F4-B-总经办-005-V1.0-风险评估控制制度

【风险评估控制制度】F4-B-总经办-005-V1.0第页风险评估控制制度目录TOC\o"1-3"\h\z1. 目的和范围 22. 引用文件 23. 职责和权限 24. 风险管理方法 34.1.风险识别 44.2.风险估计与评价 44.3.选择风险处置方式 444.4.残余风险接受 455. 风险评估描述 455.1.风险评估前准备 455.2.确定重要业务过程和活动 455.3.信息资产的识别 465.4.重要信息资产风险等级评估 505.5.不可接受风险的确定和处理 515.6.风险定期评估 525.7.风险评估评审 526. 相关记录 52

目的和范围为了规定公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估本公司的信息安全风险，选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持业务持续性发展，以满足信息安全管理方针的要求，特制订本制度。本制度适用信息安全管理体系范围内信息安全风险评估活动。引用文件下列文件中的条款通过本制度的引用而成为本制度的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本制度，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本制度。GB/T22080-2016/ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求GB/T22081-2016/ISO/IEC27002:2013信息技术-安全技术-信息安全管理实施细则ISO/IEC27005:2008《信息技术-安全技术-风险管理》《GB/T20984-2007信息安全风险评估指南》职责和权限信息安全管理领导小组：负责汇总确认《信息安全风险评估表》，并根据评估结果形成《信息安全风险评估报告》和《残余风险批示报告》。公司全体员工：在信息安全管理领导小组协调下，负责本部门使用或管理的资产的识别和风险评估；负责本部门所涉及的资产的具体安全控制工作。信息安全管理员在本部门信息资产发生变更时，需要及时清点和评估，并报送信息安全管理领导小组更新《信息安全风险评估表》。风险管理方法通过定义风险管理方法，明确风险接受准则与等级，确保能产生可比较且可重复的风险评估结果。（如图1）风险管理流程图图1风险管理流程图风险识别通过进行风险识别活动，识别了以下内容：识别了信息安全管理体系范围内的资产及其责任人；识别了资产所面临的威胁；识别了可能被威胁利用的脆弱点；识别了丧失保密性、完整性和可用性可能对资产造成的影响。风险估计与评价通过对资产的保密性（C）、完整性（I）、可用性（A）及业务影响度（BI）赋值对公司资产丧失CIA（BI）所造成的后果进行了判断。资产赋值常常是很困难的，因为需要对某些资产进行客观的赋值，但不同的人员可能做出不同的判断。应该用明确的术语，通过书面形式描述作为每一资产赋值基础的准则。用于判断资产价值的可能准则包括：资产的原始价值；替代或重建的成本；资产的抽象价值，如组织声誉的价值；由事件导致资产丧失保密性、完整性和可用性所带来的成本。如果适用、还应该考虑不可否认性、可审计性、真实性和可靠性；资产的其他资产依赖性价值。资产价值计算方法：资产价值=ROUND(SQRT(SUM(C+I+A)/3*BI),0)，其中：C：保密性赋值标识定义5很高包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的损害4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3中等组织的一般性秘密，其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害1很低可对社会公开的信息，公用的信息处理设备和系统资源等I：完整性赋值标识定义5很高完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补。