二、三级必威体育官网网址认定-技术篇-20201016××××公司风险评估报告（V2.0专用机）.docx

涉密信息设备和涉密存储设备风险评估报告 PAGE 1 涉密信息设备、涉密存储设备 风险评估报告 ××××××××有限公司 二〇二〇年十二月 目 录 TOC \o 1-3 \h \z \u 1 概述 1 2 评估工作组织和职责 1 2.1 工作组织和人员 1 2.2 人员分工 2 2.3 工作职责 2 3 评估依据与评估原则 3 3.1 评估依据 3 3.2 评估原则 4 4 评估范围与评估方法 4 4.1 评估范围 4 4.2 评估方法 5 5 应用工具及评估时间 6 5.1 应用工具 6 5.2 评估时间 6 6 资产识别 7 6.1 识别要求 7 6.2 资产内容 7 7 风险评估 11 7.1 评估计算方法 11 7.2 评估内容 11 7.2.1 物理环境与设施安全评估（满分40分） 11 7.2.2 管理机构和管理制度评估（满分10分） 14 7.2.3 管理人员安全评估（满分10分） 15 7.2.4 信息设备和存储设备管理与使用评估（满分38分） 16 7.2.5 身份鉴别与访问控制评估（满分28分） 19 7.2.6 信息交换评估（满分20分） 21 7.2.7 运行维护评估（满分52分） 23 7.2.8 安全策略与安全产品评估（满分20分） 26 7.2.9 安全审计评估（满分10分） 27 7.2.10 安全事件与应急响应评估（满分10分） 28 8 风险评估结论 30 8.1 风险自评估总体情况 30 8.2 存在风险问题 31 9 改进措施建议 31 10 相关部门负责人和单位分管负责人审签记录表 33 11 整改闭环情况工作记录 34 附表一： 35 注： 文中有×××的需要替换，有些是人员姓名或部门名称。 标红的日期时间需要按实际日期时间修改。 标红文字的文字项如果公司没有配置的设备、介质或产品可以删除。 最后出报告时，把方框内打钩的和得分数全部改为手写，还有最后审签记录表中的文字全部应该由对应人员手写并签字、时间。 最后打印归档时将此页说明删除。 涉密信息设备和涉密存储设备风险评估报告 PAGE 1 概述 依据《武器装备科研生产单位必威体育官网网址资格审查认定管理办法》、《武器装备科研生产单位三级必威体育官网网址资格标准》、《武器装备科研生产单位三级必威体育官网网址资格评分标准》等国家有关法律、法规和标准要求，结合××××××××公司（以下简称：公司）《信息系统、信息设备和存储设备管理制度》、《信息安全策略》要求以及公司涉密计算机和涉密存储设备安全管理现状，对公司信息系统、信息设备和存储设备进行全面的安全风险评估，对存在的风险进行识别、分析、评估，及时、准确的掌握公司信息系统、信息设备和存储设备的安全现状，以便下一步对存在的风险进行有效的管理，对存在的某些安全问题进行解决。 通过定期对公司在用的涉密信息设备和涉密存储设备进行风险自评估，根据《风险评估报告》的评估结论，查找脆弱性和威胁，确定风险和隐患，进行隐患漏洞和危害性分析评估，针对隐患漏洞和风险，进行来源和威胁分析，及时修改安全策略，并提出可行的管理和技术改进措施建议。降低必威体育官网网址管理的风险，从而促进公司必威体育官网网址管理工作的进一步提高，确保国家秘密的安全。 评估工作组织和职责 工作组织和人员 公司风险评估工作采用自评估方式进行，由公司相关部门和人员组成风险自评估工作小组。评估人员由××××部（信息化管理部门）、××××部（运行维护机构）、××××部（必威体育官网网址办公室）等相关部门人员组成。对公司涉密信息设备、涉密存储设备进行综合安全分析和评估。 组 长：刘××（信息化管理部门） 副组长：王××（运行维护机构） 成 员：张××（必威体育官网网址办主任）、李××（安全必威体育官网网址管理员）、孙××（安全审计员）、胡××（兼职必威体育官网网址员）、赵××（综合管理部管理安全保卫的人员） 人员分工 组长刘××负责风险评估工作组全面工作；副组长王××负责各项实施计划的具体落实；成员张××负责指导风险评估工作的合规性；赵××负责公司物理环境和设施的安全评估；李××、孙××、胡××负责利用管理和技术手段，对公司涉密信息设备和涉密存储设备进行综合按安全分析和具体评估，并形成风险评估报告。 工作职责 公司风险自评估工作小组职责如下： 公司××××部（信息化管理部门）依据必威体育官网网址标准要求会同公司必威体育官网网址办公室以及指导下，组织××××部（运行维护机构）利用管理和技术手段，每年至少对涉密信息设备和涉密存储设备进行一次综合安全分析和评估。 公司××××部（运行维护机构）应当依据风险自评估结果，形成公司风险