计算机风险评估报告

一、风险评估项目概况

二、风险评估活动概述

2.1 风险评估工作组织管理

公司本次风险评估工作成员：

组长：

主任：

成员：

工作原则：依据综合审计日志和信息安全策略准则，在风险评估过程中把最真实的数据和结果反映出来，并及时调整信息的安全保密策略，及时补充完善技术与管理措施，使计算机保持与等级要求相一致的安全保护水平。

2.2 风险评估工作过程

此次评估阶段和具体工作内容包括

第一阶段：资产识别与分析

第二阶段：威胁识别与分析

第三阶段：脆弱性识别与分析

第四阶段：综合分析与评价

第五阶段：整改意见

2.3 依据的技术标准及相关法规文件

本次风险评估依据公司保密安全策略和综合审计报告等文件

三、评估对象

此次风险评估对象包括公司所有计算机，其担任的主要任务是信息的产生、传输、与最终流向。

四、资产识别与分析

4.1 资产类型与赋值

4.1.1资产类型

按照评估对象的构成，分类描述评估对象的资产构成。详细的资产分类与赋值，以附件形式附在评估报告后面，见附件3《资产类型与赋值表》。

4.1.2资产赋值

资产赋值表

五、威胁识别与分析

5.1 威胁数据采集

5.2 威胁赋值

见《威胁赋值表》。

六、脆弱性识别与分析

按照检测对象、检测结果、脆弱性分析分别描述以下各方面的脆弱性检测

结果和结果分析。

6.1 常规脆弱性描述

6.1.1 管理脆弱性

在计算机的管理上采用严格的管理制度和安全策略，脆弱性赋值为低。

6.1.2系统脆弱性

计算机安装的是windows xp sp3系统，通过对其稳定性测试和漏洞扫描并及时安装漏洞补丁，脆弱性赋值为低。

6.1.3应用脆弱性

计算机的应用有严格的身份鉴别和软件的安全稳定性测试，脆弱性赋值为低。

6.1.4数据处理和存储脆弱性

计算机的数据处理和存储采用自动保存和定期备份机制，确保完整性，脆弱性赋值为低。

6.1.5运行维护脆弱性

计算机定期进行软件更新和硬件维护，脆弱性赋值为低。

6.1.7灾备与应急响应脆弱性

根据保密安全策略的应急响应策略，定期对应急计划和响应程序进行检查和进行必要的演练，确保其始终有效。脆弱性赋值为低。

6.1.8物理脆弱性

根据物理安全策略，划分了安全区域，并进行物理访问控制，进行记录在案。脆弱性赋值为低。

6.2脆弱性专项检测

6.2.1木马病毒专项检查

根据杀毒软件的综合杀毒日志和杀毒记录，脆弱性赋值为低。

6.2.2设备安全性专项测试

根据计算机综合审计日志进行分析，脆弱性赋值为低。

6.2.3其他专项检测

通过安装电磁辐射干扰仪，脆弱性赋值为低。

6.3 脆弱性综合列表

见《脆弱性分析赋值表》。

七、综合分析与评价

根据上述风险评估结果，评定公司计算机的风险值是很低的，希望公司各涉密人员能够继续保持和遵守安全保密策略和行为准册，严格要求自己。

八、整改意见

根据评估结果提出以下几点整改意见：

1.加强计算机管理使用制度的培训。

2.对安全产品的实施要做到及时到位。

3.严格按照审批手续执行

附件1：管理措施表

附件2：技术措施表