ISO20000-2018信息技术服务管理体系信息安全风险评估表

ISO20000-2018信息技术服务管理体系信息安全风险评估表类别编号资产编号资产名称功能描述威胁内容(威胁源、动机）脆弱性影响后果资产重要程度现行控制方式威胁发率脆弱被利用率风险值风险等级风险处理方式改善措施资产重要程度威胁发生的评率脆弱性被利用率残余风险值风险等级是否接受文档

与

数据SL-DATA-001解决方案针对客户需求提出的信息安全解决方案被竞争对手获取人员道德缺乏文件被竞争对手获取，影响业务开展5数据加密系统控制12101接受未经授权使用、访问、复制人员缺乏安全意识文件信息外泄5进行员工信息安全意识培训12101接受不正确的废弃人员缺乏安全意识文件信息外泄5进行员工信息安全意识培训，12101接受电子存储媒体故障设备损坏资料丢失，影响项目进度5使用数据备份系统，对数据实时备份12101接受手工误删操作不小心资料丢失，影响项目进度5使用数据备份系统，对数据实时备份12101接受网络传输中被窃取未使用密码技术文件信息外泄5使用加密系统控制23303接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制客户信息丢失，业务开展产生困难5设置必要的放火，放雷机制12101接受自然灾难：地震、洪水、台风缺乏应急机制客户信息丢失，业务开展产生困难5对重要数据进行定期移动硬盘备份12101接受SL-DATA-003

SL-DATA-004

SL-DATA-018体系文件

管理制度

各项规章制度公司管理类文档未经授权使用、访问、复制人员缺乏安全意识文件信息外泄5进行员工信息安全意识培训12101接受不正确的废弃人员缺乏安全意识文件信息外泄5进行员工信息安全意识培训，12101接受电子存储媒体故障设备损坏资料丢失，影响项目进度5使用数据备份系统，对数据实时备份12101接受手工误删操作不小心资料丢失，影响项目进度5使用数据备份系统，对数据实时备份12101接受网络传输中被窃取未使用密码技术文件信息外泄5使用加密系统控制12101接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，业务缺乏指导5设置必要的放火，放雷机制23303接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，业务缺乏指导5对重要数据进行定期移动硬盘备份12101接受SL-DATA-008

SL-DATA-010在职员工个人信息

员工劳动合同人事档案信息未经授权使用、访问、复制缺乏物理防护机制员工个人信息资料丢失或泄密4人事资料放在人事文件柜中14162避免员工档案资料文件柜应上锁，防止非授权的获取41281接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5设置必要的放火，放雷机制23303接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份12101接受SL-DATA-013

SL-DATA-016

SL-DATA-021

SL-DATA-022供应商合作协议书

采购合同

代理合同

厂商报价合同未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得，供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中12101接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5设置必要的放火，放雷机制23303接受网络传输中被窃取未使用密码技术文件信息外泄5使用加密系统控制23303接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份12101接受盗窃存放缺乏保护合同丢失，影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中12101接受SL-DATA-014

SL-DATA-015

SL-DATA-023

SL-DATA-024

SL-DATA-033报价、合同样本

销售合同

客户报价

客户合同

报价单合同未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得，供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中12101接受不正确的废弃人员缺乏安全意识文件信息外泄5进行员工信息安全意识培训，12101接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5设置必要的放火，放雷机制23303接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份12101接受盗窃存放缺乏保护合同丢失，影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中SL-DATA-026客户资料供开票及联系未经授权使用、访问、复制缺乏物理防护机制客户信息被客户或竞争对手获得，供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5设置必要的放火，放雷机制23303接受网络传输中被窃取未使用密码技术文件信息外泄5使用加密系统控制23303接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份12101接受盗窃存放缺乏保护合同丢失，影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中12101接受SL-DATA-027CRME和快普数据库ERP系统数据未经授权使用、访问、复制访问权限没有控制数据被删除，修改或泄密5通过域控，系统密码控制，严格控制访问权限23303控制增加准入设备，对访问权限和访问区域进行规定51151接受未经授权更改访问权限没有控制公司业务无法开展5通过域控，系统密码控制，严格控制访问权限23303控制增加准入设备，对访问权限和访问区域进行规定51151接受电子存储媒体故障存放缺乏保护数据丢失业务无法开展5通过服务器备份数据23303控制增加专门数据备份系统，对数据进行实时备份51151接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份，设置放雷机制12101接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份12101接受SL-DATA-028公司办公租赁合同合同未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得，供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中12101接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5设置必要的放火，放雷机制23303接受网络传输中被窃取未使用密码技术文件信息外泄5使用加密系统控制23303接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份12101接受盗窃存放缺乏保护合同丢失，影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中12101接受SL-DATA-030

