風(fēng)險(xiǎn)評(píng)估控制程序（ISO27001-2013）適用其他行業(yè)

風(fēng)險(xiǎn)評(píng)估控制程序TOC\o"1-3"\h\z1. 目的和范圍 22. 引用文件 23. 職責(zé)和權(quán)限 24. 風(fēng)險(xiǎn)管理方法 34.1.風(fēng)險(xiǎn)識(shí)別 44.2.風(fēng)險(xiǎn)估計(jì)與評(píng)價(jià) 44.3.選擇風(fēng)險(xiǎn)處置方式 444.4.殘余風(fēng)險(xiǎn)接受 455. 風(fēng)險(xiǎn)評(píng)估描述 455.1.風(fēng)險(xiǎn)評(píng)估前準(zhǔn)備 455.2.確定重要業(yè)務(wù)過(guò)程和活動(dòng) 455.3.信息資產(chǎn)的識(shí)別 465.4.重要信息資產(chǎn)風(fēng)險(xiǎn)等級(jí)評(píng)估 505.5.不可接受風(fēng)險(xiǎn)的確定和處理 515.6.風(fēng)險(xiǎn)定期評(píng)估 525.7.風(fēng)險(xiǎn)評(píng)估評(píng)審 526. 相關(guān)記錄 52

目的和范圍為了規(guī)定公司所采用的信息安全風(fēng)險(xiǎn)評(píng)估方法。通過(guò)識(shí)別信息資產(chǎn)、風(fēng)險(xiǎn)等級(jí)評(píng)估本公司的信息安全風(fēng)險(xiǎn)，選擇合適控制目標(biāo)和控制方式將信息安全風(fēng)險(xiǎn)控制在可接受的水平，保持業(yè)務(wù)持續(xù)性發(fā)展，以滿足信息安全管理方針的要求，特制訂本制度。本制度適用信息安全管理體系范圍內(nèi)信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)。引用文件下列文件中的條款通過(guò)本制度的引用而成為本制度的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本制度，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本制度。GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求GB/T22081-2016/ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則ISO/IEC27005:2008《信息技術(shù)-安全技術(shù)-風(fēng)險(xiǎn)管理》《GB/T20984-2007信息安全風(fēng)險(xiǎn)評(píng)估指南》職責(zé)和權(quán)限信息安全管理領(lǐng)導(dǎo)小組：負(fù)責(zé)匯總確認(rèn)《信息安全風(fēng)險(xiǎn)評(píng)估表》，并根據(jù)評(píng)估結(jié)果形成《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告》和《殘余風(fēng)險(xiǎn)批示報(bào)告》。公司全體員工：在信息安全管理領(lǐng)導(dǎo)小組協(xié)調(diào)下，負(fù)責(zé)本部門使用或管理的資產(chǎn)的識(shí)別和風(fēng)險(xiǎn)評(píng)估；負(fù)責(zé)本部門所涉及的資產(chǎn)的具體安全控制工作。信息安全管理員在本部門信息資產(chǎn)發(fā)生變更時(shí)，需要及時(shí)清點(diǎn)和評(píng)估，并報(bào)送信息安全管理領(lǐng)導(dǎo)小組更新《信息安全風(fēng)險(xiǎn)評(píng)估表》。風(fēng)險(xiǎn)管理方法通過(guò)定義風(fēng)險(xiǎn)管理方法，明確風(fēng)險(xiǎn)接受準(zhǔn)則與等級(jí)，確保能產(chǎn)生可比較且可重復(fù)的風(fēng)險(xiǎn)評(píng)估結(jié)果。（如圖1）風(fēng)險(xiǎn)管理流程圖圖1風(fēng)險(xiǎn)管理流程圖風(fēng)險(xiǎn)識(shí)別通過(guò)進(jìn)行風(fēng)險(xiǎn)識(shí)別活動(dòng)，識(shí)別了以下內(nèi)容：識(shí)別了信息安全管理體系范圍內(nèi)的資產(chǎn)及其責(zé)任人；識(shí)別了資產(chǎn)所面臨的威脅；識(shí)別了可能被威脅利用的脆弱點(diǎn)；識(shí)別了喪失保密性、完整性和可用性可能對(duì)資產(chǎn)造成的影響。風(fēng)險(xiǎn)估計(jì)與評(píng)價(jià)通過(guò)對(duì)資產(chǎn)的保密性（C）、完整性（I）、可用性（A）及業(yè)務(wù)影響度（BI）賦值對(duì)公司資產(chǎn)喪失CIA（BI）所造成的后果進(jìn)行了判斷。