信息安全服务资质申请书(风险评估一级)

编号：

国家信息安全测评

信息安全服务资质申请书

(风险评估一级)

申请单位（公章）：

填表日期：

?版权2014—中国信息安全测评中心

2014年5月1日

目录

填表须知 (4)

申请表 (5)

一、申请单位基本情况 (6)

二、申请单位概况 (7)

三、申请单位近三年资产运营情况 (8)

四、申请单位人员情况 (11)

五、申请单位技术能力基本情况 (20)

六、申请单位的安全风险评估服务过程能力 (24)

6.1风险评估的准备 (25)

6.2评估系统安全威胁的能力 (27)

6.3评估系统脆弱性的能力 (29)

6.4评估安全对系统的影响的能力 (31)

6.5评估已有安全措施的能力 (33)

6.6评估系统安全风险的能力 (35)

七、申请单位的项目和组织过程能力 (37)

7.1实现质量保证的能力 (38)

7.2管理项目风险的能力 (40)

7.3规划项目技术活动的能力 (43)

7.4监控技术活动的能力 (46)

7.5提供不断发展的知识和技能的能力 (49)

7.6与供应商协调的能力 (52)

八、申请单位安全服务项目汇总 (55)

九、申请单位获奖、资格授权情况 (58)

十、申请单位在安全服务方面的发展规划 (59)

十一、申请单位其他说明情况 (60)

十二、申请单位附加信息 (61)

申请单位声明 (62)

填表须知

用户在正式填写本申请书前，须认真阅读并理解以下内容：

1．中国信息安全测评中心对下列对象进行测评：

●信息技术产品

●信息系统

●提供信息安全服务的组织和单位

●信息安全专业人员

2．申请单位应仔细阅读《信息安全服务资质申请指南（风险评估一级）》，并按照其要求如实、详细地填写本申请书所有项目。

3．申请单位应按照申请书原有格式进行填写。如填写内容较多，可另加附页。

4．提交申请书之前，请仔细查验申请书填写是否有误，须提供的附件以及证明材料是否完整。

5．申请单位须提交本申请书（含附件及证明材料）纸版一份，要求盖章的地方，必须加盖公章，同时提交一份对应的电子文档。

6．本申请书要求提供的附件及证明材料须单独装订成册并编目。提供的资料须客观、真实和完整，不要编辑、修改和摘录，但可以进行脱密处理。

申请表

中国信息安全测评中心：

我单位正式提出信息安全服务资质申请，并保证将按照信息安全服务资质的要求，提供所需的所有真实信息，并配合资质审核活动。

1．申请服务类型

□A类（不具有外资背景）

□B类（具有外资背景）

2．申请服务内容

□安全风险评估一级

3．申请类型

□初次申请

□再次申请，第次申请

注：以上各项均为单选。

申请单位（盖章）：

申请日期：年月日

一、申请单位基本情况

申请单位全称（中文）：

申请单位全称（英文）：

注册地址：

办公地址：邮政编码

法定代表人姓名：职务：

联系人姓名：职务：

电子邮箱：

联系方式：电话（）

传真（）

手机（）

工商登记注册号（附申请单位法人营业执照副本或上级主管部门批准成立文件复印件）：

法人机构代码（附法人机构代码证副本复印件）：

已获的国家信息安全服务资质证书号码（附资质证书复印件）：

其他重要的法律文件：

二、申请单位概况

本项应包括以下内容：

1．描述单位基本情况（包括单位规模大小、隶属关系、发展历史、业务结构、业绩等）；

2．申请单位组织结构图（突出标明安全风险评估业务所在部门）；

3．描述与上述组织结构图相对应的各部门的职能。（其中要包括与“安全风险评估服务”有关的管理、研发、风险评估服务实

施、质量保证、客户服务、人力资源管理与培训、合同管理等

工作内容）。

三、申请单位近三年资产运营情况

本项应包括以下内容：

1．申请单位近三年资产运营情况（表3－1）（加盖公章）；

2．提供近三年审计报告与信用等级证明材料复印件（若无审计报告请提供加盖公章的资产负债表和损益表）；

3．财务亏损或其它异常状况发生，请说明情况并提供证明材料。

申请单位近三年资产运营情况表

表3－ 1 单位：万元人民币

下载后可编辑复制

注：其中安全风险评估服务收入包括：下载后可编辑复制

信息安全风险评估服务资质申请书

申请编号： 信息安全风险评估服务资质 认证申请书 （第1版） 申请组织（盖章）： 申请日期： 中国信息安全认证中心制

目录 填表须知 (1) 申请信息 (2) 1.申请组织基本情况 (3) 2.申请组织业绩要求 (3) 3.申请组织从事信息安全风险评估服务的人员情况 (3) 4.申请组织管理情况 (4) 5.申请组织设备、设施与环境情况 (4) 6.申请组织风险评估服务能力 (4) 7.信息安全风险评估服务过程要求 (5) 7.1 准备阶段 (5) 7.2 识别阶段 (5) 7.3 分析阶段 (5) 7.4 处置阶段 (5) 申请组织声明 (7) 附表1 (8) 附表2 (9)

