05-ABLE-D-01-03信息安全风险评估表.xls

风险评估表 Page 1 信信息息安安全全风风险险评评估估表表 类类别别 编编号号 资资产产编编号号资资产产名名称称功功能能描描述述威威胁胁内内容容( (威威胁胁源源、动动机机） 脆脆弱弱性性影影响响后后果果 资资 产产 重重 要要 程程 度度 现现行行控控制制方方式式威威胁胁发发率率 脆脆弱弱被被 利利用用率率 风风 险险 值值 风风 险险 等等 级级 风风 险险 处处 理理 方方 式式 改改善善措措施施 资资产产 重重要要 程程度度 威威 胁胁 发发 生生 的的 评评 率率 脆脆弱弱 性性被被 利利用用 率率 残残 余余 风风 险险 值值 风风 险险 等等 级级 是是否否接接 受受 文档 与 数据 SL-DATA-001解决方案 针对客户需求提出 的信息安全解决方 案 被竞争对手获取人员道德缺乏 文件被竞争对手获取，影响业务开 展 5 数据加密系统控制121 10 01 接受 未经授权使用、访问、复 制 人员缺乏安全意识文件信息外泄5 进行员工信息安全意识培训121 10 01 接受 不正确的废弃人员缺乏安全意识文件信息外泄5 进行员工信息安全意识培训 ， 121 10 01 接受 电子存储媒体故障设备损坏资料丢失，影响项目进度5 使用数据备份系统，对数据 实时备份 121 10 01 接受 手工误删操作不小心资料丢失，影响项目进度5 使用数据备份系统，对数据 实时备份 121 10 01 接受 网络传输中被窃取未使用密码技术文件信息外泄5 使用加密系统控制233 30 03 接受 瘟疫、火灾、爆炸、雷击 、恐怖袭击等 缺乏应急机制客户信息丢失，业务开展产生困难5 设置必要的放火，放雷机制121 10 01 接受 自然灾难：地震、洪水、 台风 缺乏应急机制客户信息丢失，业务开展产生困难5 对重要数据进行定期移动硬 盘备份 121 10 01 接受 SL-DATA-003 SL-DATA-004 SL-DATA-018 体系文件 管理制度 各项规章制 度 公司管理类文档 未经授权使用、访问、复 制 人员缺乏安全意识文件信息外泄5 进行员工信息安全意识培训121 10 01 接受 不正确的废弃人员缺乏安全意识文件信息外泄5 进行员工信息安全意识培训 ， 121 10 01 接受 电子存储媒体故障设备损坏资料丢失，影响项目进度5 使用数据备份系统，对数据 实时备份 121 10 01 接受 手工误删操作不小心资料丢失，影响项目进度5 使用数据备份系统，对数据 实时备份 121 10 01 接受 网络传输中被窃取未使用密码技术文件信息外泄5 使用加密系统控制121 10 01 接受 瘟疫、火灾、爆炸、雷击 、恐怖袭击等 缺乏应急机制文件信息丢失，业务缺乏指导5 设置必要的放火，放雷机制233 30 03 接受 自然灾难：地震、洪水、 台风 缺乏应急机制文件信息丢失，业务缺乏指导5 对重要数据进行定期移动硬 盘备份 121 10 01 接受 SL-DATA-008 SL-DATA-010 在职员工个 人信息 员工劳动合 同 人事档案信息 未经授权使用、访问、复 制 缺乏物理防护机制员工个人信息资料丢失或泄密4 人事资料放在人事文件柜中141 16 62 避免 员工档案资料 文件柜应上锁 ，防止非授权 的获取 4128 81 1 接受 瘟疫、火灾、爆炸、雷击 、恐怖袭击等 缺乏应急机制文件信息丢失，人事工作开展困难5 设置必要的放火，放雷机制233 30 03 接受 自然灾难：地震、洪水、 台风 缺乏应急机制文件信息丢失，人事工作开展困难5 对重要数据进行定期移动硬 盘备份 121 10 01 接受 SL-DATA-013 SL-DATA-016 SL-DATA-021 SL-DATA-022 供应商合作 协议书 采购合同 代理合同 厂商报价 合同 未经授权使用、访问、复 制 缺乏物理防护机制 供应商信息被客户或竞争对手获得 ，供应商投诉或业务无法开展 5 合同报价等资料放在上锁的 文件柜中 121 10 01 接受 瘟疫、火灾、爆炸、雷击 、恐怖袭击等 缺乏应急机制文件信息丢失，人事工作开展困难5 设置必要的放火，放雷机制233 30 03 接受 网络传输中被窃取未使用密码技术文件信息外泄5 使用加密系统控制233 30 03 接受 自然灾难：地震、洪水、 台风 缺乏应急机制文件信息丢失，人事工作开展困难5 对重要数据进行定期移动硬 盘备份 121 10 01 接受 盗窃存放缺乏保护 合同丢失，影响后续服务或收款等 内容 5 合同报价等资料放在上锁的 文件柜中 121 10 01 接受 SL-DATA-014 SL-DATA-015 SL-DATA-023 SL-DATA-024 SL-DATA-033 报价、合同 样本 销售合同 客户报价 客户合同 报价单 合同 未经授权使用、访问、复 制 缺乏物理防护机制 供应商信息被客户或竞争对手获得 ，供应商投诉或业务无法开展 5 合同报价等资料放在上锁的 文件柜中 121 10 01 接受 不正确的废弃人员缺乏安全意识文件信息外泄5 进行员工信息安全意识培训 ， 121 10 01 接受 瘟疫、火灾、爆炸、雷击 、恐怖袭击等 缺乏应急机制文件信息丢失，人事工作开展困难5 设置必要的放火，放雷机制233 30 03 接受 