《02信息安全各部门风险评估列表.xls》由会员分享,可在线阅读,更多相关《02信息安全各部门风险评估列表.xls(673页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、历历史史版版本本编编写写、批批准准、发发布布信信息息记记录录表表版本号创建人/创建日期批准人/批准日期生效日期V1.0信息安全管理小组2013-2-20杨永清 2013-3-12013/3/1/文文档档修修改改记记录录序号修改章节文件更改通知单编号修改日期修改人批准人风险评估准则 资产价值计算方法:资产价值 =保密性赋值完整性赋值可用性赋值 风险值计算方法:风 险 值 =资产等级威胁性赋值脆弱性赋值 资产等级、风险等级评定方法:见下要要素素准准则则数数据据资资产产实实体体资资产产保密性按信息的访问权限等级或信息的存储、传输及处理设施/人员涉及信息的访问权限等级来评估资产保密性的要求等级访问权限
2、赋值存储、传输及处理信息的访问权限赋值对公司及外部都是公开的1对公司及外部都是公开的1对公司内部所有员工是公开的3对公司内部所有员工是公开的3只限于公司某个部门或职能可以访问的信息5只限于公司某个部门或职能可以访问的信息5只限于公司中层管理人员以上或部门少数关键人员可以访问的信息7只限于公司中层管理人员以上或部门少数关键人员可以访问的信息7只限于公司高层管理人员或公司少数关键人员可以访问的信息9只限于公司高层管理人员或公司少数关键人员可以访问的信息9要要素素准准则则数数据据资资产产实实体体资资产产完整性按资产的准确性或完整性受损,而造成组织的业务持续或形象声誉受影响的严重程度来评估影响程度赋值
3、影响程度赋值可以忽略1可以忽略1轻微3轻微3一般5一般5严重7严重7非常严重9非常严重9要要素素准准则则数数据据资资产产实实体体/服服务务资资产产可用性按资产使用或允许中断的时间次数来评估数据存储、传输及处理设施在一个工作日内允许中断的次数或时间比例赋值每次中断允许时间赋值16次以上或全部工作时间中断13天以上19-15次或1/2工作时间中断313天33-8次或1/4工作时间中断512小时1天51-2次或1/8工作时间中断73小时12小时7不允许903小时9要要素素标标识识相相对对价价值值范范围围等等级级资产等级很高23,25,274高17,19,213一般11,13,152低3,5,7,91
4、要要素素标标识识发发生生的的频频率率等等级级威胁利用弱点导致危害的可能性很高出现的频率很高(或1次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过5高出现的频率较高(或 1次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过4一般出现的频率中等(或 1次/半年);或在某种情况下可能会发生;或被证实曾经发生过3低出现的频率较小;或一般不太可能发生;或没有被证实发生过2很低威胁几乎不可能发生;仅可能在非常罕见和例外的情况下发生1要要素素标标识识严严重重程程度度等等级级脆弱性被威胁利用后的严重性很高如果被威胁利用,将对公司重要资产造成重大损害5高如果被威胁利用,将对重要资产造成一
5、般损害4一般如果被威胁利用,将对一般资产造成重要损害3低如果被威胁利用,将对一般资产造成一般损害2很低如果被威胁利用,将对资产造成的损害可以忽略1要要素素标标识识风风险险值值范范围围级级别别风险级别高风险12144较高风险9113一般风险682低风险351自自有有软软件件/外外购购软软件件/服服务务/形形象象文文件件资资产产人人员员资资产产存储、传输及处理信息的访问权限赋值存储、传输及处理信息的访问权限赋值岗位接触信息的访问权限赋值对公司及外部都是公开的1对公司及外部都是公开的1对公司及外部都是公开的1对公司内部所有员工是公开的3对公司内部所有员工是公开的3对公司内部所有员工是公开的3只限于公
6、司某个部门或职能可以访问的信息5只限于公司某个部门或职能可以访问的信息5只限于公司某个部门或职能可以访问的信息5只限于公司中层管理人员以上或部门少数关键人员可以访问的信息7只限于公司中层管理人员以上或部门少数关键人员可以访问的信息7只限于公司中层管理人员以上可以访问的信息7只限于公司高层管理人员或公司少数关键人员可以访问的信息9只限于公司高层管理人员或公司少数关键人员可以访问的信息9只限于公司高层管理人员或少数关键人员可以访问的信息9自自有有软软件件/外外购购软软件件/服服务务/形形象象文文件件资资产产人人员员资资产产影响程度赋值文件类别赋值岗位范围赋值可以忽略1可以忽略1实习员工外聘临时工1
