信息安全风险评估表

合集下载

信息安全风险评估记录表

5
10
4
3
7
70
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
Windows 2003
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
代码控制CVS配置软件
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
0ffice
5
运行错误,无法使用
未及时打补丁
4
4
3
3
6
24
开发人员
10
数据泄密
安全意识欠缺,安全技能欠缺
无杀毒软件
3
6
2
3
5
30
10
无日常维护,打补丁
无法使用
2
4
3
4
7
28
10
硬件以外损坏
无法使用
2
4
3
4
7
28
10
机房不规范
服务器损坏无法使用
5
10
3
1
4
40
10
盗窃
机房不规范
5
10
4
5
9
90
笔记本
10
公司开发软件代码泄密
无拷贝控制
3
6
4
4
8
48
10
人为破环
硬件损坏系统无法正常运行
2
4
3
5
8
32
10
盗窃
10
数据丢失\损坏\篡改
无访问控制

信息安全风险评估调查表

10.安全研发。
5.人员资产情况
.1、信息系统人员情况
岗位名称
岗位描述
人数
兼任人数
填写说明
岗位名称：1、数据录入员；2、软件开发员；3、桌面管理员；4、系统管理员；5、安全管理员；6、数据库管理员；7、网络管理员；8、质量管理员。
6.
文档资产情况
6.1.信息系统安全文档列表
文档类别
文档名称
填写说明
信息系统文档类别：信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档；系统开发程序文件、资料等。
2.2.安全设备情况
安全设备名称
型号(软件/硬件)
物理位置
所属网络区域
IP地址/掩码/网关
系统及运行平台
端口类型及数量
主要用途
是否热备
重要程度
2.3.服务器设备情况
设备名称
型号
物理位置
所属网络区域
IP地址/掩码/网关
操作系统版本/补丁
安装应用系统软件名称
主要业务应用
涉及数据
是否热备
2.4.终端设备情况
检查项
结果
备注
1
信息安全策略
□明确信息安全策略，包括总体目标、范围、原则和安全框架等内容。
□包括相关文件，但内容覆盖不全面。
终端设备名地址/掩码/网关
操作系统
安装应用系统软件名称
涉及数据
主要用途
填写说明
网络设备：路由器、网关、交换机等。
安全设备：防火墙、入侵检测系统、身份鉴别等。
服务器设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等。
终端设备：办公计算机、移动存储设备。
7.
信息系统情况

供应商信息安全风险评估检查表

All areas covered by the **** project must be
2
identified, including but not limited to sensitive raw
materials and equipment areas, storage areas and
warehouse areas, access and transportation routes,
s供ec应ur商ity须po建lic立ie人s, 员reg离ul职ati处on理s a流nd程ot，he至rs,少an要d 关the闭信
息系统帐号和权限，回收存储介质（包含电脑）
。
2.5
The suppliers must establish a process for employee
1
termination, at least to disable the information
access, such as implement data encryption or data
总得分
leakage prevention.
Subtotal 得分率
Percentage %
1
1 4
50.00%
4、物理与环境安全 4. Physical and environment security
总得分
system accounts and permissions, and return the
Subtotal 得分率
Percentage %
9 90.00%
3、数据和介质管理 3. Data and media management
序号# S/N 3.1

信息安全风险评估表

信息安全风险评估表
精心整理
表1：基本信息调查
1.硬件资产情况
1.1.网络设备情况
网络设备名称、型号、物理位置、所属网络区域、IP地
址/掩码/网关、系统软件及版本、端口类型及数量、主要用途、是否热备、重要程度。

1.2.安全设备情况
安全设备名称、型号、软件/硬件位置、所属网络区域、
IP地址/掩码/网关、操作系统版本/补丁、安装应用系统软件名称、主要业务应用、涉及数据、是否热备。

1.3.服务器设备情况
服务器设备型号、物理位置。

1.4.终端设备情况
终端设备名称、型号、物理位置、所属网络、设备数量、IP地址/掩码/网关、操作系统版本。

2.软件资产情况
2.1.系统软件情况
系统软件名称、版本、开发商、软件厂商、硬件/软件平台、C/S或B/S模式、B/S硬件平台、涉及数据、涉及应用系统、现有用户数量、主要用户角色。

