风险评估表 信息安全风险评估表 类别编号 资产编号 资产名称 功能描述 威胁内容(威胁源、动机) 脆弱性 影响后果 资产重要程度 现行控制方式 威胁发率 脆弱被利用率 风险值 风险等级 风险处理方式 改善措施 资产重要程度 威胁发生的评率 脆弱性被利用率 残余风险值 风险等级 是否接受 文档与数据 SL-DATA-001 解决
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
针对客户需求提出的信息安全解决方案 被竞争对手获取 人员道德缺乏 文件被竞争对手获取,影响业务开展 5 数据加密系统控制 1 2 10 1 接受 未经授权使用、访问、复制 人员缺乏安全意识 文件信息外泄 5 进行员工信息安全意识培训 1 2 10 1 接受 不正确的废弃 人员缺乏安全意识 文件信息外泄 5 进行员工信息安全意识培训, 1 2 10 1 接受 电子存储媒体故障 设备损坏 资料丢失,影响项目进度 5 使用数据备份系统,对数据实时备份 1 2 10 1 接受 手工误删 操作不小心 资料丢失,影响项目进度 5 使用数据备份系统,对数据实时备份 1 2 10 1 接受 网络传输中被窃取 未使用密码技术 文件信息外泄 5 使用加密系统控制 2 3 30 3 接受 瘟疫、火灾、爆炸、雷击、恐怖袭击等 缺乏应急机制 客户信息丢失,业务开展产生困难 5 设置必要的放火,放雷机制 1 2 10 1 接受 自然灾难:地震、洪水、台风 缺乏应急机制 客户信息丢失,业务开展产生困难 5 对重要数据进行定期移动硬盘备份 1 2 10 1 接受 SL-DATA-003SL-DATA-004SL-DATA-018 体系文件管理
制度
关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载
各项规章制度 公司管理类文档 未经授权使用、访问、复制 人员缺乏安全意识 文件信息外泄 5 进行员工信息安全意识培训 1 2 10 1 接受 不正确的废弃 人员缺乏安全意识 文件信息外泄 5 进行员工信息安全意识培训, 1 2 10 1 接受 电子存储媒体故障 设备损坏 资料丢失,影响项目进度 5 使用数据备份系统,对数据实时备份 1 2 10 1 接受 手工误删 操作不小心 资料丢失,影响项目进度 5 使用数据备份系统,对数据实时备份 1 2 10 1 接受 网络传输中被窃取 未使用密码技术 文件信息外泄 5 使用加密系统控制 1 2 10 1 接受 瘟疫、火灾、爆炸、雷击、恐怖袭击等 缺乏应急机制 文件信息丢失,业务缺乏指导 5 设置必要的放火,放雷机制 2 3 30 3 接受 自然灾难:地震、洪水、台风 缺乏应急机制 文件信息丢失,业务缺乏指导 5 对重要数据进行定期移动硬盘备份 1 2 10 1 接受 SL-DATA-008SL-DATA-010 在职员工个人信息员工劳动
合同
劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载
人事档案信息 未经授权使用、访问、复制 缺乏物理防护机制 员工个人信息资料丢失或泄密 4 人事资料放在人事文件柜中 1 4 16 2 避免 员工档案资料文件柜应上锁,防止非授权的获取 4 1 2 8 1 接受 瘟疫、火灾、爆炸、雷击、恐怖袭击等 缺乏应急机制 文件信息丢失,人事工作开展困难 5 设置必要的放火,放雷机制 2 3 30 3 接受 自然灾难:地震、洪水、台风 缺乏应急机制 文件信息丢失,人事工作开展困难 5 对重要数据进行定期移动硬盘备份 1 2 10 1 接受 SL-DATA-013SL-DATA-016SL-DATA-021SL-DATA-022 供应商合作
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
书采购合同代理合同厂商报价 合同 未经授权使用、访问、复制 缺乏物理防护机制 供应商信息被客户或竞争对手获得,供应商投诉或业务无法开展 5 合同报价等资料放在上锁的文件柜中 1 2 10 1 接受 瘟疫、火灾、爆炸、雷击、恐怖袭击等 缺乏应急机制 文件信息丢失,人事工作开展困难 5 设置必要的放火,放雷机制 2 3 30 3 接受 网络传输中被窃取 未使用密码技术 文件信息外泄 5 使用加密系统控制 2 3 30 3 接受 自然灾难:地震、洪水、台风 缺乏应急机制 文件信息丢失,人事工作开展困难 5 对重要数据进行定期移动硬盘备份 1 2 10 1 接受 盗窃 存放缺乏保护 合同丢失,影响后续服务或收款等内容 5 合同报价等资料放在上锁的文件柜中 1 2 10 1 接受 SL-DATA-014SL-DATA-015SL-DATA-023SL-DATA-024SL-DATA-033 报价、合同样本
销售合同
销售合同模板销售合同范本产品销售合同汽车销售合同商品销售合同
