附表4：

信息安全检查情况报告表

安全状况分析方法

　　一、主要问题分析

　　1.从安全管理和技术防护两个方面，对检查中发现的主要问题及薄弱环节逐一进行研究，深入分析问题产生的直接原因以及深层次的原因，研究提出相应的改进措施。

　　2.从法律法规、政策制度、技术手段三个方面，分析制约本单位系统安全防护能力提高的主要因素，包括当前不适应安全管理工作或缺失的法律法规及政策制度，安全防护中缺少或严重不足的技术手段等，研究提出关于加强信息安全工作的意见和建议等。

　　二、国外依赖度分析

　　根据对主要软硬件设备和信息技术外包服务的检查情况，统计国外产品和服务所占的比例，分析系统对国外产品和服务的依赖程度，记录分析结果。

　　系统对国外产品和服务的依赖程度按以下标准判定：

　　1.高依赖：国外停止产品更新升级、终止技术支持等服务后，信息系统无法运行。

　　2.中依赖：国外停止产品更新升级、终止技术支持等服务后，信息系统能够运行，但系统功能、性能等受较大影响。

　　3.低依赖：国外停止产品更新升级、终止技术支持等服务后，信息系统能够正常运转或受影响较小。

　　三、主要威胁分析

　　根据安全检测发现的漏洞和隐患，分析系统存在的安全风险，判断面临的安全威胁程度以及具备的安全防护能力，评估系统总体安全状况。

　　1.系统面临的安全威胁程度按以下标准判定

　　系统具有下述特征之一的，为高安全威胁：（1）连接互联网，采用远程在线方式进行运维或对国外产品和服务高度依赖；（2）跨地区联网运行或网络规模大、用户多，采用远程在线方式进行运维或对国外产品和服务高度依赖；（3）存在其他可能导致系统中断或系统运行受严重影响、大量敏感信息泄露等的威胁。

　　系统具有下述特征之一的，为中安全威胁：（1）连接互联网，对国外产品和服务中度依赖；（2）跨地区联网运行或网络规模大、用户多，对国外产品和服务中度依赖；（3）存在其他可能导致系统运行受较大影响、敏感信息泄露等的威胁。

　　系统具有下述特征之一的，为低安全威胁：（1）连接互联网，对国外产品和服务依赖度低；（2）跨地区联网运行或网络规模大、用户多，对国外产品和服务依赖度低；（3）存在其他可能导致系统运行受影响、信息泄露等的威胁。

　　2.系统安全防护能力按以下标准判定

　　安全防护能力高：经组织专业技术力量对系统进行攻击测试，不能通过互联网进入或控制系统。

　　安全防护能力中：经组织专业技术力量对系统进行攻击测试，能够通过互联网进入或控制系统，但进入或控制系统的难度较高。

　　安全防护能力低：经组织专业技术力量对系统进行攻击测试，能够轻易通过互联网进入或控制系统。