SL-DATA-032公司各类财务数据及报表

公司经营相关数据及资料财务数据未经授权使用、访问、复制访问权限没有控制数据被删除，修改或泄密5通过域控，系统密码控制，严格控制访问权限23303控制增加准入设备，对访问权限和访问区域进行规定51151接受未经授权更改访问权限没有控制公司业务无法开展5通过域控，系统密码控制，严格控制访问权限23303控制增加准入设备，对访问权限和访问区域进行规定51151接受电子存储媒体故障存放缺乏保护数据丢失业务无法开展5通过服务器备份数据23303控制增加专业数据备份系统，对数据进行实时备份51151接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份，设置放雷机制12101接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份12101接受SL-DATA-031公司资质文件及认证证书资质资料未经授权使用、访问、复制人员缺乏安全意识文件信息外泄5进行员工信息安全意识培训12101接受不正确的废弃人员缺乏安全意识文件信息外泄5进行员工信息安全意识培训，12101接受SL-DATA-036

SL-DATA-042报价（给渠道）

渠道合同合同，报价信息未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得，供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中12101接受不正确的废弃人员缺乏安全意识文件信息外泄5进行员工信息安全意识培训，12101接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5设置必要的放火，放雷机制23303接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份12101接受盗窃存放缺乏保护合同丢失，影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中SL-DATA-037报价（厂家供货价）合同，报价信息未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得，供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中12101接受不正确的废弃人员缺乏安全意识文件信息外泄5进行员工信息安全意识培训，12101接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5设置必要的放火，放雷机制23303接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份12101接受盗窃存放缺乏保护合同丢失，影响后续服务等内容5合同报价等资料放在上锁的文件柜中SL-DATA-040销售部管理周报未经授权使用、访问、复制访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限23303控制增加准入设备，对访问权限和访问区域进行规定51151接受SL-DATA-043用友OA日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制23303控制使用密码策略，严禁使用弱密码51151接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限23303控制增加准入设备，对访问权限和访问区域进行规定51151接受SL-DATA-044快普ERP日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制23303控制使用密码策略，严禁使用弱密码51151接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限23303控制增加准入设备，对访问权限和访问区域进行规定51151接受SL-DATA-045豪创日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制23303控制使用密码策略，严禁使用弱密码51151接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限23303控制增加准入设备，对访问权限和访问区域进行规定51151接受SL-DATA-046管家婆日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制23303控制使用密码策略，严禁使用弱密码51151接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限23303控制增加准入设备，对访问权限和访问区域进行规定51151接受SL-DATA-047SSLvpn日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制23303控制使用密码策略，严禁使用弱密码51151接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限23303控制增加准入设备，对访问权限和访问区域进行规定51151接受SL-DATA-048广域网加速设备日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制23303控制使用密码策略，严禁使用弱密码51151接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限23303控制增加准入设备，对访问权限和访问区域进行规定51151接受SL-DATA-049准入系统日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制23303控制使用密码策略，严禁使用弱密码51151接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限23303控制增加准入设备，对访问权限和访问区域进行规定51151接受SL-DATA-050爱数备份日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制23303控制使用密码策略，严禁使用弱密码51151接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限23303控制增加准入设备，对访问权限和访问区域进行规定51151接受SL-DATA-051趋势防毒日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制23303控制使用密码策略，严禁使用弱密码51151接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限23303控制增加准入设备，对访问权限和访问区域进行规定51151接受SL-DATA-052守内安日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制23303控制使用密码策略，严禁使用弱密码51151接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限23303控制增加准入设备，对访问权限和访问区域进行规定51151接受SL-DATA-053上网行为管理日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制23303控制使用密码策略，严禁使用弱密码51151接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限23303控制增加准入设备，对访问权限和访问区域进行规定51151接受SL-DATA-054视屏监控日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制23303控制使用密码策略，严禁使用弱密码51151接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限23303控制增加准入设备，对访问权限和访问区域进行规定51151接受SL-DATA-055电话录音日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制23303控制使用密码策略，严禁使用弱密码51151接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限23303控制增加准入设备，对访问权限和访问区域进行规定51151接受SL-DATA-056考勤机日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制23303控制使用密码策略，严禁使用弱密码51151接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限23303控制增加准入设备，对访问权限和访问区域进行规定51151接受SL-DATA-057路由日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制23303控制使用密码策略，严禁使用弱密码51151接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限23303控制增加准入设备，对访问权限和访问区域进行规定51151接受SL-DATA-058交换机日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制23303控制使用密码策略，严禁使用弱密码51151接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限23303控制增加准入设备，对访问权限和访问区域进行规定51151接受SL-DATA-059趋势杀毒日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制23303控制使用密码策略，严禁使用弱密码51151接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限23303控制增加准入设备，对访问权限和访问区域进行规定51151接受SL-DATA-060