7、轻微3轻微3一般员工3一般5一般5技术、管理、财务等方面的骨干人员5严重7严重7中层管理人员7非常严重9非常严重9高层管理人员9文文件件/软软件件资资产产形形象象资资产产人人员员资资产产使用频次要求赋值使用频次赋值允许离岗时间赋值每年都要使用至少1次1每年都要使用至少1次110个工作日及以上1每个季度都要使用至少1次3每个季度都要使用至少1次36-9工作日3每个月都要使用至少1次5每个月都要使用至少1次53-5个工作日5每周都要使用至少1次7每周都要使用至少1次72个工作日7风险评估准则每天都要使用至少1次9每天都要使用至少1次91个工作日9可可接接受受准准则则风险不可接受,必须立即采取有效的
8、措施降低风险风险可以接受,但需要采取进一步措施降低风险风险可以接受常常见见威威胁胁ID威威胁胁威威胁胁方方影影响响资资产产R01篡改恶意人员业务数据R02传输信息泄漏恶意人员业务数据R03配置错误维护人员应用系统,业务数据R04冒名访问恶意人员业务数据R05病毒感染维护人员、用户业务数据,应用系统R06业务信息泄漏用户业务数据R07攻击恶意人员应用系统,业务数据R08操作抵赖维护人员,用户应用系统,业务数据R09越权访问用户应用系统,业务数据R10设备物理破坏恶意人员应用系统,业务数据威威胁胁分分类类表表种类描述软硬件故障对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件
9、缺陷等问题物理环境影响对信息系统正常运行造成影响的物理环境问题和自然灾害无作为或操作失误应该执行而没有执行相应的操作,或无意执行了错误的操作管理不到位安全管理无法落实或不到位,从而破坏信息系统正常有序运行恶意代码故意在计算机系统上执行恶意任务的程序代码越权或滥用通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自己的权限,做出破坏信息系统的行为网络攻击利用工具和技术通过网络对信息系统进行攻击和入侵物理攻击通过物理的接触造成对软件、硬件、数据的破坏泄密信息泄露给不应了解的他人篡改非法修改信息,破坏信息的完整性使系统的安全性降低或信息不可用抵赖不承认收到的信息和所作的操作和交易利利
10、用用弱弱点点可可能能性性影影响响风风险险系统缺陷,网络缺陷低高低网络线路中高中运行管理流程缺陷中中低运行管理流程缺陷、帐户口令泄漏低高高系统缺陷、运行管理缺陷低高低运行管理流程缺陷低高低系统缺陷,网络缺陷中高高操作记录低中低系统配置缺陷中低低设备物理安全漏洞低高低威胁子类设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等维护错误、操作失误等管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等非授权访问网络资源、非
11、授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等常常见见威威胁胁威威胁胁分分类类表表网络探测和信息采集、漏洞探测、嗅探(帐号、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等物理接触、物理破坏、盗窃等内部信息泄露、外部信息泄露等篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等原发抵赖、接收抵赖、第三方抵赖等常常见见脆脆弱弱性性序序号号类类别别薄薄弱弱点点1.环环境境和和基基础础设设施施建筑物/门以及窗户缺少物理保护对建筑物房间物理进入控制不充分,或松懈电网不稳定所处位置容易受到洪水袭击2.硬硬
12、件件缺少定期替换计划容易受到电压不稳定的侵扰容易受到温度变化的侵扰容易受到湿度、灰尘和污染的侵扰对电磁辐射的敏感性不充分的维护/存储媒体的错误安装缺少有效的配置变化控制3.软软件件开发人员的说明不清楚或不完整没有软件测试或软件测试不充分复杂的用户界面缺少识别和鉴定机制,如:用户鉴定缺少审核跟踪软件中存在众所周知的缺陷口令表没有受到保护口令管理较差(很容易被猜测,公开地存储口令,不经常更改)访问权的错误分派对下载和使用软件不进行控制离开工作站没有注销用户缺少有效的变化控制缺少文件编制缺少备份没有适当的擦除而对存储媒体进行处理或重新使用4.通通讯讯通讯线路没有保护电缆连接差对发件人和收件人缺少识别