4高完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，较难弥补。3中等完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补。2低完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，对业务冲击轻微，容易弥补。1很低完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略。A：可用性赋值标识定义5很高可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以上，或系统不允许中断。4高可用性价值较高，合法使用者对信息及信息系统的可用度达到每天90%以上，或系统允许中断时间小于10分钟。3中等可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上，或系统允许中断时间小于30分钟。2低可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上，或系统允许中断时间小于60分钟。1很低可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间低于25%。BI：业务影响度赋值标识定义5很高此信息系统/关键活动对组织的重要性很高，一旦此信息系统/关键活动中断给组织带来很高的冲击与影响4高此信息系统/关键活动对组织的重要性较高，一旦此信息系统/关键活动中断给组织带来较高的冲击与影响3中等此信息系统/关键活动对组织的重要性中等，一旦此信息系统/关键活动中断给组织带来中等的冲击与影响2低此信息系统/关键活动对组织的重要性一般，一旦此信息系统/关键活动中断给组织带来一般的冲击与影响1很低此信息系统/关键活动对组织的重要性很低，一旦此信息系统/关键活动中断给组织带来的冲击与影响可以忽略识别了主要威胁和脆弱性导致安全失误的现实可能性、对资产的影响以及当前所实施的控制措施。威胁来源参考：来源描述环境因素由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件或自然灾害，意外事故或软件、硬件、数据、通讯线路方面的故障。人为因素恶意人员不满的或有预谋的内部人员对信息系统进行恶意破坏；采用自主或内外勾结的方式盗窃机密信息或进行篡改，获取利益。外部人员利用信息系统的脆弱性，对网络或系统的机密性、完整性和可用性进行破坏，以获取利益或炫耀能力。非恶意人员内部人员由于缺乏责任心，或者由于不关心和不专注，或者没有遵循规章制度和操作流程而导致故障或信息损坏；内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击。威胁类别参考：威胁编号类别威胁项对应的资产类别T001操作性威胁操作失误应用系统;系统配置信息;源程序;环境监控设施;终端设备;安全设备;办公辅助设备;业务信息;管理文档;实体信息;主机设备;网络设备;存储设备;服务器操作系统T002操作性威胁越权或滥用办公辅助设备;应用系统;系统配置信息;环境监控设施;存储设备;存储介质;服务器操作系统;业务信息;实体信息;网络设备T003人员危险黑客入侵或网络攻击应用系统;网络设备;数据库;工具应用软件;安全设备T004人员危险外部人员（外部来访、外包、第三方人员等）攻击终端设备;传输介质;存储介质;服务器操作系统;数据库;应用系统;开发测试系统;管理文档;实体信息;环境监控设施;主机设备;网络设备;安全设备;存储设备;终端操作系统;中间件;工具应用软件;业务信息;系统配置信息;源程序;硬件保障设施;建筑环境设施T005操作性威胁恶意代码服务器操作系统;工具应用软件;终端操作系统T006物理环境火灾存储介质;办公辅助设备;硬件保障设施;建筑环境设施;终端设备;传输介质;存储设备;实体信息;环境监控设施;介质保障设施;主机设