自然灾难：地震、洪水、 台风 缺乏应急机制文件信息丢失，人事工作开展困难5 对重要数据进行定期移动硬 盘备份 121 10 01 接受 盗窃存放缺乏保护 合同丢失，影响后续服务或收款等 内容 5 合同报价等资料放在上锁的 文件柜中 SL-DATA-026客户资料供开票及联系 未经授权使用、访问、复 制 缺乏物理防护机制 客户信息被客户或竞争对手获得， 供应商投诉或业务无法开展 5 合同报价等资料放在上锁的 文件柜中 瘟疫、火灾、爆炸、雷击 、恐怖袭击等 缺乏应急机制文件信息丢失，人事工作开展困难5 设置必要的放火，放雷机制233 30 03 接受 风险评估表 Page 2 信信息息安安全全风风险险评评估估表表 类类别别 编编号号 资资产产编编号号资资产产名名称称功功能能描描述述威威胁胁内内容容( (威威胁胁源源、动动机机） 脆脆弱弱性性影影响响后后果果 资资 产产 重重 要要 程程 度度 现现行行控控制制方方式式威威胁胁发发率率 脆脆弱弱被被 利利用用率率 风风 险险 值值 风风 险险 等等 级级 风风 险险 处处 理理 方方 式式 改改善善措措施施 资资产产 重重要要 程程度度 威威 胁胁 发发 生生 的的 评评 率率 脆脆弱弱 性性被被 利利用用 率率 残残 余余 风风 险险 值值 风风 险险 等等 级级 是是否否接接 受受 网络传输中被窃取未使用密码技术文件信息外泄5 使用加密系统控制233 30 03 接受 自然灾难：地震、洪水、 台风 缺乏应急机制文件信息丢失，人事工作开展困难5 对重要数据进行定期移动硬 盘备份 121 10 01 接受 盗窃存放缺乏保护 合同丢失，影响后续服务或收款等 内容 5 合同报价等资料放在上锁的 文件柜中 121 10 01 接受 SL-DATA-027 CRME和快普 数据库 ERP系统数据 未经授权使用、访问、复 制 访问权限没有控制数据被删除，修改或泄密5 通过域控，系统密码控制， 严格控制访问权限 233 30 03 控制 增加准入设备 ，对访问权限 和访问区域进 行规定 5115 51 1 接受 未经授权更改 访问权限没有控制公司业务无法开展5 通过域控，系统密码控制， 严格控制访问权限 233 30 03 控制 增加准入设备 ，对访问权限 和访问区域进 行规定 5115 51 1 接受 电子存储媒体故障 存放缺乏保护数据丢失业务无法开展5 通过服务器备份数据233 30 03 控制 增加专门数据 备份系统，对 数据进行实时 备份 5115 51 1 接受 瘟疫、火灾、爆炸、雷击 、恐怖袭击等 缺乏应急机制文件信息丢失，人事工作开展困难5 对重要数据进行定期移动硬 盘备份，设置放雷机制 121 10 01 接受 自然灾难：地震、洪水、 台风 缺乏应急机制文件信息丢失，人事工作开展困难5 对重要数据进行定期移动硬 盘备份 121 10 01 接受 SL-DATA-028 公司办公租 赁合同 合同 未经授权使用、访问、复 制 缺乏物理防护机制 供应商信息被客户或竞争对手获得 ，供应商投诉或业务无法开展 5 合同报价等资料放在上锁的 文件柜中 121 10 01 接受 瘟疫、火灾、爆炸、雷击 、恐怖袭击等 缺乏应急机制文件信息丢失，人事工作开展困难5 设置必要的放火，放雷机制233 30 03 接受 网络传输中被窃取未使用密码技术文件信息外泄5 使用加密系统控制233 30 03 接受 自然灾难：地震、洪水、 台风 缺乏应急机制文件信息丢失，人事工作开展困难5 对重要数据进行定期移动硬 盘备份 121 10 01 接受 盗窃存放缺乏保护 合同丢失，影响后续服务或收款等 内容 5 合同报价等资料放在上锁的 文件柜中 121 10 01 接受 SL-DATA-030 SL-DATA-032 公司各类财 务数据及报 表 公司经营相 关数据及资 料 财务数据 未经授权使用、访问、复 制 访问权限没有控制数据被删除，修改或泄密5 通过域控，系统密码控制， 严格控制访问权限 233 30 03 控制 增加准入设备 ，对访问权限 和访问区域进 行规定 5115 51 1 接受 未经授权更改 访问权限没有控制公司业务无法开展5 通过域控，系统密码控制， 严格控制访问权限 233 30 03 控制 增加准入设备 ，对访问权限 和访问区域进 行规定 5115 51 1 接受 电子存储媒体故障 存放缺乏保护数据丢失业务无法开展5 通过服务器备份数据233 30 03 控制 增加专业数据 备份系统，对 数据进行实时 备份 5115 51 1 接受 瘟疫、火灾、爆炸、雷击 、恐怖袭击等 缺乏应急机制文件信息丢失，人事工作开展困难5 对重要数据进行定期移动硬 盘备份，设置放雷机制 121 10 01 接受 自然灾难：地震、洪水、 台风 缺乏应急机制文件信息丢失，人事工作开展困难5 对重要数据进行定期移动硬 盘备份 121 10 01 接受 SL-DATA-031 公司资质文 件及认证证 书 资质资料 未经授权使用、访问、复 制 人员缺乏安全意识文件信息外泄5 进行员工信息安全意识培训121 10 01 接受 不正确的废弃人员缺乏安全意识文件信息外泄5 进行员工信息安全意识培训 ， 121 10 01 接受 SL-DATA-036 SL-DATA-042 报价（给渠 道） 渠道合同 合同，报价信息 未经授权使用、访问、复 