客户报价客户合同报价单 合同 未经授权使用、访问、复制 缺乏物理防护机制 供应商信息被客户或竞争对手获得,供应商投诉或业务无法开展 5 合同报价等资料放在上锁的文件柜中 1 2 10 1 接受 不正确的废弃 人员缺乏安全意识 文件信息外泄 5 进行员工信息安全意识培训, 1 2 10 1 接受 瘟疫、火灾、爆炸、雷击、恐怖袭击等 缺乏应急机制 文件信息丢失,人事工作开展困难 5 设置必要的放火,放雷机制 2 3 30 3 接受 自然灾难:地震、洪水、台风 缺乏应急机制 文件信息丢失,人事工作开展困难 5 对重要数据进行定期移动硬盘备份 1 2 10 1 接受 盗窃 存放缺乏保护 合同丢失,影响后续服务或收款等内容 5 合同报价等资料放在上锁的文件柜中 SL-DATA-026 客户资料 供开票及联系 未经授权使用、访问、复制 缺乏物理防护机制 客户信息被客户或竞争对手获得,供应商投诉或业务无法开展 5 合同报价等资料放在上锁的文件柜中 瘟疫、火灾、爆炸、雷击、恐怖袭击等 缺乏应急机制 文件信息丢失,人事工作开展困难 5 设置必要的放火,放雷机制 2 3 30 3 接受 网络传输中被窃取 未使用密码技术 文件信息外泄 5 使用加密系统控制 2 3 30 3 接受 自然灾难:地震、洪水、台风 缺乏应急机制 文件信息丢失,人事工作开展困难 5 对重要数据进行定期移动硬盘备份 1 2 10 1 接受 盗窃 存放缺乏保护 合同丢失,影响后续服务或收款等内容 5 合同报价等资料放在上锁的文件柜中 1 2 10 1 接受 SL-DATA-027 CRME和快普数据库 ERP系统数据 未经授权使用、访问、复制 访问权限没有控制 数据被删除,修改或泄密 5 通过域控,系统密码控制,严格控制访问权限 2 3 30 3 控制 增加准入设备,对访问权限和访问区域进行规定 5 1 1 5 1 接受 未经授权更改 访问权限没有控制 公司业务无法开展 5 通过域控,系统密码控制,严格控制访问权限 2 3 30 3 控制 增加准入设备,对访问权限和访问区域进行规定 5 1 1 5 1 接受 电子存储媒体故障 存放缺乏保护 数据丢失业务无法开展 5 通过服务器备份数据 2 3 30 3 控制 增加专门数据备份系统,对数据进行实时备份 5 1 1 5 1 接受 瘟疫、火灾、爆炸、雷击、恐怖袭击等 缺乏应急机制 文件信息丢失,人事工作开展困难 5 对重要数据进行定期移动硬盘备份,设置放雷机制 1 2 10 1 接受 自然灾难:地震、洪水、台风 缺乏应急机制 文件信息丢失,人事工作开展困难 5 对重要数据进行定期移动硬盘备份 1 2 10 1 接受 SL-DATA-028 公司办公租赁合同 合同 未经授权使用、访问、复制 缺乏物理防护机制 供应商信息被客户或竞争对手获得,供应商投诉或业务无法开展 5 合同报价等资料放在上锁的文件柜中 1 2 10 1 接受 瘟疫、火灾、爆炸、雷击、恐怖袭击等 缺乏应急机制 文件信息丢失,人事工作开展困难 5 设置必要的放火,放雷机制 2 3 30 3 接受 网络传输中被窃取 未使用密码技术 文件信息外泄 5 使用加密系统控制 2 3 30 3 接受 自然灾难:地震、洪水、台风 缺乏应急机制 文件信息丢失,人事工作开展困难 5 对重要数据进行定期移动硬盘备份 1 2 10 1 接受 盗窃 存放缺乏保护 合同丢失,影响后续服务或收款等内容 5 合同报价等资料放在上锁的文件柜中 1 2 10 1 接受 SL-DATA-030SL-DATA-032 公司各类财务数据及报表公司经营相关数据及资料 财务数据 未经授权使用、访问、复制 访问权限没有控制 数据被删除,修改或泄密 5 通过域控,系统密码控制,严格控制访问权限 2 3 30 3 控制 增加准入设备,对访问权限和访问区域进行规定 5 1 1 5 1 接受 未经授权更改 访问权限没有控制 公司业务无法开展 5 通过域控,系统密码控制,严格控制访问权限 2 3 30 3 控制 增加准入设备,对访问权限和访问区域进行规定 5 1 1 5 1 接受 电子存储媒体故障 存放缺乏保护 数据丢失业务无法开展 5 通过服务器备份数据 2 3 30 3 控制 增加专业数据备份系统,对数据进行实时备份 5 1 1 5 1 接受 瘟疫、火灾、爆炸、雷击、恐怖袭击等 缺乏应急机制 文件信息丢失,人事工作开展困难 5 对重要数据进行定期移动硬盘备份,设置放雷机制 1 2 10 1 接受 自然灾难:地震、洪水、台风 缺乏应急机制 文件信息丢失,人事工作开展困难 5 对重要数据进行定期移动硬盘备份 1 2 10 1 接受 SL-DATA-031 公司资质文件及认证证书 资质资料 未经授权使用、访问、复制 人员缺乏安全意识 文件信息外泄 5 进行员工信息安全意识培训 1 2 10 1 接受 不正确的废弃 人员缺乏安全意识 文件信息外泄 5 进行员工信息安全意识培训, 1 2 10 1 接受 SL-DATA-036SL-DATA-042 报价(给渠道)渠道合同 合同,报价信息 未经授权使用、访问、复制 缺乏物理防护机制 供应商信息被客户或竞争对手获得,供应商投诉或业务无法开展 5 合同报价等资料放在上锁的文件柜中 1 2 10 1 接受 不正确的废弃 人员缺乏安全意识 文件信息外泄 5 进行员工信息安全意识培训, 1 2 10 1 接受 瘟疫、火灾、爆炸、雷击、恐怖袭击等 缺乏应急机制 文件信息丢失,人事工作开展困难 5 设置必要的放火,放雷机制 2 3 30 3 接受 自然灾难:地震、洪水、台风 缺乏应急机制 文件信息丢失,人事工作开展困难 5 对重要数据进行定期移动硬盘备份 1 2 10 1 接受 盗窃 存放缺乏保护 合同丢失,影响后续服务或收款等内容 5 合同报价等资料放在上锁的文件柜中 SL-DATA-037 报价(厂家供货价) 合同,报价信息 未经授权使用、访问、复制 缺乏物理防护机制 供应商信息被客户或竞争对手获得,供应商投诉或业务无法开展 5 合同报价等资料放在上锁的文件柜中 1 2 10 1 接受 不正确的废弃 人员缺乏安全意识 文件信息外泄 5 进行员工信息安全意识培训, 1 2 10 1 接受 瘟疫、火灾、爆炸、雷击、恐怖袭击等 缺乏应急机制 文件信息丢失,人事工作开展困难 5 设置必要的放火,放雷机制 2 3 30 3 接受 自然灾难:地震、洪水、台风 缺乏应急机制 文件信息丢失,人事工作开展困难 5 对重要数据进行定期移动硬盘备份 1 2 10 1 接受 盗窃 存放缺乏保护 合同丢失,影响后续服务等内容 5 