ISO27001最新版信息风险评估表_第1页
ISO27001最新版信息风险评估表_第2页
ISO27001最新版信息风险评估表_第3页
ISO27001最新版信息风险评估表_第4页
ISO27001最新版信息风险评估表_第5页
已阅读5页,还剩2页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

"XXX有限公司

信息风险评估表",,,,,,,,,,,

编制部门:风险识别小组日期:202X.01.08批准:XXA/0,,,,,,,,,,,

,,,,,,,,,,,,

资产类别,资产,威胁详述,脆弱性详述,现有控制措施说明,资产价值,影响,可能性,风险值,风险等级,优先级,

,,,,,,,,,,,,

,,,,,,,,,,,,

硬件,办公电脑,软硬件故障,电脑使用时间过长;软件没有定期更新,"1.现有电脑配置较高;

2.制定网络安全管理规定,电脑定期杀毒,软件及时升级;

3.单独存放;在办公区域内使用,装有空调,定期打扫;

4.有口令管理系统;

5.采用屏幕保护措施;6.信息及时备份。

7.公司内部有监控系统,有保安人员24小时值班。",4,3,2,24,中,中,

,,恶意代码、网络攻击,缺少定期替换计划、容易受到电压不稳定的侵扰、不充分的维护/存储媒体的错误安装、存储没有保护,,4,2,1,8,低,低,

,,物理环境影响(温度过高、静电、灰尘、潮湿、温度、)、物理攻击(物理破坏或盗窃),物理环境控制达不到要求,,4,2,1,8,低,低,

,,越权使用,没有口令系统或者口令系统不强壮;没有采用屏幕保护措施,,4,1,2,8,低,低,

,,内网病毒的感染及网络,带刻录的光驱、USB接口,,4,2,1,8,低,低,

,路由器,硬件故障,使用时间过长,"1.放置在独立机房,钥匙专人保管;在办公区域内使用,装有空调;

2..公司内部有监控系统,有保安人员24小时值班。",3,2,1,6,低,低,

,,物理环境影响(温度过高、静电、灰尘、潮湿、温度、鼠蚁虫害)、物理攻击(物理破坏或盗窃),物理环境控制达不到要求,,3,2,2,12,低,低,

,交换机,硬件故障,使用时间过长,"1.放置在独立机房,钥匙专人保管;在办公区域内使用,装有空调;

2.公司内部有监控系统,有保安人员24小时值班。",3,2,1,6,低,低,

,,物理环境影响(温度过高、静电、灰尘、潮湿、温度、鼠蚁虫害)、物理攻击(物理破坏或盗窃),物理环境控制达不到要求,,3,2,2,12,低,低,

,办公区域,资料损坏或丢失,或私自翻阅/缺乏安全意识,处理时不小心,使用时间过长,"1.专人负责保管,建立制度,加强检查,在办公区域内使用,装有空调;定期打扫

2.公司内部有监控系统,有保安人员24小时值班。",3,2,1,6,低,低,

,,物理环境影响(温度过高、静电、灰尘、潮湿、温度)、物理攻击(物理破坏或盗窃),物理环境控制达不到要求,,3,2,2,12,低,低,

软件,操作系统,设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等,没有软件测试或测试不充分、软件中存在众所周知的缺陷、开发人员的说明不清,"1、软件在专用服务器单独储存,专人保管

2、进行维护或使用的人员在维护或使用前进行培训

3、软件实施前进行详细的测试

4、制定明确的软件操作使用规范

5、安装杀毒软件,防毒杀毒

6、根据岗位分配不同的使用权限,并要求使用人员设置密码

7、与员工签订《员工员工保密协议》;制定《奖惩条例》,对违规者处罚

8、公司内有监控系统,有保安

9、制定《网络安全管理办法》,电脑定期杀毒,软件及时升级

10、信息及时备份",3,2,1,6,低,低,

,,断电、静电、灰尘、潮湿、温度、电磁干扰、洪灾、火灾、地震等,物理环境控制达不到要求,,3,2,1,6,低,低,

,,维护错误、操作失误等,维护或操作人员使用不当,,3,2,1,6,低,低,

,,管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等,缺乏相关制度,,3,2,1,6,低,低,

,,病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等,对下载或使用软件不进行控制,,3,2,1,6,低,低,

,,非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等,口令未受保护,,3,2,1,6,低,低,

,,网络探测和信息采集、漏洞探测、嗅探(帐号、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等,口令未受保护,,3,2,1,6,低,低,

