计算机风险评估报告
word/media/image3.gif
公司本次风险评估工作成员:
组长:
主任:
成员:
工作原则:依据综合审计日志和信息安全策略准则,在风险评估过程中把最真实的数据和结果反映出来,并及时调整信息的安全保密策略,及时补充完善技术与管理措施,使计算机保持与等级要求相一致的安全保护水平。
此次评估阶段和具体工作内容包括
第一阶段:资产识别与分析
第二阶段:威胁识别与分析
第三阶段:脆弱性识别与分析
第四阶段:综合分析与评价
第五阶段:整改意见
本次风险评估依据公司保密安全策略和综合审计报告等文件
此次风险评估对象包括公司所有计算机,其担任的主要任务是信息的产生、传输、与最终流向。
按照评估对象的构成,分类描述评估对象的资产构成。详细的资产分类与赋值,以附件形式附在评估报告后面,见附件3《资产类型与赋值表》。
资产赋值表
见《威胁赋值表》。
按照检测对象、检测结果、脆弱性分析分别描述以下各方面的脆弱性检测结果和结果分析。
在计算机的管理上采用严格的管理制度和安全策略,脆弱性赋值为低。
计算机安装的是windows xp sp3系统,通过对其稳定性测试和漏洞扫描并及时安装漏洞补丁,脆弱性赋值为低。
计算机的应用有严格的身份鉴别和软件的安全稳定性测试,脆弱性赋值为低。
6.1.4数据处理和存储脆弱性
计算机的数据处理和存储采用自动保存和定期备份机制,确保完整性,脆弱性赋值为低。
计算机定期进行软件更新和硬件维护,脆弱性赋值为低。
根据保密安全策略的应急响应策略,定期对应急计划和响应程序进行检查和进行必要的演练,确保其始终有效。脆弱性赋值为低。
根据物理安全策略,划分了安全区域,并进行物理访问控制,进行记录在案。脆弱性赋值为低。
根据杀毒软件的综合杀毒日志和杀毒记录,脆弱性赋值为低。
根据计算机综合审计日志进行分析,脆弱性赋值为低。
通过安装电磁辐射干扰仪,脆弱性赋值为低。
见《脆弱性分析赋值表》。
根据上述风险评估结果,评定公司计算机的风险值是很低的,希望公司各涉密人员能够继续保持和遵守安全保密策略和行为准册,严格要求自己。
根据评估结果提出以下几点整改意见:
1.加强计算机管理使用制度的培训。
2.对安全产品的实施要做到及时到位。
3.严格按照审批手续执行
附件1:管理措施表
附件2:技术措施表
附件3:威胁赋值表
附件4:脆弱性分析赋值表
本文来源:https://www.2haoxitong.net/k/doc/b1a00ee8640e52ea551810a6f524ccbff021ca86.html
文档为doc格式