SL-DATA-061

SL-DATA-062

SL-DATA-063

SL-DATA-064

SL-DATA-065

SL-DATA-066

SL-DATA-067

SL-DATA-068

SL-DATA-069

SL-DATA-070用友OA数据

快普ERP数据

豪创数据

管家婆数据

准入系统数据

爱数备份数据

守内安数据

上网行为管理数据

视屏监控数据

电话录音数据

考勤机数据系统数据资料未经授权使用、访问、复制访问权限没有控制系统信息被访问，泄露公司相关数据信息5实施密码策略22202控制使用准入系统，对可以使用系统的人员进行控制51151接受电子存储媒体故障设备损坏资料丢失，业务无法开展5使用数据备份系统，对数据实时备份23303控制增加专业数据备份系统，对数据进行实时备份51151接受手工误删操作不小心资料丢失，影响项目进度5使用数据备份系统，对数据实时备份12101避免增加专业数据备份系统，对数据进行实时备份51151接受网络传输中被窃取未使用密码技术文件信息外泄5使用加密系统控制13151接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制客户信息丢失，业务开展产生困难5设置必要的放火，放雷机制12101接受恶意软件缺乏安全意识；处理时不小心，恶意软件防范未控制数据丢失5信息安全意识培训22202控制使用杀毒软件进行控制，在公司安装杀毒软件，并控制软件安装权限5115接受自然灾难：地震、洪水、台风缺乏应急机制客户信息丢失，业务开展产生困难5使用数据备份系统，对数据实时备份12101接受SL-DATA-071公司网页人为破损，服务商丢失，病毒攻击被黑客攻击不能宣传公司形象4与供应商签订协议22162控制进行上网检查，备份42151接受未经授权更改弱的密码管理网站被该，不能宣传公司形象4无22162控制制定密码策略42151接受硬件SL-HARD-001

SL-HARD-002

SL-HARD-041

SL-HARD-042深信服SG上网优化设备

交换机

入网规范设备

电话录音盒上网行为管理供电故障电力供应不稳设备损坏，公司业务受到影响5UPS保护01接受温度、湿度、灰尘超限易受到温度、湿度、灰尘和污垢影响火灾，设备温度身高，效率降低5无22202控制定期点检未经授权更改缺乏有效的配置变更控制人员访问权限受到影响501接受未经授权访问、使用或复制弱密码人员使用权限被修改5实施密码策略21101接受废弃不当处置设备上的数据被非法获取，影响公司声誉或资产损失5无22202控制所有的存储设备后续均进行物理损坏后再进行处理51251接受故障不当维护设备损坏，业务受到影响5无22202控制有维护能力的人方可进行设备操作和维护51251接受人为灾难：火灾、爆炸、恐怖袭击等缺乏防火、防雷等保护性措施火灾或其它导致设备损坏，业务受到影响5配置灭火器，设置放雷装置12101接受盗窃存放缺乏保护设备丢失5设备放在机房内，对机房绩效物理防护1151接受SL-HARD-003

SL-HARD-004万全T168

万全T100供电故障电力供应不稳设备损坏，公司业务受到影响5UPS保护12101接受温度、湿度、灰尘超限易受到温度、湿度、灰尘和污垢影响火灾，设备温度身高，效率降低51、处于独立的机房中