2.2.应用软件情况
应用系统软件名称、涉及数据。

3.文档资产情况
3.1.信息系统安全文档列表
信息系统文档类别、文档名称。

4.信息系统情况
4.1、系统网络拓扑图
网络结构图要求：标识网络设备、服务器设备和主要终端设备及其名称；标识服务器设备的IP地址；标识网络区域划分等情况。

信息安全风险评估记录表

信息安全风险评估记录表XXX信息安全风险评估记录表部门：XX部资产名称：1.台式计算机2.服务器3.笔记本4.网线5.INTEL网络服务6.路由器7.U盘8.WINDOWS XP9.源代码10.软件11.概要设计说明书12.产品数据库数据13.产品用户手册14.BUG报告15.用户培训记录重要度面临威胁脆弱性措施有效可能性风险1.台式计算机 6 10 3 3 5 302.服务器 10 10 5 3 7 703.笔记本 8 8 4 4 8 644.网线 8 8 4 4 8 645.INTEL网络服务 6 6 3 3 5 306.路由器 4 4 4 4 7 287.U盘 4 4 4 4 7 288.WINDOWS XP 10 1 1 1 4 49.源代码 10 5 5 5 9 4510.软件 6 4 4 4 8 3211.概要设计说明书 4 4 4 5 6 2412.产品数据库数据 4 4 4 4 8 3213.产品用户手册 4 4 4 4 7 2814.BUG报告 1 5 5 5 9 4515.用户培训记录 10 3 2 5 8 40存在的问题：1.台式计算机：无杀毒软件，无备份策略，无口令策略，配置被修改，无法使用。

2.服务器：无杀毒软件，服务器损坏无法使用。

3.笔记本：无法使用。

4.网线：无防护措施，数据泄密。

5.XXX网络服务：无管理制度。

6.路由器：操作系统存在漏洞，无访问控制，无安全备份。

7.U盘：无备份安全策略。

8.WINDOWS XP：暴露。

9.源代码：人为破环，盗窃。

10.软件：数据丢失/损坏/篡改，存储介质故障。

11.概要设计说明书：无拷贝控制，存储介质故障。

12.产品数据库数据：无备份安全策略，存储介质故障。

13.产品用户手册：无备份安全策略，存储介质故障。

14.BUG报告：存储介质故障。

15.用户培训记录：无访问控制。

措施：1.台式计算机：安装杀毒软件，制定备份策略，设置口令策略，修复配置，恢复使用。

信息安全风险评估脆弱性识别操作系统脆弱性表格《T》

整性标签应随数据一起流动,系统应保证低完整性的数据不能插入、覆盖到高完整性的数据；
d 对操作系统中处理的数据,应按回退的要求设计相应的 SSOOS 安全功能模块,进行异常情况
的操作序列回退,以确保用户数据的完整性;系统应保证在处理过程中不降低数据完整性的级别;
用户数据保密性
a应确保动态分配与管理的资源,在保持信息安全的情况下被再利用,主要包括：
——自动检查文件与磁盘表面是否完好；
——将磁盘表面的问题自动记录下来；
——随时检查、诊断和修复磁盘上的错误；
——修复扇区交错和扇区流失；
——将数据移到好的扇区；
——可增加硬盘数据备份和修复程序,将硬盘中的数据压缩、备份,并在必要时恢复；
c 在操作系统内部传输的用户数据,如进程间的通信,应提供保证用户数据完整性的功能;完
开发者应针对发现的漏洞及时发布补丁;操作系统的管理者应及时获取、统一管理并及时运
用补丁对操作系统的漏洞进行修补;
SSF数据安全保护
a 实现对输出 SSF 数据可用性、保密性、和完整性保护；
b 实现 SSOOS 内 SSF 数据传输的基本保护、数据分离传输、数据完整性保护；
c 实现 SSF 间的 SSF 数据的一致性和 SSOOS 内 SSF 数据复制的一致性保护;
d 提供设置和升级配置参数的安装机制;在初始化和对与安全有关的数据结构进行保护之前,
应对用户和管理员的安全策略属性应进行定义；
e 应区分普通操作模式和系统维护模式；
f 应防止一个普通用户从未经允许的系统进入维护模式,并应防止一个普通用户与系统内维护
模式交互;从而保证在普通用户访问系统之前,系统能以一个安全的方式进行安装和配置；
改或替换系统提供的实用程序；