填表须知 申请组织在正式填写本申请书前，须认真阅读并理解以下内容： 1．申请组织应仔细阅读ISO/IEC 27005:2008《信息技术安全技术信息安全风险评估管理》、GB/T 20984-2007《信息安全技术信息安全风险评估规范》、YD/T 2252-2011《网络与信息安全风险评估服务能力评估方法》，并按照其要求如实、详细地填写本申请书所有内容。 2．申请组织应按照本申请书规定格式进行填写。若表格空间不够，可另加附页。3．申请组织须提交《信息安全风险评估服务资质认证申请书》（含附件及证明材料）纸版一份，要求盖章的地方，必须加盖公章，同时提交一份对应的电子文档。

申请信息 1．申请组织的性质 □ A类（不含外资背景） □ B类（外资背景） 2．申请类型 □初次认证 □再认证 □变更认证 3．申请服务资质级别 □一级 □二级 □三级

1.申请组织基本情况 申请组织全称（中文）： 申请组织全称（英文）： 法定代表人姓名：职务： 联系人姓名：职务： 地址：邮政编码： 电子邮箱： 网址： 联系方式： 电话： 传真： 手机： 本项还需提交以下资料： 1)申请组织的营业执照/副本或上级主管部门批准成立的文件复印件； 2)法人机构代码证或副本的复印件； 3)从事信息安全风险评估服务的相关资质证书复印件； 4)符合国家保密管理部门要求的证明材料； 5)提供近两年的资产运营情况，财务审计报告；如有财务亏损或其他异常状况发生， 并提供相应的证明材料； 6)申请组织的固定办公场所证明材料； 7)申请组织部门职能(包括与信息安全风险评估服务相关的管理、研发、安全服务实 施、质量保证、客户服务、人力资源管理与培训、合同管理等部门的职能描述）。 2.申请组织业绩要求 本项应包括以下内容： 组织近三年内完成的风险评估项目规模、数量等方面证明符合相关资质级别要求的全部项目案例列表并注明完成状况，对于已完成的项目提供合同复印件及完成的证明材料。3.申请组织从事信息安全风险评估服务的人员情况 本项应包括以下内容：

信息安全风险评估报告DOC

XXXXX公司 信息安全风险评估报告 历史版本编制、审核、批准、发布实施、分发信息记录表

一. 风险项目综述 1.企业名称: XXXXX公司 2.企业概况：XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持与服

务的企业。 3.ISMS方针：预防为主，共筑信息安全；完善管理，赢得顾客信赖。 4.ISMS范围：计算机应用软件开发，网络安全产品设计/开发，系统集成及服务的信息安全管理。 二. 风险评估目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平,进行本次风险评估。 三. 风险评估日期： 2017-9-10至2017-9-15 四. 评估小组成员 XXXXXXX。 五. 评估方法综述 1、首先由信息安全管理小组牵头组建风险评估小组； 2、通过咨询公司对风险评估小组进行相关培训； 3、根据我们的信息安全方针、范围制定信息安全风险管理程序，以这个程序作为我们风险评估的依据和方 法； 4、各部门识别所有的业务流程，并根据这些业务流程进行资产识别，对识别的资产进行打分形成重要资产 清单； 5、对每个重要资产进行威胁、脆弱性识别并打分，并以此得到资产的风险等级； 6、根据风险接受准则得出不可接受风险，并根据标准ISO27001:2013的附录A制定相关的风险控制措施； 7、对于可接受的剩余风险向公司领导汇报并得到批准。 六. 风险评估概况 根据第一阶段审核结果，修订了信息安全风险管理程序，根据新修订程序文件，再次进行了风险评估工作

从2017年9月10日开始进入风险评估阶段，到2017年9月15日止基本工作告一段落。主要工作过程如下： 1.2017-9-10 ~ 2017-9-10，风险评估培训； 2.2017-9-11 ~ 2017-9-11，公司评估小组制定《信息安全风险管理程序》，制定系统化的风险评估方法； 3.2017-9-12 ~ 2017-9-12，本公司各部门识别本部门信息资产，并对信息资产进行等级评定，其中资产分为 物理资产、软件资产、数据资产、文档资产、无形资产，服务资产等共六大类； 4.2017-9-13 ~ 2017-9-13，本公司各部门编写风险评估表，识别信息资产的脆弱性和面临的威胁，评估潜在 风险，并在ISMS工作组内审核； 5.2017-9-14 ~ 2017-9-14，本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表； 6. 2017-9-15 ~ 2017-9-15，各部门修订风险评估表，识别重大风险，制定控制措施；ISMS工作 组组织审核，并最终汇总形成本报告。 . 七. 风险评估结果统计 本次风险评估情况详见各部门“风险评估表”，其中共识别出资产190个，重要资产115个，信息安全风险115个，不可接受风险42个. 表1 资产面临的威胁和脆弱性汇总表