資產(chǎn)賦值常常是很困難的，因?yàn)樾枰獙?duì)某些資產(chǎn)進(jìn)行客觀的賦值，但不同的人員可能做出不同的判斷。應(yīng)該用明確的術(shù)語(yǔ)，通過(guò)書(shū)面形式描述作為每一資產(chǎn)賦值基礎(chǔ)的準(zhǔn)則。用于判斷資產(chǎn)價(jià)值的可能準(zhǔn)則包括：資產(chǎn)的原始價(jià)值；替代或重建的成本；資產(chǎn)的抽象價(jià)值，如組織聲譽(yù)的價(jià)值；由事件導(dǎo)致資產(chǎn)喪失保密性、完整性和可用性所帶來(lái)的成本。如果適用、還應(yīng)該考慮不可否認(rèn)性、可審計(jì)性、真實(shí)性和可靠性；資產(chǎn)的其他資產(chǎn)依賴性價(jià)值。資產(chǎn)價(jià)值計(jì)算方法：資產(chǎn)價(jià)值=ROUND(SQRT(SUM(C+I+A)/3*BI),0)，其中：C：保密性賦值標(biāo)識(shí)定義5很高包含組織最重要的秘密，關(guān)系未來(lái)發(fā)展的前途命運(yùn)，對(duì)組織根本利益有著決定性的影響，如果泄露會(huì)造成災(zāi)難性的損害4高包含組織的重要秘密，其泄露會(huì)使組織的安全和利益遭受嚴(yán)重?fù)p害3中等組織的一般性秘密，其泄露會(huì)使組織的安全和利益受到損害2低僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開(kāi)的信息，向外擴(kuò)散有可能對(duì)組織的利益造成輕微損害1很低可對(duì)社會(huì)公開(kāi)的信息，公用的信息處理設(shè)備和系統(tǒng)資源等I：完整性賦值標(biāo)識(shí)定義5很高完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大的或無(wú)法接受的影響，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)。4高完整性價(jià)值較高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大影響，對(duì)業(yè)務(wù)沖擊嚴(yán)重，較難彌補(bǔ)。3中等完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響，對(duì)業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)。2低完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微影響，對(duì)業(yè)務(wù)沖擊輕微，容易彌補(bǔ)。1很低完整性價(jià)值非常低，未經(jīng)授權(quán)的修改或破壞對(duì)組織造成的影響可以忽略，對(duì)業(yè)務(wù)沖擊可以忽略。A：可用性賦值標(biāo)識(shí)定義5很高可用性價(jià)值非常高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上，或系統(tǒng)不允許中斷。4高可用性價(jià)值較高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到每天90%以上，或系統(tǒng)允許中斷時(shí)間小于10分鐘。3中等可用性價(jià)值中等，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到70%以上，或系統(tǒng)允許中斷時(shí)間小于30分鐘。2低可用性價(jià)值較低，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到25%以上，或系統(tǒng)允許中斷時(shí)間小于60分鐘。1很低可用性價(jià)值可以忽略，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間低于25%。BI：業(yè)務(wù)影響度賦值標(biāo)識(shí)定義5很高此信息系統(tǒng)/關(guān)鍵活動(dòng)對(duì)組織的重要性很高，一旦此信息系統(tǒng)/關(guān)鍵活動(dòng)中斷給組織帶來(lái)很高的沖擊與影響4高此信息系統(tǒng)/關(guān)鍵活動(dòng)對(duì)組織的重要性較高，一旦此信息系統(tǒng)/關(guān)鍵活動(dòng)中斷給組織帶來(lái)較高的沖擊與影響3中等此信息系統(tǒng)/關(guān)鍵活動(dòng)對(duì)組織的重要性中等，一旦此信息系統(tǒng)/關(guān)鍵活動(dòng)中斷給組織帶來(lái)中等的沖擊與影響2低此信息系統(tǒng)/關(guān)鍵活動(dòng)對(duì)組織的重要性一般，一旦此信息系統(tǒng)/關(guān)鍵活動(dòng)中斷給組織帶來(lái)一般的沖擊與影響1很低此信息系統(tǒng)/關(guān)鍵活動(dòng)對(duì)組織的重要性很低，一旦此信息系統(tǒng)/關(guān)鍵活動(dòng)中斷給組織帶來(lái)的沖擊與影響可以忽略識(shí)別了主要威脅和脆弱性導(dǎo)致安全失誤的現(xiàn)實(shí)可能性、對(duì)資產(chǎn)的影響以及當(dāng)前所實(shí)施的控制措施。