信息安全风险评估表

序号资产名称
功能描述
1 电脑终端
2 应用软件
3 系统软件 4 5 6 7 8 9 10 11 12 13 14
编制：
公司业务处理公司业务处理信息处理
所属部门 IT部 IT部 IT部
信息安全风险评估表
资产重要度等级
资产重要性
资产完整性
资产可用性
得分
固有风险评估
4
3
3
10
1、非法使用 2、发生故障
4
3
3
10
应用软件出错而中断使用
4
3
3
10
系统软件运行出错而中断使用
影响等级
破坏程度
得分现场控制措施
发生可能性等级
控制措施发生容易
有效性
度
得分
风险等级
风险等级
计划控制责任部
措施
门
1、使用域进行管理权
100% 10 限、密码
2
2
4 40 中
IT部
2、定期维护
100% 10 1、购买优质应用软件
1
2
3 30 中
IT部
100% 100%
10 1、定期系统维护 0
1
2
3 30 中
IT部
1000% 0
100% 0
100% 0
100% 0
100% 0
100% 0
审核：
批准：

信息安全风险评估-安全漏洞评估-操作系统安全漏洞表格

信息安全风险评估-安全漏洞评估-操作系统安全漏洞表格这份文档旨在详细记录操作系统中存在的安全漏洞，并对每个漏洞进行评估。

以下是操作系统安全漏洞表格的示例，帮助您更好地了解和管理系统的安全风险。

请根据您所使用的操作系统和已知的漏洞，将以上表格补充完整。

您可以根据实际情况添加或删除列，并填写相应的信息。

以下是对表格中各列所包含信息的解释：- 漏洞编号：每个漏洞都有一个唯一的标识符，通常使用CVE 编号。

漏洞编号：每个漏洞都有一个唯一的标识符，通常使用CVE编号。

- 漏洞描述：对该漏洞的详细描述，包括其可能导致的潜在风险和影响。

漏洞描述：对该漏洞的详细描述，包括其可能导致的潜在风险和影响。

- 漏洞类型：该漏洞属于哪个类型的安全漏洞，如身份验证漏洞、权限提升漏洞等。

漏洞类型：该漏洞属于哪个类型的安全漏洞，如身份验证漏洞、权限提升漏洞等。

- 影响程度：评估该漏洞对系统的影响程度，通常使用高、中、低等级别进行评定。

影响程度：评估该漏洞对系统的影响程度，通常使用高、中、低等级别进行评定。

- 风险级别：根据漏洞的影响程度和系统重要性，评定该漏洞的风险级别，通常使用高、中、低等级别进行评定。

风险级别：根据漏洞的影响程度和系统重要性，评定该漏洞的风险级别，通常使用高、中、低等级别进行评定。

- 建议措施：针对该漏洞的修复或缓解措施建议，包括补丁安装、修改配置等。

建议措施：针对该漏洞的修复或缓解措施建议，包括补丁安装、修改配置等。

通过进行操作系统安全漏洞评估，并填写这个表格，您可以更好地了解系统的安全状况，并制定相应的安全策略和措施来减少潜在的安全风险。

请根据您的具体需求和环境，使用以上表格进行操作系统安全漏洞评估，并及时更新和维护这个表格，以确保系统的安全性。

ISO20000-2018信息技术服务管理体系信息安全风险评估表

ISO20000-2018信息技术服务管理体系信息安全风险评估表类别编号资产编号资产名称功能描述威胁内容(威胁源、动机）脆弱性影响后果资产重要程度现行控制方式威胁发率脆弱被利用率风险值风险等级风险处理方式改善措施资产重要程度威胁发生的评率脆弱性被利用率残余风险值风险等级是否接受文档与数据SL-DATA-001解决方案针对客户需求提出的信息安全解决方案被竞争对手获取人员道德缺乏文件被竞争对手获取，影响业务开展5数据加密系统控制1 2 10 1 接受未经授权使用、访问、复制人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训，1 2 10 1 接受电子存储媒体故障设备损坏资料丢失，影响项目进度5使用数据备份系统，对数据实时备份1 2 10 1 接受手工误删操作不小心资料丢失，影响项目进度5使用数据备份系统，对数据实时备份1 2 10 1 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制2 3 30 3 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制客户信息丢失，业务开展产生困难5设置必要的放火，放雷机制1 2 10 1 接受自然灾难：地缺乏应急机客户信息丢失，业 5 对重要数据 1 2 10 1 接受震、洪水、台风制务开展产生困难进行定期移动硬盘备份SL-DATA-003SL-DATA-00 4SL-DATA-01 8 体系文件管理制度各项规章制度公司管理类文档未经授权使用、访问、复制人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训，1 2 10 1 接受电子存储媒体故障设备损坏资料丢失，影响项目进度5使用数据备份系统，对数据实时备份1 2 10 1 接受手工误删操作不小心资料丢失，影响项目进度5使用数据备份系统，对数据实时备份1 2 10 1 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，业务缺乏指导5设置必要的放火，放雷机制2 3 30 3 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，业务缺乏指导5对重要数据进行定期移动硬盘备份1 2 10 1 接受SL-DATA-00 8SL-DATA-01 0 在职员工个人信息员工劳动合同人事档案信息未经授权使用、访问、复制缺乏物理防护机制员工个人信息资料丢失或泄密4人事资料放在人事文件柜中1 4 162 避免员工档案资料文件柜应上锁，防止非授权的获取4 1 2 8 1 接受瘟疫、火灾、爆缺乏应急机文件信息丢失，人 5 设置必要的 2 3 30 3 接受炸、雷击、恐怖袭击等制事工作开展困难放火，放雷机制自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受SL-DATA-013SL-DATA-01 6SL-DATA-02 1SL-DATA-02 2 供应商合作协议书采购合同代理合同厂商报价合同未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得，供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5设置必要的放火，放雷机制2 3 30 3 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制2 3 30 3 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失，影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中1 2 10 1 接受SL-DATA-01 4SL-DATA-01 5SL-DATA-02 3SL-DATA-02报价、合同样本销售合同客户报价客户合同报价单合同未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得，供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训，1 2 10 1 接受4SL-DATA-03 3 瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5设置必要的放火，放雷机制2 3 30 3 