风险评估原则

XXX信息安全科技有限公司XXX信息安全科技有限公司第#页共w9页内部公开第第1页共9页内部公开风险评估原则目录TOC\o"1-5"\h\z一、资产分类参考目录2.二、重要信息资产判断标准2.三、信息资产CIAB分级标准4四、威胁分级标准4..五、脆弱性漏洞分级标准5六、风险等级标准5七、威胁来源列表5..八、威胁种类与描述5.九、脆弱性列表6.

一、资产分类参考目录资产大类资产小类描述硬件主机设备大型机、小型机、PC服务器等终端设备台式机、KVM、笔记本、移动终端等网络设备路由器、交换机、HUB、负载均衡设备等传输介质光纤、双绞线、同轴电缆、卫星线路等安全设备防火墙、防毒墙、安全网关、入侵检测设备、扫描设备、加密机、VPN、网闸、堡垒主机等存储介质磁带、光盘、U盘、移动硬盘等存储设备磁盘阵列、磁带库、NAS/SAN/存储设备等办公辅助设备传真机、碎纸机、打印机、扫描仪、复印机、刻录机、照相机等软件源程序源代码、软件安装包、License等服务器操作系统WindowsServer、Linux、Unix、AIX、Solaris等，虚拟化系统（Hyper、ESX/ESXi、XenServer等）终端操作系统WindowsXP/7、MaciOS等数据库Oracle、DB2、Sqlserver、Mysql等中间件Websphere、Weblogic、应用服务器、消息中间件、对象中间件等工具应用软件office、通讯软件、媒体编辑软件、软件开发工具、测试工具、版本控制软件、设计建模工具，终端杀毒软件、防篡改、终端管理系统客户端等应用系统OA系统、邮件系统、业务处理系统、ERP、交易系统、门户网站、终端官理系统、文档加密系统、视频监控管理系统、IT服务管理系统、IT资源监控管理系统等开发测试系统正在测试且未上线或部分上线的系统以及正在开发的系统数据业务信息财务/人力信息、合同信息、项目信息、采购信息、客户信息、市场资料、业务数据、交易数据等系统配置信息配置、日志、帐户权限口令信息、软证书等文档管理文档管理制度文档、运维资料、培训资料、收发文、工作报告、软件开发文档、法律法规等实体信息印章、证照、硬证书/令牌、其它实体信息等人员内部人员-中高层领导公司重事会层面相关成员或者大部门领导级成员、部门领导或者部门模块科室领导内部人员-支撑人员行政、财务、人力资源等员工内部人员-业务人员公司业务人员

内部人员-运维人员IT运维人员（主机管理员、网络管理员、系统管理员、数据库管理员、安全管理员）内部人员-开发人员开发人员、测试人员等外部人员业务外包人员、开发外包人员、运维外包人员、物业保安人员等物理环境硬件保障设施空调、UPS、发电机、门禁设施、消防设施、机柜机架等环境监控设施CCTV、报警设施、温湿度监控建筑环境设施设备间、机房、办公大厦介质保障设施保险柜、档案室、文件柜等第二方月服务基础保障服务供电、物业、宝洁、保安监控、供水、办公设备维保、大厦空调、物流快递、打印等服务业务支持服务包括主机硬件支持、开放平台硬件支持、机房设备设施支持、存储设备支持、云计算支持、软件和硬件的研发、IT咨询（安全咨询）、财务审计、法律咨询、人力资源支持、公关媒体、宝洁、物流快递、打印、保安监控等服务外包服务产品推广EMGL业务大数据客探业务无形资产专利专利技术著作著作权二、重要信息资产判断标准分类评判标准硬件1、产生或保存的信息属于秘密的设备或媒体。2、处理方法不当或设备故障，对公司活动、管理、商业信誉、形象直接产生不良影响。3、本部门认为重要的信息资产。软件1、属于企业秘密的程序。2、如果被修改或失效，对公司活动、管理、商业信誉、形象直接产生不良影响。3、本部门认为重要的信息资产。数据1、属于公司机密。2、被修改、不正当使用或缺失，对公司活动、管理、商业信誉、形象直接产生不良影响。3、本部门认为重要的信息资产。文档1、属于公司机密。2、被修改、不正当使用或缺失，对公司活动、管理、商业信誉、形象直接产生不良影响。3、本部门认为重要的信息资产。