威脅來(lái)源參考：來(lái)源描述環(huán)境因素由于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲(chóng)害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境條件或自然災(zāi)害，意外事故或軟件、硬件、數(shù)據(jù)、通訊線路方面的故障。人為因素惡意人員不滿的或有預(yù)謀的內(nèi)部人員對(duì)信息系統(tǒng)進(jìn)行惡意破壞；采用自主或內(nèi)外勾結(jié)的方式盜竊機(jī)密信息或進(jìn)行篡改，獲取利益。外部人員利用信息系統(tǒng)的脆弱性，對(duì)網(wǎng)絡(luò)或系統(tǒng)的機(jī)密性、完整性和可用性進(jìn)行破壞，以獲取利益或炫耀能力。非惡意人員內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)心和不專注，或者沒(méi)有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞；內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊。威脅類別參考：威脅編號(hào)類別威脅項(xiàng)對(duì)應(yīng)的資產(chǎn)類別T001操作性威脅操作失誤應(yīng)用系統(tǒng);系統(tǒng)配置信息;源程序;環(huán)境監(jiān)控設(shè)施;終端設(shè)備;安全設(shè)備;辦公輔助設(shè)備;業(yè)務(wù)信息;管理文檔;實(shí)體信息;主機(jī)設(shè)備;網(wǎng)絡(luò)設(shè)備;存儲(chǔ)設(shè)備;服務(wù)器操作系統(tǒng)T002操作性威脅越權(quán)或?yàn)E用辦公輔助設(shè)備;應(yīng)用系統(tǒng);系統(tǒng)配置信息;環(huán)境監(jiān)控設(shè)施;存儲(chǔ)設(shè)備;存儲(chǔ)介質(zhì);服務(wù)器操作系統(tǒng);業(yè)務(wù)信息;實(shí)體信息;網(wǎng)絡(luò)設(shè)備T003人員危險(xiǎn)黑客入侵或網(wǎng)絡(luò)攻擊應(yīng)用系統(tǒng);網(wǎng)絡(luò)設(shè)備;數(shù)據(jù)庫(kù);工具應(yīng)用軟件;安全設(shè)備T004人員危險(xiǎn)外部人員（外部來(lái)訪、外包、第三方人員等）攻擊終端設(shè)備;傳輸介質(zhì);存儲(chǔ)介質(zhì);服務(wù)器操作系統(tǒng);數(shù)據(jù)庫(kù);應(yīng)用系統(tǒng);開(kāi)發(fā)測(cè)試系統(tǒng);管理文檔;實(shí)體信息;環(huán)境監(jiān)控設(shè)施;主機(jī)設(shè)備;網(wǎng)絡(luò)設(shè)備;安全設(shè)備;存儲(chǔ)設(shè)備;終端操作系統(tǒng);中間件;工具應(yīng)用軟件;業(yè)務(wù)信息;系統(tǒng)配置信息;源程序;硬件保障設(shè)施;建筑環(huán)境設(shè)施T005操作性威脅惡意代碼服務(wù)器操作系統(tǒng);工具應(yīng)用軟件;終端操作系統(tǒng)T006物理環(huán)境火災(zāi)存儲(chǔ)介質(zhì);辦公輔助設(shè)備;硬件保障設(shè)施;建筑環(huán)境設(shè)施;終端設(shè)備;傳輸介質(zhì);存儲(chǔ)設(shè)備;實(shí)體信息;環(huán)境監(jiān)控設(shè)施;介質(zhì)保障設(shè)施;主機(jī)設(shè)備;網(wǎng)絡(luò)設(shè)備;安全設(shè)備T007操作性威脅過(guò)載(overload)或拒絕服務(wù)網(wǎng)絡(luò)設(shè)備;存儲(chǔ)介質(zhì);服務(wù)器操作系統(tǒng);應(yīng)用系統(tǒng);主機(jī)設(shè)備;安全設(shè)備;存儲(chǔ)設(shè)備;數(shù)據(jù)庫(kù)T008組織管理威脅業(yè)務(wù)環(huán)境變化環(huán)境監(jiān)控設(shè)施;終端設(shè)備;傳輸介質(zhì);存儲(chǔ)介質(zhì);辦公輔助設(shè)備;主機(jī)設(shè)備;網(wǎng)絡(luò)設(shè)備;安全設(shè)備;存儲(chǔ)設(shè)備T009組織管理威脅舞弊或抵賴服務(wù)器操作系統(tǒng);業(yè)務(wù)信息;應(yīng)用系統(tǒng);環(huán)境監(jiān)控設(shè)施T010操作性威脅軟硬件故障或失效服務(wù)器操作系統(tǒng);數(shù)據(jù)庫(kù);應(yīng)用系統(tǒng);開(kāi)發(fā)測(cè)試系統(tǒng);主機(jī)設(shè)備;網(wǎng)絡(luò)設(shè)備;安全設(shè)備;存儲(chǔ)設(shè)備;辦公輔助設(shè)備;終端操作系統(tǒng);中間件;工具應(yīng)用軟件;終端設(shè)備;傳輸介質(zhì);存儲(chǔ)介質(zhì)T011信息泄密或損毀盜竊或丟失存儲(chǔ)介質(zhì);環(huán)境監(jiān)控設(shè)施;終端設(shè)備;實(shí)體信息;介質(zhì)保障設(shè)施T012操作性威脅蓄意破壞或篡改存儲(chǔ)介質(zhì);系統(tǒng)配置信息;源程序;硬件保障設(shè)施;建筑環(huán)境設(shè)施;終端設(shè)備;業(yè)務(wù)信息;管理文檔;實(shí)體信息;環(huán)境監(jiān)控設(shè)施;介質(zhì)保障設(shè)施T013人員危險(xiǎn)社會(huì)工程學(xué)或欺騙內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-開(kāi)發(fā)人員;建筑環(huán)境設(shè)施;內(nèi)部人員-支撐人員;內(nèi)部人員-運(yùn)維人員;外部人員T014人員危險(xiǎn)內(nèi)部人員攻擊介質(zhì)保障設(shè)施T015物理環(huán)境自然災(zāi)害（地震、火山、颶風(fēng)、水災(zāi)）介質(zhì)保障設(shè)施;主機(jī)設(shè)備;網(wǎng)絡(luò)設(shè)備;安全設(shè)備;存儲(chǔ)設(shè)備;實(shí)體信息;環(huán)境監(jiān)控設(shè)施;終端設(shè)備;傳輸介質(zhì);存儲(chǔ)介質(zhì);辦公輔助設(shè)備;硬件保障設(shè)施;建筑環(huán)境設(shè)施T016物理環(huán)境滲水介質(zhì)保障設(shè)施;環(huán)境監(jiān)控設(shè)施T017信息泄密或損毀竊聽(tīng)內(nèi)部人員-支撐人員;內(nèi)部人員-運(yùn)維人員;外部人員;內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-開(kāi)發(fā)人員T018物理環(huán)境電磁輻射傳輸介質(zhì);建筑環(huán)境設(shè)施;存儲(chǔ)介質(zhì);介質(zhì)保障設(shè)施T019物理環(huán)境鼠、蟲(chóng)害傳輸介質(zhì);介質(zhì)保障設(shè)施T020物理環(huán)境雷擊或靜電硬件保障設(shè)施;建筑環(huán)境設(shè)施T021物理環(huán)境溫濕度環(huán)境超常介質(zhì)保障設(shè)施;環(huán)境監(jiān)控設(shè)施T022物理環(huán)境灰塵、污染物硬件保障設(shè)施T023物理環(huán)境電源故障（電壓不穩(wěn)、大面積停電等）主機(jī)設(shè)備;安全設(shè)備;辦公輔助設(shè)備;環(huán)境監(jiān)控設(shè)施;網(wǎng)絡(luò)設(shè)備;存儲(chǔ)設(shè)備;硬件保障設(shè)施T024人員危險(xiǎn)員工不可用（疾病、技能不足、人力資源短缺）應(yīng)用系統(tǒng);服務(wù)器操作系統(tǒng);存儲(chǔ)設(shè)備;內(nèi)部人員-支撐人員;內(nèi)部人員-運(yùn)維人員;內(nèi)部人員-中高層領(lǐng)導(dǎo);外部人員;開(kāi)發(fā)測(cè)試系統(tǒng);網(wǎng)絡(luò)設(shè)備;主機(jī)設(shè)備;內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-開(kāi)發(fā)人員T025組織管理威脅無(wú)作為基礎(chǔ)保障服務(wù);應(yīng)用系統(tǒng);內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-開(kāi)發(fā)人員;外部人員;業(yè)務(wù)支持服務(wù);開(kāi)發(fā)測(cè)試系統(tǒng);內(nèi)部人員-支撐人員;內(nèi)部人員-運(yùn)維人員