信息安全风险评估方案教程文件

信息安全风险评估方 案

第一章网络安全现状与问题 1.1目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案，包括加密、身份认证、防病毒、防黑客等各个方面，每种解决方案都强调所论述方面面临威胁的严重性，自己在此方面的卓越性，但对于用户来说这些方面是否真正是自己的薄弱之处，会造成多大的损失，如何评估，投入多大可以满足要求，对应这些问题应该采取什麽措施，这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时，往往是头痛医头、脚痛医脚，面对层出不穷的安全问题，疲于奔命，再加上各种各样的安全产品与安全服务，使用户摸不着头脑，没有清晰的思路，其原因是由于没有一套完整的安全体系，不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下，安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象，它们过分强调了某个方面的重要性，而忽略了安全构件（产品）之间的关系。因此在客户化的、可操作的安全策略基础上，需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面，涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题，应该使之客户化、可定义、可管理。无论静态或动态（可管理）安全产品，简单的叠加并不是有效的防御措施，应该要求安全产品构件之间能够相互联动，以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点，因此即使是多层面的安全防御体系，如果是静态的，也无法抵御来自外部

信息安全风险评估管理规定

信息安全风险评估管理规 定 This manuscript was revised on November 28, 2020

信息安全风险评估管理办法 第一章总则 第一条为规范信息安全风险评估（以下简称“风险评估”）及其管理活动，保障信息系统安全，依据国家有关规定，结合本省实际，制定本办法。 第二条本省行政区域内信息系统风险评估及其管理活动，适用本办法。 第三条本办法所称信息系统，是指由计算机、信息网络及其配套的设施、设备构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。 本办法所称重要信息系统，是指履行经济调节、市场监管、社会管理和公共服务职能的信息系统。 本办法所称风险评估，是指依据有关信息安全技术与管理标准，对信息网络和信息系统及由其存储、传输、处理的信息的保密性、完整性和可用性等安全属性进行评价的活动。 第四条县以上信息化主管部门负责本行政区域内风险评估的组织、指导和监督、检查。 跨省或者全国统一联网运行的重要信息系统的风险评估，可以由其行业管理部门统一组织实施。 涉密信息系统的风险评估，由国家保密部门按照有关法律、法规规定实施。

第五条风险评估分为自评估和检查评估两种形式。 自评估由信息系统的建设、运营或者使用单位自主开展。检查评估由县以上信息化主管部门在本行政区域内依法开展，也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行，双方实行互备案制度。 第二章组织与实施 第六条信息化主管部门应当定期发布本行政区域内重要信息系统目录，制定检查评估年度实施计划，并对重要信息系统管理技术人员开展相关培训。 第七条江苏省信息安全测评中心为本省从事信息安全测评的专门机构，受省信息化主管部门委托，具体负责对从事风险评估服务的社会机构进行条件审核、业务管理和人员培训，组织开展全省重要信息系统的外部安全测试。 第八条信息系统的建设、运营或者使用单位可以依托本单位技术力量，或者委托符合条件的风险评估服务机构进行自评估。 第九条重要信息系统新建、扩建或者改建的，在设计、验收、运行维护阶段，均应当进行自评估。重要信息系统废弃、发生重大变更或者安全状况发生重大变化的，应当及时进行自评估。

信息安全系统服务资质申请书(风险评估一级)

编号： 国家信息安全测评 信息安全服务资质申请书 (风险评估一级) 申请单位（公章）： 填表日期： ?版权2014—中国信息安全测评中心 2014年5月1日

目录 填表须知 (3) 申请表 (4) 一、申请单位基本情况 (5) 二、申请单位概况 (6) 三、申请单位近三年资产运营情况 (7) 四、申请单位人员情况 (9) 五、申请单位技术能力基本情况 (14) 六、申请单位的安全风险评估服务过程能力 (17) 6.1 风险评估的准备 (18) 6.2 评估系统安全威胁的能力 (20) 6.3 评估系统脆弱性的能力 (22) 6.4 评估安全对系统的影响的能力 (24) 6.5 评估已有安全措施的能力 (26) 6.6 评估系统安全风险的能力 (28) 七、申请单位的项目和组织过程能力 (30) 7.1 实现质量保证的能力 (31) 7.2 管理项目风险的能力 (33) 7.3 规划项目技术活动的能力 (35) 7.4 监控技术活动的能力 (37) 7.5 提供不断发展的知识和技能的能力 (39) 7.6 与供应商协调的能力 (41) 八、申请单位安全服务项目汇总 (43) 九、申请单位获奖、资格授权情况 (45) 十、申请单位在安全服务方面的发展规划 (46) 十一、申请单位其他说明情况 (47) 十二、申请单位附加信息 (48) 申请单位声明 (49)