13、和鉴定公开传送口令收发信息缺少验证拨号线路对敏感性通信不进行保护网络管理不充分(路由的弹性)公共网络连接没有保护5.文文件件存储没有保护进行处理时缺少关注对拷贝没有进行控制6.人人员员人员缺席对外部人员和清理人员的工作不进行监督不充分的安全培训缺少安全意识对软件和硬件不正确的使用缺少监控机制在正确使用通讯媒体和信息方面缺乏政策增员程序不充分7.一一般般都都适适用用的的薄薄弱弱环环节节某一点上的故障服务维护反应不足脆脆弱弱性性识识别别内内容容表表类类型型识识别别对对象象技技术术脆脆弱弱性性物物理理环环境境网网络络结结构构系系统统软软件件应应用用中中间间件件应应用用系系统统管管理理脆脆弱弱性性技技
14、术术管管理理组组织织管管理理威威胁胁例如,可能会被偷窃这一威胁所利用可能会被故意损害这一威胁所利用可能会被功率波动这一威胁所利用可能会被洪水这一威胁所利用可能会被存储媒体退化这一威胁所利用可能会被功率波动这一威胁所利用可能会温度的极端变化这一威胁所利用可能会被灰尘这一威胁所利用可能会被电磁辐射这一威胁所利用可能会被维护失误这一威胁所利用可能会被操作职员失误这一威胁所利用可能会被软件故障这一威胁所利用可能会被未经授权许可的用户使用软件这一威胁所利用可能会被操作职员失误这一威胁所利用可能会被冒充用户身份这一威胁所利用可能会被以未经授权许可的方式使用软件这一威胁所利用可能会被软件未经许可的用户使用软
15、件这一威胁所利用可能会被冒充用户身份这一威胁所利用可能会被冒充用户身份这一威胁所利用可能会被以未经许可的方式使用软件这一威胁所利用可能会被恶意软件这一威胁所利用可能会被未经许可的用户使用软件这一威胁所利用可能会被软件故障这一威胁所利用可能会被操作职员的失误这一威胁所利用可能会被恶意软件或火灾这一威胁所利用可能会被未经许可的用户使用软件这一威胁所利用可能会被偷听这一威胁所利用可能会被通讯渗透这一威胁所利用可能会被冒充用户身份这一威胁所利用常常见见脆脆弱弱性性可能会被未经许可的用户接入网络这一威胁所利用可能会被否认这一威胁所利用可能会被未经许可的用户接入网络这一威胁所利用可能会被偷听这一威胁所利用
16、可能会被通信量超载这一威胁所利用可能会被未经许可的用户使用软件这一威胁所利用可能会被偷窃这一威胁所利用可能会被偷窃这一威胁所利用可能会被偷窃这一威胁所利用可能会被缺少员工这一威胁所利用可能会被偷窃这一威胁所利用可能会被操作职员的失误这一威胁所利用可能会被用户错误这一威胁所利用可能会被操作职员的失误这一威胁所利用可能会被以未经许可的方式使用软件这一威胁所利用可能会被以未经许可的方式使用网络设施这一威胁所利用可能会被故意损害这一威胁所利用可能会被通讯服务故障这一威胁所利用可能会被硬件故障这一威胁所利用识识别别内内容容从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的
17、保护、机房区域防护、机房设备管理等方面进行识别从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别从协议安全、交易完整性、数据完整性等方面进行识别从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别脆脆弱弱性性识识别别内内容容表表从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别1.数数据据资资
18、产产资资产产编编号号资资产产用用途途资资产产负负责责人人资资产产安安全全属属性性赋赋值值资资产产价价值值资资产产价价值值等等级级面面临临威威胁胁存存在在脆脆弱弱性性现现有有控控制制措措施施威威胁胁发发生生可可能能性性赋赋值值脆脆弱弱性性被被威威胁胁利利用用后后果果严严重重性性赋赋值值风风险险值值风风险险等等级级将将要要采采取取的的控控制制措措施施威威胁胁发发生生可可能能性性赋赋值值脆脆弱弱性性被被威威胁胁利利用用后后果果严严重重性性赋赋值值风风险险值值保保密密性性完完整整性性可可用用性性D01001下单数据;客户下单数据客户提供的需求数据599234网络攻击、病毒、ARP攻击、黑客、恶意代码系
19、统漏洞或对恶意代码防范不够1)及时安装升级补丁2)安装杀毒软件3)防火墙4)每周备份23931)进行信息安全培训2)对相关人员的数据访问权限和对象操作权限进行限制,从技术上保证未经授权人员不能查看数据。3)删除数据时留有备份。4)设置访问密码、不使用时及时关闭、不操作时自动屏幕保护5)定期备份文档6)缺乏对文件修改的有效控制机制7)原则上不能用U盘116非正常数据删除1)恶意删除数据2)操作员误删除数据1)当天完成提交到服务器,在本机和服务器上均有备份;2)对用户设置不同的权限24103123泄密缺少安全意识1)签保密协议;2)进行信息安全培训2393123非授权访问 1)保管不善、没有设置访
