1、1xx 有限公司 记录编号 005创建日期 2015 年 8 月 16 日信息系统安全风险评估报告文档密级更改记录时间 更改内容 更改人项 目 名 称 : XXX 风险评估报告 被评估公司单位: XXX 有限公司 参与评估部门:XXXX 委员会 2一、风险评估项目概述1.1 工程项目概况1.1.1 建设项目基本信息风险评估版本 201X 年 8 日 5 日更新的资产清单及评估项目完成时间 201X 年 8 月 5 日项目试运行时间 2015 年 1-6 月1.2 风险评估实施单位基本情况评估单位名称 XXX 有限公司二、风险评估活动概述2.1 风险评估工作组织管理描述本次风险评估工作的组织体系
2、(含评估人员构成)、工作原则和采取的保密措施。2.2 风险评估工作过程本次评估供耗时 2 天,采取抽样的的方式结合现场的评估,涉及了公司所3有部门及所有的产品,已经包括了位于公司地址位置的相关产品。2.3 依据的技术标准及相关法规文件本次评估依据的法律法规条款有:序号 法律、法规及其他要求名称 颁布时间 实施时间 颁布部门1全国人大常委会关于维护互联网安全的决定2000.12.28 2000.12.28 全国人大常委会2中华人民共和国计算机信息系统安全保护条例1994.02.18 1994.02.18 国务院第 147 号令3中华人民共和国计算机信息网络国际联网管理暂行规定1996.02.01
3、 1996.02.01 国务院第 195 号令4中华人民共和国计算机软件保护条例2001.12.20 2002.01.01 国务院第 339 号令5中华人民共和国信息网络传播权保护条例2006.05.10 2006.07.01 国务院第 468 号令6中华人民共和国计算机信息网络国际联网管理暂行规定实施办法1998.03.06 1998.03.06国务院信息化工作领导小组7计算机信息网络国际联网安全保护管理办法1997.12.16 1997.12.30 公安部第 33 号令8计算机信息系统安全专用产品检测和销售许可证管理办法1997.06.28 1997.12.12 公安部第 32 号令49
4、计算机病毒防治管理办法 2000.03.30 2000.04.26 公安部第 51 号令10 恶意软件定义2007 06.27200706.27 中国互联网协会11 抵制恶意软件自律公约2007 06.27200706.27 中国互联网协会12计算机信息系统保密管理暂行规定1998.2.26 1998.02.26 国家保密局13计算机信息系统国际联网保密管理规定2000.01.01 2000.01.01 国家保密局14 软件产品管理办法 2000.10.08 2000.10.08中华人民共和国工业和信息化部15互联网等信息系统网络传播视听节目管理办法2004.06.15 2004.10.11
5、国家广播电影电视总局16 互联网电子公告服务管理规定 2000.10.08 2000.10.08 信息产业部17信息系统工程监理工程师资格管理办法2003 年颁布 2003.03.26 信息产业部18信息系统工程监理单位资质管理办法2003.03.26 2003.04.01 信息产业部19 电子认证服务管理办法 2009.02.04 2009.03.31 信息产业部20关于印发国家电子信息产业基地和产业园认定管理办法(试行) 的通知2008.03.04 2008.03.04中华人民共和国信息产业部521计算机软件著作权登记收费项目和标准1992.03.16 1992.04.01机电部计算机软件
6、登记办公室22 中国互联网络域名管理办法 2004.11.05 2004.12.20 信息产业部23 中华人民共和国专利法 2010.01.09 2010.02.01全国人民代表大会常务委员24 中华人民共和国技术合同法 1987.06.23 1987.06.23 国务院科学技术部25 关于电子专利申请的规定 2010.08.27 2010.10.01 国家知识产权局26 中华人民共和国著作权法 2010.02.26 2010.02.26 全国人大常委会27中华人民共和国著作权法实施条例2002.08.02 2002.9.15 国务院第 359 号令28 科学技术保密规定 1995.01.06
7、 1995.01.06 国家科委、国家保密局29 互联网安全保护技术措施规定 2005.12.13 2006.03.01 公安部发布30 中华人民共和国认证认可条例 2003.09.03 2003.11.1 国务院第 390 号令31中华人民共和国保守国家秘密法2010.04.29 2010.10.01 全国人大常委会32 中华人民共和国国家安全法 1993.02.22 1993.02.22 全国人大常委会33中华人民共和国商用密码管理条例1999.10.07 1999.10.07 国务院第 273 号令34 消防监督检查规定 2009.4.30 2009.5.1 公安部第 107 号35 仓
8、库防火安全管理规则 1990.03.22 1994.04.10中华人民共和国公安部令第 6 号636 地质灾害防治条例 2003.11.24 2004.03.01 国务院 34 号37 电力安全生产监管办法 2004.03.09 2004.03.09国家电力监管委员会第 2号38 中华人民共和国劳动法 2007.06.29 2008.1.1华人民共和国主席令第二十八号39 失业保险条例 1998.12.26 1999.01.22 国务院40 失业保险金申领发放 2001.10.26 2001.01.01 劳动和社会保障部41中华人民共和国企业劳动争议处理条例1993.06.11 1993.08
9、.01 国务院2.4 保障与限制条件需要被评估单位提供的文档、工作条件和配合人员等必要条件,以及可能的限制条件。三、评估对象3.1 评估对象构成与定级3.1.1 网络结构根据提供的网络拓扑图,进行结构化的审核。73.1.2 业务应用本公司涉及的数据中心运营及服务活动。3.1.3 子系统构成及定级N/A3.2 评估对象等级保护措施按照工程项目安全域划分和保护等级的定级情况,分别描述不同保护等级保护范围内的子系统各自所采取的安全保护措施,以及等级保护的测评结果。根据需要,以下子目录按照子系统重复。3.2.1 XX 子系统的等级保护措施根据等级测评结果,XX 子系统的等级保护管理措施情况见附表一。根
10、据等级测评结果,XX 子系统的等级保护技术措施情况见附表二。四、资产识别与分析4.1 资产类型与赋值4.1.1 资产类型按照评估对象的构成,分类描述评估对象的资产构成。详细的资产分类与赋值,以附件形式附在评估报告后面,见附件 3 资产类型与赋值表。84.1.2 资产赋值填写资产赋值表。大类 详细分类 举例经营规划 中长期规划等经营计划等组织情况 组织变更方案等组织机构图等组织变更通知等组织手册等文档和数据规章制度 各项规程、业务手册等人事制度人事方案等人事待遇资料等录用计划等离职资料等中期人员计划等人员构成等人事变动通知等培训计划等培训资料等9财务信息 预决算(各类投资预决算)等业绩(财务报告
11、)等中期财务状况等资金计划等成本等财务数据的处理方法(成本计算方法和系统,会计管理审查等经营分析系统,减税的方法、规程)等营业信息 市场调查报告(市场动向,顾客需求,其它本公司动向及对这些情况的分析方法和结果)等商谈的内容、合同等报价等客户名单等营业战略(有关和其它本公司合作销售、销售途径的确定及变更,对代理商的政策等情报)等退货和投诉处理(退货的品名、数量、原因及对投诉的处理方法)等10供应商信息等技术信息 试验/分析数据(本公司或者委托其它单位进行的试验/分析)等研究成果(本公司或者和其它单位合作研究开发的技术成果)等科技发明的内容(专利申请书以及有关的资料/试验数据)等开发计划书等新产品开发的体制、组织(新品开发人员的组成,业务分担,技术人员的配置等)技术协助的有关内容(协作方,协作内容,协作时间等)教育资料等技术备忘录等软件信息 生产管理系统等技术解析系统等计划财务系统等