制 缺乏物理防护机制 供应商信息被客户或竞争对手获得 ，供应商投诉或业务无法开展 5 合同报价等资料放在上锁的 文件柜中 121 10 01 接受 不正确的废弃人员缺乏安全意识文件信息外泄5 进行员工信息安全意识培训 ， 121 10 01 接受 瘟疫、火灾、爆炸、雷击 、恐怖袭击等 缺乏应急机制文件信息丢失，人事工作开展困难5 设置必要的放火，放雷机制233 30 03 接受 自然灾难：地震、洪水、 台风 缺乏应急机制文件信息丢失，人事工作开展困难5 对重要数据进行定期移动硬 盘备份 121 10 01 接受 盗窃存放缺乏保护 合同丢失，影响后续服务或收款等 内容 5 合同报价等资料放在上锁的 文件柜中 SL-DATA-037 报价（厂家 供货价） 合同，报价信息 未经授权使用、访问、复 制 缺乏物理防护机制 供应商信息被客户或竞争对手获得 ，供应商投诉或业务无法开展 5 合同报价等资料放在上锁的 文件柜中 121 10 01 接受 不正确的废弃人员缺乏安全意识文件信息外泄5 进行员工信息安全意识培训 ， 121 10 01 接受 瘟疫、火灾、爆炸、雷击 、恐怖袭击等 缺乏应急机制文件信息丢失，人事工作开展困难5 设置必要的放火，放雷机制233 30 03 接受 自然灾难：地震、洪水、 台风 缺乏应急机制文件信息丢失，人事工作开展困难5 对重要数据进行定期移动硬 盘备份 121 10 01 接受 盗窃存放缺乏保护合同丢失，影响后续服务等内容5 合同报价等资料放在上锁的 文件柜中 SL-DATA-040 销售部管理 周报 未经授权使用、访问、复 制 访问权限没有控制 公司销售信息被竞争对手获得，业 务无法开展 5 通过域控，系统密码控制， 严格控制访问权限 233 30 03 控制 增加准入设备 ，对访问权限 和访问区域进 行规定 5115 51 1 接受 SL-DATA-043 用友OA日志 文件 日志 未经授权使用、访问、复 制 弱密码 日志信息被删除，无法追溯系统的 信息 5 通过员工自己定义密码进行 控制 233 30 03 控制 使用密码策略 ，严禁使用弱 密码 5115 51 1 接受 日志数据被修改，删除访问权限没有控制 公司销售信息被竞争对手获得，业 务无法开展 5 通过域控，系统密码控制， 严格控制访问权限 233 30 03 控制 增加准入设备 ，对访问权限 和访问区域进 行规定 5115 51 1 接受 SL-DATA-044 快普ERP日志 文件 日志 未经授权使用、访问、复 制 弱密码 日志信息被删除，无法追溯系统的 信息 5 通过员工自己定义密码进行 控制 233 30 03 控制 使用密码策略 ，严禁使用弱 密码 5115 51 1 接受 日志数据被修改，删除访问权限没有控制 公司销售信息被竞争对手获得，业 务无法开展 5 通过域控，系统密码控制， 严格控制访问权限 233 30 03 控制 增加准入设备 ，对访问权限 和访问区域进 行规定 5115 51 1 接受 SL-DATA-045豪创日志文件 日志 未经授权使用、访问、复 制 弱密码 日志信息被删除，无法追溯系统的 信息 5 通过员工自己定义密码进行 控制 233 30 03 控制 使用密码策略 ，严禁使用弱 密码 5115 51 1 接受 日志数据被修改，删除访问权限没有控制 公司销售信息被竞争对手获得，业 务无法开展 5 通过域控，系统密码控制， 严格控制访问权限 233 30 03 控制 增加准入设备 ，对访问权限 和访问区域进 行规定 5115 51 1 接受 SL-DATA-046管家婆日志文件 日志 未经授权使用、访问、复 制 弱密码 日志信息被删除，无法追溯系统的 信息 5 通过员工自己定义密码进行 控制 233 30 03 控制 使用密码策略 ，严禁使用弱 密码 5115 51 1 接受 文档 与 数据 SL-DATA-026客户资料供开票及联系 风险评估表 Page 3 信信息息安安全全风风险险评评估估表表 类类别别 编编号号 资资产产编编号号资资产产名名称称功功能能描描述述威威胁胁内内容容( (威威胁胁源源、动动机机） 脆脆弱弱性性影影响响后后果果 资资 产产 重重 要要 程程 度度 现现行行控控制制方方式式威威胁胁发发率率 脆脆弱弱被被 利利用用率率 风风 险险 值值 风风 险险 等等 级级 风风 险险 处处 理理 方方 式式 改改善善措措施施 资资产产 重重要要 程程度度 威威 胁胁 发发 生生 的的 评评 率率 脆脆弱弱 性性被被 利利用用 率率 残残 余余 风风 险险 值值 风风 险险 等等 级级 是是否否接接 受受 日志数据被修改，删除访问权限没有控制 公司销售信息被竞争对手获得，业 务无法开展 5 通过域控，系统密码控制， 严格控制访问权限 233 30 03 控制 增加准入设备 ，对访问权限 和访问区域进 行规定 5115 51 1 接受 SL-DATA-047SSLvpn日志文件 日志 未经授权使用、访问、复 制 弱密码 日志信息被删除，无法追溯系统的 信息 5 通过员工自己定义密码进行 控制 233 30 03 控制 使用密码策略 ，严禁使用弱 密码 5115 51 1 接受 日志数据被修改，删除访问权限没有控制 公司销售信息被竞争对手获得，业 务无法开展 5 通过域控，系统密码控制， 