填表须知 用户在正式填写本申请书前，须认真阅读并理解以下内容： 1．中国信息安全测评中心对下列对象进行测评： ●信息技术产品 ●信息系统 ●提供信息安全服务的组织和单位 ●信息安全专业人员 2．申请单位应仔细阅读《信息安全服务资质申请指南（风险评估一级）》，并按照其要求如实、详细地填写本申请书所有项目。 3．申请单位应按照申请书原有格式进行填写。如填写内容较多，可另加附页。 4．提交申请书之前，请仔细查验申请书填写是否有误，须提供的附件以及证明材料是否完整。 5．申请单位须提交本申请书（含附件及证明材料）纸版一份，要求盖章的地方，必须加盖公章，同时提交一份对应的电子文档。 6．本申请书要求提供的附件及证明材料须单独装订成册并编目。提供的资料须客观、真实和完整，不要编辑、修改和摘录，但可以进行脱密处理。 7．如有疑问，请与中国信息安全测评中心联系。 中国信息安全测评中心 地址：北京市海淀区上地西路8号院1号楼 邮编：100085 电话：（010）82341582或82341568 传真：82341100 网址：https://www.wendangku.net/doc/c011368014.html, 电子邮箱：cnitsec@https://www.wendangku.net/doc/c011368014.html,

信息安全风险评估方案

信息安全风险评估方案 第一章网络安全现状与问题 1、1 目前安全解决方案的盲目性现在有很多公司提供各种各样的网络安全解决方案，包括加密、身份认证、防病毒、防黑客等各个方面，每种解决方案都强调所论述方面面临威胁的严重性，自己在此方面的卓越性，但对于用户来说这些方面是否真正是自己的薄弱之处，会造成多大的损失，如何评估，投入多大可以满足要求，对应这些问题应该采取什麽措施，这些用户真正关心的问题却很少有人提及。 1、2 网络安全规划上的滞后网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时，往往是头痛医头、脚痛医脚，面对层出不穷的安全问题，疲于奔命，再加上各种各样的安全产品与安全服务，使用户摸不着头脑，没有清晰的思路，其原因是由于没有一套完整的安全体系，不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下，安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象，它们过分强调了某个方面的重要性，而忽略了安全构件（产品）之间的关系。因此在客户化的、可操作的安全策略基础上，需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面，涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、 DNS、 WWW、 MAIL 及其它应用系统。 静态的安全产品不可能解决动态的安全问题，应该使之客户化、可定义、可管理。无论静态或动态（可管理）安全产品，简单的叠加并不是有效的防御措施，应该要求安全产品构件之间能够相互联动，以便实现安全资源的集中管理、统一审计、信息共享。

企业网络与信息安全风险评估规范

企业网络与信息安全风险评估规范

目录 第一章总则 (3) 第二章风险评估原则 (5) 第三章风险评估模型 (5) 第四章风险评估策略 (9) 第五章风险评估过程框架 (11) 第六章风险评估手段 (15) 第七章文档要求 (16) 第八章项目管理 (17)

第一章总则 第一条网络与信息安全风险评估是网络与信息安全管理的基础性工作，是实现网络与信息系统安全水平持续改进的重要手段。为了指导、规范和促进各单位开展网络与信息安全风险评估工作，加强网络与信息安全的全过程动态管理，进一步提高网络与信息安全保障水平,特制定本规范。 第二条网络与信息安全风险评估是对企业现有的网络、信息系统、业务流程、安全策略等进行风险分析，并根据风险分析结论提出安全建议的过程。 第三条通过对网络与信息系统（以下简称信息系统）进行安全评估，至少应该达到以下目标： （一）掌握信息系统的安全现状和面临的安全风险； （二）明确信息系统面对的主要风险以及这些风险产生的原因； （三）为信息系统的建设、运行、维护、使用和改进提供安全性建议。 （四）改进与完善企业现有安全策略，实施有效的信息系统风险管理，加强重要信息系统的安全保障。 第四条本规范适用于国家电网公司系统各单位，用于指导各单位信息安全评估项目的开展和实施。 第五条名词解释

使命：一个组织通过信息化实现的工作任务。 信息资产：在信息化建设过程中积累起来的信息系统、信息数据、生产或服务能力、人员能力和应得的信誉。 价值：指信息资产对信息系统的重要程度，以及对信息系统为完成组织使命的重要程度。 威胁：信息资产可能受到的来自内部和来自外部的安全侵害。 脆弱性：信息资产及其防护措施在安全方面的不足，通常也称为漏洞。 风险：是指人为或自然的威胁利用信息系统存在的脆弱性，从而导致信息安全事件发生的可能性及其影响。 残余风险：采取了安全防护措施，提高了防护能力后，仍然可能存在的风险。 安全措施：为对付威胁，减少脆弱点，保护资产，限制意外事件的影响，检测和响应意外事件，促进灾难恢复和打击信息犯罪而采取的各种实践、规程和机制统称为安全措施。 安全防护需求：指为保证信息系统能够正常使用，在信息安全防护措施方面的要求。

信息安全风险评估报告

1111单位:1111系统安全项目信息安全风险评估报告 我们单位名 日期

报告编写人: 日期： 批准人：日期： 版本号：第一版本日期 第二版本日期 终板 目录 2.3边界数据流向 .......................................................................................................................... 5脆弱性分析 .......................................................................................................................................