20、问密码,访问权限设置不当2)非法copy数据1)用户都设置访问口令;2)制度规定非经授权不能COPY数据。24103112丢失1)没有备份;2)电脑使用时间过长或应用软件没有定期更新或数据管理软件损坏。1)当天完成提交到服务器,在本机和服务器上均有备份 2)每周再备份到另外一台服务器上3)定期对设备进行维护检修25113112D01002台账数据日常经营数据599234网络攻击、病毒、ARP攻击、黑客、恶意代码系统漏洞或对恶意代码防范不够1)及时安装升级补丁2)安装杀毒软件3)防火墙4)每周备份23931)进行信息安全培训2)对相关人员的数据访问权限和对象操作权限进行限制,从技术上保证未经授权
21、人员不能查看数据。3)删除数据时留有备份。4)设置访问密码、不使用时及时关闭、不操作时自动屏幕保护5)定期备份文档6)缺乏对文件修改的有效控制机制7)原则上不能用U盘116非正常数据删除1)恶意删除数据2)操作员误删除数据1)当天完成提交到服务器,在本机和服务器上均有备份;2)对用户设置不同的权限24103123泄密缺少安全意识1)签保密协议;2)进行信息安全培训2393123非授权访问1)保管不善、没有设置访问密码,访问权限设置不当2)非法copy数据1)用户都设置访问口令;2)制度规定非经授权不能COPY数据。24103123丢失1)没有备份;2)电脑使用时间过长或应用软件没有定期更新或数
22、据管理软件损坏。1)当天完成提交到服务器,在本机和服务器上均有备份 2)每周再备份到另外一台服务器上3)定期对设备进行维护检修25113123篡改、损坏1)恶意篡改或用户操作不当。2)文档在处理和保存时保密性差;3)电脑使用时间过长或应用软件没有定期更新。1)部门有3人有删除权限,其他人只能提交,不能删除,也不能修改;2)对文档进行归档管理,并进行信息安全培训;3)对设备进行定期维护,及时更新软件。24103123D01003项目设计方案、图纸、投标文件电子版综合部业绩787224网络攻击、病毒、ARP攻击、黑客、恶意代码系统漏洞或对恶意代码防范不够1)及时安装升级补丁2)安装杀毒软件3)防火
23、墙4)每周备份24931)设备管理部对文件服务器每天巡检,并填写巡检记录表;2)建立文件服务器的访问控制列表;3)对重要数据做备份;4)项目结项对数据做备份。127非正常数据删除1)恶意删除数据2)操作员误删除数据1)当天完成提交到服务器,在本机和服务器上均有备份;2)对用户设置不同的权限2382123泄密缺少安全意识1)签保密协议;2)进行信息安全培训23821231)进行信息安全培训2)对相关人员的数据访问权限和对象操作权限进行限制,从技术上保证未经授权人员不能查看数据。3)删除数据时留有备份。4)设置访问密码、不使用时及时关闭、不操作时自动屏幕保护5)定期备份文档6)缺乏对文件修改的有效
24、控制机制7)原则上不能用U盘非授权访问1)保管不善、没有设置访问密码,访问权限设置不当2)非法copy数据1)用户都设置访问口令;2)制度规定非经授权不能COPY数据。2382123丢失1)没有备份;2)电脑使用时间过长或应用软件没有定期更新或数据管理软件损坏。1)当天完成提交到服务器,在本机和服务器上均有备份 2)每周再备份到另外一台服务器上3)定期对设备进行维护检修2382123篡改、损坏 1)恶意篡改或用户操作不当。2)文档在处理和保存时保密性差;3)电脑使用时间过长或应用软件没有定期更新。1)部门有3人有删除权限,其他人只能提交,不能删除,也不能修改;2)对文档进行归档管理,并进行信息
25、安全培训;3)对设备进行定期维护,及时更新软件。2382123D01004公司邮件公司邮件数据897244网络攻击、病毒、ARP攻击、黑客、恶意代码系统漏洞或对恶意代码防范不够1)及时安装升级补丁2)安装杀毒软件3)防火墙4)每周备份251031)设备管理部对文件服务器每天巡检,并填写巡检记录表;2)建立文件服务器的访问控制列表;3)对重要数据做备份;4)项目结项对数据做备份。1384非正常数据删除1)恶意删除数据2)操作员误删除数据1)根据权限调取数据;2)数据备份;3)在使用前对操作员进行培训。23931384泄密缺少安全意识1)签订保密协议;2)进行信息安全培训。23931381)设备管