严格控制访问权限 233 30 03 控制 增加准入设备 ，对访问权限 和访问区域进 行规定 5115 51 1 接受 SL-DATA-048广域网加速设备日志文件日志 未经授权使用、访问、复 制 弱密码 日志信息被删除，无法追溯系统的 信息 5 通过员工自己定义密码进行 控制 233 30 03 控制 使用密码策略 ，严禁使用弱 密码 5115 51 1 接受 日志数据被修改，删除访问权限没有控制 公司销售信息被竞争对手获得，业 务无法开展 5 通过域控，系统密码控制， 严格控制访问权限 233 30 03 控制 增加准入设备 ，对访问权限 和访问区域进 行规定 5115 51 1 接受 SL-DATA-049准入系统日志文件日志 未经授权使用、访问、复 制 弱密码 日志信息被删除，无法追溯系统的 信息 5 通过员工自己定义密码进行 控制 233 30 03 控制 使用密码策略 ，严禁使用弱 密码 5115 51 1 接受 日志数据被修改，删除访问权限没有控制 公司销售信息被竞争对手获得，业 务无法开展 5 通过域控，系统密码控制， 严格控制访问权限 233 30 03 控制 增加准入设备 ，对访问权限 和访问区域进 行规定 5115 51 1 接受 SL-DATA-050爱数备份日志文件日志 未经授权使用、访问、复 制 弱密码 日志信息被删除，无法追溯系统的 信息 5 通过员工自己定义密码进行 控制 233 30 03 控制 使用密码策略 ，严禁使用弱 密码 5115 51 1 接受 日志数据被修改，删除访问权限没有控制 公司销售信息被竞争对手获得，业 务无法开展 5 通过域控，系统密码控制， 严格控制访问权限 233 30 03 控制 增加准入设备 ，对访问权限 和访问区域进 行规定 5115 51 1 接受 SL-DATA-051趋势防毒日志文件日志 未经授权使用、访问、复 制 弱密码 日志信息被删除，无法追溯系统的 信息 5 通过员工自己定义密码进行 控制 233 30 03 控制 使用密码策略 ，严禁使用弱 密码 5115 51 1 接受 日志数据被修改，删除访问权限没有控制 公司销售信息被竞争对手获得，业 务无法开展 5 通过域控，系统密码控制， 严格控制访问权限 233 30 03 控制 增加准入设备 ，对访问权限 和访问区域进 行规定 5115 51 1 接受 SL-DATA-052守内安日志文件 日志 未经授权使用、访问、复 制 弱密码 日志信息被删除，无法追溯系统的 信息 5 通过员工自己定义密码进行 控制 233 30 03 控制 使用密码策略 ，严禁使用弱 密码 5115 51 1 接受 日志数据被修改，删除访问权限没有控制 公司销售信息被竞争对手获得，业 务无法开展 5 通过域控，系统密码控制， 严格控制访问权限 233 30 03 控制 增加准入设备 ，对访问权限 和访问区域进 行规定 5115 51 1 接受 SL-DATA-053上网行为管理日志文件日志 未经授权使用、访问、复 制 弱密码 日志信息被删除，无法追溯系统的 信息 5 通过员工自己定义密码进行 控制 233 30 03 控制 使用密码策略 ，严禁使用弱 密码 5115 51 1 接受 日志数据被修改，删除访问权限没有控制 公司销售信息被竞争对手获得，业 务无法开展 5 通过域控，系统密码控制， 严格控制访问权限 233 30 03 控制 增加准入设备 ，对访问权限 和访问区域进 行规定 5115 51 1 接受 SL-DATA-054视屏监控日志文件日志 未经授权使用、访问、复 制 弱密码 日志信息被删除，无法追溯系统的 信息 5 通过员工自己定义密码进行 控制 233 30 03 控制 使用密码策略 ，严禁使用弱 密码 5115 51 1 接受 日志数据被修改，删除访问权限没有控制 公司销售信息被竞争对手获得，业 务无法开展 5 通过域控，系统密码控制， 严格控制访问权限 233 30 03 控制 增加准入设备 ，对访问权限 和访问区域进 行规定 5115 51 1 接受 SL-DATA-055电话录音日志文件日志 未经授权使用、访问、复 制 弱密码 日志信息被删除，无法追溯系统的 信息 5 通过员工自己定义密码进行 控制 233 30 03 控制 使用密码策略 ，严禁使用弱 密码 5115 51 1 接受 日志数据被修改，删除访问权限没有控制 公司销售信息被竞争对手获得，业 务无法开展 5 通过域控，系统密码控制， 严格控制访问权限 233 30 03 控制 增加准入设备 ，对访问权限 和访问区域进 行规定 5115 51 1 接受 SL-DATA-056考勤机日志文件 日志 未经授权使用、访问、复 制 弱密码 日志信息被删除，无法追溯系统的 信息 5 通过员工自己定义密码进行 控制 233 30 03 控制 使用密码策略 ，严禁使用弱 密码 5115 51 1 接受 日志数据被修改，删除访问权限没有控制 公司销售信息被竞争对手获得，业 务无法开展 5 通过域控，系统密码控制， 严格控制访问权限 233 30 03 控制 增加准入设备 ，对访问权限 和访问区域进 行规定 5115 51 1 接受 SL-DATA-057路由日志文件 日志 未经授权使用、访问、复 制 弱密码 日志信息被删除，无法追溯系统的 信息 5 