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失，影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中SL-DATA-02 6 客户资料供开票及联系未经授权使用、访问、复制缺乏物理防护机制客户信息被客户或竞争对手获得，供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5设置必要的放火，放雷机制2 3 30 3 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制2 3 30 3 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失，影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中1 2 10 1 接受SL-DATA-02 7 CRME和快普数据库ERP系统数据未经授权使用、访问、复制访问权限没有控制数据被删除，修改或泄密5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受未经授权更改访问权限没有控制公司业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受电子存储媒体故障存放缺乏保护数据丢失业务无法开展5通过服务器备份数据2 3 30 3 控制增加专门数据备份系统，对数据进行实时备份5 1 1 5 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份，设置放雷机制1 2 10 1 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受SL-DATA-02 8 公司办公租赁合同合同未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得，供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5设置必要的放火，放雷机制2 3 30 3 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制2 3 30 3 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失，影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中1 2 10 1 接受SL-DATA-03 0SL-DATA-03 2 公司各类财务数据及报表公司经营相关数据及资料财务数据未经授权使用、访问、复制访问权限没有控制数据被删除，修改或泄密5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受未经授权更改访问权限没有控制公司业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受电子存储媒体故障存放缺乏保护数据丢失业务无法开展5通过服务器备份数据2 3 30 3 控制增加专业数据备份系统，对数据进行实时备份5 1 1 5 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份，设置放雷机制1 2 10 1 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受SL-DATA-03 1 公司资质文件及认资质资料未经授权使用、访问、复制人员缺乏安全意识文件信息外泄 5进行员工信息安全意识1 2 10 1 接受证证书培训不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训，1 2 10 1 接受SL-DATA-036SL-DATA-042 报价（给渠道）渠道合同合同，报价信息未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得，供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训，1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5设置必要的放火，放雷机制2 3 30 3 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失，影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中SL-DATA-037 报价（厂家供货价）合同，报价信息未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得，供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训，1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5设置必要的放火，放雷机制2 3 30 3 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失，影响后续服务等内容5合同报价等资料放在上锁的文件柜中SL-DATA-04 0 销售部管理周报未经授权使用、访问、复制访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 3 用友OA日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 4 快普ERP日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 5 豪创日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 6 管家婆日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 7 SSLvpn日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 8 广域网加速设备日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 9 准入系统日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 0 爱数备份日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 1 趋势防毒日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 2 守内安日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 3 上网行为管理日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 4 视屏监控日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 5 电话录音日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 6 考勤机日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受第11 页共36 页。