,,物理接触、物理破坏、盗窃等,物理环境控制达不到要求,,3,2,1,6,低,低,

,,内部信息泄露、外部信息泄露等,缺少安全意识,,3,2,1,6,低,低,

,,篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等,口令未受保护,,3,2,1,6,低,低,

,,原发抵赖、接受抵赖、第三方抵赖等,缺少安全意识,,3,2,2,12,低,低,

,应用软件,恶意代码造成文件泄密或丢失,系统漏洞或对恶意代码防范不够,"1.集中存放管理

2.定期数据备份

3.文档一般存储在办公区域,日常环境卫生符合要求

4.设置防火墙策略

5.对恶意代码的防范建立要求

6.对文件的访问设立权限分配,并定期评审权限分配表

7.对口令管理建立明确要求

8.对所有人员进行信息安全意识培训

9.签订员工保密协议及确定惩罚措施

10、有专职人员公配备权限",3,2,1,6,低,低,

,,越权访问(盗取口令、无意),口令管理系统不够强壮;访问权限分配有误;,,3,2,1,6,低,低,

,,人员有意或无意泄密,人员安全意识差;人员的道德素质差,,3,2,1,6,低,低,

,,未经授权的修改,造成文件误用,缺乏对文件修改的有效控制机制,,3,2,1,6,低,低,

,,越权使用,权限的分配置管理不当,,3,2,1,6,低,低,

,,丢失,保存不当,对下载和使用、存储没有保护、对拷贝没有进行控制,专人保管,与员工签订《员工员工保密协议》;制定《奖惩条例》,对违规者处罚,3,2,1,6,低,低,

数据,数据,恶意代码造成文件泄密或丢失,系统漏洞或对恶意代码防范不够,"1.集中存放管理

2.定期数据备份

3.文档一般存储在办公区域,日常环境卫生符合要求

4.设置防火墙策略

5.对恶意代码的防范建立要求

6.对文件的访问设立权限分配,并定期评审权限分配表

7.对口令管理建立明确要求

8.对所有人员进行信息安全意识培训

9.签订员工保密协议及确定惩罚措施

",3,2,1,6,低,低,

,,越权访问(盗取口令、无意),口令管理系统不够强壮;访问权限分配有误;,,3,2,1,6,低,低,

,,人员有意或无意泄密,人员安全意识差;人员的道德素质差,,3,2,1,6,低,低,

,,未经授权的修改,造成文件误用,缺乏对文件修改的有效控制机制,,3,2,1,6,低,低,

,,丢失,保存不当,对下载和使用、存储没有保护、对拷贝没有进行控制,专人保管,与员工签订《员工保密协议》;制定《奖惩条例》,对违规者处罚,3,2,1,6,低,低,

文档,合同、协议、规范制度、员工资料、客户信息,丢失,保存不当,对下载和使用、存储没有保护、对拷贝没有进行控制,专人保管,与员工签订《员工保密协议》;制定《奖惩条例》,对违规者处罚,扫描备份电子文档,4,3,2,24,中,中,

,,由于潮湿、温度、火灾、地震等原因造成损害,纸质文件或一般的存储介质本身易损,定期检查并妥善保管;专柜存储,3,2,2,12,低,低,

人员,人员,意外事故、泄密、其他公司竞争,工作压力大,缺乏锻炼、行业知识的匮乏、病假、事假、出差、加班,"1、每周例会,工作分解;

2、企业文化建设(节日晚会,组织旅游活动等)

3、制定岗位说明书明确各岗位职责

4、双休制度

5、薪酬、考核及福利体系等",4,4,2,32,高,高,

,,跳槽、辞职,公司不能提供更好的薪酬和发展空间;员工个人原因、工作压力大,工作保密性和严谨性较高,"1、企业文化建设(节日晚会,组织旅游活动等)

2、薪酬、考核及福利体系等

3、双休制",3,2,2,12,低,低,

,,外来人员,没有及时陪同,外来人员登记,提前通知,专人接待,加强制度管理,3,2,2,12,低,低,

,,休假(病假、事假等)、泄密,员工工作压力大,缺乏锻炼;,"1、上级与员工的沟通交流

2、鼓励员工加强娱乐活动.

3、不提倡加班",3,2,2,12,低,低,

服务,外购服务,网络中断,断电,不稳定/处理时不小心,网络、电力中断对工作产生的影响,保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。服务协议中明确要求,设备巡检,规范操作指南。,3,2,2,12,低,低,

无形资产,无形资产,"被人盗版销售或使用,公司利益受损",国内知识产权保护力度较弱,自有软件已申请知识产权注册,加强知识产权保护,3,2,2,12,低,低,

,,"由于人员工作态度或工作经验原因,造成工作质量/客户服务质量/部门业绩受影响",人员工作态度不认真或工作经验不啼,"实施奖惩制度,增加培训,提高工作经验,改善工作态度,",3,2,2,12,低,低,

,,,,,,,,,,,

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论