通过员工自己定义密码进行 控制 233 30 03 控制 使用密码策略 ，严禁使用弱 密码 5115 51 1 接受 日志数据被修改，删除访问权限没有控制 公司销售信息被竞争对手获得，业 务无法开展 5 通过域控，系统密码控制， 严格控制访问权限 233 30 03 控制 增加准入设备 ，对访问权限 和访问区域进 行规定 5115 51 1 接受 SL-DATA-058交换机日志文件 日志 未经授权使用、访问、复 制 弱密码 日志信息被删除，无法追溯系统的 信息 5 通过员工自己定义密码进行 控制 233 30 03 控制 使用密码策略 ，严禁使用弱 密码 5115 51 1 接受 日志数据被修改，删除访问权限没有控制 公司销售信息被竞争对手获得，业 务无法开展 5 通过域控，系统密码控制， 严格控制访问权限 233 30 03 控制 增加准入设备 ，对访问权限 和访问区域进 行规定 5115 51 1 接受 SL-DATA-059趋势杀毒日志文件日志 未经授权使用、访问、复 制 弱密码 日志信息被删除，无法追溯系统的 信息 5 通过员工自己定义密码进行 控制 233 30 03 控制 使用密码策略 ，严禁使用弱 密码 5115 51 1 接受 日志数据被修改，删除访问权限没有控制 公司销售信息被竞争对手获得，业 务无法开展 5 通过域控，系统密码控制， 严格控制访问权限 233 30 03 控制 增加准入设备 ，对访问权限 和访问区域进 行规定 5115 51 1 接受 SL-DATA-060 SL-DATA-061 SL-DATA-062 SL-DATA-063 SL-DATA-064 SL-DATA-065 SL-DATA-066 SL-DATA-067 SL-DATA-068 SL-DATA-069 SL-DATA-070 用友OA数据 快普ERP数据 豪创数据 管家婆数据 准入系统数 据 爱数备份数 据 守内安数据 上网行为管 理数据 视屏监控数 据 电话录音数 据 考勤机数据 系统数据资料 未经授权使用、访问、复 制 访问权限没有控制 系统信息被访问，泄露公司相关数 据信息 5 实施密码策略222 20 02 控制 使用准入系统 ，对可以使用 系统的人员进 行控制 5115 51 1 接受 电子存储媒体故障设备损坏资料丢失，业务无法开展5 使用数据备份系统，对数据 实时备份 233 30 03 控制 增加专业数据 备份系统，对 数据进行实时 备份 5115 51 1 接受 手工误删操作不小心资料丢失，影响项目进度5 使用数据备份系统，对数据 实时备份 121 10 01 避免 增加专业数据 备份系统，对 数据进行实时 备份 5115 51 1 接受 网络传输中被窃取未使用密码技术文件信息外泄5 使用加密系统控制131 15 51 接受 瘟疫、火灾、爆炸、雷击 、恐怖袭击等 缺乏应急机制客户信息丢失，业务开展产生困难5 设置必要的放火，放雷机制121 10 01 接受 恶意软件 缺乏安全意识；处理时不小心，恶意软件防范 未控制 数据丢失5 信息安全意识培训222 20 02 控制 使用杀毒软件 进行控制，在 公司安装杀毒 软件，并控制 软件安装权限 511 15 5 接受 自然灾难：地震、洪水、 台风 缺乏应急机制客户信息丢失，业务开展产生困难5 使用数据备份系统，对数据 实时备份 121 10 01 接受 SL-DATA-071公司网页 人为破损，服务商丢失，病毒攻击被黑客攻击不能宣传公司形象4 与供应商签订协议221 16 62 控制 进行上网检查 ，备份 4215 51 1 接受 未经授权更改 弱的密码管理网站被该，不能宣传公司形象4 无221 16 62 控制制定密码策略4215 51 1 接受 硬件 SL-HARD-001 SL-HARD-002 SL-HARD-041 SL-HARD-042 深信服SG上 网优化设备 交换机 入网规范设 备 电话录音盒 上网行为管理 供电故障电力供应不稳设备损坏，公司业务受到影响5 UPS保护0 01 接受 温度、湿度、灰尘超限易受到温度、湿度、灰尘和污垢影响火灾，设备温度身高，效率降低5 无222 20 02 控制定期点检 未经授权更改缺乏有效的配置变更控制人员访问权限受到影响50 01 接受 文档 与 数据 SL-DATA-046管家婆日志文件 日志 风险评估表 Page 4 信信息息安安全全风风险险评评估估表表 类类别别 编编号号 资资产产编编号号资资产产名名称称功功能能描描述述威威胁胁内内容容( (威威胁胁源源、动动机机） 脆脆弱弱性性影影响响后后果果 资资 产产 重重 要要 程程 度度 现现行行控控制制方方式式威威胁胁发发率率 脆脆弱弱被被 利利用用率率 风风 险险 值值 风风 险险 等等 级级 风风 险险 处处 理理 方方 式式 改改善善措措施施 资资产产 重重要要 程程度度 威威 胁胁 发发 生生 的的 评评 率率 脆脆弱弱 性性被被 利利用用 率率 残残 余余 风风 险险 值值 风风 险险 等等 级级 是是否否接接 受受 未经授权访问、使用或复 制 弱密码人员使用权限被修改5 实施密码策略211 10 01 接受 废弃不当处置 设备上的数据被非法获取，影响公 司声誉或资产损失 5 无222 20 02 控制 所有的存储设 备后续均进行 物理损坏后再 进行处理 