6.1风险分析概述 .......................................................................................................................... 9附录A：脆弱性编号规则................................................................................................................

1概述 1.1项目背景 为了切实提高各系统的安全保障水平，更好地促进各系统的安全建设工作，提升奥运保障能力，需要增强对于网运中心各系统的安全风险控制，发现系统安全风险并及时纠正。根据网络与信息安全建设规划，为了提高各系统的安全保障和运营水平，现提出系统安全加固与服务项目。 1.2工作方法 在本次安全风险评测中将主要采用的评测方法包括： ●?人工评测； ●?工具评测； ●?调查问卷； ●?顾问访谈。 1.3评估范围 此次系统测评的范围主要针对该业务系统所涉及的服务器、应用、数据库、网络设备、安全设备、终端等资产。 主要涉及以下方面： 1)业务系统的应用环境，； 2)网络及其主要基础设施，例如路由器、交换机等； 3)安全保护措施和设备，例如防火墙、IDS等； 4)信息安全管理体系（ISMS） 1.4基本信息

企业信息安全风险评估方案

企业信息安全风险评估方案

知识域：信息安全风险评估 ?:?知识子域：风险评估流程和方法 ■掌握国家对开展风险评估工作的政策要求 ■理解风险评估、检查评估和等级保护测评之间的关系 掌握风险评估的实施流程：风险评估准备、资产识别、威胁评 估、脆弱性评估、已有安全措施确认、风险分析、风险评估文档 记录 -理解走量风险分析和定性风险分析的区别及优缺点理解自评估和检查评估的区别及优缺点 ■掌握典型风险计算方法：年度损失值(ALE)、矩阵法、相乘法掌握风险评估工具：风险评估与管理工具、系统基础平台风险评 估工具、风险评估辅助工具

1、《国家信息化领导小组关于加强信息安全保障工作的意见》仲办发[2003]27号）中明确提出 :”要重视信息安全风险评估工作”对网络与信息系统安全的潜在威胁.薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性.涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理〃

国家对开展风险评估工作的政 2、《国家网络与信息安全协调小组〈关于开展信息安全风险评估工作的意见〉》（国信办［2006 】5号文）中明确规定了风险评估工作的相关要求： 风险评估的基本内容和原则开展风险评估工作的有 关安排 风险评估工作的基本要求 K信息安全风险评估工作应当贯穿信息系统全生命周 期。在信息系统规划设计阶段，通过信息安全风险评 估工作，可以明确信息系统的安全需求及其安全目标，有针对性地制定和部署安全措施”从而避免产生欠保 护或过保护的情况。

2、在信息系统建设完成验收时，通过风险评估工作可以检验信息系统是否实现了所设计的安全功能, 是否满足了信息系统的安全需求并达到预期的安全目标。 3. 由于信息技术的发展.信息系统业务以及所处安全环境的变化，会不断出现新的信息安全风险，因此，在信息系统的运行阶段，应当定期逬行信息安全风险评估，以检验安全措施的有效性以及对安全环境的适应性。当安全形势发生重大变化或信息系统使命有重大变更时，应及时逬行信息安全风险评估。 4. 信息安全风险评估也是落实等级保护制度的重要 手段，应通过信息安全风险评估为信息系统确定安全

信息安全风险评估方案

第一章网络安全现状与问题 目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案，包括加密、身份认证、防病毒、防黑客等各个方面，每种解决方案都强调所论述方面面临威胁的严重性，自己在此方面的卓越性，但对于用户来说这些方面是否真正是自己的薄弱之处，会造成多大的损失，如何评估，投入多大可以满足要求，对应这些问题应该采取什麽措施，这些用户真正关心的问题却很少有人提及。 网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时，往往是头痛医头、脚痛医脚，面对层出不穷的安全问题，疲于奔命，再加上各种各样的安全产品与安全服务，使用户摸不着头脑，没有清晰的思路，其原因是由于没有一套完整的安全体系，不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下，安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象，它们过分强调了某个方面的重要性，而忽略了安全构件（产品）之间的关系。因此在客户化的、可操作的安全策略基础上，需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面，涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题，应该使之客户化、可定义、可管理。无论静态或动态（可管理）安全产品，简单的叠加并不是有效的防御措施，应该要求安全产品构件之间能够相互联动，以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点，因此即使是多层面的安全防御体系，如果是静态的，也无法抵御来自外部和内部的攻击，只有将众多的攻击手法进行搜集、归类、分析、消化、综合，将其体系化，才有可能使防御系统与之相匹配、相耦合，以自动适应攻击的变化，从而