合同报价等资料放在上锁的文件柜中 SL-DATA-040 销售部管理周报 未经授权使用、访问、复制 访问权限没有控制 公司销售信息被竞争对手获得,业务无法开展 5 通过域控,系统密码控制,严格控制访问权限 2 3 30 3 控制 增加准入设备,对访问权限和访问区域进行规定 5 1 1 5 1 接受 SL-DATA-043 用友OA日志文件 日志 未经授权使用、访问、复制 弱密码 日志信息被删除,无法追溯系统的信息 5 通过员工自己定义密码进行控制 2 3 30 3 控制 使用密码策略,严禁使用弱密码 5 1 1 5 1 接受 日志数据被修改,删除 访问权限没有控制 公司销售信息被竞争对手获得,业务无法开展 5 通过域控,系统密码控制,严格控制访问权限 2 3 30 3 控制 增加准入设备,对访问权限和访问区域进行规定 5 1 1 5 1 接受 SL-DATA-044 快普ERP日志文件 日志 未经授权使用、访问、复制 弱密码 日志信息被删除,无法追溯系统的信息 5 通过员工自己定义密码进行控制 2 3 30 3 控制 使用密码策略,严禁使用弱密码 5 1 1 5 1 接受 日志数据被修改,删除 访问权限没有控制 公司销售信息被竞争对手获得,业务无法开展 5 通过域控,系统密码控制,严格控制访问权限 2 3 30 3 控制 增加准入设备,对访问权限和访问区域进行规定 5 1 1 5 1 接受 SL-DATA-045 豪创日志文件 日志 未经授权使用、访问、复制 弱密码 日志信息被删除,无法追溯系统的信息 5 通过员工自己定义密码进行控制 2 3 30 3 控制 使用密码策略,严禁使用弱密码 5 1 1 5 1 接受 日志数据被修改,删除 访问权限没有控制 公司销售信息被竞争对手获得,业务无法开展 5 通过域控,系统密码控制,严格控制访问权限 2 3 30 3 控制 增加准入设备,对访问权限和访问区域进行规定 5 1 1 5 1 接受 SL-DATA-046 管家婆日志文件 日志 未经授权使用、访问、复制 弱密码 日志信息被删除,无法追溯系统的信息 5 通过员工自己定义密码进行控制 2 3 30 3 控制 使用密码策略,严禁使用弱密码 5 1 1 5 1 接受 日志数据被修改,删除 访问权限没有控制 公司销售信息被竞争对手获得,业务无法开展 5 通过域控,系统密码控制,严格控制访问权限 2 3 30 3 控制 增加准入设备,对访问权限和访问区域进行规定 5 1 1 5 1 接受 SL-DATA-047 SSLvpn日志文件 日志 未经授权使用、访问、复制 弱密码 日志信息被删除,无法追溯系统的信息 5 通过员工自己定义密码进行控制 2 3 30 3 控制 使用密码策略,严禁使用弱密码 5 1 1 5 1 接受 日志数据被修改,删除 访问权限没有控制 公司销售信息被竞争对手获得,业务无法开展 5 通过域控,系统密码控制,严格控制访问权限 2 3 30 3 控制 增加准入设备,对访问权限和访问区域进行规定 5 1 1 5 1 接受 SL-DATA-048 广域网加速设备日志文件 日志 未经授权使用、访问、复制 弱密码 日志信息被删除,无法追溯系统的信息 5 通过员工自己定义密码进行控制 2 3 30 3 控制 使用密码策略,严禁使用弱密码 5 1 1 5 1 接受 日志数据被修改,删除 访问权限没有控制 公司销售信息被竞争对手获得,业务无法开展 5 通过域控,系统密码控制,严格控制访问权限 2 3 30 3 控制 增加准入设备,对访问权限和访问区域进行规定 5 1 1 5 1 接受 SL-DATA-049 准入系统日志文件 日志 未经授权使用、访问、复制 弱密码 日志信息被删除,无法追溯系统的信息 5 通过员工自己定义密码进行控制 2 3 30 3 控制 使用密码策略,严禁使用弱密码 5 1 1 5 1 接受 日志数据被修改,删除 访问权限没有控制 公司销售信息被竞争对手获得,业务无法开展 5 通过域控,系统密码控制,严格控制访问权限 2 3 30 3 控制 增加准入设备,对访问权限和访问区域进行规定 5 1 1 5 1 接受 SL-DATA-050 爱数备份日志文件 日志 未经授权使用、访问、复制 弱密码 日志信息被删除,无法追溯系统的信息 5 通过员工自己定义密码进行控制 2 3 30 3 控制 使用密码策略,严禁使用弱密码 5 1 1 5 1 接受 日志数据被修改,删除 访问权限没有控制 公司销售信息被竞争对手获得,业务无法开展 5 通过域控,系统密码控制,严格控制访问权限 2 3 30 3 控制 增加准入设备,对访问权限和访问区域进行规定 5 1 1 5 1 接受 SL-DATA-051 趋势防毒日志文件 日志 未经授权使用、访问、复制 弱密码 日志信息被删除,无法追溯系统的信息 5 通过员工自己定义密码进行控制 2 3 30 3 控制 使用密码策略,严禁使用弱密码 5 1 1 5 1 接受 日志数据被修改,删除 访问权限没有控制 公司销售信息被竞争对手获得,业务无法开展 5 通过域控,系统密码控制,严格控制访问权限 2 3 30 3 控制 增加准入设备,对访问权限和访问区域进行规定 5 1 1 5 1 接受 SL-DATA-052 守内安日志文件 日志 未经授权使用、访问、复制 弱密码 日志信息被删除,无法追溯系统的信息 5 通过员工自己定义密码进行控制 2 3 30 3 控制 使用密码策略,严禁使用弱密码 5 1 1 5 1 接受 日志数据被修改,删除 访问权限没有控制 公司销售信息被竞争对手获得,业务无法开展 5 通过域控,系统密码控制,严格控制访问权限 2 3 30 3 控制 增加准入设备,对访问权限和访问区域进行规定 5 1 1 5 1 接受 SL-DATA-053 