备;网络设备;安全设备T007操作性威胁过载(overload)或拒绝服务网络设备;存储介质;服务器操作系统;应用系统;主机设备;安全设备;存储设备;数据库T008组织管理威胁业务环境变化环境监控设施;终端设备;传输介质;存储介质;办公辅助设备;主机设备;网络设备;安全设备;存储设备T009组织管理威胁舞弊或抵赖服务器操作系统;业务信息;应用系统;环境监控设施T010操作性威胁软硬件故障或失效服务器操作系统;数据库;应用系统;开发测试系统;主机设备;网络设备;安全设备;存储设备;办公辅助设备;终端操作系统;中间件;工具应用软件;终端设备;传输介质;存储介质T011信息泄密或损毁盗窃或丢失存储介质;环境监控设施;终端设备;实体信息;介质保障设施T012操作性威胁蓄意破坏或篡改存储介质;系统配置信息;源程序;硬件保障设施;建筑环境设施;终端设备;业务信息;管理文档;实体信息;环境监控设施;介质保障设施T013人员危险社会工程学或欺骗内部人员-中高层领导;内部人员-业务人员;内部人员-开发人员;建筑环境设施;内部人员-支撑人员;内部人员-运维人员;外部人员T014人员危险内部人员攻击介质保障设施T015物理环境自然灾害（地震、火山、飓风、水灾）介质保障设施;主机设备;网络设备;安全设备;存储设备;实体信息;环境监控设施;终端设备;传输介质;存储介质;办公辅助设备;硬件保障设施;建筑环境设施T016物理环境渗水介质保障设施;环境监控设施T017信息泄密或损毁窃听内部人员-支撑人员;内部人员-运维人员;外部人员;内部人员-中高层领导;内部人员-业务人员;内部人员-开发人员T018物理环境电磁辐射传输介质;建筑环境设施;存储介质;介质保障设施T019物理环境鼠、虫害传输介质;介质保障设施T020物理环境雷击或静电硬件保障设施;建筑环境设施T021物理环境温湿度环境超常介质保障设施;环境监控设施T022物理环境灰尘、污染物硬件保障设施T023物理环境电源故障（电压不稳、大面积停电等）主机设备;安全设备;办公辅助设备;环境监控设施;网络设备;存储设备;硬件保障设施T024人员危险员工不可用（疾病、技能不足、人力资源短缺）应用系统;服务器操作系统;存储设备;内部人员-支撑人员;内部人员-运维人员;内部人员-中高层领导;外部人员;开发测试系统;网络设备;主机设备;内部人员-业务人员;内部人员-开发人员T025组织管理威胁无作为基础保障服务;应用系统;内部人员-中高层领导;内部人员-业务人员;内部人员-开发人员;外部人员;业务支持服务;开发测试系统;内部人员-支撑人员;内部人员-运维人员T026信息泄密或损毁泄密内部人员-支撑人员;内部人员-运维人员;外部人员;业务支持服务;内部人员-业务人员;内部人员-开发人员;基础保障服务;内部人员-中高层领导T027信息泄密或损毁版权滥用或使用未授权软件服务器操作系统;数据库;应用系统;开发测试系统;终端操作系统;中间件;工具应用软件T028信息泄密或损毁非法数据处理应用系统;开发测试系统T029物理环境通讯网络故障（如因特网运营商故障）主机设备;存储设备;应用系统;网络设备;服务器操作系统;开发测试系统T030操作性威胁盗用权限开发测试系统;应用系统;服务器操作系统;数据库;硬件保障设施;网络设备;终端操作系统;中间件T031信息泄密或损毁数据损毁存储设备;业务信息;管理文档;应用系统;数据库;源程序;存储介质;系统配置信息;终端操作系统;开发测试系统;中间件T032信息泄密或损毁循环利用废弃介质存储介质;实体信息T033物理环境社会灾难网络设备;内部人员-中高层领导;内部人员-业务人员;内部人员-开发人员;主机设备;存储设备;内部人员-支撑人员;内部人员-运维人员;外部人员T034信息泄密或损毁来自非信任源的数据服务器操作系统;数据库;应用系统;网络设备;终端操作系统;中间件;开发测试系统脆弱性参考：脆弱项编号分类脆弱项对应的资产类别V001服务流程变更管理机制缺失或不完善中间件;数据库;存储设备;服务器操作系统;安全设备;主机设备;网络设备;应用系统V003服务流程安全事件管理机制缺失或不完善存储设备;