人员1、产生或保存企业秘密信息的人员或特殊技能的人员。2、本部门认为重要的信息资产。物理环境1、产生或保存企业秘密信息或运行重要程序、完成重要业务的场所。2、本部门认为重要的信息资产。第二方服务1、影响业务流程及运营的关键服务，无形资产。2、本部门认为重要的信息资产。外包服务1、产生或保存第二方企业秘密信息或运行支撑第二方业务的重要程序、完成第三方重要业务的环境、场地、系统等信息资产。2、本部门认为重要的信息资产。无形资产1、影响业务流程及运营的无形资产。2、本部门认为重要的信息资产。三、信息资产CIAB分级标准A机9ftIF■性a-wmb沪业芳■董注咒伞當高）BL祝的催瑰叫餓环盒可fl剋点成重上前-可底池広更的需响.刈业尋种击五上，并可IWI-■ij'-：＜tfr{r..11.■-；u.%丄也由岳制怙J6決I&2S読囱可niAiJ.njq：ij^..9t6wr.毗备汇仝蔽“■丧仁□追严11Vi匕可咀二:a-'斯..1fi川陀谶旳卜上MW堂严區拗吿£老母说梶1：人瞬町总业爭需応严童,H!9«5ffU?Wt可屮社毎陌1丈芮.合浊囲U1时心息■如m嘉翌射门-；S迟刃毎r.TIF“L砸毎可逡馆息欣产低遂引1总！、.国南“.」“讣味:•“浙导舐牛产耀人端下除廈V4、危再到*iTJr柯创沖尽纵忖展壯施宙，Ait简MM叩纵iFi安咛n*|；,■■忸s屮尊static的峰比或就环強用爼筑如耳响，討畳寡冲讳彌显"初■■I讥惊fi-可■川桂刑1屮尊.各注崔開苛时他息忑曲-息籍俐可朋圧在正第丄忙吋同赴醐丁曲nI-业嘉V旻限"辿話息矗F躲同吋保持嫌有工作圧性产横式"可口廈吋H■冗谭信.S5r赳舍仅览琏tflSH阿他尿勺齟累•m.ii>j^rnu「讪弼樂現的*」五洁琥拒害圧盟礼％俱恂限，丸违15抿的峰厲或畔拆吉禹塩迪我轻谊當响*可LJ15S，詞业务冲击辂緞，事辭沁可屮性卅頂・鲁汪修期首引仙忠禺」H哥說叫縄環i-^.il利丄fT吋fi也为粗nI-就躅为削曲，业霽斗罢丛原有力或进行盘旳的军息吐耳归占廉杀统H整11细忙』怎恆“说址授利1;犠坤誓2-们罔迟认对「:軒尸,|,'.aw可umw'ffiarum・徉吐N]j-；Ji/i:.r-flr..Mi7W；-业越ft卓莊接囲杠MtlS政惟息巽严’駅祁編■r-.r-jnii槪ii配q11t/.Jj四、威胁分级标准

标识EX.5出现泊频率很码〔或耳丨抉/周〉：或旳匚务数情况卜'JL乎不J澤免；或iJW计机经常发生过。4出现泊扳率较讪'(或31S/J):或比大名数情况卜仏有iJgfe合境生；或可以证实赛祝发生过.31'出现射频率网f或〉1祝/半心：或血昭小情出卜可罷法境生;或被汕实曾经境T.过“2出现泊麵率St小；或一股・丸叮能揑生:或没仃被让实刘汕L:忽略OJ1.平十町能发T・仅叮能在*常甲见和例外的情况卜发"L五、脆弱性漏洞分级标准按术■逼徨1M謝需控彌応科性虽M朝用的J*島觀度1(PTS4技术方IW打珀益賀悴轴躺屈如、的2IK础利出耐」皮击舌衰说,谶|'电取半rLf'I'll.戎誓审1屮曲辛禺：、俎粮呼^屮芒Mil綽呵11删种1呑规定.严倚技*EB奇注曲I忒炖利出时于加4示睾矗i濟抵法械口(期沈:IL恤陽叶兀件』制飆吓屮逢MH时解汉节，用吼械PJ'd寺初定••inftmii.有专人曲丸卷杳执右荷电as,有己录哇餓咸再口NJ忆屮｝H+ult-'/./i,:.狀备脚jM＜左可4JEfiJi|J如如飞&p]II.i'k^i^MfflflifiJilJ3.LPJ^U粗悝帕屮卍h明⑻曲稠酒节，可以蔽f'J'J.SW.LS5＞5^＜：-仃丄*iiJLifejONH•|讣：悄术方両育在臂严叩1」vnsM®.可灿枕垃曲昔加風片找利朗.甦若盘湖的科用有…宜组织馆那屮帝圧右將朗呻W比我洋刑哋酒毎执仃II:比客园査或射』||」僅卅方iW打珀i:iIIJS严武的技陷,腹窖馬畝II窗蹄肚””吐蛊rill応a議哲im諮|爼駅轉外屮打芒苕阳挟鬥沖驶J*T，71-IIU辟i；转；W乩\.'.Jlfj六、风险等级标准址|:哗级Li啪述iT怖53fl-：!a如I艮岌■■I.将址系删愛遠上取坏.蛆埶利曲空別极犬:殒艮i"1口」电论凤险41.1-L9高刃I黑圾'I:務址忝统逍逼严朮蔭坏，阳跟利益逼刘严:址捌火不町按雯凤险XIII1-11:1发花话将硬系址唸判较用附戌坏，阳跟利益曼踰先-般不可糕蚯凤险25~9授1--用将他系St受和射盛坏理度filf'ISffi火•般诒1呵護受凤险｛需夏其沁)1D-可黑略|!|川代T只仝便毎级受別很：'間观坏“:搖蛍凤睦七、威胁来源列表曲于晰电1樹血、沁、翻宓、媪虫r鼠畑U吉t屯嵐干按r祇夾.火龙.坦焦巧-冈■厲■爭杵和口然史雪】帝艸单議取由于鞍碎.便曲=、刼拊.捕日孝略R浏旳欣卑无肆定内耶m内邹人旳由寸祇乏门门心-J'j^iffiirj=交心冃1小、泊.农斤汉片遵ns辺■-■■ikjjs和操忤说理血曲佛^Fta*.山君.瓦员由于吐乏isiii.者量技龍不足，不具缶曲■桩却B理熏函■导致洁宜垂统放16戊也》1击出意内耶人航出洒瓒有髀军的内却人曲珅倩总利當If?理奪硝坏msM白一主「些内冷公曲的白.4诙心从密卞Q我辿匚垃u-昨H第三mi^frirufwe呂话咖伯.杆动、证秀、杭务警畳务卄和恢阵“皿较忤幵发令悴妆律、寧醜却t应.脈务■苗和尹母蛋应商=邑括第三力幽jfeil：」FllA1.S■直的打为外祁心1希用1EJ&■杀礁肝圖稱性』JH冏Sfr昶棗焼耐L密性＞.云劭世和拭了峨坏■丄获恥利蛍」JH3g«ER八、威胁种类与描述