企业信息安全风险评估资料

【最新资料，WORD文档，可编辑修改】 目录 一、信息安全风险评估简介 .............................................................. 二、信息安全风险评估流程 .............................................................. 1.风险评估准备 ................................................................................... 2.资产识别............................................................................................ 3.威胁识别............................................................................................ 4.脆弱性识别........................................................................................ 5.风险分析............................................................................................ 三、信息安全风险评估策略方法 ...................................................... 1）定量分析方法 ................................................................................ 2）定性分析方法 ................................................................................ 3）综合分析方法 ................................................................................ 四、信息安全风险评估的注意事项 .................................................. 1、各级领导对评估工作的重视 ........................................................ 2、加强评估工作的组织和管理 ........................................................ 3、注意评估过程中的风险控制。 .................................................... 4、做好各方的协调配合工作。 ........................................................ 5、提供评估所必须的保障条件。 .................................................... 信息安全风险评估 一、信息安全风险评估简介 信息安全风险评估的概念涉及资产、威胁、脆弱性和风险4个主要因素。信息安全风险评估就是从管理的角度，运用科学的方法和手段，系统分析网络与信息系统所

信息安全风险评估报告

胜达集团 信息安全评估报告 (管理信息系统) 胜达集团 二零一六年一月

1目标 胜达集团信息安全检查工作的主要目标是通过自评估工作，发现本局信息系统当前面临的主要安全问题，边检查边整改，确保信息网络和重要信息系统的安全。 2评估依据、范围和方法 2.1 评估依据 根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》（信安通［2006］15号）、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》（办信息[2006]48号）以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。 2.2 评估范围 本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等， 管理信息系统中业务种类相对较多、网络和业务结构较为复杂，在检查工作中强调对基础信息系统和重点业务系统进行安全性评估，具体包括：基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。2.3 评估方法 采用自评估方法。 3重要资产识别 对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总，形成重要资产清单。 资产清单见附表1。 4安全事件 对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录，形成本单位的安全事件列表。安全事件列表见附表2。 5安全检查项目评估 5.1 规章制度与组织管理评估 5.1.1组织机构 5.1.1.1评估标准 信息安全组织机构包括领导机构、工作机构。 5.1.1.2现状描述 本局已成立了信息安全领导机构，但尚未成立信息安全工作机构。 5.1.1.3 评估结论

信息安全风险评估管理办法.doc

信息安全风险评估管理办法1 信息安全风险评估管理办法 第一章总则 第一条为规范信息安全风险评估（以下简称“风险评估”）及其管理活动，保障信息系统安全，依据国家有关规定，结合本省实际，制定本办法。 第二条本省行政区域内信息系统风险评估及其管理活动，适用本办法。 第三条本办法所称信息系统，是指由计算机、信息网络及其配套的设施、设备构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。 本办法所称重要信息系统，是指履行经济调节、市场监管、社会管理和公共服务职能的信息系统。 本办法所称风险评估，是指依据有关信息安全技术与管理标准，对信息网络和信息系统及由其存储、传输、处理的信息的保密性、完整性和可用性等安全属性进行评价的活动。 第四条县以上信息化主管部门负责本行政区域内风险评估的组织、指导和监督、检查。 跨省或者全国统一联网运行的重要信息系统的风险评估，可以由其行业管理部门统一组织实施。 涉密信息系统的风险评估，由国家保密部门按照有关法律、

法规规定实施。 第五条风险评估分为自评估和检查评估两种形式。 自评估由信息系统的建设、运营或者使用单位自主开展。检查评估由县以上信息化主管部门在本行政区域内依法开展，也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行，双方实行互备案制度。第二章组织与实施 第六条信息化主管部门应当定期发布本行政区域内重要信息系统目录，制定检查评估年度实施计划，并对重要信息系统管理技术人员开展相关培训。 第七条江苏省信息安全测评中心为本省从事信息安全测评的专门机构，受省信息化主管部门委托，具体负责对从事风险评估服务的社会机构进行条件审核、业务管理和人员培训，组织开展全省重要信息系统的外部安全测试。 第八条信息系统的建设、运营或者使用单位可以依托本单位技术力量，或者委托符合条件的风险评估服务机构进行自评估。 第九条重要信息系统新建、扩建或者改建的，在设计、验收、运行维护阶段，均应当进行自评估。重要信息系统废弃、发生重大变更或者安全状况发生重大变化的，应当及时进行自评估。 第十条本省行政区域内信息系统应当定期开展风险评估，其中重要信息系统应当至少每三年进行一次自评估或检查 评估。在规定期限内已进行检查评估的重要信息系统，可以不再进行自评估。

信息安全风险评估服务

1、风险评估概述 1.1风险评估概念 信息安全风险评估是参照风险评估标准和管理规，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、标准《信息系统安全等级评测准则》等法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等面存在的脆弱性为诱因的信息安全风险评估综合法及操作模型。 1.2风险评估相关 资产，任对组织有价值的事物。 威胁，指可能对资产或组织造成损害的事故的潜在原因。例如，组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。 脆弱点，是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思，使用简短易被猜测的口令、操作系统本身有安全漏洞等。 风险，特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害饿潜在可能性，即特定威胁事件发生的可能性与后果的结合。风险评估，对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。