服务器操作系统;网络设备V004服务流程没有对主要系统和设备进行处理能力、系统瓶颈、存储容量及其它资源要求分析安全设备;主机设备;网络设备V005服务流程对外包服务商的风险评估机制缺乏或不完善基础保障服务;业务支持服务V006服务流程外包服务水平协议缺乏或不完善基础保障服务;业务支持服务V007服务流程外包服务水平的考核机制缺乏或不完善基础保障服务;业务支持服务V008服务流程外包服务资料的安全保障措施缺乏或不完善基础保障服务;业务支持服务;源程序V009服务流程服务的业务连续性管理机制缺乏或不完善基础保障服务;业务支持服务V010物理环境物理安全管理机制缺失或不完善建筑环境设施V011物理环境机房安全管理机制缺失或不完善建筑环境设施V012物理环境办公环境管理机制缺失或不完善建筑环境设施V013物理环境建筑物抗震、飓风能力不完善建筑环境设施V014物理环境建筑物防雨及排水能力不完善建筑环境设施V015物理环境建筑物选址不当建筑环境设施V016物理环境机房选址不当建筑环境设施V017物理环境机房出入管理机制缺失或不完善建筑环境设施V018物理环境机房出入缺乏专人管理建筑环境设施V019物理环境机房缺乏门禁系统控制建筑环境设施V020物理环境机房人员出入缺乏记录建筑环境设施V021物理环境机房访问审批流程缺乏或不完善外部人员;建筑环境设施V022物理环境外来人员未采取身份鉴别措施且没有与内部人员进行区别外部人员;建筑环境设施V023物理环境外来人员在机房活动无人员陪同外部人员;建筑环境设施V024物理环境未划分区域进行管理建筑环境设施V025物理环境不同区域之间未进行物理隔离或隔离不彻底建筑环境设施V026物理环境重要区域前未设置交付或安装等过渡区域建筑环境设施V027物理环境重要区域未设置门禁系统建筑环境设施V028物理环境重要区域人员出入记录缺失内部人员-运维人员;外部人员;建筑环境设施;内部人员-开发人员V029物理环境设备或主要部件物理防护缺乏或不完善（未良好固定、机柜门未关闭等）硬件保障设施;安全设备;主机设备;网络设备V030物理环境设备或主要部件未设置明显的不易除去的标记传输介质;存储设备;主机设备;网络设备V031物理环境通信线缆保护措施缺乏或不完善传输介质V032物理环境机房防盗报警系统缺失或不完善环境监控设施V033物理环境机房监控系统缺失或不完善环境监控设施V034物理环境监控记录保存时间过短环境监控设施V035物理环境机房建筑防避雷装置缺失或不完善建筑环境设施V036物理环境机房建筑避雷装置未进行定期检查和维护建筑环境设施V037物理环境机房交流电源的地线铺设缺失或不完善建筑环境设施V038物理环境机房自动消防系统缺失或不完善建筑环境设施V039物理环境机房及相关的工作房间的建筑材料缺乏耐火能力建筑环境设施V040物理环境机房区域隔离防火措施缺失或不完善建筑环境设施V041物理环境机房屋顶和活动地板下有水管穿过建筑环境设施V042物理环境未采取措施防止雨水通过机房窗户、屋顶和墙壁渗透V043物理环境机房水敏感的检测仪表或元件缺失或不完善建筑环境设施V044物理环境设备防静电措施缺失或不完善硬件保障设施V045物理环境机房未采用防静电地板建筑环境设施V046物理环境机房环境缺乏静电消除器等装置硬件保障设施V047物理环境机房空气净化设施缺失或不完善硬件保障设施V048物理环境机房温、湿度自动调节设施缺失或不完善硬件保障设施V049物理环境机房供电线路上电压防护设施缺失或不完善硬件保障设施V050物理环境计算机系统冗余供电能力缺失硬件保障设施V051物理环境备用供电系统缺失或不完善硬件保障设施V052物理环境防电磁干扰措施缺失或不完善存储介质;介质保障设施V053物理环境电源线和通信线缆未隔离铺设建筑环境设施;传输介质V054物理环境办公辅助设备等缺少安全提示标识办公辅助设备V055物理环境信息的物理防护措施缺乏或不完善管理文档;业务信息;实体信息;源程序;系统配置信息V056人员管理关键岗位职责缺失或不完善内部人员-运维人员;内部人员-中高层领导;内部人员-开发人员;内部人员-业务人员V057人员管理关键