信息安全风险评估表汇总

表1：基本信息调查1.单位基本情况精选文档2.硬件资产情况精选文档网络设备：路由器、网关、交换机等。

安全设备：防火墙、入侵检测系统、身份鉴别等。

服务器设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等。

终端设备：办公计算机、移动存储设备。

重要程度：依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。

精选文档3.软件资产情况填写说明系统软件：操作系统、系统服务、中间件、数据库管理系统、开发系统等。

应用软件：项目管理软件、网管软件、办公软件等。

精选文档4.服务资产情况服务类型包括：1.网络服务；2.安全工程；3.灾难恢复；4.安全运维服务；5.安全应急响应；6.安全培训；7.安全咨询；8.安全风险评估；9.安全审计；10.安全研发。

5.人员资产情况岗位名称：1、数据录入员；2、软件开发员；3、桌面管理员；4、系统管理员；5、安全管理员；6、数据库管理员；7、网络管理员；8、质量管理员。

精选文档6.文档资产情况填写说明信息系统文档类别：信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档；系统开发程序文件、资料等。

精选文档7.信息系统情况精选文档1、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写：a) 国家秘密信息；b) 非密敏感信息(机构或公民的专有信息) ；c) 可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评，请填写时间和测评机构名称。

1、网络区域主要包括：服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等；2、重要程度填写非常重要、重要、一般。

精选文档精选文档注：安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》精选文档表2：安全状况调查1. 安全管理机构安全组织体系是否健全，管理职责是否明确，安全管理机构岗位设置、人员配备是否充分合理。

信息安全风险评估-脆弱性识别-操作系统脆弱性表格

d）系统应确保在被授权的主体发出请求时，资源能被访问和利用；
e）当系统资源的服务水平降低到预先规定的最小值时，应能检测和发出报告；
f）系统应提供维护状态中运行的能力，在维护状态下各种安全性能全部失效，系统只允许由系统管理员使用；
——确保非授权用户不能查找使用后返还系统的记录介质中的信息容；
——确保非授权用户不能查找系统现已分配给他的记录介质中以前的信息容；
b) 在单用户系统中，存储器保护应防止用户进程影响系统的运行；
c) 在多用户系统中，存储器保护应保证系统各个用户之间互不干扰；
d) 存储器保护应包括:
——对存储单元的地址的保护，使非法用户不能访问那些受到保护的存储单元；
g) 对备份或不影响 SSOOS 的常规的系统维护，不要求所有的系统维护都在维护模式中执行；
h) 当操作系统安装完成后，在普通用户访问之前，系统应配置好初始用户和管理员职责、根目
录、审计参数、系统审计跟踪设置以及对文件和目录的合适的访问控制；
i) 执行系统所提供的实用程序，应（默认地）限定于对系统的有效使用，只允许系统管理员修
g) 应提供一个受保护的打开和关闭审计的机制。该机制能选择和改变审计事件，并在系统工作时处于默认状态；该机制的使用应受到系统管理员的授权限制，系统管理员应能够选择一个或多个基于身份鉴别或客体属性的用户的审计活动；审计工具应能够授权个人监察和浏览审计数据，同时数据应得到授权的使用、修改和删除；应提供对审计跟踪管理功能的保护，使之可以完成审计跟踪的创建、破坏、腾空和存档；系统管理员应能够定义超过审计跟踪极限的阈值；当存储空间被耗尽时，应能按管理员的指定决定采取的措施，包括：报警并丢弃未记录的审计信息、暂停审计、覆盖以前的审计记录等。
理员进程的操作等。当审计激活时应确保审计跟踪事件的完整性；应提供一个机制来显示当前选择的审计事件，这个机制的使用者应是有限的授权用户；