虞■■述RQQhii就备喚和騰.亂只涨即:悯.拿统本甘哑较件心U副•川务雷时任:ij邑百的託即樹」m”專鲫斷仏芳仏捉尘、潮溟’血.員纵直乱电at干擢*祺农.販地霍学环境冋题朝II然先言ICO；；处为说吐fTh浬ill1应味擠L」没有执仃相应的拗1,或无意地｝叮.，镂哄的拗n.射泵硼融*Kol许理不于用宣空骨理无注轻氓，不JJftr适戚室仝誉璨不甥祜，贯音會璨JftJL.从仙眦坤「」&杀吒ll卫jl吁狂帀rws悲之代啊和£iU■■^ru^sia...『1氐汕播隹你.时仁也瓯统挡触・e討占：」沁泊匚HKC-Ei越収或汚ria:i<jn小引；諾”超越口己的找眞技问」-牛*槪止问呻膏*!白己的郴.懂出砒坏苗息厢蜻前竹为KC-7上客顶击利川需岔「ML讥几-例血阳按・■«科措割巧hh-規Ml：和山口/,.应唳h订丨.哽採、询适11：总嚅・施朝恥爵耳丄弟扌：用则佯总乘舞二ri^.lifl：AG7CO3收理上上物晖幔址一樹理砒坏、潘奋ITOGfits机寄信鳥讥並蛉皿人hli.l&L<非建律醴口恵破±1注总前尼护性roinmf4tu.ifcillI：j信点和斫杵忙用件W交鼎IC12❻刊丿；、^H'iJ.-'.L九、脆弱性列表

n:ciiHi]/:乏口悻口T握划\rd/-nrii■yfiit；^ri.iptsr晴匚牛苗山1i(15缺近可tfvrifct的世仝程序'■FUb萤吓JvX1可律PF州it车睦有效敲r?■i(i?ft/牡壬h1Ki：.'没门『・爾主/TtE"；阳」1liiJ没n連j'.ydTT:r-j幻血范IM;UJ1I切啟的重理记云玺仃毎判血IP'.lij删UVfM眾（&引莹熬监■ini人打切说木平博'■■Iiij■in：.A.打左八总驭处'■■Ini扎上谥僵:精冲不齒1IH：3'■■hib■<rrin?丿」1庇汕哦雅■■in；-.31肓養订博说rin：jniinH悅期哥屮at厅宾心輕出ri11安住疋注与1」丄9HWF钩rm嗟rii：.没肯扎閃钿肌制niii理乏LMJ肝为的前n;xii电灿B*n：jp\4KIS\Hjg-i疑冈豆汨.七滋响A.\HKih\RirAHflR\HKI!jIt；」客冷d-WIIIMlMl竺让缶、斤顶品简坤口帖应幵:K：讦"IB制罠iff潜败的忖viirM佇開十冋十垢口帖在沖能刀1-W吃誉严烧甞r:/£TiT.-^i[1冷疋C用HI转陆njnuft齢眾谢MlElk技■术黑VNIH■J'-1L幣ruit诅就舅诅入MJIK丄11比tMJl!J<\'川的ConjniL*粘巾攀卄Ml1「网販竝背珅样誅ZHI诀心疋优-•卑尿氓疋Til程割亡订歴时史新神TL班删幵怏颈认需吟WI\VIS琨St廿雀叫筆厢务4WI\丸1筑凱？T珅址乩山门丙I［审曲空口雀I*1;、底at疔柱可麻耳i户ISflh程割亡订开秋审：i曰恵功域rsfl?崔鬣没IJnill^-V匠』牟和£仃启阳用户務硏穽亍策略'■-=(!!.■■SllJ集St无覆磁剧描JfiglnK^i'.-'iTdrsUilIm股本険F在屈悟円啓即爭円応11■Sl：>配宣測舸rsit<-H-■J■-Si7盘育鏈tftmEM桂轨TI架徇牡幅岳l!.'