岗位人员缺乏内部人员-运维人员;内部人员-开发人员;内部人员-业务人员V058人员管理重要或敏感的部门组织没有专职安全员内部人员-运维人员;内部人员-开发人员;内部人员-业务人员;内部人员-支撑人员V059人员管理关键岗位没有配备多人共同管理内部人员-运维人员;内部人员-开发人员;内部人员-业务人员V060人员管理关键岗位没有实行定期轮岗内部人员-运维人员;内部人员-开发人员;内部人员-业务人员V061人员管理人员录用管理机制缺失或不完善内部人员-运维人员;内部人员-开发人员;内部人员-业务人员;内部人员-支撑人员V062人员管理人员审查或背景调查记录缺失或不完善内部人员-运维人员;内部人员-中高层领导;内部人员-开发人员;内部人员-业务人员;内部人员-支撑人员V063人员管理安全考核机制缺失或制定后未有效执行内部人员-运维人员;内部人员-中高层领导;内部人员-开发人员;内部人员-业务人员;内部人员-支撑人员V064人员管理岗位安全协议缺失或不完善内部人员-运维人员;内部人员-中高层领导;内部人员-开发人员;内部人员-业务人员;内部人员-支撑人员V065人员管理未签署保密协议和承诺书内部人员-运维人员;内部人员-开发人员V066人员管理人员离岗管理机制缺失或未有效执行内部人员-运维人员;内部人员-中高层领导;内部人员-开发人员;内部人员-业务人员;内部人员-支撑人员V067人员管理安全意识教育及技能培训计划缺失或未有效执行内部人员-运维人员;外部人员;内部人员-中高层领导;内部人员-开发人员;内部人员-业务人员;内部人员-支撑人员V068人员管理信息安全意识缺乏内部人员-运维人员;外部人员;内部人员-中高层领导;内部人员-开发人员;内部人员-业务人员;内部人员-支撑人员V069人员管理桌面缺乏清理（资料使用后没有及时锁进柜子、人员离开后没有及时锁屏等）内部人员-运维人员;外部人员;内部人员-中高层领导;内部人员-开发人员;内部人员-业务人员;内部人员-支撑人员V070人员管理管制区域出入管理不当内部人员-运维人员;基础保障服务;外部人员;业务支持服务;内部人员-中高层领导;内部人员-开发人员;内部人员-业务人员;内部人员-支撑人员V071人员管理安全责任和惩戒措施缺失或未有效执行内部人员-运维人员;基础保障服务;外部人员;业务支持服务;内部人员-中高层领导;内部人员-开发人员;内部人员-业务人员;内部人员-支撑人员V072人员管理外部服务商或人员安全责任合同书或保密协议缺失或没有签订基础保障服务;外部人员;业务支持服务V073人员管理外部人员访问管理机制缺失或不完善基础保障服务;外部人员;业务支持服务V074人员管理外部人员访问登记记录缺失或不完善基础保障服务;外部人员;业务支持服务V075人员管理岗位职责分离缺失或不完善内部人员-运维人员;内部人员-开发人员V076人员管理人员流动频繁内部人员-运维人员;外部人员;内部人员-中高层领导;内部人员-开发人员;内部人员-业务人员;内部人员-支撑人员V077人员管理不熟悉业务系统内部人员-业务人员V078人员管理对公司支撑管理系统不熟悉内部人员-支撑人员V079人员管理运维人员不熟悉业务知识内部人员-运维人员V080人员管理IT相关知识缺乏内部人员-业务人员;内部人员-支撑人员V081人员管理领导未遵守公司制度规范内部人员-中高层领导V082人员管理领导知识产权意识缺乏内部人员-中高层领导V083人员管理领导风险管理意识缺乏内部人员-中高层领导V084人员管理安全开发的意识和能力缺乏内部人员-开发人员V085开发安全软件开发管理机制缺失或不完善开发测试系统V086开发安全代码编写安全机制缺失或不完善开发测试系统V087开发安全软件设计未引入安全措施开发测试系统V088开发安全软件开发测试机制缺失或不完善开发测试系统V089开发安全没有在软件安装之前检测软件包开发测试系统V090开发安全没有审查软件中可能存在的后门和隐蔽信道开发测试系统;应用系统V091开发安全系统测试验收管理机制缺失或不完善开发测试系统V092开发安全测试数据使用不规范开发测试系统V093开发安全没有组