附表4：

信息安全檢查情況報告表

?

?

安全狀況分析方法

　　一、主要問題分析

　　1.從安全管理和技術防護兩個方面，對檢查中發現的主要問題及薄弱環節逐一進行研究，深入分析問題產生的直接原因以及深層次的原因，研究提出相應的改進措施。

　　2.從法律法規、政策制度、技術手段三個方面，分析制約本單位系統安全防護能力提高的主要因素，包括當前不適應安全管理工作或缺失的法律法規及政策制度，安全防護中缺少或嚴重不足的技術手段等，研究提出關于加強信息安全工作的意見和建議等。

　　二、國外依賴度分析

　　根據對主要軟硬件設備和信息技術外包服務的檢查情況，統計國外產品和服務所占的比例，分析系統對國外產品和服務的依賴程度，記錄分析結果。

　　系統對國外產品和服務的依賴程度按以下標準判定：

　　1.高依賴：國外停止產品更新升級、終止技術支持等服務后，信息系統無法運行。

　　2.中依賴：國外停止產品更新升級、終止技術支持等服務后，信息系統能夠運行，但系統功能、性能等受較大影響。

　　3.低依賴：國外停止產品更新升級、終止技術支持等服務后，信息系統能夠正常運轉或受影響較小。

　　三、主要威脅分析

　　根據安全檢測發現的漏洞和隱患，分析系統存在的安全風險，判斷面臨的安全威脅程度以及具備的安全防護能力，評估系統總體安全狀況。

　　1.系統面臨的安全威脅程度按以下標準判定

　　系統具有下述特征之一的，為高安全威脅：（1）連接互聯網，采用遠程在線方式進行運維或對國外產品和服務高度依賴；（2）跨地區聯網運行或網絡規模大、用戶多，采用遠程在線方式進行運維或對國外產品和服務高度依賴；（3）存在其他可能導致系統中斷或系統運行受嚴重影響、大量敏感信息泄露等的威脅。

　　系統具有下述特征之一的，為中安全威脅：（1）連接互聯網，對國外產品和服務中度依賴；（2）跨地區聯網運行或網絡規模大、用戶多，對國外產品和服務中度依賴；（3）存在其他可能導致系統運行受較大影響、敏感信息泄露等的威脅。

　　系統具有下述特征之一的，為低安全威脅：（1）連接互聯網，對國外產品和服務依賴度低；（2）跨地區聯網運行或網絡規模大、用戶多，對國外產品和服務依賴度低；（3）存在其他可能導致系統運行受影響、信息泄露等的威脅。

　　2.系統安全防護能力按以下標準判定

　　安全防護能力高：經組織專業技術力量對系統進行攻擊測試，不能通過互聯網進入或控制系統。

　　安全防護能力中：經組織專業技術力量對系統進行攻擊測試，能夠通過互聯網進入或控制系統，但進入或控制系統的難度較高。

　　安全防護能力低：經組織專業技術力量對系統進行攻擊測試，能夠輕易通過互聯網進入或控制系統。