信息系统安全风险评估报告
xx有限公司记录编号005
信息系统安全风险评估报告创建日期2015年8月16日文档密级
更改记录
时间更改内容更改人
项目名称:XXX风险评估报告
被评估公司单位:XXX有限公司
参与评估部门:XXXX委员会
一、风险评估项目概述
1.1 工程项目概况
1.1.1 建设项目基本信息
风险评估版
本201X年8日5日更新的资产清
单及评估
项目完成时
间
201X年8月5日项目试运行
时间
2015年1-6月
1.2 风险评估实施单位基本情况
评估单
位名称
XXX有限公司
二、风险评估活动概述
2.1 风险评估工作组织管理
描述本次风险评估工作的组织体系(含评估人员构成)、工作原则和采取的保密措施。
2.2 风险评估工作过程
本次评估供耗时2天,采取抽样的的方式结合现场的评估,涉及了公司所有部门及所有的产品,已经包括了位于公司地址位置的相关产品。
2.3 依据的技术标准及相关法规文件
本次评估依据的法律法规条款有:
序号法律、法规及其
他要求名称
颁布时
间
实施时
间
颁布部门
1 全国人大常委会
关于维护互联网
安全的决定
2000.
12.28
2000.
12.28
全国人大常
委会
2 中华人民共和国1994.1994.国务院第
计算机信息系统
安全保护条例
02.18 02.18 147号令
3 中华人民共和国
计算机信息网络
国际联网管理暂
行规定
1996.
02.01
1996.
02.01
国务院第
195号令
4 中华人民共和国
计算机软件保护
条例
2001.
12.20
2002.
01.01
国务院第
339号令
5 中华人民共和国
信息网络传播权
保护条例
2006.
05.10
2006.
07.01
国务院第
468号令
6 中华人民共和国
计算机信息网络
1998.
03.06
1998.
03.06
国务院信息
化工作领导
国际联网管理暂
行规定实施办法
小组
7 计算机信息网络
国际联网安全保
护管理办法
1997.
12.16
1997.
12.30
公安部第33
号令
8 计算机信息系统
安全专用产品检
测和销售许可证
管理办法
1997.
06.28
1997.
12.12
公安部第32
号令
9 计算机病毒防治
管理办法
2000.
03.30
2000.
04.26
公安部第51
号令
1 0 恶意软件定义
2007
.06.
27
2007
.06.
27
中国互联网
协会
1 1 抵制恶意软件自
律公约
2007
.06.
27
2007
.06.
27
中国互联网
协会
1 2 计算机信息系统
保密管理暂行规
定
1998.
2.26
1998.
02.26
国家保密局
1 3 计算机信息系统
国际联网保密管
理规定
2000.
01.01
2000.
01.01
国家保密局
1 4 软件产品管理办
法
2000.
10.08
2000.
10.08
中华人民共
和国工业和
信息化部
1 5 互联网等信息系
统网络传播视听
2004.
06.15
2004.
10.11
国家广播电
影电视总局
节目管理办法
1 6 互联网电子公告
服务管理规定
2000.
10.08
2000.
10.08
信息产业部
1 7 信息系统工程监
理工程师资格管
理办法
2003
年颁布
2003.
03.26
信息产业部
1 8 信息系统工程监
理单位资质管理
办法
2003.
03.26
2003.
04.01
信息产业部
1 9 电子认证服务管
理办法
2009.
02.04
2009.
03.31
信息产业部
2 0 关于印发《国家
电子信息产业基
地和产业园认定
2008.
03.04
2008.
03.04
中华人民共
和国信息产
业部
管理办法(试行)》的通知
2 1 计算机软件著作
权登记收费项目
和标准
1992.
03.16
1992.
04.01
机电部计算机软件登记办
公室
2 2 中国互联网络域
名管理办法
2004.
11.05
2004.
12.20
信息产业部
2 3 中华人民共和国
专利法
2010.
01.09
2010.
02.01
全国人民代表大会常务委
员
2 4 中华人民共和国
技术合同法
1987.
06.23
1987.
06.23
国务院科学
技术部
2 5 关于电子专利申
请的规定
2010.
08.27
2010.
10.01
国家知识产
权局
2中华人民共和国2010.2010.全国人大常
6 著作权法02.26 02.26 委会
2 7 中华人民共和国
著作权法实施条
例
2002.