上网行为管理日志文件 日志 未经授权使用、访问、复制 弱密码 日志信息被删除,无法追溯系统的信息 5 通过员工自己定义密码进行控制 2 3 30 3 控制 使用密码策略,严禁使用弱密码 5 1 1 5 1 接受 日志数据被修改,删除 访问权限没有控制 公司销售信息被竞争对手获得,业务无法开展 5 通过域控,系统密码控制,严格控制访问权限 2 3 30 3 控制 增加准入设备,对访问权限和访问区域进行规定 5 1 1 5 1 接受 SL-DATA-054 视屏监控日志文件 日志 未经授权使用、访问、复制 弱密码 日志信息被删除,无法追溯系统的信息 5 通过员工自己定义密码进行控制 2 3 30 3 控制 使用密码策略,严禁使用弱密码 5 1 1 5 1 接受 日志数据被修改,删除 访问权限没有控制 公司销售信息被竞争对手获得,业务无法开展 5 通过域控,系统密码控制,严格控制访问权限 2 3 30 3 控制 增加准入设备,对访问权限和访问区域进行规定 5 1 1 5 1 接受 SL-DATA-055 电话录音日志文件 日志 未经授权使用、访问、复制 弱密码 日志信息被删除,无法追溯系统的信息 5 通过员工自己定义密码进行控制 2 3 30 3 控制 使用密码策略,严禁使用弱密码 5 1 1 5 1 接受 日志数据被修改,删除 访问权限没有控制 公司销售信息被竞争对手获得,业务无法开展 5 通过域控,系统密码控制,严格控制访问权限 2 3 30 3 控制 增加准入设备,对访问权限和访问区域进行规定 5 1 1 5 1 接受 SL-DATA-056 考勤机日志文件 日志 未经授权使用、访问、复制 弱密码 日志信息被删除,无法追溯系统的信息 5 通过员工自己定义密码进行控制 2 3 30 3 控制 使用密码策略,严禁使用弱密码 5 1 1 5 1 接受 日志数据被修改,删除 访问权限没有控制 公司销售信息被竞争对手获得,业务无法开展 5 通过域控,系统密码控制,严格控制访问权限 2 3 30 3 控制 增加准入设备,对访问权限和访问区域进行规定 5 1 1 5 1 接受 SL-DATA-057 路由日志文件 日志 未经授权使用、访问、复制 弱密码 日志信息被删除,无法追溯系统的信息 5 通过员工自己定义密码进行控制 2 3 30 3 控制 使用密码策略,严禁使用弱密码 5 1 1 5 1 接受 日志数据被修改,删除 访问权限没有控制 公司销售信息被竞争对手获得,业务无法开展 5 通过域控,系统密码控制,严格控制访问权限 2 3 30 3 控制 增加准入设备,对访问权限和访问区域进行规定 5 1 1 5 1 接受 SL-DATA-058 交换机日志文件 日志 未经授权使用、访问、复制 弱密码 日志信息被删除,无法追溯系统的信息 5 通过员工自己定义密码进行控制 2 3 30 3 控制 使用密码策略,严禁使用弱密码 5 1 1 5 1 接受 日志数据被修改,删除 访问权限没有控制 公司销售信息被竞争对手获得,业务无法开展 5 通过域控,系统密码控制,严格控制访问权限 2 3 30 3 控制 增加准入设备,对访问权限和访问区域进行规定 5 1 1 5 1 接受 SL-DATA-059 趋势杀毒日志文件 日志 未经授权使用、访问、复制 弱密码 日志信息被删除,无法追溯系统的信息 5 通过员工自己定义密码进行控制 2 3 30 3 控制 使用密码策略,严禁使用弱密码 5 1 1 5 1 接受 日志数据被修改,删除 访问权限没有控制 公司销售信息被竞争对手获得,业务无法开展 5 通过域控,系统密码控制,严格控制访问权限 2 3 30 3 控制 增加准入设备,对访问权限和访问区域进行规定 5 1 1 5 1 接受 SL-DATA-060SL-DATA-061SL-DATA-062SL-DATA-063SL-DATA-064SL-DATA-065SL-DATA-066SL-DATA-067SL-DATA-068SL-DATA-069SL-DATA-070 用友OA数据快普ERP数据豪创数据管家婆数据准入系统数据爱数备份数据守内安数据上网行为管理数据视屏监控数据电话录音数据考勤机数据 系统数据资料 未经授权使用、访问、复制 访问权限没有控制 系统信息被访问,泄露公司相关数据信息 5 实施密码策略 2 2 20 2 控制 使用准入系统,对可以使用系统的人员进行控制 5 1 1 5 1 接受 电子存储媒体故障 设备损坏 资料丢失,业务无法开展 5 使用数据备份系统,对数据实时备份 2 3 30 3 控制 增加专业数据备份系统,对数据进行实时备份 5 1 1 5 1 接受 手工误删 操作不小心 资料丢失,影响项目进度 5 使用数据备份系统,对数据实时备份 1 2 10 1 避免 增加专业数据备份系统,对数据进行实时备份 5 1 1 5 1 接受 网络传输中被窃取 未使用密码技术 文件信息外泄 5 使用加密系统控制 1 3 15 1 接受 瘟疫、火灾、爆炸、雷击、恐怖袭击等 缺乏应急机制 客户信息丢失,业务开展产生困难 5 设置必要的放火,放雷机制 1 2 10 1 接受 恶意软件 缺乏安全意识;处理时不小心,恶意软件防范未控制 数据丢失 5 信息安全意识培训 2 2 20 2 控制 使用杀毒软件进行控制,在公司安装杀毒软件,并控制软件安装权限 5 1 1 5 接受 自然灾难:地震、洪水、台风 缺乏应急机制 客户信息丢失,业务开展产生困难 5 使用数据备份系统,对数据实时备份 1 2 10 1 接受 SL-DATA-071 公司网页 人为破损,服务商丢失,病毒攻击 被黑客攻击 不能宣传公司形象 4 与供应商签订协议 2 2 16 2 控制 进行上网检查,备份 4 2 1 5 1 接受 