技术中心信息安全风险点评估及风险清单

信息安全风险点评估及风险清单,,,,,,,,,,,,,

,,,,,,,,,,,,,,

技术中心,,,,,,,,,,,,,

序号,活动或过程,二级子过程,三级子过程,弱点,威胁,风险点,造成的影响,涉及的资产,风险评价,,,,现有控制手段

,,,,,,,,,涉及资产价值,可能性,严重性,风险值,

1,技术中心,公司内部IT运维,web网资源管理,供应商管理不善,选择服务差的供应商,web资源提供商服务质量差,业务中断,邮件、OA系统,3,1,3,9,供应商评价

2,,,,服务器没有做好安全措施,病毒、木马或黑客攻击,web服务器中毒或遭到攻击,业务中断,邮件、OA系统,3,1,3,9,"1.安装防火墙和杀毒软件

2.定期升级并杀毒

3.日志评审"

3,,,财务部门和技术中心服务器日常管理,服务器没有做好安全措施,病毒、木马或黑客攻击,服务器中病毒，遭到木马攻击,业务中断、信息泄露,财务和技术中心机密信息,3,1,3,9,"1.安装防火墙和杀毒软件

2.定期升级并杀毒

3.日志评审"

4,,,,服务器日常管理不善,通讯线路中断,服务器通讯网络中断,业务中断,财务和技术中心机密信息,3,1,3,9,日常检查

5,,,内部通讯网络,管理不善,内部通讯系统中断,内部通讯系统中断或管理不善,信息丢失，业务中断,公司机密信息,3,2,3,18,日常检查

6,,,计算机管理,没有及时配置防病毒措施,病毒、木马或黑客攻击,没有及时配置防病毒措施,业务中断,公司秘密信息,2,1,2,4,日常检查

7,,,邮件服务器管理,没有及时配置防病毒措施,病毒、木马或黑客攻击,服务器中病毒，遭到木马攻击,信息泄露、业务中断,公司机密信息,3,1,3,9,"1.安装防火墙和杀毒软件

2.定期升级并杀毒

3.日志评审"

8,,,,备份管理不善,没有及时备份,服务器重要信息没有及时备份,信息丢失、业务中断,公司机密信息,3,1,3,9,日常检查

9,,,,服务器日常管理不善,通讯线路中断,服务器通讯网络中断,业务中断,公司机密信息,3,1,3,9,日常检查

10,,,机房管理,机房管理不善,恶劣的机房环境,机房环境不合格,信息丢失、业务中断,公司机密信息,3,1,3,9,日常检查

11,,,,机房管理不善,人为破坏,机房人员进入管理不善,业务中断,公司机密信息,2,1,3,6,日常检查

12,,公司外部IT运维,人员安全,招聘操作不到位,工程欺骗,因背景检查不够，录用职业操守不佳或恶意人员,恶意破坏和信息泄露,研发机密文件,3,1,3,9,签订保密协议

13,,,,没有很好的招聘渠道,招聘不及时,招聘不及时,业务中断,员工,3,1,3,9,增加招聘渠道、提高招聘效率

14,,,,培训不到位,员工技能达不到工作要求,员工意识和技能不到位,业务中断,员工,2,1,2,4,培训和检查

15,,,,培训不到位,员工技能达不到工作要求,没有做很好的培训，技能掌握不全面，安全意识淡薄,业务中断和信息泄露,员工,2,1,2,4,培训和检查

16,,,,培训不到位,员工技能达不到工作要求,员工误操作,信息丢失和业务中断,技术秘密文件,2,1,2,4,培训和检查

17,,,,培训不到位,员工无安全意识,员工在交谈中没有信息安全意识,信息泄露,技术秘密文件,2,1,2,4,培训

18,,,,人员管理不到位,离职,人员管理不到位，大规模离职,业务中断,员工,3,1,3,9,设立专岗管理员工关系

19,,,,工作交接管理不善,离职员工信息丢失或泄露,部门没有获取离职员工的工作信息、或没有删除离职员工机器中机密信息,业务中断和信息泄露,技术机密文件,3,2,3,18,增强其流程管理

20,,,,没有签订保密协议,员工对信息的剽窃,没有做好信息安全保密措施,信息泄露,技术机密文件,3,1,3,9,培训和检查

21,,,技术文档安全,上交管理不善,员工没有上交重要文档,技术的信息资产没有及时上交公司,资产损失,技术秘密文件,3,1,3,9,设立转岗收集

22,,,,信息系统管理不善,信息的随意访问,信息系统管理不善,信息泄露,技术秘密文件,2,1,3,6,培训和检查

23,,,,保密资料的共享流程不完善,信息的随意共享,保密资料的共享流程不完善,信息泄露,技术机密文件,3,1,3,9,设置合理流程

24,,,设备,设备管理不善,设备误操作、丢失、被盗,设备管理不善，误操作、丢失、被偷盗,业务中断、信息泄露、设备丢失,技术机密文件,3,1,3,9,培训和检查

25,,,物理环境,物理环境管理不善,不清楚区域规定,管理不善，违背客户相关区域规定,公司信誉受损,公司信誉,2,1,3,6,培训