信息安全风险评估表汇总

《信息安全风险评估表汇总》由会员分享，可在线阅读，更多相关《信息安全风险评估表汇总（26页珍藏版）》请在金锄头文库上搜索。

1、信息安全风险评估表基本信息调查1.单位基本情况单位名称单位地址（公章）联系人联系电话Email填表时间信息安全主管领导（签字）职务检杳工作负责人（签字）职务2. 硬件资产情况2.1.网络设备情况网络设备名称型号物理位置所属网络 区域ip地址/掩码/网关系统软件 及版本端口类型 及数量主要用途是否热备重要程度22安全设备情况安全设备名称型号（软件/ 硬件）物理位置所属网络 区域IP地址/掩码/网 关系统及运行 平台端口类型及 数量主要用途是否热备重要程 度23服务器设备情况设备名称型号物理位置所属网络 区域ip地址/掩码/网关操作系统 版本/补丁安装应用系统软 件名称主要业务应 用涉及数据是否热

2、备24终端设备情况终端设备名称型号物理位置所属网络 区域设备数量ip地址/掩码/网关操作系统安装应用系统软 件名称涉及数据主要用途填写说明网络设备：路由器、网关、交换机等。安全设备：防火墙、入侵检测系统、身份鉴别等。服务器设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等。 终端设备：办公计算机、移动存储设备。重要程度：依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。3. 软件资产情况3.1.系统软件情况系统软件名称版本软件厂商硬件平台涉及应用系统32应用软件情况应用系统软件名称开发商硬件/软件平台C/S或B/S模式涉及数据现有用户数量主要用户角色填写说

3、明系统软件：操作系统、系统服务、中间件、数据库管理系统、开发系统等。 应用软件：项目管理软件、网管软件、办公软件等。4. 服务资产情况本年度信息安全服务情况服务类型服务方单位名称服务内容服务方式（现场、非现场）填写说明服务类型包括：1网络服务；2安全工程；3.灾难恢复；4安全运维服务；5安全应急响应；6安全培训；7安全咨询；8安全风险评估；9安全审计;10.安全研发。5. 人员资产情况 1、信息系统人员情况岗位名称岗位描述人数兼任人数填写说明岗位名称：1、数据录入员；2、软件开发员；3桌面管理员；4、系统管理员；5、安全管理员；6、数据库管理员；7、网络管理员；8、质量管理员。6. 文档资产情

4、况6.1.信息系统安全文档列表文档类别文档名称填写说明信息系统文档类别：信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档；系统开发程序文件、资料等。7信息系统情况7.1、系统网络拓扑图网络结构图要求：1、应该标识出网络设备、服务器设备和主要终端设备及其名称；2、 应该标识出服务器设备的IP地址；3、应该标识网络区域划分等情况；4、应该标识网络与外部的连接等情况；5、应该能够对照网络结构图说明所有业务流程和系统组成。如果一张图无法表示，可以将核心部分和接入部分分别画出，或以多张图表示。7.2、信息系统承载业务情况信息系统名称业务描述业务处理信息 类别用户数量用户分布范围重要程度是否通

5、过第三方安全 测评填写说明：1用户分布范围栏填写全国、全省、本地区、本单位2、 业务处理信息类别一栏填写：a）国家秘密信息；b）非密敏感信息（机构或公民的专有信息）；c）可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评，请填写时间和测评机构名称。7.3、信息系统网络结构情况网络区域名称主要业务和信息描述ip网段地址服务器数量与其连接的其它 网络区域网络区域边 界设备重要程度责任部门填写说明：1网络区域主要包括：服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等;2、重要程度填写非常重要、重要、一般。7.4、外联线路及设备端口（网络边界）情况

6、外联线路名称 （边界名称）所属网络区域连接对象接入线路种类传输速率（带宽）线路接入设备承载主要业务应用备注7.5、业务数据情况数据名称数据使用者或管理 者及其访问权限数据安全性要求数据总量及日增量涉及业务应用涉及存储系统与 处理设备保密可用注:数据安全性要求每项填写高、中、底7.6、数据备份情况备份数据名介质类型备份周期保存期是否异地保存过期处理方法所属备份系统备注7.7、一年来信息安全事件情况安全事件类别特别重大事 件次数重大事件次数较大事件次数一般事件次数线路接入设备承载主要业务应用备注有害程序安全事件网络攻击事件信息破坏事件信息内容安全事件设备设施故障灾害性事件其它事件注：安全事件的类别

7、和级别定义请参照GB/Z20986-2007信息安全事件分类分级指南-# -信息安全风险评估表安全状况调查1. 安全管理机构安全组织体系是否健全，管理职责是否明确，安全管理机构岗位 设置、人员配备是否充分合理。序号检杳项结果备注1.信息安全管理 机构设置以下发公文方式正式设置了信息安全管理工作的 专门职能机构。设立了信息安全管理工作的职能机构，但还不是专门的职能机构。其它。2.信息安全管理 职责分工情况信息安全管理的各个方面职责有正式的书面分工， 并明确具体的责任人。:口 有明确的职责分工，但责任人不明确。其它。3.人员配备配备一定数量的系统管理人员、网络管理人员、安全管理人员等；安全管理人员

8、不能兼任网络管理员、 系统管理员、数据库管理员等。配备一定数量的系统管理人员、网络管理人员、安全管理人员等，但安全管理人员兼任网络管理员、系 统管理员、数据库管理员等。其它。4.关键安全管理 活动的授权和 审批定义关键安全管理活动的列表， 并有正式成文的审 批程序，审批活动有完整的记录。有正式成文的审批程序，但审批活动没有完整的记 录。其它。5.与外部组织沟 通合作与外部组织建立沟通合作机制，并形成正式文件和 程序。:口 与外部组织仅进行了沟通合作的口头承诺。其它。6.与组织机构内 部沟通合作各部门之间建立沟通合作机制，并形成正式文件和 程序。各部门之间的沟通合作基于惯例，未形成正式文件 和程

9、序。:口其它。2. 安全管理制度安全策略及管理规章制度的完善性、 可行性和科学性的有关规章 制度的制定、发布、修订及执行情况。检杳项结果备注1信息安全策略明确信息安全策略，包括总体目标、范围、原则 和安全框架等内容。包括相关文件，但内容覆盖不全面。其它2安全管理制度安全管理制度覆盖物理、网络、主机系统、数据、 应用、建设和管理等层面的重要管理内容。有安全管理制度，但不全而面。其它。3操作规程应对安全管理人员或操作人员执行的重要管理操 作建立操作规程。有操作规程，但不全面。其它。4安全管理制度 的论证和审定组织相关人员进行正式的论证和审定，具备论证 或审定结论。其它。5安全管理制度 的发布文件发布具备明确的流程、方式和对象范围。部分文件的发布不明确。其它。6安全管理制度 的维护有正式的文件进行授权专门的部门或人员负责安 全管理制度的制定、保存、销毁、版本控制，并定期 评审与修订。安全管理制度分散管理，缺之定期修订。其它。7执行情况所有操作规程的执行都具备详细的记录文档。部分操作规程的执行都具备详细的记录文档。其它。3. 人员安全管理人员的安全和保密意识教育、安全技能培训情况，重点、敏感岗 位人员有无特殊管理措施以及对外来人员的管理情况。序号检查项结果备注1.