未经授权更改 弱的密码管理 网站被该,不能宣传公司形象 4 无 2 2 16 2 控制 制定密码策略 4 2 1 5 1 接受 硬件 SL-HARD-001SL-HARD-002SL-HARD-041SL-HARD-042 深信服SG上网优化设备交换机入网规范设备电话录音盒 上网行为管理 供电故障 电力供应不稳 设备损坏,公司业务受到影响 5 UPS保护 0 1 接受 温度、湿度、灰尘超限 易受到温度、湿度、灰尘和污垢影响 火灾,设备温度身高,效率降低 5 无 2 2 20 2 控制 定期点检 未经授权更改 缺乏有效的配置变更控制 人员访问权限受到影响 5 0 1 接受 未经授权访问、使用或复制 弱密码 人员使用权限被修改 5 实施密码策略 2 1 10 1 接受 废弃 不当处置 设备上的数据被非法获取,影响公司声誉或资产损失 5 无 2 2 20 2 控制 所有的存储设备后续均进行物理损坏后再进行处理 5 1 2 5 1 接受 故障 不当维护 设备损坏,业务受到影响 5 无 2 2 20 2 控制 有维护能力的人方可进行设备操作和维护 5 1 2 5 1 接受 人为灾难:火灾、爆炸、恐怖袭击等 缺乏防火、防雷等保护性措施 火灾或其它导致设备损坏,业务受到影响 5 配置灭火器,设置放雷装置 1 2 10 1 接受 盗窃 存放缺乏保护 设备丢失 5 设备放在机房内,对机房绩效物理防护 1 1 5 1 接受 SL-HARD-003SL-HARD-004 万全T168万全T100 供电故障 电力供应不稳 设备损坏,公司业务受到影响 5 UPS保护 1 2 10 1 接受 温度、湿度、灰尘超限 易受到温度、湿度、灰尘和污垢影响 火灾,设备温度身高,效率降低 5 1、处于独立的机房中2,有中央空调,未监控温湿度3,定期清理灰尘和污垢 1 2 10 1 接受 容量超载 负载过高 在服务器上运行的系统无法正常运行 5 未做容量规划与容量监控 2 2 20 2 控制 未经授权更改 缺乏有效的配置变更控制 可能导致服务器运行不顺畅 5 无文档化的变更控制程序,但有工作惯例(变更需求提出,获得部门主管的批准后开发运营部实施) 2 2 20 2 接受 对变更管理进行规定,并按照文件规定执行 5 1 1 5 1 YES 未经授权访问、使用或复制 物理访问控制不充分或不仔细 服务器物理或者数据损坏或数据被非法窃取 5 处于独立机房内,物理防护 1 1 5 1 接受 废弃 不当处置 数据被非法窃取 5 无设备的处置策略 2 2 20 2 控制 建立设备处置管理规定,对储存设备的处理需要经过高级格式化或者物理破坏后再处理。 5 1 1 5 1 YES 故障 不当维护 设备损坏,公司业务受到影响 5 有资格的人员方可机进行设备维护 1 1 5 1 接受 人为灾难:火灾、爆炸、恐怖袭击等 缺乏防火、防雷等保护性措施 设备损坏,公司业务受到影响 5 1,机房内无防火器材,但机房门口外有灭火器 1 2 10 1 接受 自然灾难:地震、洪水、台风、雷击 处于易受到威胁的场所,例如洪水、地震 设备损坏,公司业务受到影响 5 建筑物抗震性能良好,所在30年内无洪水爆发记录 1 2 10 1 接受 盗窃 物理保护的缺乏:建筑物、门、窗等 设备丢失,公司业务受到影响 5 处于独立封闭的机房中,有房门保护 2 2 20 2 接受 SL-HARD-007SL-HARD-008SL-HARD-009SL-HARD-032 办公台式机电脑办公笔记本电脑财务电脑笔记本联想G460 病毒,资料丢失遭窃,硬件或软件损坏 维护不善;蓄意破坏;软件本身缺陷 不能正常办公 4 3 5 60 4 控制 定期进行软件更新及电脑杀毒,不乱装各类非工作类软件,不蓄意破坏电脑 4 2 1 8 YES 未经授权访问、使用或复制 物理访问控制不充分或不仔细 数据被删除,修改或泄密 4 3 3 36 3 控制 对物理区域的访问进行控制,建立相关制度 4 2 1 8 YES 废弃 不当处置 数据涉密 4 3 3 36 3 控制 建立设备处置管理规定,对储存设备的处理需要经过高级格式化或者物理破坏后再处理。 4 1 1 5 1 YES 故障 不当维护 无法正常工作 4 建立供应商联系清单,有故障时请供应商维护 1 2 8 1 接受 SL-HARD-038 考勤机 故障 不当维护 无法正常工作 4 建立供应商联系清单,有故障时请供应商维护 1 2 8 1 接受 SL-HARD-040 爱数备份磁盘柜 供电故障 电力供应不稳 设备损坏,公司业务受到影响 5 UPS保护 1 2 10 1 接受 温度、湿度、灰尘超限 易受到温度、湿度、灰尘和污垢影响 火灾,设备温度身高,效率降低 5 1、处于独立的机房中2,有中央空调,未监控温湿度3,定期清理灰尘和污垢 1 2 10 1 接受 容量超载 负载过高 在服务器上运行的系统无法正常运行 5 未做容量规划与容量监控 2 2 20 2 控制 未经授权更改 缺乏有效的配置变更控制 可能导致服务器运行不顺畅 5 无文档化的变更控制程序,但有工作惯例(变更需求提出,获得部门主管的批准后开发运营部实施) 2 2 20 2 接受 对变更管理进行规定,并按照文件规定执行 5 1 1 5 1 YES 未经授权访问、使用或复制 物理访问控制不充分或不仔细 服务器物理或者数据损坏或数据被非法窃取 5 处于独立机房内,物理防护 1 1 5 1 接受 废弃 不当处置 数据被非法窃取 5 无设备的处置策略 2 2 20 2 控制 建立设备处置管理规定,对储存设备的处理需要经过高级格式化或者物理破坏后再处理。 