26、理部对文件服务器每天巡检,并填写巡检记录表;2)建立文件服务器的访问控制列表;3)对重要数据做备份;4)项目结项对数据做备份。4非授权访问 1)保管不善、没有设置访问密码,访问权限设置不当2)非法copy数据1)用户都设置访问口令;2)对不同的用户设置不同的权限,项目负责人或执行经理可以修改或删除,一般用户只能读取;3)非经授权不能COPY数据、服务器不能连接外网、生产线电脑已屏蔽USB端口。23931384丢失1)没有备份;2)电脑使用时间过长或应用软件没有定期更新或数据管理软件损坏。1)备份数据;2)对设备进行定期维护,及时更新软件;3)对软件实行注册控制。23931384篡改、损坏 1)
27、恶意篡改或用户操作不当。2)文档在处理和保存时保密性差;3)电脑使用时间过长或应用软件没有定期更新。1)数据备份;2)项目负责人或执行经理可以修改或删除,一般用户只能读取;3)加强文档的整理归档;4)对设备进行定期维护,及时更新软件。2393138D01005客户、供应商数据记录客户的信息995234网络攻击、病毒、ARP攻击、黑客、恶意代码系统漏洞或对恶意代码防范不够1)接收服务器安装升级补丁和防病毒软件2)内网隔离,工作电脑不能上外网251131)设备管理部门定期检查;2)加强相关的操作规程培训。1384非正常数据删除1)恶意删除数据2)操作员误删除数据1)放置在被允许的电脑内;2)不能删
28、除,需要根据权限分配删除功能13821)制定信息安全管理规定,设置相应的权限;2)加强各项操作规程的更新培训。1161)设备管理部对文件服务器每天巡检,并填写巡检记录表;2)建立文件服务器的访问控制列表;3)对重要数据做备份;4)项目结项对数据做备份。4泄密缺少安全意识 1)所有员工签署保密合同;2)进行信息安全培训(IAPP)251131384非授权访问 1)保管不善、没有设置访问密码2)非法copy数据1)对相关人员的数据访问权限和对象操作权限进行限制,从技术上保证未经授权人员不能查看数据;2)接收到原数据不能备份;3)设置访问密码、不使用时及时关闭、不操作时自动屏幕保护151031384
29、丢失1)没有备份;2)电脑使用时间过长或应用软件没有定期更新或数据管理软件损坏。1)属于远程在线实时录入,无需备份;原始资料只能在客户系统中操作,不能下载2)对设备进行定期维护,对软件及时进行更新。151031384篡改1)文档在处理和保存时保密性差;2)电脑使用时间过长或应用软件没有定期更新。1)在规定的时间内完成;2)内部有标准操作规程;3)对设备进行定期维护,对软件及时进行更新。14931274损坏文档损坏将给相关人员的工作带来一定影响。1)如果不清楚页面数据要求重发;2)原始资料只能在客户系统中操作,不能下载1493127D01006合同、协议电子文档与客户签订的合同内容997254网
30、络攻击、病毒、ARP攻击、黑客、恶意代码系统漏洞或对恶意代码防范不够1)接收服务器安装升级补丁和防病毒软件2)通过专线传输3)内网隔离,工作电脑不能上外网251131)设备管理部门定期检查;2)加强相关的操作规程培训。1381)制定信息安全管理规定,设置相应的权限;2)加强各项操作规程的更新培训。4非正常数据删除1)恶意删除数据2)操作员误删除数据1)放置在被允许的电脑内;2)不能删除,需要根据权限分配删除功能13821)制定信息安全管理规定,设置相应的权限;2)加强各项操作规程的更新培训。1164泄密缺少安全意识 1)所有员工签署保密合同;2)进行信息安全培训(IAPP)251131384非
31、授权访问 1)保管不善、没有设置访问密码2)非法copy数据1)对相关人员的数据访问权限和对象操作权限进行限制,从技术上保证未经授权人员不能查看数据;2)接收到原数据不能备份;3)设置访问密码、不使用时及时关闭、不操作时自动屏幕保护4)屏蔽了USB接口,不能携带任何存储介质到工作场所5)专门的电脑上网,并与工作网络隔离151031384丢失1)没有备份;2)电脑使用时间过长或应用软件没有定期更新或数据管理软件损坏。1)属于远程在线实时录入,无需备份;原始资料只能在客户系统中操作,不能下载2)对设备进行定期维护,对软件及时进行更新。151031384篡改1)文档在处理和保存时保密性差;2)电脑使