信息安全风险评估服务资质认证自评估表

27.
应对脆弱性进行赋值。
已完成项目的脆弱性赋值列表。
28.
风险识别阶段-威胁识别
应参考国家或国际标准，对威胁进行分类；
威胁分类清单。
29.
应识别所评估信息资产存在的潜在威胁；
已完成项目中的威胁识别清单。
30.
应识别威胁利用脆弱性的可能性；
已完成项目中分析威胁利用脆弱性可能性的证明材料。
31.
应分析威胁利用脆弱性对组织可能造成的影响。
已完成项目的风险评估报告或建议报告中对组织不可接受的风险提出风险处置措施或建议的证明材料。
49.
风险处置阶段-组织评审会
仅一级要求：协助被评估组织召开评审会。
服务提供者协助被评估组织组织评审会的证明材料，如会议通知、专家签到表、专家意见等。
50.
仅一级要求：依据最终的评审意见进行相应的整改，形成最终的整改材料。
25.
仅一级要求：识别处理数据和提供服务所需的关键系统单元和关键系统组件。
已完成项目中对处理数据和提供服务所需的关键系统单元和关键系统组件的识别分析证明材料。
26.
风险识别阶段-脆弱性识别
应对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查，并形成安全管理或技术脆弱性列表。
已完成项目中对脆弱性识别时使用的工具列表、管理或技术脆弱性列表。
15.
应根据评估的需求准备必要的工具。
已完成项目的风险评估方案中对评估工具的介绍，工具列表及主要功能描述。
16.
应对评估团队实施风险评估前进行安全教育和技术培训。
项目实施前的安全教育及技术培训的证明材料，如启动会的PPT，PPT中包含培训的内容，以及其他可证明对其安全教育、技术方面培训的材料。
17.

信息安全风险评估表汇总

表1：基本信息调查1.单位基本情况2.硬件资产情况网络设备：路由器、网关、交换机等。

安全设备：防火墙、入侵检测系统、身份鉴别等。

服务器设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等。

终端设备：办公计算机、移动存储设备。

重要程度：依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。

3.软件资产情况填写说明系统软件：操作系统、系统服务、中间件、数据库管理系统、开发系统等。

应用软件：项目管理软件、网管软件、办公软件等。

4.服务资产情况服务类型包括：1.网络服务；2.安全工程；3.灾难恢复；4.安全运维服务；5.安全应急响应；6.安全培训；7.安全咨询；8.安全风险评估；9.安全审计；10.安全研发。

6.文档资产情况填写说明信息系统文档类别：信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档；系统开发程序文件、资料等。

7.信息系统情况1、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写：a) 国家秘密信息；b) 非密敏感信息(机构或公民的专有信息) ；c) 可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评，请填写时间和测评机构名称。

注：安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》表2：安全状况调查1. 安全管理机构安全组织体系是否健全，管理职责是否明确，安全管理机构岗位设置、人员配备是否充分合理。

安全策略及管理规章制度的完善性、可行性和科学性的有关规章制度的制定、发布、修订及执行情况。