5125 51 1 接受 故障不当维护设备损坏，业务受到影响5 无222 20 02 控制 有维护能力的 人方可进行设 备操作和维护 5125 51 1 接受 人为灾难：火灾、爆炸、 恐怖袭击等 缺乏防火、防雷等保护性措施 火灾或其它导致设备损坏，业务受 到影响 5 配置灭火器，设置放雷装置121 10 01 接受 盗窃存放缺乏保护设备丢失5 设备放在机房内，对机房绩 效物理防护 115 51 接受 SL-HARD-003 SL-HARD-004 万全T168 万全T100 供电故障电力供应不稳设备损坏，公司业务受到影响5 UPS保护121 10 01 接受 温度、湿度、灰尘超限易受到温度、湿度、灰尘和污垢影响火灾，设备温度身高，效率降低5 1、处于独立的机房中 2，有中央空调，未监控温湿 度 3，定期清理灰尘和污垢 121 10 01 接受 容量超载负载过高 在服务器上运行的系统无法正常运 行 5 未做容量规划与容量监控222 20 02 控制 未经授权更改缺乏有效的配置变更控制可能导致服务器运行不顺畅5 无文档化的变更控制程序，但 有工作惯例（变更需求提出， 获得部门主管的批准后开发运 营部实施） 222 20 02 接受 对变更管理进 行规定，并按 照文件规定执 行 5115 51 1 YES 未经授权访问、使用或复 制 物理访问控制不充分或不仔细 服务器物理或者数据损坏或数据被 非法窃取 5 处于独立机房内，物理防护115 51 接受 废弃不当处置数据被非法窃取5 无设备的处置策略222 20 02 控制 建立设备处置 管理规定，对 储存设备的处 理需要经过高 级格式化或者 物理破坏后再 处理。 5115 51 1 YES 故障不当维护设备损坏，公司业务受到影响5 有资格的人员方可机进行设 备维护 115 51 接受 人为灾难：火灾、爆炸、 恐怖袭击等 缺乏防火、防雷等保护性措施设备损坏，公司业务受到影响5 1，机房内无防火器材，但机 房门口外有灭火器 121 10 01 接受 自然灾难：地震、洪水、 台风、雷击 处于易受到威胁的场所，例如洪水、地震设备损坏，公司业务受到影响5 建筑物抗震性能良好，所在 30年内无洪水爆发记录 121 10 01 接受 盗窃 物理保护的缺乏：建筑物、门、窗等设备丢失，公司业务受到影响5 处于独立封闭的机房中，有 房门保护 222 20 02 接受 SL-HARD-007 SL-HARD-008 SL-HARD-009 SL-HARD-032 办公台式机 电脑 办公笔记本 电脑 财务电脑 笔记本联想 G460 病毒，资料丢失遭窃，硬 件或软件损坏 维护不善；蓄意破坏；软件本身缺陷不能正常办公4356 60 04 控制 定期进行软件 更新及电脑杀 毒，不乱装各 类非工作类软 件，不蓄意破 坏电脑 4218 8YES 未经授权访问、使用或复 制 物理访问控制不充分或不仔细数据被删除，修改或泄密4333 36 63 控制 对物理区域的 访问进行控制 ，建立相关制 度 4218 8YES 废弃不当处置数据涉密4333 36 63 控制 建立设备处置 管理规定，对 储存设备的处 理需要经过高 级格式化或者 物理破坏后再 处理。 4115 51 1 YES 故障不当维护无法正常工作4 建立供应商联系清单，有故 障时请供应商维护 128 81 接受 SL-HARD-038考勤机故障不当维护无法正常工作4 建立供应商联系清单，有故 障时请供应商维护 128 81 接受 SL-HARD-040 爱数备份磁盘柜 供电故障电力供应不稳设备损坏，公司业务受到影响5 UPS保护121 10 01 接受 温度、湿度、灰尘超限易受到温度、湿度、灰尘和污垢影响火灾，设备温度身高，效率降低5 1、处于独立的机房中 2，有中央空调，未监控温湿 度 3，定期清理灰尘和污垢 121 10 01 接受 容量超载负载过高 在服务器上运行的系统无法正常运 行 5 未做容量规划与容量监控222 20 02 控制 未经授权更改缺乏有效的配置变更控制可能导致服务器运行不顺畅5 无文档化的变更控制程序， 但有工作惯例（变更需求提 出，获得部门主管的批准后 开发运营部实施） 222 20 02 接受 对变更管理进 行规定，并按 照文件规定执 行 5115 51 1 YES 未经授权访问、使用或复 制 物理访问控制不充分或不仔细 服务器物理或者数据损坏或数据被 非法窃取 5 处于独立机房内，物理防护115 51 接受 废弃不当处置数据被非法窃取5 无设备的处置策略222 20 02 控制 建立设备处置 管理规定，对 储存设备的处 理需要经过高 级格式化或者 物理破坏后再 处理。 