2，有中央空调，未监控温湿度

3，定期清理灰尘和污垢12101接受容量超载负载过高在服务器上运行的系统无法正常运行5未做容量规划与容量监控22202控制未经授权更改缺乏有效的配置变更控制可能导致服务器运行不顺畅5无文档化的变更控制程序，但有工作惯例（变更需求提出，获得部门主管的批准后开发运营部实施）22202接受对变更管理进行规定，并按照文件规定执行51151YES未经授权访问、使用或复制物理访问控制不充分或不仔细服务器物理或者数据损坏或数据被非法窃取5处于独立机房内，物理防护1151接受废弃不当处置数据被非法窃取5无设备的处置策略22202控制建立设备处置管理规定，对储存设备的处理需要经过高级格式化或者物理破坏后再处理。51151YES故障不当维护设备损坏，公司业务受到影响5有资格的人员方可机进行设备维护1151接受人为灾难：火灾、爆炸、恐怖袭击等缺乏防火、防雷等保护性措施设备损坏，公司业务受到影响51，机房内无防火器材，但机房门口外有灭火器12101接受自然灾难：地震、洪水、台风、雷击处于易受到威胁的场所，例如洪水、地震设备损坏，公司业务受到影响5建筑物抗震性能良好，所在30年内无洪水爆发记录12101接受盗窃物理保护的缺乏：建筑物、门、窗等设备丢失，公司业务受到影响5处于独立封闭的机房中，有房门保护22202接受SL-HARD-007

SL-HARD-008

SL-HARD-009

SL-HARD-032办公台式机电脑

办公笔记本电脑

财务电脑

笔记本联想G460病毒，资料丢失遭窃，硬件或软件损坏维护不善；蓄意破坏；软件本身缺陷不能正常办公435604控制定期进行软件更新及电脑杀毒，不乱装各类非工作类软件，不蓄意破坏电脑4218YES未经授权访问、使用或复制物理访问控制不充分或不仔细数据被删除，修改或泄密433363控制对物理区域的访问进行控制，建立相关制度4218YES废弃不当处置数据涉密433363控制建立设备处置管理规定，对储存设备的处理需要经过高级格式化或者物理破坏后再处理。41151YES故障不当维护无法正常工作4建立供应商联系清单，有故障时请供应商维护1281接受SL-HARD-038考勤机故障不当维护无法正常工作4建立供应商联系清单，有故障时请供应商维护1281接受SL-HARD-040爱数备份磁盘柜供电故障电力供应不稳设备损坏，公司业务受到影响5UPS保护12101接受温度、湿度、灰尘超限易受到温度、湿度、灰尘和污垢影响火灾，设备温度身高，效率降低51、处于独立的机房中