08.02
2002.
9.15
国务院第
359号令
2 8 科学技术保密规
定
1995.
01.06
1995.
01.06
国家科委、国
家保密局
2 9 互联网安全保护
技术措施规定
2005.
12.13
2006.
03.01
公安部发布
3 0 中华人民共和国
认证认可条例
2003.
09.03
2003.
11.1
国务院第
390号令
3 1 中华人民共和国
保守国家秘密法
2010.
04.29
2010.
10.01
全国人大常
委会
3 2 中华人民共和国
国家安全法
1993.
02.22
1993.
02.22
全国人大常
委会
3 3 中华人民共和国
商用密码管理条
例
1999.
10.07
1999.
10.07
国务院第
273号令
3 4 消防监督检查规
定
2009.
4.30
2009.
5.1
公安部第
107号
3 5 仓库防火安全管
理规则
1990.
03.22
1994.
04.10
中华人民共
和国公安部
令第6号
3 6 地质灾害防治条
例
2003.
11.24
2004.
03.01
国务院394
号
3 7 《电力安全生产
监管办法》
2004.
03.09
2004.
03.09
国家电力监管委员会第2
号
3 8 中华人民共和国
劳动法
2007.
06.29
2008.
1.1
华人民共和国主席令第二
十八号
3 9 失业保险条例
1998.
12.26
1999.
01.22
国务院
4 0 失业保险金申领
发放
2001.
10.26
2001.
01.01
劳动和社会
保障部
4 1 中华人民共和国
企业劳动争议处
理条例
1993.
06.11
1993.
08.01
国务院
2.4 保障与限制条件
需要被评估单位提供的文档、工作条件和配合人员等必要条件,以及可能的限制条件。
三、评估对象
3.1 评估对象构成与定级
3.1.1 网络结构
根据提供的网络拓扑图,进行结构化的审核。
3.1.2 业务应用
本公司涉及的数据中心运营及服务活动。
3.1.3 子系统构成及定级
N/A
3.2 评估对象等级保护措施
按照工程项目安全域划分和保护等级的定级情况,分别描述不同保护等级保护范围内的子系统各自所采取的安全保护措施,以及等级保护的测评结果。
根据需要,以下子目录按照子系统重复。
3.2.1XX子系统的等级保护措施
根据等级测评结果,XX子系统的等级保护管理措施情况见附表一。
根据等级测评结果,XX子系统的等级保护技术措施情况见附表二。
四、资产识别与分析
4.1 资产类型与赋值
4.1.1资产类型
按照评估对象的构成,分类描述评估对象的资产构成。详细的资产分类与赋
值,以附件形式附在评估报告后面,见附件3《资产类型与赋值表》。
4.1.2资产赋值
填写《资产赋值表》。
大类详细分类举例
文档和数据经营规划中长期规划等
经营计划等
组织情况组织变更方案等
组织机构图等
组织变更通知等
组织手册等
规章制度各项规程、业务手
册等
人事制度
人事方案等
人事待遇资料等
录用计划等
离职资料等
中期人员计划等
人员构成等
人事变动通知等
培训计划等
培训资料等
财务信息预决算(各类投资
预决算)等
业绩(财务报告)等
中期财务状况等
资金计划等
成本等
财务数据的处理方
法(成本计算方法
和系统,会计管理
审查等经营分析系
统,减税的方法、
规程)等
营业信息市场调查报告(市
场动向,顾客需求,
其它本公司动
向及对这些情况的
分析方法和结果)
等
商谈的内容、合同
等
报价等
客户名单等
营业战略(有关和
其它本公司合作销
售、销售途径的
确定及变更,对代
理商的政策等情
报)等
退货和投诉处理
(退货的品名、数
量、原因及对投诉
的
处理方法)等
供应商信息等
技术信息试验/分析数据(本
公司或者委托其它单位进行的试
验/分析)等
研究成果(本公司或者和其它单位合作研究开发的
技术成果)等
科技发明的内容(专利申请书以及有关的资料/试验数
据)等
开发计划书等
新产品开发的体
制、组织(新品开
发人员的组成,业
务
分担,技术人员的
配置等)
技术协助的有关内
容(协作方,协作