5 1 1 5 1 YES 故障 不当维护 设备损坏,公司业务受到影响 5 有资格的人员方可机进行设备维护 1 1 5 1 接受 人为灾难:火灾、爆炸、恐怖袭击等 缺乏防火、防雷等保护性措施 设备损坏,公司业务受到影响 5 1,机房内无防火器材,但机房门口外有灭火器 1 2 10 1 接受 自然灾难:地震、洪水、台风、雷击 处于易受到威胁的场所,例如洪水、地震 设备损坏,公司业务受到影响 5 建筑物抗震性能良好,所在30年内无洪水爆发记录 1 2 10 1 接受 盗窃 物理保护的缺乏:建筑物、门、窗等 设备丢失,公司业务受到影响 5 处于独立封闭的机房中,有房门保护 2 2 20 2 接受 SL-HARD-011 手机卡 不能接通 人员服务意识不足 客户不能联系到公司人员,客户抱怨 4 公司制度要求员工手机处于一直开机状态,并进行抽查,对不能接通的进行处罚 2 1 8 1 接受 SL-HARD-012 打印机 设备故障或损坏;人员缺失安全意识随手拿取打印资料以致泄密 维护不善;蓄意破坏 不能打印 3 控制打印权限,打印后资料随手拿走 2 2 12 1 接受 SL-HARD-013 传真机 设备故障或损坏;人员缺失安全意识随手拿取打印资料以致泄密 缺乏安全意识 文件丢失 3 控制打印权限,打印后资料随手拿走 2 1 6 1 接受 SL-HARD-014 复印机 设备故障或损坏;人员缺失安全意识随手拿取打印资料以致泄密 维护不善;蓄意破坏;软件本身缺陷 不能正常办公 3 控制打印权限,打印后资料随手拿走 1 2 6 1 接受 SL-HARD-030 扫描仪 资料丢失遭窃,硬件或软件损坏 维护不善;蓄意破坏;软件本身缺陷 不能正常办公 3 与维护厂商建立联系 1 2 6 1 控制 SL-HR-001~SL-HR-023 所有人员 公司日常运作 人为灾害:火灾、爆炸、雷击、恐怖袭击 安全训练不完备 影响正常工作,对业务造成困扰 5 安全应急培训 1 1 5 1 接受 5 1 1 5 YES 缺乏应急机制 公司无法正常运作 5 建立应急机制 1 1 5 1 接受 5 1 1 5 YES 自然灾难:地震、洪水、台风 安全训练不完备 影响正常工作,对业务造成困扰 5 安全应急培训 1 1 5 1 接受 5 1 1 5 YES 缺乏应急机制 公司无法正常运作 5 建立应急机制 1 1 5 1 接受 5 1 2 10 YES 内部人员泄密 缺乏安全意识 公司重要机密泄露,给公司造成重大损失 5 数据加密,上网行为管控 1 2 10 1 控制 编制培训计划,进行信息安全相关培训,人事不定期发送安全提醒邮件 5 1 1 5 YES 道德缺失 公司重要机密泄露,给公司造成重大损失 5 无 2 2 20 2 控制 编制培训计划,进行职业道德培训,招聘前对员工进行岗前背景调查,签订保密协议 5 1 2 10 YES 不公证待遇 缺乏员工关怀/申诉政策 员工离职,公司信息泄露,人员资产流失 5 无 3 3 45 4 控制 建立员工沟通渠道,建立保密协议 5 1 2 10 YES 软件 SL-SOFT-001 用友OA软件 未经授权访问、使用或复制 访问权限的错误配置 数据被删除,修改或泄密 5 3 3 45 4 控制 权限审核 5 2 1 10 YES SL-SOFT-002 快普ERP软件 缺乏身份鉴别机制 易被攻击,修改或泄密 5 3 3 45 4 控制 制定相关网络访问策略 5 2 1 10 YES SL-SOFT-003 豪创软件 离开工作场所未注销 非授权的修改,泄密 5 3 3 45 4 控制 统一设置,最多5分钟密保 5 2 1 10 YES SL-SOFT-004 管家婆软件 缺乏(文件)共享安全策略 数据被删除,修改或泄密 5 3 3 45 4 控制 制定相关共享策略 5 2 1 10 YES SL-SOFT-005 爱数备份软件 缺乏服务/端口安全策略 数据被删除,修改或泄密 5 3 3 45 4 控制 对端口进行扫描封堵 5 2 1 10 YES SL-SOFT-006 守内安软件 恶意软件 众所周知的软件缺陷,易受病毒等攻击 感染病毒,无法正常提供服务 5 3 3 45 4 控制 应实施恶意代码的监测、预防和恢复的控制措施,以及适当的提高用户安全意识的程序。 5 2 1 10 YES 抵赖 缺乏审核踪迹 无法追查信息安全事件 5 3 3 45 4 控制 定期审核日志 黑客攻击 众所周知的软件缺陷 数据被删除,修改或泄密 5 3 3 45 4 控制 应实施恶意代码的监测、预防和恢复的控制措施,以及适当的提高用户安全意识的程序。 密码强度太弱 易被攻击,修改或泄密 5 3 3 45 4 控制 建立密码策略,明确密码强度并定期修改密码 系统管理员权限滥用 访问权限的错误配置 非授权的修改,泄密 5 3 3 45 4 控制 权限审核 未经授权更改 缺乏补丁管理机制 易被攻击,修改或泄密 5 3 3 45 4 控制 制定补丁策略 缺乏有效的变更控制 易被攻击,修改或泄密 5 3 3 45 4 控制 建立更改管理程序 违背知识产权相关法律、法规 安装使用盗版软件 法律诉讼 5 3 3 45 4 控制 建立文件,规定使用正版软件 SL-SOFT-015 WINSERVER2003 服务器操作系统 恶意软件 众所周知的软件缺陷,易受病毒等攻击 感染病毒,无法正常提供服务 5 3 3 45 4 控制 应实施恶意代码的监测、预防和恢复的控制措施,以及适当的提高用户安全意识的程序。 