5115 51 1 YES 故障不当维护设备损坏，公司业务受到影响5 有资格的人员方可机进行设 备维护 115 51 接受 人为灾难：火灾、爆炸、 恐怖袭击等 缺乏防火、防雷等保护性措施设备损坏，公司业务受到影响5 1，机房内无防火器材，但机 房门口外有灭火器 121 10 01 接受 自然灾难：地震、洪水、 台风、雷击 处于易受到威胁的场所，例如洪水、地震设备损坏，公司业务受到影响5 建筑物抗震性能良好，所在 30年内无洪水爆发记录 121 10 01 接受 盗窃 物理保护的缺乏：建筑物、门、窗等设备丢失，公司业务受到影响5 处于独立封闭的机房中，有 房门保护 222 20 02 接受 SL-HARD-011 手机卡 不能接通人员服务意识不足 客户不能联系到公司人员，客户抱 怨 4 公司制度要求员工手机处于 一直开机状态，并进行抽查 ，对不能接通的进行处罚 218 81 接受 SL-HARD-012 打印机 设备故障或损坏；人员缺 失安全意识随手拿取打印 资料以致泄密 维护不善；蓄意破坏不能打印3 控制打印权限，打印后资料 随手拿走 221 12 21 接受 硬件 SL-HARD-001 SL-HARD-002 SL-HARD-041 SL-HARD-042 深信服SG上 网优化设备 交换机 入网规范设 备 电话录音盒 上网行为管理 风险评估表 Page 5 信信息息安安全全风风险险评评估估表表 类类别别 编编号号 资资产产编编号号资资产产名名称称功功能能描描述述威威胁胁内内容容( (威威胁胁源源、动动机机） 脆脆弱弱性性影影响响后后果果 资资 产产 重重 要要 程程 度度 现现行行控控制制方方式式威威胁胁发发率率 脆脆弱弱被被 利利用用率率 风风 险险 值值 风风 险险 等等 级级 风风 险险 处处 理理 方方 式式 改改善善措措施施 资资产产 重重要要 程程度度 威威 胁胁 发发 生生 的的 评评 率率 脆脆弱弱 性性被被 利利用用 率率 残残 余余 风风 险险 值值 风风 险险 等等 级级 是是否否接接 受受 SL-HARD-013 传真机 设备故障或损坏；人员缺 失安全意识随手拿取打印 资料以致泄密 缺乏安全意识文件丢失3 控制打印权限，打印后资料 随手拿走 216 61 接受 SL-HARD-014 复印机 设备故障或损坏；人员缺 失安全意识随手拿取打印 资料以致泄密 维护不善；蓄意破坏；软件本身缺陷不能正常办公3 控制打印权限，打印后资料 随手拿走 126 61 接受 SL-HARD-030 扫描仪 资料丢失遭窃，硬件或软件损坏维护不善；蓄意破坏；软件本身缺陷不能正常办公3 与维护厂商建立联系126 61 控制 SL-HR-001 SL-HR-023 所有人员公司日常运作 人为灾害：火灾、爆炸、 雷击、恐怖袭击 安全训练不完备影响正常工作，对业务造成困扰5 安全应急培训115 51 接受5115 5YES 缺乏应急机制公司无法正常运作5 建立应急机制115 51 接受5115 5YES 自然灾难：地震、洪水、 台风 安全训练不完备影响正常工作，对业务造成困扰5 安全应急培训115 51 接受5115 5YES 缺乏应急机制公司无法正常运作5 建立应急机制115 51 接受5121 10 0YES 内部人员泄密 缺乏安全意识 公司重要机密泄露，给公司造成重 大损失 5 数据加密，上网行为管控121 10 01 控制 编制培训计划 ，进行信息安 全相关培训， 人事不定期发 送安全提醒邮 件 5115 5YES 道德缺失 公司重要机密泄露，给公司造成重 大损失 5 无222 20 02 控制 编制培训计划 ，进行职业道 德培训，招聘 前对员工进行 岗前背景调查 ，签订保密协 议 5121 10 0YES 不公证待遇缺乏员工关怀/申诉政策 员工离职，公司信息泄露，人员资 产流失 5 无334 45 54 控制建立员工沟通渠道，建立保密协议5121 10 0YES 软件 SL-SOFT-001用友OA软件 未经授权访问、使用或复 制 访问权限的错误配置数据被删除，修改或泄密5334 45 54 控制权限审核5211 10 0YES SL-SOFT-002快普ERP软件缺乏身份鉴别机制易被攻击，修改或泄密5334 45 54 控制 制定相关网络 访问策略 5211 10 0YES SL-SOFT-003豪创软件离开工作场所未注销非授权的修改，泄密5334 45 54 控制 统一设置，最 多5分钟密保 5211 10 0YES SL-SOFT-004管家婆软件缺乏（文件）共享安全策略数据被删除，修改或泄密5334 45 54 控制 制定相关共享 策略 5211 10 0YES SL-SOFT-005爱数备份软件缺乏服务/端口安全策略数据被删除，修改或泄密5334 45 54 控制 对端口进行扫 描封堵 5211 10 0YES SL-SOFT-006守内安软件恶意软件众所周知的软件缺陷，易受病毒等攻击感染病毒，无法正常提供服务5334 45 54 控制 应实施恶意代 码的监测、预 防和恢复的控 制措施，以及 适当的提高用 户安全意识的 程序。 5211 10 0YES 抵赖缺乏审核踪迹无法追查信息安全事件5334 45 54 控制定期审核日志 黑客攻击 众所周知的软件缺陷数据被删除，修改或泄密5334 45 54 控制 应实施恶意代 码的监测、预 防和恢复的控 制措施，以及 适当的提高用 户安全意识的 程序。 密码强度太弱易被攻击，修改或泄密5334 45 54 控制 建立密码策略 ，明确密码强 度并定期修改 密码 系统管理员权限滥用 访问权限的错误配置非授权的修改，泄密5334 45 54 控制权限审核 未经授权更改 缺乏补丁管理机制易被攻击，修改或泄密5334 45 54 控制制定补丁策略 缺乏有效的变更控制易被攻击，修改或泄密5334 45 54 控制 建立更改管理 程序 违背知识产权相关法律、 法规 安装使用盗版软件法律诉讼5334 45 54 控制 建立文件，规 定使用正版软 件 SL-SOFT-015WINSERVER2003服务器操作系统 恶意软件众所周知的软件缺陷，易受病毒等攻击感染病毒，无法正常提供服务5334 45 54 控制 应实施恶意代 码的监测、预 防和恢复的控 制措施，以及 适当的提高用 户安全意识的 程序。 