内容,协作时间等)
教育资料等
技术备忘录等
软件信息生产管理系统等
技术解析系统等
计划财务系统等
设计书等
流程等
编码、密码系统等
源程序表等
其他诉讼或其他有争议
案件的内容(民事、
无形资产、工伤
等纠纷内容)
本公司基本设施情
况(包括动力设施)
等
董事会资料(新的
投资领域、设备投
资计划等)
本公司电话簿等
本公司安全保卫实
施情况及突发事件
对策等
软件操作系统Windows、
Linux 等
应用软件/系统开发工具、办公软
件、网站平台、财
务系统等
数据库MS SQL Server、
MySQL 等
硬件设备通讯工具传真等
传输线路光纤、双绞线等
存储媒体磁带、光盘、软盘、
U 盘等
存储设备光盘刻录机、磁带
机等
文印设备打印机、复印机、
扫描仪
服务器PC Server、小型机
等
桌面终端PC、工作站等
网络通信设备路由器、交换机、
集线器、无线路由
器等
网络安全设备防火墙、防水墙、
IPS 等
支撑设施UPS、机房空调、
发电机等
人力资源高层管理人员高层管理人员本
公司总/副总经理、
总监等
中层管理人员部门经理
技术管理人员项目经理、项目组
长、安全工程师普通技术人员软件工程师、程序
员、测试工程师、界面
工程师等
IT 服务人员系统管理员、网络
管理员、维护工程
师
其它人事、行政、财务
等人员
服务通信ADSL、光纤等
房租办公房屋租用
托管服务器托管、虚拟
主机、邮箱托管
法律外聘律师、法律顾
问
供电照明电、动力电
审计财务审计
6.2. 资产赋值判断准则
对资产的赋值不仅要考虑资产的经济价值,更重要的是要考虑资产的安全状况对于系统或组织的重要性,由资产在其三个安全属性上的达成程度决定。
资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析,并在
此基础上得出综合结果的过程。达成程度可由安全属性缺失时造成的影响来表示,这种影响
可能造成某些资产的损害以至危及信息系统,还可能导致经济效益、市场份额、组织形象的
损失。
6.2.1. 机密性赋值
根据资产在机密性上的不同要求,将其分为三个不同的等级,分别对应资产在机密性上
应达成的不同程度或者机密性缺失时对整个组织的影响。
赋值标识定义
3 高包含组织最重要的秘密,关系未来
发展的前途命运,对根本利益有着
决
定性的影响,如果泄露会造成灾难
性的损害,例如直接损失超过100
万
人民币,或重大项目(合同)失败,
或失去重要客户,或关键业务中断3
天。
2 中组织的一般性秘密,其泄露会使组
织的安全和利益受到损害,例如直
接
损失超过10 万人民币,或项目(合
同)失败,或失去客户,或关键业
务
中断超过1 天。
1 低可在社会、组织内部或在组织某一
部门内部公开的信息,向外扩散有
可
能对组织的利益造成轻微损害或不
造成伤害。
6.2.2. 完整性赋值
根据资产在完整性上的不同要求,将其分为三个不同的等级,分别对应资产在完整性上
缺失时对整个组织的影响。
赋值标识定义
3 高完整性价值非常关键,未经授权的
修改或破坏会对组织造成重大的或
无法接受的影响,对业务冲击重大,
并可能造成严重的业务中断,并且
难以弥补。例如直接损失超过100
万人民币,或重大项目(合同)失
败,或失去重要客户。
2 中完整性价值中等,未经授权的修改
或破坏会对组织造成影响,对业务
冲击明显,但可以弥补。例如直接
损失超过10 万人民币,或项目(合
同)失败,或失去客户。
1 低完整性价值较低,未经授权的修改
或破坏会对组织造成轻微影响,甚
至可以忽略,对业务冲击轻微,容
易弥补。
6.2.3. 可用性赋值
根据资产在可用性上的不同要求,将其分为三个不同的等级,分别对应资产在可用性上
的达成的不同程度。
赋值标识定义
3 高可用性价值非常高,合法使用者对
资产的可用度达到年度90%以上,
或系统不允许中断。
2 中可用性价值中等,合法使用者对资
产的可用度在正常工作时间达到
50%以上,或系统允许中断时间小
于8 工作时。
1 低可用性价值较低或可被忽略,合法
使用者对资产的可用度在正常工作
时间达到50%以下,或系统允许中