风险评估也称为风险分析，就是确认安全风险及其大小的过程，即利用适当的风险评估工具，包括定性和定量的法，去顶资产风险等级和优先控制顺序。 2、风险评估的发展现状 2.1信息安全风险评估在美国的发展 第一阶段（60-70年代）以计算机为对象的信息保密阶段1067年11月到1970年2月，美国国防科学委员会委托兰德公司、迈特公司（MITIE）及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究，分析。作为第一次比较大规模的风险评估。 特点： 仅重点针对了计算机系统的保密性问题提出要求，对安全的评估只限于保密性，且重点在于安全评估，对风险问题考虑不多。 第二阶段（80-90年代）以计算机和网络为对象的信息系统安全保护阶段 评估对象多为产品，很少延拓至系统，婴儿在格意义上扔不是全面的风险评估。 第三阶段（90年代末，21世纪初）以信息系统为对象的信息保障阶段 随着信息保障的研究的深入，保障对象明确为信息和信息系统；保障能力明确来源于技术、管理和人员三个面；逐步形成了风险评估、自评估、认证认可的工作思路。

信息安全风险评估实施报告..

1111单位:1111系统安全项目 信息安全风险评估报告 我们单位名

日期

报告编写人：日期：批准人：日期： 版本号：第一版本 第二版本 终板日期日期

目录 1 概述 (5) 1.1 项目背景 (5) 1.2 工作法 (5) 1.3 评估围 (5) 1.4 基本信息 (6) 2 业务系统分析 (6) 2.1 业务系统职能 (6) 2.2 网络拓扑结构 (6) 2.3 边界数据流向 (6) 3 资产分析 (7) 3.1 信息资产分析 (7) 3.1.1 信息资产识别概述 (7)

3.1.2 信息资产识别 (7) 4 威胁分析 (8) 4.1 威胁分析概述 (8) 4.2 威胁分类 (10) 4.3 威胁主体 (10) 4.4 威胁识别 (11) 5 脆弱性分析 (12) 5.1 脆弱性分析概述 (12) 5.2 技术脆弱性分析 (13) 5.2.1 网络平台脆弱性分析 (13) 5.2.2 操作系统脆弱性分析 (13) 5.2.3 脆弱性扫描结果分析 (14) 5.2.3.1 扫描资产列表 (14) 5.2.3.2 高危漏洞分析 (15) 5.2.3.3 系统帐户分析 (15) 5.2.3.4 应用帐户分析 (15) 5.3 管理脆弱性分析 (15) 5.4 脆弱性识别 (17) 6 风险分析 (18) 6.1 风险分析概述 (18) 6.2 资产风险分布 (19) 6.3 资产风险列表 (19) 7 系统安全加固建议 (20) 7.1 管理类建议 (20) 7.2 技术类建议 (20) 7.2.1 安全措施 (20) 7.2.2 网络平台 (21) 7.2.3 操作系统 (22) 8 制定及确认.................................................. 错误!未定义书签。 9 附录A :脆弱性编号规则 (23)

信息安全风险评估项目流程

信息安全风险评估项目流程 一、售前方案阶段 1.1、工作说明 技术部配合项目销售经理（以下简称销售）根据客户需求制定项目解决方案，客户认可后，销售与客户签订合同协议，同时向技术部派发项目工单（项目实施使用） 1.2、输出文档 《XXX项目XXX解决方案》 输出文档（电子版、纸质版）交付销售助理保管，电子版抄送技术部助理。 1.3、注意事项 ?销售需派发内部工单（售前技术支持） ?输出文档均一式三份（下同） 二、派发项目工单 2.1、工作说明 销售谈下项目后向技术部派发项目工单，技术部成立项目小组，

指定项目实施经理和实施人员。 三、项目启动会议 3.1、工作说明 ?销售和项目经理与甲方召开项目启动会议，确定各自接口负 责人。 ?要求甲方按合同范围提供《资产表》，确定扫描评估范围、人 工评估范围和渗透测试范围。 ?请甲方给所有资产赋值（双方确认资产赋值） ?请甲方指定安全评估调查（访谈）人员 3.2、输出文档 《XXX项目启动会议记要》 客户提交《信息资产表》、《网络拓扑图》，由项目小组暂时保管，以供项目实施使用 3.3、注意事项 ?资产数量正负不超过15%；给资产编排序号，以方便事后检 查。 ?给人工评估资产做标记，以方便事后检查。 ?资产值是评估报告的重要数据。

?销售跟客户沟通，为项目小组提供信息资产表及拓扑图，以 便项目小组分析制定项目计划使用。 四、项目前期准备 4.1、工作说明 ?准备项目实施PPT，人工评估原始文档（对象评估文档），扫 描工具、渗透测试工具、保密协议和授权书 ?项目小组与销售根据项目内容和范围制定项目实施计划。 4.2、输出文档 《XXX项目实施PPT》 《XXX项目人工访谈原始文档》 《XXX项目保密协议》 《XXX项目XXX授权书》 4.3、注意事项 ?如无资产表和拓扑图需到现场调查后再制定项目实施计划和 工作进度安排。 ?项目实施小组与客户约定进场时间。 ?保密协议和授权书均需双方负责人签字并加盖公章。 ?保密协议需项目双方参与人员签字