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认开发测试系统V094开发安全系统交付清单缺失或不完善开发测试系统V095开发安全没有规定对负责系统运行维护的技术人员进行相应的技能培训开发测试系统V096开发安全没有规定提供系统建设过程中的文档以及指导用户进行系统运行维护的文档开发测试系统V097开发安全没有明确系统交付的责任部门开发测试系统;应用系统V098开发安全没有与服务商签订与安全相关的协议主机设备;应用系统V099开发安全通信过程中缺乏对数据完整性的保证应用系统V100开发安全未采用密码技术进行会话初始化验证应用系统V101开发安全未对通信过程中的整个报文或会话过程进行加密应用系统V102开发安全系统软件容错功能缺失或不完善应用系统V103开发安全软件故障发生时不能够记录当前状态应用系统V104开发安全软件缺乏遇故障自动重启恢复的功能应用系统V105开发安全当用户长时间无操作和响应时，系统不能自动结束会话应用系统V106开发安全系统不能限制最大会话连接数应用系统V107开发安全系统不能对一个时间段内可能的并发会话连接数进行限制应用系统V108开发安全系统不能对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额应用系统V109开发安全系统缺乏对性能的检测和报警功能服务器操作系统V110开发安全系统缺乏对服务优先级设定功能应用系统V111数据备份备份管理机制缺失或不完善存储介质;存储设备;终端设备V112数据备份备份恢复机制缺失或不完善管理文档;业务信息;终端设备V113数据备份版本管理机制缺乏或不完善管理文档;存储介质;业务信息;存储设备;源程序;系统配置信息V114数据备份信息的物理存储设施缺乏防护存储介质;管理文档;业务信息;实体信息;介质保障设施;源程序;系统配置信息V115数据备份信息的处理机制缺乏或不完善存储介质;管理文档;业务信息;实体信息;源程序;系统配置信息V116数据备份备份设备操作流程机制缺失或不完善中间件;数据库;存储设备;应用系统V117数据备份介质标识分类不合理或缺失存储介质V118数据备份介质未存储在介质库或档案室存储介质;介质保障设施V119数据备份介质安全管理机制缺失或不完善存储介质V120数据备份备份的数据未进行验证管理文档;业务信息;中间件;数据库;源程序;应用系统;系统配置信息V121数据备份数据的保护设施缺乏或不完善业务信息;系统配置信息V122数据备份存储的数据未进行加密管理文档;业务信息;数据库;应用系统;终端设备;系统配置信息V123数据备份未使用专用的通信协议或通道进行数据通信中间件;数据库;应用系统V124数据备份备份介质未进行异地存储存储介质V125应急灾备备份存储能力不足存储设备V128应急灾备应急响应机制缺失或不完善存储设备;主机设备;服务器操作系统;网络设备;应用系统V129应急灾备灾难恢复计划缺失或不完善存储设备;主机设备;网络设备;应用系统V130访问控制缺乏身份标识和鉴别机制硬件保障设施;数据库;服务器操作系统;应用系统V131访问控制账号或口令过于简单数据库;服务器操作系统;网络设备;应用系统V132访问控制未限制登录失败次数、连接超时等登录安全控制措施硬件保障设施;数据库;服务器操作系统;应用系统V133访问控制远程管理未采取安全的连接数据库;网络设备;应用系统V135访问控制访问权限未符合权限分离、最小权限等原则硬件保障设施;数据库;服务器操作系统;应用系统V136访问控制特权用户权限未分离数据库;服务器操作系统V137访问控制未修改、删除默认帐户及其口令数据库;服务器操作系统;网络设备;应用系统V138访问控制未及时或定期清理无效帐户硬件保障设施;数据库;服务器操作系统;应用系统V139访问控制存在账号共享数据库;服务器操作系统V140访问控制身份鉴别时传输通道不安全数据库;应用系统V141访问控制用户登录的鉴别信息在使用后未被彻底清除数据库;服务器操作系统V142访问控制密码管理机制缺失或不完善应用系统;终端设备V143访问控制源代码访问控制