断时间小于24 工作时。
6.2.4. 资产重要性等级
资产价值(V)=机密性价值(C)+完整性价值(I)+可用性价值(A)
资产等级:
资产总价值等级价值
分类
1 低 3 ~4
2 中 5 ~7
3 高8 ~9
4.2 重要资产清单及说明
在分析被评估系统的资产基础上,列出对评估单位十分重要的资产,作为风险评估的重点对象,并以清单形式列出如下:
重要资产列表
序
号
资产编号子系统名称应
用
资
产
重
要
程
度
权
重
其
他
说
明
1. F001 各类公司证件其他高
2. F002 财务账务文件其他高
3. F004 发票其他高
4. F006 用友通财务软件备份数据其他高
5. ATSH10-007 Pernod Ricard业务持续服务合同客户合同高
6. ATSH-11/001/10-007 天选备份软件维护服务合同供应商合
同
高
7. ATSH10-008 VantAsia业务持续服务合同客户合同高
8. ATSH11-001 NAB业务持续服务合同客户合同高
9. HW-009 服务器(运作技术部) 服务器高
10. HW-022 精密空调(运作技术部) 精密空调高
11. HW-023 UPS(运作技术部) UPS 高
12. HW-024 PPDC(运作技术部) PPDC 高
13. HW-026 AVAYA(运作技术部) 通讯设备高
14. HW-027 Switch(运作技术部) 网络设备高
15. HW-028 Router(运作技术部) 网络设备高
16. HW-029 Fire wall(运作技术部) 网络设备高
17. HW-030 DVR(运作技术部) 监控设备高
18. HW-031 客户数据(硬盘)硬盘高
19. HW-032 柴油发电机组柴油发电
机
高
20. F001 etax网上报税系统财务软件
-单机
高
21. F002 用友通财务软件财务软件
-单机
高
22. F003 发票打印软件财务软件
-单机
高
23. A-02-25-03-201106-004 Cowin 监控系统监控系统高
24. A-02-25-03-201106-005 General_PSS_V4.01.0.R.091112 监控系统高
25. H0001 梁文略高层管理
人员
高
26. S0002 杨英高层管理
人员
高
27. S0001 李海宁中层管理
人员
高
28. S0006 赵红销售人员高
29. S0003 张光辉中层管理
人员
高
30. S0004 刘子明IT 服务
人员
高
31. S0005 胡捷IT 服务
人员
高
32. S0008 张力IT 服务
人员
高
33. S0007 唐海英其它高
34. S0026 刘影其它高
35. server02 网络通信中国联通高
36. server03 供电物管- 德
必创意
高
37. server04 房屋物管- 德
必创意
高
五、威胁识别与分析
对威胁来源(内部/外部;主观/不可抗力等)、威胁方式、发生的可能性,威胁主体的能力水平等进行列表分析。下面是典型的威胁范本:
编号威胁硬件和设施软件和系统文档和
数据
人力
资源
服
务
1 故障★★
2 废弃★★★
3 服务失效/
中断
★
4 恶意软件★
5 抵赖★
6 通信监听★
7 操作失误★★
8 未经授权
更改
★★★
9 未经授权
★★★
访问,使用
或复制
★★
10 被利用传
送敏感信
息
11 盗窃★★★
12 供电故障★★
13 恶意破坏★★★
★★
14 电子存储
媒体故障
★★
15 违背知识
产权相关
法律、法规
16 温度、湿
★
度、灰尘超
限
17 静电★
18 黑客攻击★★
19 容量超载★★★
★★
20 系统管理
员权限滥
用
★★
21 密钥泄露、
篡改
22 密钥滥用★
23 个体伤害
★(车祸、疾
病等)
★24 不公正待
遇
25 社会工程★
26 人为灾难:
★★★★瘟疫、火
灾、爆炸、
恐
怖袭击等
27 自然灾难:
★★★★地震、洪
水、台风、
雷
击等
28 服务供应
★商泄密
5.1 威胁数据采集
5.2 威胁描述与分析