2，有中央空调，未监控温湿度

3，定期清理灰尘和污垢12101接受容量超载负载过高在服务器上运行的系统无法正常运行5未做容量规划与容量监控22202控制未经授权更改缺乏有效的配置变更控制可能导致服务器运行不顺畅5无文档化的变更控制程序，但有工作惯例（变更需求提出，获得部门主管的批准后开发运营部实施）22202接受对变更管理进行规定，并按照文件规定执行51151YES未经授权访问、使用或复制物理访问控制不充分或不仔细服务器物理或者数据损坏或数据被非法窃取5处于独立机房内，物理防护1151接受废弃不当处置数据被非法窃取5无设备的处置策略22202控制建立设备处置管理规定，对储存设备的处理需要经过高级格式化或者物理破坏后再处理。51151YES故障不当维护设备损坏，公司业务受到影响5有资格的人员方可机进行设备维护1151接受人为灾难：火灾、爆炸、恐怖袭击等缺乏防火、防雷等保护性措施设备损坏，公司业务受到影响51，机房内无防火器材，但机房门口外有灭火器12101接受自然灾难：地震、洪水、台风、雷击处于易受到威胁的场所，例如洪水、地震设备损坏，公司业务受到影响5建筑物抗震性能良好，所在30年内无洪水爆发记录12101接受盗窃物理保护的缺乏：建筑物、门、窗等设备丢失，公司业务受到影响5处于独立封闭的机房中，有房门保护22202接受SL-HARD-011手机卡不能接通人员服务意识不足客户不能联系到公司人员，客户抱怨4公司制度要求员工手机处于一直开机状态，并进行抽查，对不能接通的进行处罚2181接受SL-HARD-012打印机设备故障或损坏；人员缺失安全意识随手拿取打印资料以致泄密维护不善；蓄意破坏不能打印3控制打印权限，打印后资料随手拿走22121接受SL-HARD-013传真机设备故障或损坏；人员缺失安全意识随手拿取打印资料以致泄密缺乏安全意识文件丢失3控制打印权限，打印后资料随手拿走2161接受SL-HARD-014复印机设备故障或损坏；人员缺失安全意识随手拿取打印资料以致泄密维护不善；蓄意破坏；软件本身缺陷不能正常办公3控制打印权限，打印后资料随手拿走1261接受SL-HARD-030扫描仪资料丢失遭窃，硬件或软件损坏维护不善；蓄意破坏；软件本身缺陷不能正常办公3与维护厂商建立联系1261控制SL-HR-001~SL-HR-023所有人员公司日常运作人为灾害：火灾、爆炸、雷击、恐怖袭击安全训练不完备影响正常工作，对业务造成困扰5安全应急培训1151接受5115YES缺乏应急机制公司无法正常运作5建立应急机制1151接受5115YES自然灾难：地震、洪水、台风安全训练不完备影响正常工作，对业务造成困扰5安全应急培训1151接受5115YES缺乏应急机制公司无法正常运作5建立应急机制1151接受51210YES内部人员泄密缺乏安全意识公司重要机密泄露，给公司造成重大损失5数据加密，上网行为管控12101控制编制培训计划，进行信息安全相关培训，人事不定期发送安全提醒邮件5115YES道德缺失公司重要机密泄露，给公司造成重大损失5无22202控制编制培训计划，进行职业道德培训，招聘前对员工进行岗前背景调查，签订保密协议51210YES不公证待遇缺乏员工关怀/申诉政策员工离职，公司信息泄露，人员资产流失5无33454控制建立员工沟通渠道，建立保密协议51210YES软件SL-SOFT-001用友OA软件未经授权访问、使用或复制访问权限的错误配置数据被删除，修改或泄密533454控制权限审核52110YESSL-SOFT-002快普ERP软件缺乏身份鉴别机制易被攻击，修改或泄密533454控制制定相关网络访问策略52110YESSL-SOFT-003豪创软件离开工作场所未注销非授权的修改，泄密533454控制统一设置，最多5分钟密保52110YESSL-SOFT-004管家婆软件缺乏（文件）共享安全策略数据被删除，修改或泄密533454控制制定相关共享策略52110YESSL-SOFT-005爱数备份软件缺乏服务/端口安全策略数据被删除，修改或泄密533454控制对端口进行扫描封堵52110YESSL-SOFT-006守内安软件恶意软件众所周知的软件缺陷，易受病毒等攻击感染病毒，无法正常提供服务533454控制应实施恶意代码的监测、预防和恢复的控制措施，以及适当的提高用户安全意识的程序。52110YES抵赖缺乏审核踪迹无法追查信息安全事件533454控制定期审核日志黑客攻击众所周知的软件缺陷数据被删除，修改或泄密533454控制应实施恶意代码的监测、预防和恢复的控制措施，以及适当的提高用户安全意识的程序。密码强度太弱易被攻击，修改或泄密533454控制建立密码策略，明确密码强度并定期修改密码系统管理员权限滥用访问权限的错误配置非授权的修改，泄密533454控制权限审核未经授权更改缺乏补丁管理机制易被攻击，修改或泄密533454控制制定补丁策略缺乏有效的变更控制易被攻击，修改或泄密533454控制建立更改管理程序违背知识产权相关法律、法规安装使用盗版软件法律诉讼533454控制建立文件，规定使用正版软件SL-SOFT-015WINSERVER2003服务器操作系统恶意软件众所周知的软件缺陷，易受病毒等攻击感染病毒，无法正常提供服务533454控制应实施恶意代码的监测、预防和恢复的控制措施，以及适当的提高用户安全意识的程序。52110YES未经授权访问、使用或复制访问权限的错误配置数据被删除，修改或泄密533454控制权限审核52110YES缺乏身份鉴别机制易被攻击，修改或泄密533454控制制定相关网络访问策略52110YES离开工作场所未注销非授权的修改，泄密533454控制统一设置，最多5分钟密保52110YES缺乏（文件）共享安全策略数据被删除，修改或泄密533454控制制定相关共享策略52110YES缺乏服务/端口安全策略数据被删除，修改或泄密533454控制对端口进行扫描封堵52110YES抵赖缺乏审核踪迹无法追查信息安全事件533454控制定期审核日志52110YES黑客攻击众所周知的软件缺陷数据被删除，修改或泄密533454控制应实施恶意代码的监测、预防和恢复的控制措施，以及适当的提高用户安全意识的程序。52110YES密码强度太弱易被攻击，修改或泄密533454控制建立密码策略，明确密码强度并定期修改密码52110YES系统管理员权限滥用访问权限的错误配置非授权的修改，泄密533454控制权限审核52110YES未经授权更改缺乏补丁管理机制易被攻击，修改或泄密533454控制制定补丁策略52110YES缺乏有效的变更控制易被攻击，修改或泄密533454控制建立更改管理程序52110YES违背知识产权相关法律、法规安装使用盗版软件法律诉讼533454控制建立文件，规定使用正版软件52110YESSL-SOFT-009