措施缺乏源程序V144通信操作网络边界不能对恶意代码进行检测和清除安全设备V145通信操作未对恶意代码库进行升级，检测系统（IDS/IPS、安全网关等）未进行未更新V146通信操作系统设备加固方案缺失或不完善服务器操作系统;网络设备V147通信操作系统操作手册缺失或不完善应用系统V148通信操作没有生成系统审计日志服务器操作系统;应用系统V149通信操作恶意代码防范管理机制缺失或不完善服务器操作系统;终端设备V150通信操作用户敏感信息在使用后未被清除开发测试系统;应用系统V151通信操作未部署入侵检测设备网络设备;应用系统V152通信操作未对重要的信息进行完整性检测应用系统V153通信操作系统安装或开启不需要的服务组件和应用程序数据库;服务器操作系统V154通信操作未及时更新软件工具应用软件;中间件;数据库;终端操作系统;开发测试系统;服务器操作系统;应用系统V155通信操作未安装恶意代码防护软件服务器操作系统;终端设备V156通信操作未限制终端设备登录服务器数据库;服务器操作系统;终端设备V157通信操作未设置登录终端超时锁定数据库;服务器操作系统;终端设备V158通信操作未定期对网络进行安全检测网络设备V159通信操作业务终端与业务服务器之间缺失安全的访问路径应用系统V160通信操作未绘制网络拓扑结构图或拓扑结构图与实际情况不符网络设备V161通信操作网络区域未划分或不合理网络设备V162通信操作重要网段部署在网络边界处网络设备V163通信操作重要网段与其他网段之间缺失隔离措施网络设备V164通信操作网络边界未部署访问控制设备或未启用访问控制功能网络设备V165通信操作未禁止远程拨号访问功能主机设备V166监控审计安全监控管理缺失或不完善基础保障服务;业务支持服务;数据库;存储设备;服务器操作系统;安全设备;网络设备;应用系统V167监控审计重要系统和设备未开启日志功能数据库;服务器操作系统;安全设备;主机设备;应用系统V168监控审计无法对私自联网用户的行为进行监控、定位和阻断安全设备V169监控审计不能及时发现网络攻击行为（端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等）安全设备V171监控审计系统软件缺失审计功能应用系统V172开发安全没有禁止使用未授权软件，未授权软件中可能绑有后门、木马、病毒；工具应用软件;终端设备威胁赋值表：等级标识定义5很高出现的频率很高（或≥1次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过；4高出现的频率较高（或≥1次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过3中出现的频率中等(或>1次/半年)；或在某种情况下可能会发生；或被证实曾经发生过2低出现的频率较小；或一般不太可能发生；或没有被证实发生过1很低威胁几乎不可能发生；仅可能在非常罕见和例外的情况下发生脆弱性赋值表：等级标识定义5很高如果被威胁利用，将对资产造成完全损害，其功能/作用完全丧失4高如果被威胁利用，将对资产造成重大损害，致使其损失主要功能/作用3中如果被威胁利用，将对资产造成一般损害，致使其损失次要功能/作用2低如果被威胁利用，将对资产造成较小损害，致使其损失小的功能/作用1很低如果被威胁利用，将对资产造成的损害可以忽略，几乎没有功能/作用损失通过计算资产的CIA（BI）、主要威胁和脆弱等相关赋值得出风险的等级。风险计算：风险值=A*T*V其中：T：威胁发生频率V：脆弱性严重程度A：资产价值风险等级标准参考风险等级等级描述上限下限高风险必须处理：风险值在该区间内的风险，必须采取控制措施处理该风险。12576中风险待定：风险值在该区间内的风险，由相关部门讨论待定，管理层审批需要处理的风险。7527低风险暂不需处理：风险值在该区间内的风险，由于发生的可能性很低，或发生后对业务的影响较低，因此可选择暂不进行处理261确定了风险接受的准则：公司可接受发生后使系统受到的破坏程度和利益损失较小或可忽略不计的风险（风险等级≤低）。