依据《威胁赋值表》,对资产进行威胁源和威胁行为分析。
5.2.1 威胁源分析
填写《威胁源分析表》。
5.2.2 威胁行为分析
填写《威胁行为分析表》。
5.2.3 威胁能量分析
5.3 威胁赋值
威胁发生可能性等级对照表
等级说明发生可能性
1 低非等级
2 与等级
3 的定义
2 中每半年至少发生一次但不及等
级3
3 高每月至少发生两次
说明:
判断威胁出现的频率是威胁识别的重要工作,评估者应根据经验和(或)有关的统计数据来进行判断。在风险评估过程中,还需要综合考虑以下三个方面,以形成在某种评估环境中各种威胁出现的频率:
1) 以往安全事件报告中出现过的威胁及其频率的统计;
2) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;
3) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁
预警。
六、脆弱性识别与分析
按照检测对象、检测结果、脆弱性分析分别描述以下各方面的脆弱性检测结果和结果分析。
6.1 常规脆弱性描述
编
号
大类编号小类及说明
1 环境和基础
设施1.1 物理保护的缺乏:建筑
物、门、窗等
1.2 物理访问控制不充分
或不仔细
1.3 电力供应不稳
1.4 处于易受到威胁的场
所,例如洪水、地震
1.5 缺乏防火、防雷等保护
性措施
2 硬件 2.1 缺乏周期性的设备更
新方案
2.2 易受电压变化影响
2.3 易受到温度、湿度、灰
尘和污垢影响
2.4 易受到电磁辐射
2.5 媒体介质缺乏维护或
错误安装
2.6 缺乏有效的配置变更
控制
2.7 缺乏设施安全控制机
制
2.8 不当维护
2.9 不当处置
3 软件 3.1 不清晰、不完整的开发
规格说明书
3.2 没有、或不完备的软件
测试
3.3 复杂的用户界面
3.4 缺乏标示和授权机制,
例如用户授权
3.5 缺乏审核踪迹
3.6 众所周知的软件缺陷,
易受病毒等攻击
3.7 密码表未受到保护
3.8 密码强度太弱
3.9 访问权限的错误配置3.10 未经控制的下载和使
用软件
3.11 离开工作常所未注销
(锁屏)
3.12 缺乏有效的变更控制3.13 文档缺乏
3.14 缺乏备份
3.15 处置或重用没有正确
的擦除内容的存储介
质
3.16 缺乏加解密使用策略3.17 缺乏密钥管理
3.18 缺乏身份鉴别机制
3.19 缺乏补丁管理机制
3.20 安装、使用盗版软件
3.21 缺乏使用监控
3.22 未经授权复制或传播
软件(许可)
3.23 缺乏(文件)共享安全
策略
3.24 缺乏服务/端口安全策
略
3.25 缺乏病毒库升级管理
机制
3.26 不受控发布公共信息
4 网络与通信 4.1 通信线路缺乏保护
4.2 电缆连接不牢固
4.3 对发送和接收方缺乏
识别与验证
4.4 明文传输口令
4.5 发送与接受消息时缺
少证据
4.6 拨号线路
4.7 未保护的敏感信息传
输
4.8 网络管理不恰当
4.9 未受保护的公网连接
4.10 缺乏身份鉴别机制
4.11 未配置或错误配置访
问权限
5 文档 5.1 存放缺乏保护
5.2 不受控访问或复制
5.3 随意处置
5.4 缺乏备份机制
6 人员 6.1 员工缺编
6.2 安全训练不完备
6.3 缺乏安全意识
6.4 缺乏控制机制
6.5 缺乏员工关怀/申诉政
策
6.6 不完备的招聘/离职程
序
6.7 道德缺失
7 服务与一般
应用弱点7.1 单点故障
7.2 服务故障响应不及时
7.3 负载过高
7.4 缺乏安全控制机制
7.5 缺乏应急机制
6.3 脆弱性综合列表
威胁发生可能性等级对照表
等级说明发生可能性
1 低非等级
2 与等级
3 的定义
2 中每半年至少发生一次但不及等
级3
3 高每月至少发生两次
说明:
判断威胁出现的频率是威胁识别的重要工作,评估者应根据经验和(或)有关的统计数据来进行判断。在风险评估过程中,还需要综合考虑以下
三个方面,以形成在某种评估环境中各种威胁出现的频率:
1) 以往安全事件报告中出现过的威胁及其频率的统计;
2) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;
3) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警。
七、风险分析
7.1 关键资产的风险计算结果
信息安全风险矩阵计算表
威胁低1 中2 高3
发生可能性
影响程度等级低
1
中
2
高
3
低
1
中
2
高
3
低
1
中
2
高
3
资产价值1 1 2 3 2 4 6 3 6 9
2 2 4 6 4 8 12 6 12 18
3 3 6 9 6 12 18 9 18 27
说明:
在完成了资产识别、威胁识别、弱点识别,以及对已有安全措施确认后,将采用适当的方法确定威胁利用弱点导致安全事件发生的可能性,考虑安全事件一旦发生其所作用的资产的重要性及
弱点的严重程度判断安全事件造成的损失对组织的影响,即安全风险。风险计算的方式如下,风险值=弱点被利用可能性等级X 威胁利用弱点影响程度等级X 资产价值
信息安全风险接受准则
等级划分标
准
说明
A级18及以
上不可接受的风险,必须采取控制措施
B级6-12 有条件接受的风险(需经评估小
组评审,判断是否可以接受的风
险)
C级1-4 不需要评审即可接受的风险
7.2.4 风险结果分析
等级数量说明
A级18 不可接受的风险,必须采取控制
措施
B级186 有条件接受的风险(需经评估小
组评审,判断是否可以接受的风
险)
C级17 不需要评审即可接受的风险
八、综合分析与评价
通过综合的评估,公司现有的风险评估的结果是适宜的、充分的、有效的。
九、整改意见
1. 加强各部门对风险处理技巧的培训。
2. 对A级风险公司的处理需对各部门进行公示。
3. 对A级和B级风险采取适当的控制措施,编写入公司的三级文件进行控制。
附件1:管理措施表
序号层面/
方面
安全控制/
措施
落
实
部分
没有
不
适
用安全管
理制度
管理制度√
制定和发布√
评审和修订√
安全管
理机构
岗位设置√
人员配备√
授权和审批√
沟通和合作√
审核和检查√
人员安人员录用√
序号层面/
方面
安全控制/
措施
落
实
部分
落实
没有
落实
不
适
用全管理人员离岗√
人员考核√
安全意识教
育和培训
√
外部人员访
问管理
√
系统建
设管理
系统定级√
安全方案设
计
√
产品采购√
自行软件开
发
√
序号层面/
方面
安全控制/
措施
落
实
部分
落实
没有
落实
不
适
用外包软件开
发
√工程实施√
测试验收√
系统交付√
系统备案√
安全服务商
选择
√
系统运
维管理
环境管理√
资产管理√
介质管理√
设备管理√
序号层面/
方面
安全控制/
措施
落
实
部分
落实
没有
落实
不
适
用监控管理和
安全管理中
心
√
网络安全管
理
√
系统安全管
理
√
恶意代码防
范管理
√
密码管理√
变更管理√
序号
层面/
方面
安全控制/
措施
落
实
部分
落实
没有
落实
不
适
用备份与恢复
管理
√
安全事件处
置
√
应急预案管
理
√
小计
附件2:技术措施表
序号层面/
方面
安全控制
/措施
落
实
部分
落实
没有
落实
不适
用
1 物理安
全
物理位置
的选择
√
序号层面/
方面
安全控制
/措施
落
实
部分
落实
没有
落实
不适
用物理访问
控制√
防盗窃和
防破坏√
防雷击√
防火√
防水和防
潮√
防静电√
温湿度控
制√
电力供应√
电磁防护√
网络安
全
网络结构
安全√
网络访问
控制√
网络安全
审计√
边界完整
性检查√网络入侵
防范√恶意代码
防范√网络设备
防护√
主机安全身份鉴别√访问控制√安全审计√剩余信息
保护√入侵防范√恶意代码
防范√资源控制√
应用安身份鉴别√
全访问控制√
安全审计√
剩余信息
保护√
通信完整
性√
通信保密
性√
抗抵赖√
软件容错√
资源控制√
数据安全及备份与恢复数据完整
性√数据保密
性√备份和恢
复√
附件3:资产类型与赋值表
针对每一个系统或子系统,单独建表
附件4:威胁赋值表
附件5:脆弱性分析赋值表
推荐访问: 财务信息系统保密风险评估报告 评估报告 风险 信息系统安全