L-SOFT-010

SL-SOFT-011

SL-SOFT-012

SL-SOFT-013

SL-SOFT-014

SL-SOFT-015

SL-SOFT-016

SL-SOFT-017

SL-SOFT-018

SL-SOFT-019

SL-SOFT-020WINXP

SL-SOFT-010

OFFICE

TeamViewer

AdobeReader

WindowsXP

Office2003

Windows2003

Office2007

SQLServer2005

360安全卫士

趋势杀毒

盈高桌面管理软件个人操作系统等未经授权访问、使用或复制访问权限的错误配置数据被删除，修改或泄密533454控制权限审核52110YES缺乏身份鉴别机制易被攻击，修改或泄密533454控制制定相关网络访问策略52110YES离开工作场所未注销非授权的修改，泄密533454控制统一设置，最多5分钟密保52110YES缺乏（文件）共享安全策略数据被删除，修改或泄密533454控制制定相关共享策略52110YES缺乏服务/端口安全策略数据被删除，修改或泄密533454控制对端口进行扫描封堵52110YES抵赖缺乏审核踪迹无法追查信息安全事件533454控制定期审核日志52110YES黑客攻击众所周知的软件缺陷数据被删除，修改或泄密533454控制应实施恶意代码的监测、预防和恢复的控制措施，以及适当的提高用户安全意识的程序。52110YES密码强度太弱易被攻击，修改或泄密533454控制建立密码策略，明确密码强度并定期修改密码52110YES系统管理员权限滥用访问权限的错误配置非授权的修改，泄密533454控制权限审核52110YES未经授权更改缺乏补丁管理机制易被攻击，修改或泄密533454控制制定补丁策略52110YES缺乏有效的变更控制易被攻击，修改或泄密533454控制建立更改管理程序52110YES违背知识产权相关法律、法规安装使用盗版软件法律诉讼533454控制建立文件，规定使用正版软件52110YES恶意软件众所周知的软件缺陷，易受病毒等攻击感染病毒，无法正常提供服务533454控制应实施恶意代码的监测、预防和恢复的控制措施，以及适当的提高用户安全意识的程序。52110YESSL-SEVER-01中国电信服务通信通信服务故障不恰当的服务故障响应不能连线客户进行服务4技术部负责同通信服务供应商联系22162接受41281YESSL-SEVER-02中国网通服务容量超载负载过高网速慢，远程服务受到影响4未作容量规划与监控23242控制建立负载监控，容量管理机制，双线路，电信网通控制41281YES通信监听未保护的敏感信息传输机密信息泄露4敏感数据传输无控制23242控制数据加密传输41281YESSL-SEVER-03

SL-SEVER-04

SL-SEVER-05

SL-SEVER-06

SL-SEVER-07汇通快递服务

S汇通快递服务

顺丰快递服务

友通物流服务

圆通快递服务

EMS服务快递数据丢失泄密人员服务意识不足公司机密信息泄露，业务开展困难3签订保密协议2161接受SL-SEVER-19开元物业物理防护不足缺乏防火、防雷等保护性措施公司设备资料损坏，公司业务受到影响4确认安全防护足够后再租用2181接受IT系

