度进行评估；6. 建议风险控制措施：根据评估结果，提出相应的风险控制措施，包括技术措施、管理措施和培训措施等。

2.2 评估标准评估标准根据企业的具体情况和法律要求而定，可以包括以下指标：1. 数据分类和敏感程度：将企业的数据进行分类，根据敏感程度确定不同的风险级别；2. 风险概率：评估数据泄露事件发生的概率，考虑数据管理流程中可能存在的数据泄露漏洞；3. 风险影响：评估数据泄露事件对企业的影响，包括损失的经济价值、声誉影响、法律责任等。

3. 数据泄露风险评估记录表评估记录表应包括以下内容：1. 企业基本信息：企业名称、评估日期、评估人员等；2. 数据分类和敏感程度评估：将企业的数据进行分类，根据敏感程度确定不同的风险级别；3. 风险概率评估：评估数据泄露事件发生的概率；4. 风险影响评估：评估数据泄露事件对企业的影响；5. 风险量化评估：将风险以数值形式进行量化；6. 建议风险控制措施：根据评估结果，提出相应的风险控制措施；7. 其他备注：记录评估过程中的其他重要信息。

评估记录表应根据具体情况进行调整和完善，以确保评估结果的准确性和可操作性。