信息系统安全等级测评报告模版（试行）(公信安[2009]1487)

报告编号 [2009版]

7 风险分析和评价

依据等级保护的相关规范和标准，采用风险分析的方法分析信息系统等级测评结果中存在的安全问题（等级测评结果中部分符合项或不符合项的汇总结果）可能对信息系统安全造成的影响。

分析过程包括：

1）判断安全问题被威胁利用的可能性，可能性的取值范围为高、中和低； 2）判断安全问题被威胁利用后，对信息系统安全（业务信息安全和系统服务安全）造成的影响程度，影响程度取值范围为高、中和低；

3）综合1）和2）的结果对信息系统面临的安全风险进行赋值，风险值的取值范围为高、中和低；

4）结合信息系统的安全保护等级对风险分析结果进行评价，即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。

以列表形式给出等级测评发现安全问题以及风险分析和评价情况。

系统安全问题风险分析和评价表

序号 一 二 三 … 问题描述 关联资产1 关联威胁2 风险值 风险评价

12

如风险值和评价相同，可填写多个关联资产。 对于多个关联的情况，应分别填写。

第13页/共15页

正文

报告编号 [2009版]

8 等级测评结论

综合第5、6、7章的测评与分析结果，对信息系统基本安全保护状态进行综合判断，并给出等级测评结论，应表述为“符合、“基本符合”或者“不符合”。

测评结论的判别依据如下：

测评结论 符合 基本符合 临高等级安全风险 等级测评结果中存在部分符合项或不符合项，导致信息系统面临高等不符合 级安全风险 判别依据 等级测评结果中不存在部分符合项或不符合项 等级测评结果中存在部分符合项或不符合项，但不会导致信息系统面正文 第14页/共15页

报告编号 [2009版]

9 安全建设整改建议

针对系统存在的主要安全问题提出安全建设整改建议。

正文 第15页/共15页