统配置SL-ITCF-004豪创管理权限密码业务系统授权访问口令明文传输密码用明文传输口令可被未授权用户网络访问的威胁所利用5使用数据加密系统1151接受离开工作场所未注销屏幕保护，人员意识不足可被伪装用户身份的威胁所利用5按照桌面清屏策略，定时屏幕保护自动锁定32303接受缺乏保护的密码表未经保护的口令表可被伪装用户身份的威胁所利用5密码分散，人工记忆31151接受弱密码使用口令管理不力（容易猜测的口令、口令存储、变更的频次不充分）可被错误人员错误的威胁所利用5使用数字、字母、符号密码复杂度策略实行32303接受越权或滥用密码超越自己的权限访问了本来无权访问的资源；非授权访问滥用权限泄露秘密信息等可被未授权用户使用软件的威胁所利用5进行员工信息安全意识培训32303接受SL-ITCF-005管家婆管理权限密码业务系统授权访问口令明文传输密码用明文传输口令可被未授权用户网络访问的威胁所利用5使用数据加密系统1151接受离开工作场所未注销屏幕保护，人员意识不足可被伪装用户身份的威胁所利用5按照桌面清屏策略，定时屏幕保护自动锁定32303接受缺乏保护的密码表未经保护的口令表可被伪装用户身份的威胁所利用5密码分散，人工记忆31151接受弱密码使用口令管理不力（容易猜测的口令、口令存储、变更的频次不充分）可被错误人员错误的威胁所利用5使用数字、字母、符号密码复杂度策略实行32303接受越权或滥用密码超越自己的权限访问了本来无权访问的资源；非授权访问滥用权限泄露秘密信息等可被未授权用户使用软件的威胁所利用5进行员工信息安全意识培训32303接受SL-ITCF-006SSLvpn管理权限密码业务系统授权访问口令明文传输密码用明文传输口令可被未授权用户网络访问的威胁所利用5使用数据加密系统1151接受离开工作场所未注销屏幕保护，人员意识不足可被伪装用户身份的威胁所利用5按照桌面清屏策略，定时屏幕保护自动锁定32303接受缺乏保护的密码表未经保护的口令表可被伪装用户身份的威胁所利用5密码分散，人工记忆31151接受弱密码使用口令管理不力（容易猜测的口令、口令存储、变更的频次不充分）可被错误人员错误的威胁所利用5使用数字、字母、符号密码复杂度策略实行32303接受越权或滥用密码超越自己的权限访问了本来无权访问的资源；非授权访问滥用权限泄露秘密信息等可被未授权用户使用软件的威胁所利用5进行员工信息安全意识培训32303接受SL-ITCF-007广域网加速设备管理权限密码业务系统授权访问口令明文传输密码用明文传输口令可被未授权用户网络访问的威胁所利用5使用数据加密系统1151接受离开工作场所未注销屏幕保护，人员意识不足可被伪装用户身份的威胁所利用5按照桌面清屏策略，定时屏幕保护自动锁定32303接受缺乏保护的密码表未经保护的口令表可被伪装用户身份的威胁所利用5密码分散，人工记忆31151接受弱密码使用口令管理不力（容易猜测的口令、口令存储、变更的频次不充分）可被错误人员错误的威胁所利用5使用数字、字母、符号密码复杂度策略实行32303接受越权或滥用密码超越自己的权限访问了本来无权访问的资源；非授权访问滥用权限泄露秘密信息等可被未授权用户使用软件的威胁所利用5进行员工信息安全意识培训32303接受SL-ITCF-008准入系统管理权限密码业务系统授权访问口令明文传输密码用明文传输口令可被未授权用户网络访问的威胁所利用5使用数据加密系统1151接受离开工作场所未注销屏幕保护，人员意识不足可被伪装用户身份的威胁所利用5按照桌面清屏策略，定时屏幕保护自动锁定32303接受缺乏保护的密码表未经保护的口令表可被伪装用户身份的威胁所利用5密码分散，人工记忆31151接受弱密码使用口令管理不力（容易猜测的口令、口令存储、变更的频次不充分）可被错误人员错误的威胁所利用5使用数字、字母、符号密码复杂度策略实行32303接受越权