选择风险处置方式依据风险评估结果，对风险采取了以下管控措施：风险接受、风险降低、风险转移和风险规避。风险接受：接受特定风险带来的损失或收益。风险降低：采取行动降低风险发生的可能性或减轻负面后果，或同时降低风险发生的可能性和减轻负面后果。制定风险处置计划并执行相应的整改措施。内容包括：管理措施（流程、方针、规定）；技术设置（参数、功能设置）；技术产品（安全设备、软件）；计划完成日期；完成日期；责任部门；措施落实状况；整改后风险评估等。风险转移：与其它组织分担风险的损失或收益。风险规避：决定不陷入风险，或从风险处境中撤离的行为。残余风险接受信息安全管理领导小组作为公司信息安全最高管理机构批准接受残余风险，形成《残余风险批示报告》文件。风险评估描述风险评估前准备信息安全管理领导小组：负责组织各部门参加风险评估的人员进行资产识别和风险评估方法的培训。信息安全管理领导小组：向各部门发放《信息安全风险评估表》。同时提出进行资产识别和风险评估的要求。确定重要业务过程和活动各部门确定本部门所有业务相关重要过程和活动，识别、确定各业务过程及跨部门业务过程中的各个角色及其职责。业务相关重要过程和活动包括：部门的主要业务过程；一旦丧失或降格将导致不能执行组织使命的过程；保密处理或专有技术的过程；如果被修改，可能对公司产生极大影响的过程。信息资产的识别各评估人员根据部门所有业务相关重要过程和活动，参考《信息安全风险评估表》中的《资产类别库》识别本部门信息资产，根据《信息安全风险评估表》中的《赋值说明》填写《资产清单》，经部门负责人审核后提交信息安全管理领导小组审核汇总，确保没有遗漏信息资产并存档。信息资产包括九类见下表：资产大类资产小类描述硬件主机设备大型机、小型机、PC服务器等终端设备台式机、KVM、笔记本、移动终端等网络设备路由器、交换机、HUB、负载均衡设备等传输介质光纤、双绞线、同轴电缆、卫星线路等安全设备防火墙、防毒墙、安全网关、入侵检测设备、扫描设备、加密机、VPN、网闸、堡垒主机等存储介质磁带、光盘、U盘、移动硬盘等存储设备磁盘阵列、磁带库、NAS/SAN/存储设备等办公辅助设备传真机、碎纸机、打印机、扫描仪、复印机、刻录机、照相机等软件源程序源代码、软件安装包、License等服务器操作系统WindowsServer、Linux、Unix、AIX、Solaris等，虚拟化系统（Hyper、ESX/ESXi、XenServer等）终端操作系统WindowsXP/7、MaciOS等数据库Oracle、DB2、Sqlserver、Mysql等中间件Websphere、Weblogic、应用服务器、消息中间件、对象中间件等工具应用软件office、通讯软件、媒体编辑软件、软件开发工具、测试工具、版本控制软件、设计建模工具，终端杀毒软件、防篡改、终端管理系统客户端等应用系统OA系统、邮件系统、业务处理系统、ERP、交易系统、门户网站、终端管理系统、文档加密系统、视频监控管理系统、IT服务管理系统、IT资源监控管理系统等开发测试系统正在测试且未上线或部分上线的系统以及正在开发的系统数据业务信息财务/人力信息、合同信息、项目信息、采购信息、客户信息、市场资料、业务数据、交易数据等系统配置信息配置、日志、帐户权限口令信息、软证书等文档管理文档管理制度文档、运维资料、培训资料、收发文、工作报告、软件开发文档、法律法规等实体信息印章、证照、硬证书/令牌、其它实体信息等人员内部人员-中高层领导公司董事会层面相关成员或者大部门领导级成员、部门领导或者部门模块科室领导内部人员-支撑人员行政、财务、人力资源等员工内部人员-业务人员公司业务人员内部人员-运维人员IT运维人员（主机管理员、网络管理员、系统管理员、数据库管理员、安全管理员）内部人员-开发人员开发人员、测试人员等外部人员业务外包人员、开发外包人员、运维外包人员、物业保安人员等物理环境硬件保障设施空调、UPS、发电机、门禁设施、消防设施、机柜机架等环境监控设施CCTV、报警设施、温湿度监控建筑环境设施设备间、机房、办公大厦介质保障设施保险柜、档案室、文件柜等第三方服务基础保障服务供电、物业、宝洁、保安监控、供水、办公设备