5211 10 0YES 未经授权访问、使用或复 制 访问权限的错误配置数据被删除，修改或泄密5334 45 54 控制权限审核5211 10 0YES 缺乏身份鉴别机制易被攻击，修改或泄密5334 45 54 控制 制定相关网络 访问策略 5211 10 0YES 离开工作场所未注销非授权的修改，泄密5334 45 54 控制 统一设置，最 多5分钟密保 5211 10 0YES 缺乏（文件）共享安全策略数据被删除，修改或泄密5334 45 54 控制 制定相关共享 策略 5211 10 0YES 缺乏服务/端口安全策略数据被删除，修改或泄密5334 45 54 控制 对端口进行扫 描封堵 5211 10 0YES 抵赖缺乏审核踪迹无法追查信息安全事件5334 45 54 控制定期审核日志5211 10 0YES 黑客攻击 众所周知的软件缺陷数据被删除，修改或泄密5334 45 54 控制 应实施恶意代 码的监测、预 防和恢复的控 制措施，以及 适当的提高用 户安全意识的 程序。 5211 10 0YES 密码强度太弱易被攻击，修改或泄密5334 45 54 控制 建立密码策略 ，明确密码强 度并定期修改 密码 5211 10 0YES 系统管理员权限滥用 访问权限的错误配置非授权的修改，泄密5334 45 54 控制权限审核5211 10 0YES 未经授权更改 缺乏补丁管理机制易被攻击，修改或泄密5334 45 54 控制制定补丁策略5211 10 0YES 缺乏有效的变更控制易被攻击，修改或泄密5334 45 54 控制 建立更改管理 程序 5211 10 0YES 违背知识产权相关法律、 法规 安装使用盗版软件法律诉讼5334 45 54 控制 建立文件，规 定使用正版软 件 5211 10 0YES SL-SOFT-009 L-SOFT-010 SL-SOFT-011 SL-SOFT-012 SL-SOFT-013 SL-SOFT-014 SL-SOFT-015 SL-SOFT-016 SL-SOFT-017 SL-SOFT-018 SL-SOFT-019 SL-SOFT-020 WIN XP SL-SOFT-010 OFFICE TeamViewer Adobe Reader Windows XP Office 2003 Windows 2003 Office2007 SQL Server 2005 360安全卫士 趋势杀毒 盈高桌面管 理软件 个人操作系统等 未经授权访问、使用或复 制 访问权限的错误配置数据被删除，修改或泄密5334 45 54 控制权限审核5211 10 0YES 缺乏身份鉴别机制易被攻击，修改或泄密5334 45 54 控制 制定相关网络 访问策略 5211 10 0YES 硬件 风险评估表 Page 6 信信息息安安全全风风险险评评估估表表 类类别别 编编号号 资资产产编编号号资资产产名名称称功功能能描描述述威威胁胁内内容容( (威威胁胁源源、动动机机） 脆脆弱弱性性影影响响后后果果 资资 产产 重重 要要 程程 度度 现现行行控控制制方方式式威威胁胁发发率率 脆脆弱弱被被 利利用用率率 风风 险险 值值 风风 险险 等等 级级 风风 险险 处处 理理 方方 式式 改改善善措措施施 资资产产 重重要要 程程度度 威威 胁胁 发发 生生 的的 评评 率率 脆脆弱弱 性性被被 利利用用 率率 残残 余余 风风 险险 值值 风风 险险 等等 级级 是是否否接接 受受 离开工作场所未注销非授权的修改，泄密5334 45 54 控制 统一设置，最 多5分钟密保 5211 10 0YES 缺乏（文件）共享安全策略数据被删除，修改或泄密5334 45 54 控制 制定相关共享 策略 5211 10 0YES 缺乏服务/端口安全策略数据被删除，修改或泄密5334 45 54 控制 对端口进行扫 描封堵 5211 10 0YES 抵赖缺乏审核踪迹无法追查信息安全事件5334 45 54 控制定期审核日志5211 10 0YES 黑客攻击 众所周知的软件缺陷数据被删除，修改或泄密5334 45 54 控制 应实施恶意代 码的监测、预 防和恢复的控 制措施，以及 适当的提高用 户安全意识的 程序。 5211 10 0YES 密码强度太弱易被攻击，修改或泄密5334 45 54 控制 建立密码策略 ，明确密码强 度并定期修改 密码 5211 10 0YES 系统管理员权限滥用 访问权限的错误配置非授权的修改，泄密5334 45 54 控制权限审核5211 10 0YES 未经授权更改缺乏补丁管理机制易被攻击，修改或泄密5334 45 54 控制制定补丁策略5211 10 0YES 缺乏有效的变更控制易被攻击，修改或泄密5334 45 54 控制 建立更改管理 程序 5211 10 0YES 违背知识产权相关法律、 法规 安装使用盗版软件法律诉讼5334 45 54 控制 建立文件，规 定使用正版软 件 5211 10 0YES 恶意软件众所周知的