或滥用密码超越自己的权限访问了本来无权访问的资源；非授权访问滥用权限泄露秘密信息等可被未授权用户使用软件的威胁所利用5进行员工信息安全意识培训32303接受SL-ITCF-009爱数备份管理权限密码业务系统授权访问口令明文传输密码用明文传输口令可被未授权用户网络访问的威胁所利用5使用数据加密系统1151接受离开工作场所未注销屏幕保护，人员意识不足可被伪装用户身份的威胁所利用5按照桌面清屏策略，定时屏幕保护自动锁定32303接受缺乏保护的密码表未经保护的口令表可被伪装用户身份的威胁所利用5密码分散，人工记忆31151接受弱密码使用口令管理不力（容易猜测的口令、口令存储、变更的频次不充分）可被错误人员错误的威胁所利用5使用数字、字母、符号密码复杂度策略实行32303接受越权或滥用密码超越自己的权限访问了本来无权访问的资源；非授权访问滥用权限泄露秘密信息等可被未授权用户使用软件的威胁所利用5进行员工信息安全意识培训32303接受SL-ITCF-010趋势防毒管理权限密码业务系统授权访问口令明文传输密码用明文传输口令可被未授权用户网络访问的威胁所利用5使用数据加密系统1151接受离开工作场所未注销屏幕保护，人员意识不足可被伪装用户身份的威胁所利用5按照桌面清屏策略，定时屏幕保护自动锁定32303接受缺乏保护的密码表未经保护的口令表可被伪装用户身份的威胁所利用5密码分散，人工记忆31151接受弱密码使用口令管理不力（容易猜测的口令、口令存储、变更的频次不充分）可被错误人员错误的威胁所利用5使用数字、字母、符号密码复杂度策略实行32303接受越权或滥用密码超越自己的权限访问了本来无权访问的资源；非授权访问滥用权限泄露秘密信息等可被未授权用户使用软件的威胁所利用5进行员工信息安全意识培训32303接受SL-ITCF-011守内安管理权限密码业务系统授权访问口令明文传输密码用明文传输口令可被未授权用户网络访问的威胁所利用5使用数据加密系统1151接受离开工作场所未注销屏幕保护，人员意识不足可被伪装用户身份的威胁所利用5按照桌面清屏策略，定时屏幕保护自动锁定32303接受缺乏保护的密码表未经保护的口令表可被伪装用户身份的威胁所利用5密码分散，人工记忆31151接受弱密码使用口令管理不力（容易猜测的口令、口令存储、变更的频次不充分）可被错误人员错误的威胁所利用5使用数字、字母、符号密码复杂度策略实行32303接受越权或滥用密码超越自己的权限访问了本来无权访问的资源；非授权访问滥用权限泄露秘密信息等可被未授权用户使用软件的威胁所利用5进行员工信息安全意识培训32303接受SL-ITCF-012上网行为管理权限密码业务系统授权访问口令明文传输密码用明文传输口令可被未授权用户网络访问的威胁所利用5使用数据加密系统1151接受离开工作场所未注销屏幕保护，人员意识不足可被伪装用户身份的威胁所利用5按照桌面清屏策略，定时屏幕保护自动锁定32303接受缺乏保护的密码表未经保护的口令表可被伪装用户身份的威胁所利用5密码分散，人工记忆31151接受弱密码使用口令管理不力（容易猜测的口令、口令存储、变更的频次不充分）可被错误人员错误的威胁所利用5使用数字、字母、符号密码复杂度策略实行32303接受越权或滥用密码超越自己的权限访问了本来无权访问的资源；非授权访问滥用权限泄露秘密信息等可被未授权用户使用软件的威胁所利用5进行员工信息安全意识培训32303接受SL-ITCF-013视屏监控管理权限密码业务系统授权访问口令明文传输密码用明文传输口令可被未授权用户网络访问的威胁所利用5使用数据加密系统1151接受离开工作场所未注销屏幕保护，人员意识不足可被伪装用户身份的威胁所利用5按照桌面清屏策略，定时屏幕保护自动锁定32303接受缺乏保护的密码表未经保护的口令表可被伪装用户身份的威胁所利用5密码分散，人工记忆31151接受弱密码使