5 2 1 10 YES 未经授权访问、使用或复制 访问权限的错误配置 数据被删除,修改或泄密 5 3 3 45 4 控制 权限审核 5 2 1 10 YES 缺乏身份鉴别机制 易被攻击,修改或泄密 5 3 3 45 4 控制 制定相关网络访问策略 5 2 1 10 YES 离开工作场所未注销 非授权的修改,泄密 5 3 3 45 4 控制 统一设置,最多5分钟密保 5 2 1 10 YES 缺乏(文件)共享安全策略 数据被删除,修改或泄密 5 3 3 45 4 控制 制定相关共享策略 5 2 1 10 YES 缺乏服务/端口安全策略 数据被删除,修改或泄密 5 3 3 45 4 控制 对端口进行扫描封堵 5 2 1 10 YES 抵赖 缺乏审核踪迹 无法追查信息安全事件 5 3 3 45 4 控制 定期审核日志 5 2 1 10 YES 黑客攻击 众所周知的软件缺陷 数据被删除,修改或泄密 5 3 3 45 4 控制 应实施恶意代码的监测、预防和恢复的控制措施,以及适当的提高用户安全意识的程序。 5 2 1 10 YES 密码强度太弱 易被攻击,修改或泄密 5 3 3 45 4 控制 建立密码策略,明确密码强度并定期修改密码 5 2 1 10 YES 系统管理员权限滥用 访问权限的错误配置 非授权的修改,泄密 5 3 3 45 4 控制 权限审核 5 2 1 10 YES 未经授权更改 缺乏补丁管理机制 易被攻击,修改或泄密 5 3 3 45 4 控制 制定补丁策略 5 2 1 10 YES 缺乏有效的变更控制 易被攻击,修改或泄密 5 3 3 45 4 控制 建立更改管理程序 5 2 1 10 YES 违背知识产权相关法律、法规 安装使用盗版软件 法律诉讼 5 3 3 45 4 控制 建立文件,规定使用正版软件 5 2 1 10 YES SL-SOFT-009L-SOFT-010SL-SOFT-011SL-SOFT-012SL-SOFT-013SL-SOFT-014SL-SOFT-015SL-SOFT-016SL-SOFT-017SL-SOFT-018SL-SOFT-019SL-SOFT-020 WINXPSL-SOFT-010OFFICETeamViewerAdobeReaderWindowsXPOffice2003Windows2003Office2007SQLServer2005360安全卫士趋势杀毒盈高桌面管理软件 个人操作系统等 未经授权访问、使用或复制 访问权限的错误配置 数据被删除,修改或泄密 5 3 3 45 4 控制 权限审核 5 2 1 10 YES 缺乏身份鉴别机制 易被攻击,修改或泄密 5 3 3 45 4 控制 制定相关网络访问策略 5 2 1 10 YES 离开工作场所未注销 非授权的修改,泄密 5 3 3 45 4 控制 统一设置,最多5分钟密保 5 2 1 10 YES 缺乏(文件)共享安全策略 数据被删除,修改或泄密 5 3 3 45 4 控制 制定相关共享策略 5 2 1 10 YES 缺乏服务/端口安全策略 数据被删除,修改或泄密 5 3 3 45 4 控制 对端口进行扫描封堵 5 2 1 10 YES 抵赖 缺乏审核踪迹 无法追查信息安全事件 5 3 3 45 4 控制 定期审核日志 5 2 1 10 YES 黑客攻击 众所周知的软件缺陷 数据被删除,修改或泄密 5 3 3 45 4 控制 应实施恶意代码的监测、预防和恢复的控制措施,以及适当的提高用户安全意识的程序。 5 2 1 10 YES 密码强度太弱 易被攻击,修改或泄密 5 3 3 45 4 控制 建立密码策略,明确密码强度并定期修改密码 5 2 1 10 YES 系统管理员权限滥用 访问权限的错误配置 非授权的修改,泄密 5 3 3 45 4 控制 权限审核 5 2 1 10 YES 未经授权更改 缺乏补丁管理机制 易被攻击,修改或泄密 5 3 3 45 4 控制 制定补丁策略 5 2 1 10 YES 缺乏有效的变更控制 易被攻击,修改或泄密 5 3 3 45 4 控制 建立更改管理程序 5 2 1 10 YES 违背知识产权相关法律、法规 安装使用盗版软件 法律诉讼 5 3 3 45 4 控制 建立文件,规定使用正版软件 5 2 1 10 YES 恶意软件 众所周知的软件缺陷,易受病毒等攻击 感染病毒,无法正常提供服务 5 3 3 45 4 控制 应实施恶意代码的监测、预防和恢复的控制措施,以及适当的提高用户安全意识的程序。 5 2 1 10 YES SL-SEVER-01 中国电信服务 通信 通信服务故障 不恰当的服务故障响应 不能连线客户进行服务 4 技术部负责同通信服务供应商联系 2 2 16 2 接受 4 1 2 8 1 YES SL-SEVER-02 中国网通服务 容量超载 负载过高 网速慢,远程服务受到影响 4 未作容量规划与监控 2 3 24 2 控制 建立负载监控,容量管理机制,双线路,电信网通控制 4 1 2 8 1 YES 通信监听 未保护的敏感信息传输 机密信息泄露 4 敏感数据传输无控制 2 3 24 2 控制 数据加密传输 4 1 2 8 1 YES SL-SEVER-03SL-SEVER-04SL-SEVER-05SL-SEVER-06SL-SEVER-07 汇通快递服务S汇通快递服务顺丰快递服务友通物流服务圆通快递服务EMS服务 快递数据丢失泄密 人员服务意识不足 公司机密信息泄露,业务开展困难 3 签订保密协议 2 1 6 1 接受 SL-SEVER-19 开元物业 物理防护不足 缺乏防火、防雷等保护性措施 公司设备资料损坏,公司业务受到影响 4 确认安全防护足够后再租用 2 1 8 1 接受 IT系统配置 SL-ITCF-004 豪创管理权限密码 业务系统授权访问口令 明文传输密码 用明文传输口令 可被未授权用户网络访问的威胁所利用 5 使用数据加密系统 1 1 5 1 接受 离开工作场所未注销 屏幕保护,人员意识不足 可被伪装用户身份的威胁所利用 5 按照桌面清屏策略,定时屏幕保护自动锁定 3 2 30 3 接受 缺乏保护的密码表 未经保护的口令表 可被伪装用户身份的威胁所利用 