32、用时间过长或应用软件没有定期更新。1)在规定的时间内完成;2)内部有标准操作规程;3)对设备进行定期维护,对软件及时进行更新。14931274损坏文档损坏将给相关人员的工作带来一定影响。1)如果不清楚页面数据要求重发;2)原始资料只能在客户系统中操作,不能下载1493127D01007财务数据日常工作999274网络攻击、病毒、ARP攻击、黑客、恶意代码系统漏洞或对恶意代码防范不够1)及时安装升级补丁2)安装杀毒软件3)防火墙4)每周备份5)不能上外网35 124 4定期备份财务数据到移动硬盘;数据专人保管。1 12 27 74非正常数据删除1)恶意删除数据2)操作员误删除数据1)对相关人员的
33、数据访问权限和对象操作权限进行限制,从技术上保证未经授权人员不能查看数据;2)删除数据时对记录备份;3)设置访问密码、不使用时及时关闭、不操作时自动屏幕保护;4)每月定期备份文档。24 103 31 12 27 74泄密缺少安全意识1)所有员工签署保密协议;2)进行信息安全培训25 113 31 13 38 84非授权访问 1)保管不善、没有设置访问密码2)非法copy数据1)对相关人员的数据访问权限和对象操作权限进行限制,从技术上保证未经授权人员不能查看数据;2)设置访问密码、不使用时及时关闭、不操作时自动屏幕保护;3)非经授权禁止复制数据。25 113 31 12 27 74丢失1)没有备
34、份;2)电脑使用时间过长或应用软件没有定期更新或数据管理软件损坏。1)对相关人员的数据访问权限和对象操作权限进行限制,从技术上保证未经授权人员不能查看数据;2)每月定期进行数据备份;3)由专人负责对设备和软件进行更新维护。25 113 31 13 38 84篡改1)数据在处理和保存时保密性差;2)电脑使用时间过长或应用软件没有定期更新。1)每月定期对数据进行备份;2)对相关人员的数据访问权限和对象操作权限进行限制,从技术上保证未经授权人员不能查看数据;3)由专人负责对设备和软件进行更新维护。25 113 31 13 38 84损坏数据损坏将给相关人员的工作及公司的利益带来重要影响。1)每月定期
35、备份数据。2)按照规定对非本部门人员的进出进行限制。24 103 31 12 27 7D01008工资薪金数据797234网络攻击、病毒、ARP攻击、黑客、恶意代码系统漏洞或对恶意代码防范不够1)及时安装升级补丁2)安装杀毒软件3)防火墙4)每周备份34 113 31 12 27 74非正常数据删除1)恶意删除数据2)操作员误删除数据1)对相关人员的数据访问权限和对象操作权限进行限制,从技术上保证未经授权人员不能查看数据;2)删除数据时对记录备份;3)设置访问密码、不使用时及时关闭、不操作时自动屏幕保护;4)每月定期备份文档。24 103 31 12 27 74泄密缺少安全意识1)所有员工签署
36、保密协议;2)进行信息安全培训34 113 31 12 27 74非授权访问 1)保管不善、没有设置访问密码2)非法copy数据1)对相关人员的数据访问权限和对象操作权限进行限制,从技术上保证未经授权人员不能查看数据;2)设置访问密码、不使用时及时关闭、不操作时自动屏幕保护;3)非经授权禁止复制数据。24 103 31 12 27 74丢失1)没有备份;2)电脑使用时间过长或应用软件没有定期更新或数据管理软件损坏。1)对相关人员的数据访问权限和对象操作权限进行限制,从技术上保证未经授权人员不能查看数据;2)定期进行数据备份;3)由专人负责对设备和软件进行更新维护。25 113 31 13 38
37、 84篡改1)文档在处理和保存时保密性差;2)电脑使用时间过长或应用软件没有定期更新。1)定期对数据进行备份;2)对相关人员的数据访问权限和对象操作权限进行限制,从技术上保证未经授权人员不能查看数据;3)由专人负责对设备和软件进行更新维护。25 113 31 12 27 74损坏文档损坏将给相关人员的工作及公司的利益带来重要影响。1)每月定期备份文档。24 103 31 12 27 7D01009增值发布&普通发票开票数据575173网络攻击、病毒、ARP攻击、黑客、恶意代码系统漏洞或对恶意代码防范不够1)及时安装升级补丁2)安装杀毒软件3)防火墙4)每周备份3393 31 11 15 53非
38、正常数据删除1)恶意删除数据2)操作员误删除数据1)对相关人员的数据访问权限和对象操作权限进行限制,从技术上保证未经授权人员不能查看数据;2)删除数据时对记录备份;3)设置访问密码、不使用时及时关闭、不操作时自动屏幕保护;4)每月定期备份文档。2382 21373泄密缺少安全意识1)所有员工签署保密协议;2)进行信息安全培训2382 21373非授权访问 1)保管不善、没有设置访问密码2)非法copy数据1)对相关人员的数据访问权限和对象操作权限进行限制,从技术上保证未经授权人员不能查看数据;2)设置访问密码、不使用时及时关闭、不操作时自动屏幕保护;3)非经授权禁止复制数据。2272 2137
