脆弱性-威胁对应表

脆弱性－威胁对应表,,,,

,,,,,

资产类别,威胁,威胁利用的漏洞,安全管理委员会意见,备注（说明、措施等）

硬件资产,台式机、笔记本、服务器、存储设备、网络设备、安全设备、办公设备、保障设备,,,

,"盗窃

",设备物理保护措施不当，购买价格较高,,

,物理破坏,保护意识不足；缺少必要的安全保护措施；设备本身抗破坏能力较差。,,

,"故障或老化

",管理不当、设备维护不当、使用时间过长。,,定期对设备进行维护；重要设备提供UPS电源保护。

,非授权使用,设备物理保护措施不当，责任不明确，缺少相应的授权使用规范。,,没有权限的情况下，访问、使用了设备。

,滥用、误操作,操作规程不清晰,,有权限的情况下，访问、使用不当(如带电操作、操作不符合规程)。

,资源浪费,设备处置、重用措施不当,,规范设备的处置、重用

,未受控,资产管理不当（遗漏设备清点、管理不当）,,加强设备的管理。

,水灾、火灾、闪电、电磁辐射/干扰等,缺乏对外部环境的防护,,

软件资产,生产系统、系统软件、应用软件,,,

,丢失、被盗,保护和管理措施不当,,正版软件（实体）的不小心丢失、被盗等。

,损坏,使用时间过长，软件管理不当，缺乏备份措施,,如软件（实体）无法正确安装。

,恶意攻击,设计缺陷，缺少安全防护措施,,黑客/恶意软件攻击（可以安装防毒软件、软件防火墙等进行防护）。

,非授权访问,设计不当、保护措施不当,,"没有权限的情况下，访问、使用软件（IE架构，缺少访问控制设备的保护，口令：配置不当，安全意识。）

"

,运行故障、意外错误,设计缺陷，使用、保护措施不当,,

,未受控,资产管理不当,,加强软件资产（实体）的管理。

,身份假冒,口令设置脆弱、用户帐号缺乏有效管理,,制定口令和权限管理规范，并监督执行。

,操作失误,缺乏软件管理机制,,制定合适的软件操作指南和规定。

电子数据,存在电子媒介的各种数据资料,,,

,非授权访问（可能造成失密）,随意处置数据所在介质、存放不当、数据的访问控制措施不严格、标识不当,,无权访问：管理不当，导致信息失密（如文件存放在不正确的目录导致信息失密。

,"泄密（C:4,5进行评估）",安全意识薄弱，使用不当，防护措施不足导致信息泄密,,有权访问：使用不当导致信息泄密息；禁止带离公司，提高安全意识。

,滥用、误操作（修改）,保护措施不当，监控不足，缺少安全防护和告警提示,,有权限使用的情况下规范操作规程；误操作前，应提示操作者。

,"丢失（可用性:3,4,5进行评估）

（删除、丢失，但未失密）",随意处置数据所在介质，误删除,,保存电子文档介质的丢失、误删除。

,损坏（文档无法打开）,信息保存过程中、介质问题。,,对电子文档进行备份。

,未受控,资产管理不当,,加强电子文档的管理。

,恶意攻击,缺乏恶意代码和病毒的防范机制,,黑客/恶意软件攻击（可以安装防毒软件、软件防火墙等进行防护）。

,盗窃,重要信息缺乏有效的备份,,按照重要信息的备份流程进行定期备份。

,窃听,缺乏对数据交换（传输）的安全管理,,加强对数据在传输过程中的安全。

纸质数据,纸质的各种文件,,,

,非授权访问，泄密,缺乏对纸质文件的有效管控,,纸质文件被放置在桌面或者会议室等开放办公环境里，会被人无意或有意获取该信息，从而导致该信息被泄漏。

,盗窃、丢失,纸质文件管理不当,,纸质文件被放置在桌面或会议室等开放办公环境里，会被人蓄意窃取文件从而导致该信息被泄漏，且文件不可用。

,意外损害,缺乏对文件的保护,,由于资产管理不当，导致放置的文件胡乱堆积，在以后的使用过程中无意识的将有用的文件损害。

,水患,缺乏对文件的防水保护,,如果没有合适的防止被水淹渍的措施，可能会导致文件不能使用。

,火灾,缺乏对文件的防火保护,,如果没有合适的防火措施，可能会导致文件被烧毁不能使用。

人员资产,处室经理、关键岗位人员、一般岗位人员,,,

,中断,人员冗余不足，缺少AB角色互备,,一些特殊岗位没有其他人员可替代。

,中断,人员安全职责不清,,

,中断,人员业务水平不足,,业务中断。

,重大经济损失,人员业务水平不足,,由于对业务不精通，可能使合同出现问题，导致重大的经济损失。

,泄密,人员业务水平不足,,虽然有较强的安全意识，当由于自身技术不足等原因导致信息泄密。

,泄密,人员安全意识不足,,由于安全意识不足，可能导致信息的泄密（口令、帐号、客户信息、工资信息、产品信息）。

,泄密,合同保护条款不足,,如没有签署保密协议，可能导致信息的泄密。

,诈骗、法律纠纷,人员审查措施不足,,

,操作失误,"缺乏信息安全方针，人员操作无法可依,导致不能合格履行职责",,制定信息安全方针，对员工的行为进行整体的指导。

,身份假冒,缺乏有效地转岗和离职控制,,因内部调动和离职缺乏缺乏控制，导致权限变更和撤销滞后，易造成账号误用或被冒用，使重要信息泄密。

服务资产,包含第三方服务和人员,,,

,非授权访问,安全区设置不恰当,,物理安全：财务等部门位置设置不恰当，应有相对独立的区域。

,非授权访问,安全区保障措施不足,,安全区域标识不清楚、非请勿入（财务、仓库）。

,非授权访问,安全区出入控制措施不足,,如保安、门禁、外来人员等。

,非授权访问,第三方访问控制措施不足,,第三方人员利用社交工程进行身份假冒，访问敏感信息。

,物理破坏（主要是指管道线路）,安全区保障措施不足,,电源线、网线、水管、电话线。

,盗窃,安全区设置不恰当,,

,盗窃,安全区保障措施不足,,无监控措施或监控措施无效。

,盗窃,安全区出入控制措施不足,,

,盗窃,管理措施不到位,,货品入库清点、出库清点、报废数目不准。

,电磁干扰和泄密,安全区保障措施不足,,

,未达到特别环境要求,静电、温度、湿度、灰尘、辐射,,若暂时没有特别环境要求，可不考虑。

,重大灾害,业务连续性管理不完善,,地震、火灾、洪水、疾病等。

,第三方服务中断,业务连续性管理不完善,,虽然有连续性管理规定，但一旦第三方服务中断将会对公司业务造成严重影响。

,电源故障,电源保障设计不够,,电力供应不足、电路老化、变压设备故障、电器设备的使用不当。

,法律纠纷,合同保护条款不足,,

,法律纠纷,法律和法规鉴别不完全,,收集信息安全相关法律法规不完全。

,泄密,合同保护条款不足,,合同中没有涉及保密内容。

,蓄意破坏,对第三方服务缺乏评审监督和检查,,蓄意以各种方式破坏信息资产，可能导致资产不可用。

,操作失误,对第三方服务缺乏评审监督和检查,,在正常工作或使用过程中，由于操作不当而无意中造成对资产的侵害。

无形资产,企业文化、公司形象、客户关系等,,,

,,,,,

,,,,,

,,,,