5 密码分散,人工记忆 3 1 15 1 接受 弱密码使用 口令管理不力(容易猜测的口令、口令存储、变更的频次不充分) 可被错误人员错误的威胁所利用 5 使用数字、字母、符号密码复杂度策略实行 3 2 30 3 接受 越权或滥用密码 超越自己的权限访问了本来无权访问的资源;非授权访问滥用权限泄露秘密信息等 可被未授权用户使用软件的威胁所利用 5 进行员工信息安全意识培训 3 2 30 3 接受 SL-ITCF-005 管家婆管理权限密码 业务系统授权访问口令 明文传输密码 用明文传输口令 可被未授权用户网络访问的威胁所利用 5 使用数据加密系统 1 1 5 1 接受 离开工作场所未注销 屏幕保护,人员意识不足 可被伪装用户身份的威胁所利用 5 按照桌面清屏策略,定时屏幕保护自动锁定 3 2 30 3 接受 缺乏保护的密码表 未经保护的口令表 可被伪装用户身份的威胁所利用 5 密码分散,人工记忆 3 1 15 1 接受 弱密码使用 口令管理不力(容易猜测的口令、口令存储、变更的频次不充分) 可被错误人员错误的威胁所利用 5 使用数字、字母、符号密码复杂度策略实行 3 2 30 3 接受 越权或滥用密码 超越自己的权限访问了本来无权访问的资源;非授权访问滥用权限泄露秘密信息等 可被未授权用户使用软件的威胁所利用 5 进行员工信息安全意识培训 3 2 30 3 接受 SL-ITCF-006 SSLvpn管理权限密码 业务系统授权访问口令 明文传输密码 用明文传输口令 可被未授权用户网络访问的威胁所利用 5 使用数据加密系统 1 1 5 1 接受 离开工作场所未注销 屏幕保护,人员意识不足 可被伪装用户身份的威胁所利用 5 按照桌面清屏策略,定时屏幕保护自动锁定 3 2 30 3 接受 缺乏保护的密码表 未经保护的口令表 可被伪装用户身份的威胁所利用 5 密码分散,人工记忆 3 1 15 1 接受 弱密码使用 口令管理不力(容易猜测的口令、口令存储、变更的频次不充分) 可被错误人员错误的威胁所利用 5 使用数字、字母、符号密码复杂度策略实行 3 2 30 3 接受 越权或滥用密码 超越自己的权限访问了本来无权访问的资源;非授权访问滥用权限泄露秘密信息等 可被未授权用户使用软件的威胁所利用 5 进行员工信息安全意识培训 3 2 30 3 接受 SL-ITCF-007 广域网加速设备管理权限密码 业务系统授权访问口令 明文传输密码 用明文传输口令 可被未授权用户网络访问的威胁所利用 5 使用数据加密系统 1 1 5 1 接受 离开工作场所未注销 屏幕保护,人员意识不足 可被伪装用户身份的威胁所利用 5 按照桌面清屏策略,定时屏幕保护自动锁定 3 2 30 3 接受 缺乏保护的密码表 未经保护的口令表 可被伪装用户身份的威胁所利用 5 密码分散,人工记忆 3 1 15 1 接受 弱密码使用 口令管理不力(容易猜测的口令、口令存储、变更的频次不充分) 可被错误人员错误的威胁所利用 5 使用数字、字母、符号密码复杂度策略实行 3 2 30 3 接受 越权或滥用密码 超越自己的权限访问了本来无权访问的资源;非授权访问滥用权限泄露秘密信息等 可被未授权用户使用软件的威胁所利用 5 进行员工信息安全意识培训 3 2 30 3 接受 SL-ITCF-008 准入系统管理权限密码 业务系统授权访问口令 明文传输密码 用明文传输口令 可被未授权用户网络访问的威胁所利用 5 使用数据加密系统 1 1 5 1 接受 离开工作场所未注销 屏幕保护,人员意识不足 可被伪装用户身份的威胁所利用 5 按照桌面清屏策略,定时屏幕保护自动锁定 3 2 30 3 接受 缺乏保护的密码表 未经保护的口令表 可被伪装用户身份的威胁所利用 5 密码分散,人工记忆 3 1 15 1 接受 弱密码使用 口令管理不力(容易猜测的口令、口令存储、变更的频次不充分) 可被错误人员错误的威胁所利用 5 使用数字、字母、符号密码复杂度策略实行 3 2 30 3 接受 越权或滥用密码 超越自己的权限访问了本来无权访问的资源;非授权访问滥用权限泄露秘密信息等 可被未授权用户使用软件的威胁所利用 5 进行员工信息安全意识培训 3 2 30 3 接受 SL-ITCF-009 爱数备份管理权限密码 业务系统授权访问口令 明文传输密码 用明文传输口令 可被未授权用户网络访问的威胁所利用 5 使用数据加密系统 1 1 5 1 接受 离开工作场所未注销 屏幕保护,人员意识不足 可被伪装用户身份的威胁所利用 5 按照桌面清屏策略,定时屏幕保护自动锁定 3 2 30 3 接受 缺乏保护的密码表 未经保护的口令表 可被伪装用户身份的威胁所利用 5 密码分散,人工记忆 3 1 15 1 接受 弱密码使用 口令管理不力(容易猜测的口令、口令存储、变更的频次不充分) 可被错误人员错误的威胁所利用 5 使用数字、字母、符号密码复杂度策略实行 3 2 30 3 接受 越权或滥用密码 超越自己的权限访问了本来无权访问的资源;非授权访问滥用权限泄露秘密信息等 可被未授权用户使用软件的威胁所利用 5 进行员工信息安全意识培训 3 2 30 3 接受 SL-ITCF-010 趋势防毒管理权限密码 业务系统授权访问口令 明文传输密码 用明文传输口令 可被未授权用户网络访问的威胁所利用 5 使用数据加密系统 1 1 5 1 接受 离开工作场所未注销 屏幕保护,人员意识不足 可被伪装用户身份的威胁所利用 5 按照桌面清屏策略,定时屏幕保护自动锁定 3 2 30 3 接受 缺乏保护的密码表 未经保护的口令表 可被伪装用户身份的威胁所利用 5 密码分散,人工记忆 3 1 15 1 接受 弱密码使用 口令管理不力(容易猜测的口令
浙公网安备 33021202002483