39、3丢失1)没有备份;2)电脑使用时间过长或应用软件没有定期更新或数据管理软件损坏。1)对相关人员的数据访问权限和对象操作权限进行限制,从技术上保证未经授权人员不能查看数据;2)每月定期进行数据备份;3)由专人负责对设备和软件进行更新维护。2382 22493篡改1)文档在处理和保存时保密性差;2)电脑使用时间过长或应用软件没有定期更新。1)每月定期对数据进行备份;2)对相关人员的数据访问权限和对象操作权限进行限制,从技术上保证未经授权人员不能查看数据;3)由专人负责对设备和软件进行更新维护。2382 22493损坏文档损坏将给相关人员的工作及公司的利益带来重要影响。1)每月定期备份数据。2)按
40、照规定对非本部门人员的进出进行限制。2382 2249D01010现金、银行帐数据777213网络攻击、病毒、ARP攻击、黑客、恶意代码系统漏洞或对恶意代码防范不够1)及时安装升级补丁2)安装杀毒软件3)防火墙4)每周备份35 113 31 13 37 73非正常数据删除1)恶意删除数据2)操作员误删除数据1)对相关人员的数据访问权限和对象操作权限进行限制,从技术上保证未经授权人员不能查看数据;2)删除数据时对记录备份;3)设置访问密码、不使用时及时关闭、不操作时自动屏幕保护;4)定期备份文档。24 103 31 13 37 73泄密缺少安全意识1)所有员工签署保密协议;2)进行信息安全培训2
41、4 103 32493非授权访问 1)保管不善、没有设置访问密码2)非法copy数据1)对相关人员的数据访问权限和对象操作权限进行限制,从技术上保证未经授权人员不能查看数据;2)设置访问密码、不使用时及时关闭、不操作时自动屏幕保护;3)非经授权禁止复制数据。2382 22493丢失1)没有备份;2)电脑使用时间过长或应用软件没有定期更新或数据管理软件损坏。1)对相关人员的数据访问权限和对象操作权限进行限制,从技术上保证未经授权人员不能查看数据;2)每月定期进行数据备份;3)由专人负责对设备和软件进行更新维护。25 103 31 13 37 73篡改1)文档在处理和保存时保密性差;2)电脑使用时
42、间过长或应用软件没有定期更新。1)每月定期对数据进行备份;2)对相关人员的数据访问权限和对象操作权限进行限制,从技术上保证未经授权人员不能查看、修改数据;3)由专人负责对设备和软件进行更新维护。25 103 31 13 37 73损坏文档损坏将给相关人员的工作及公司的利益带来重要影响。1)每月定期备份数据;2)按照规定对非本部门人员的进出进行限制。2493 31 13 37 7D01011相关方信息管理相关方信息,如相关方保密协议、第三方服务保密协议、第三方服务工作记录单(如供水、供电等)、相关方意见登记表。33172人员有意或无意泄密人员安全意识差;1)定期数据备份;2)签署保密协议;3)进
43、行信息安全培训237254 11风风险险等等级级21111211111211111222222222222222222222 22 22 22 22 22 21 12 22 22 22 22 22 21 11 12222222 22 2222 22 22 222-软软件件资资产产资资产产编编号号资资产产用用途途所所属属部部门门资资产产负负责责人人资资产产安安全全属属性性赋赋值值资资产产价价值值资资产产价价值值等等级级面面临临威威胁胁存存在在脆脆弱弱性性现现有有控控制制措措施施威威胁胁发发生生可可能能性性赋赋值值脆脆弱弱性性被被威威胁胁利利用用后后果果严严重重性性赋赋值值风风险险值值风风险险等等
44、级级将将要要采采取取的的控控制制措措施施威威胁胁发发生生可可能能性性赋赋值值脆脆弱弱性性被被威威胁胁利利用用后后果果严严重重性性赋赋值值风风险险值值风风险险等等级级保保密密性性完完整整性性可可用用性性S0001门禁系统软件公司内部办公综合部878 234软件缺陷或故障1)软件更新不及时2)软件本身漏洞1)软件在专用服务器单独储存,专人保管;2)进行维护或使用的人员在维护或使用前进行培训;3)软件实施前进行详细的测试,测试内容包括功能测试和病毒测试。23924维护错误、配置错误或操作失误等维护或操作人员使用不当1)进行维护或使用的人员在维护或使用前进行培训;2)制定明确的软件操作使用规范。239