信息安全风险评估方案DOC

第一章网络安全现状与问题 1.1目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案，包括加密、身份认证、防病毒、防黑客等各个方面，每种解决方案都强调所论述方面面临威胁的严重性，自己在此方面的卓越性，但对于用户来说这些方面是否真正是自己的薄弱之处，会造成多大的损失，如何评估，投入多大可以满足要求，对应这些问题应该采取什麽措施，这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时，往往是头痛医头、脚痛医脚，面对层出不穷的安全问题，疲于奔命，再加上各种各样的安全产品与安全服务，使用户摸不着头脑，没有清晰的思路，其原因是由于没有一套完整的安全体系，不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下，安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象，它们过分强调了某个方面的重要性，而忽略了安全构件（产品）之间的关系。因此在客户化的、可操作的安全策略基础上，需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面，涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题，应该使之客户化、可定义、可管理。无论静态或动态（可管理）安全产品，简单的叠加并不是有效的防御措施，应该要求安全产品构件之间能够相互联动，以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点，因此即使是多层面的安全防御体系，如果是静态的，也无法抵御来自外部和内部的攻击，只有将众多的攻击手法进行搜集、归类、分析、消化、综合，将其体系化，才有可能使防御系统与之相匹配、相耦合，以自动适应攻击的变化，从而

信息安全风险评估项目流程-

信息安全风险评估项目流程 一、项目启动会议 1.1、工作说明 ?项目经理与甲方召开项目启动会议，确定各自接口负责人。 ?要求甲方按合同范围提供《资产表》，确定扫描评估范围、人 工评估范围和渗透测试范围。 ?请甲方给所有资产赋值（双方确认资产赋值） ?请甲方指定安全评估调查（访谈）人员 1.2、输出文档 《项目启动会议记要》 客户提交《信息资产表》、《网络拓扑图》，由项目小组暂时保管，以供项目实施使用 1.3、注意事项 ?资产数量正负不超过15%；给资产编排序号，以方便事后检 查。 ?给人工评估资产做标记，以方便事后检查。 ?资产值是评估报告的重要数据。 ?销售跟客户沟通，为项目小组提供信息资产表及拓扑图，以

便项目小组分析制定项目计划使用。 二、项目前期准备 2.1、工作说明 ?准备人工评估原始文档（调查表），扫描工具、渗透测试工具、 保密协议和授权书 ?项目小组根据项目内容和范围制定项目实施计划。 2.2、输出文档 《信息安全风险评估调查表》 《项目保密协议》 《漏洞扫描、渗透测试授权书》 2.3、注意事项 ?如无资产表和拓扑图需到现场调查后再制定项目实施计划和 工作进度安排。 ?项目实施小组与客户约定进场时间。 ?保密协议和授权书均需双方负责人签字并加盖公章。 ?保密协议需项目双方参与人员签字

三、驻场实施会议 3.1、工作说明 项目小组进场与甲方召开项目实施会议，确定评估对象和范围（主机、设备、应用、管理等）、实施周期（工作进度安排），双方各自提出自身要求，项目小组要求甲方提供办公场地、打印机、接入网络等项目必备环境。与甲方签订评估保密协议、授权书（漏洞扫描、人工评估、渗透测试等）。实施过程中需甲方人员陪同。 3.2、输出文档 无 3.3、注意事项 如前期未准备资产表与拓扑图，在此阶段项目小组进行调查（视情况是否另收费）。 四、现场实施阶段 4.1、工作说明 ?按照工作计划和被评估对象安排实施进度。 ?主要工作内容 漏洞扫描（主机、应用、数据库等）

信息安全风险评估.doc

***软件有限公司 信息安全风险评估指南 变更记录

信息安全风险评估指南 1、本指南在编制过程中主要依据了国家政策法规、技术标准、规范与管理要求、行业标 准并得到了无锡新世纪信息科技有限公司的大力支持。 1.1政策法规： ?《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）?《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》（国信办 [2006]5号） 1.2国际标准： ?ISO/IEC 17799：2005《信息安全管理实施指南》 ?ISO/IEC 27001：2005《信息安全管理体系要求》 ?ISO/IEC TR 13335《信息技术安全管理指南》 1.3国内标准： ?《信息安全风险评估指南》（国信办综[2006]9号） ?《重要信息系统灾难恢复指南》（国务院信息化工作办公室2005年4月） ?GB 17859—1999《计算机信息系统安全保护等级划分准则》 ?GB/T 18336 1-3：2001《信息技术安全性评估准则》 ?GB/T 5271.8--2001 《信息技术词汇第8部分：安全》 ?GB/T 19715.1—2005 《信息技术安全管理指南第1部分：信息技术安全概念和 模型》 ?GB/T 19716—2005 《信息安全管理实用规则》 1.4其它 ?《信息安全风险评估方法与应用》（国家863高技术研究发展计划资助项目 (2004AA147070)） 2、风险评估 2.1、风险评估要素关系模型 风险评估的出发点是对与风险有关的各因素的确认和分析。下图中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性，也是风险评估要素的一部分。风险评估的工作是围绕其基本要素展开的，在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。如下模