45、24遭到恶意代码或木马攻击工具本身潜藏恶意代码或木马1)安装杀毒软件,防毒杀毒;2)软件实施前进行详细的测试,测试内容包括功能测试和病毒测试。23924越权访问口令未受保护1)根据岗位分配不同的使用权限,并要求使用人员设置密码;2)设置访问口令控制;431131)确确定定严严格格的的授授权权过过程程2)定定期期复复核核权权限限的的使使用用情情况况2492S0002员工电脑操作系统/办公软件/考勤软件/杀毒软件(包括winrar、office2007、Nero、Adobereader9、CanonPIXMAIp1000、ACDSystems、腾讯软件、金山快译2007、金山卫视、360防火墙、3
46、60 杀毒软件、紫光华宇拼音、装机人员实用工具箱)公司内部办公使用综合部377 173设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等没有软件测试或测试不充分、软件中存在众所周知的缺陷、开发人员的说明不清1)对设备定期进行维护,对软件及时更新;2)进行维护或使用的人员在维护或使用前进行培训;3)软件实施前进行详细的测试,测试内容包括功能测试和病毒测试。23823静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等物 理 环 境控 制 达 不到要求1)保持环境符合要求;23823维护错误、操作失误等维护或操作人员使用不当1)进行维护或
47、使用的人员在维护或使用前进行培训;2)制定明确的软件操作使用规范。23823管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等缺乏相关制度1)有相应的规章制度明确职责;2)日常进行监督检查。23823病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等对下载或使用软件不进行控制1)安装杀毒软件,防毒杀毒;2)软件实施前进行详细的测试,测试内容包括功能测试和病毒测试。541231)按照杀毒软件、防火墙2)定期检查病毒执行情况24723非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等口令未受保护1)根据岗位分配不同的使用权限,并要求使
48、用人员设置密码;2)设置访问口令控制;3)有监控系统,如摄像头。23823网络探测和信息采集、漏洞探测、嗅探(帐号、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等口令未受保护1)安装防火墙;2)使用独立网段;3)对访问进行严格权限控制。23823物理接触、物理破坏、盗窃等物 理 环 境控 制 达 不到要求1)24小时有人值班;2)使用独立的办公场所;23823内部信息泄露、外部信息泄露等缺少安全意识1)签定员工保密协议;2)进行信息安全培训。23823篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等口令未受保护1)根
49、据岗位分配不同的使用权限,并要求使用人员设置密码;2)设置访问口令控制;2382S0003邮件系统日常运作综合部559 193 软件缺陷或故障1)软件更新不及时2)软件本身漏洞1)定期升级操作系统补丁;2)根据操作手册安装配置和维护2382维护错误、配置错误或操作失误等维护或操作人员使用不当1)定期升级操作系统补丁;2)根据操作手册安装配置和维护2382遭到恶意代码或木马攻击工具本身潜藏恶意代码或木马1)安装杀毒软件,防毒杀毒,及时升级;2)软件实施前进行详细的测试,测试内容包括功能测试和病毒测试。441131)按照防火墙和杀毒软件2)定期对所在服务器进行巡检25102越权访问口令未受保护1)
50、根据岗位分配不同的使用权限,并要求使用人员设置密码;2)设置访问口令控制。3)定期巡检2382S0004速达软件处理财务数据综合部599 234感染病毒、恶意代码系统漏洞或对恶意代码防范不够1)对于外网访问、下载有限制;2)有防火墙策略;3)备份34113对软件做备份1272软件故障1)软件更新不及时2)软件本身漏洞1)及时更新软件;2)软件实施前进行详细的测试,测试内容包括功能测试和病毒测试。341131231越权访问口令未受保护制定口令管理系统341131231S0005税控系统、企业电子报税管理系统、通审软件、防伪税控开票子系统、建设银行无驱USB Key、中国建行签名通控件报税综合部5