T026信息泄密或損毀泄密內(nèi)部人員-支撐人員;內(nèi)部人員-運(yùn)維人員;外部人員;業(yè)務(wù)支持服務(wù);內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-開(kāi)發(fā)人員;基礎(chǔ)保障服務(wù);內(nèi)部人員-中高層領(lǐng)導(dǎo)T027信息泄密或損毀版權(quán)濫用或使用未授權(quán)軟件服務(wù)器操作系統(tǒng);數(shù)據(jù)庫(kù);應(yīng)用系統(tǒng);開(kāi)發(fā)測(cè)試系統(tǒng);終端操作系統(tǒng);中間件;工具應(yīng)用軟件T028信息泄密或損毀非法數(shù)據(jù)處理應(yīng)用系統(tǒng);開(kāi)發(fā)測(cè)試系統(tǒng)T029物理環(huán)境通訊網(wǎng)絡(luò)故障（如因特網(wǎng)運(yùn)營(yíng)商故障）主機(jī)設(shè)備;存儲(chǔ)設(shè)備;應(yīng)用系統(tǒng);網(wǎng)絡(luò)設(shè)備;服務(wù)器操作系統(tǒng);開(kāi)發(fā)測(cè)試系統(tǒng)T030操作性威脅盜用權(quán)限開(kāi)發(fā)測(cè)試系統(tǒng);應(yīng)用系統(tǒng);服務(wù)器操作系統(tǒng);數(shù)據(jù)庫(kù);硬件保障設(shè)施;網(wǎng)絡(luò)設(shè)備;終端操作系統(tǒng);中間件T031信息泄密或損毀數(shù)據(jù)損毀存儲(chǔ)設(shè)備;業(yè)務(wù)信息;管理文檔;應(yīng)用系統(tǒng);數(shù)據(jù)庫(kù);源程序;存儲(chǔ)介質(zhì);系統(tǒng)配置信息;終端操作系統(tǒng);開(kāi)發(fā)測(cè)試系統(tǒng);中間件T032信息泄密或損毀循環(huán)利用廢棄介質(zhì)存儲(chǔ)介質(zhì);實(shí)體信息T033物理環(huán)境社會(huì)災(zāi)難網(wǎng)絡(luò)設(shè)備;內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-開(kāi)發(fā)人員;主機(jī)設(shè)備;存儲(chǔ)設(shè)備;內(nèi)部人員-支撐人員;內(nèi)部人員-運(yùn)維人員;外部人員T034信息泄密或損毀來(lái)自非信任源的數(shù)據(jù)服務(wù)器操作系統(tǒng);數(shù)據(jù)庫(kù);應(yīng)用系統(tǒng);網(wǎng)絡(luò)設(shè)備;終端操作系統(tǒng);中間件;開(kāi)發(fā)測(cè)試系統(tǒng)脆弱性參考：脆弱項(xiàng)編號(hào)分類脆弱項(xiàng)對(duì)應(yīng)的資產(chǎn)類別V001服務(wù)流程變更管理機(jī)制缺失或不完善中間件;數(shù)據(jù)庫(kù);存儲(chǔ)設(shè)備;服務(wù)器操作系統(tǒng);安全設(shè)備;主機(jī)設(shè)備;網(wǎng)絡(luò)設(shè)備;應(yīng)用系統(tǒng)V003服務(wù)流程安全事件管理機(jī)制缺失或不完善存儲(chǔ)設(shè)備;服務(wù)器操作系統(tǒng);網(wǎng)絡(luò)設(shè)備V004服務(wù)流程沒(méi)有對(duì)主要系統(tǒng)和設(shè)備進(jìn)行處理能力、系統(tǒng)瓶頸、存儲(chǔ)容量及其它資源要求分析安全設(shè)備;主機(jī)設(shè)備;網(wǎng)絡(luò)設(shè)備V005服務(wù)流程對(duì)外包服務(wù)商的風(fēng)險(xiǎn)評(píng)估機(jī)制缺乏或不完善基礎(chǔ)保障服務(wù);業(yè)務(wù)支持服務(wù)V006服務(wù)流程外包服務(wù)水平協(xié)議缺乏或不完善基礎(chǔ)保障服務(wù);業(yè)務(wù)支持服務(wù)V007服務(wù)流程外包服務(wù)水平的考核機(jī)制缺乏或不完善基礎(chǔ)保障服務(wù);業(yè)務(wù)支持服務(wù)V008服務(wù)流程外包服務(wù)資料的安全保障措施缺乏或不完善基礎(chǔ)保障服務(wù);業(yè)務(wù)支持服務(wù);源程序V009服務(wù)流程服務(wù)的業(yè)務(wù)連續(xù)性管理機(jī)制缺乏或不完善基礎(chǔ)保障服務(wù);業(yè)務(wù)支持服務(wù)V010物理環(huán)境物理安全管理機(jī)制缺失或不完善建筑環(huán)境設(shè)施V011物理環(huán)境機(jī)房安全管理機(jī)制缺失或不完善建筑環(huán)境設(shè)施V012物理環(huán)境辦公環(huán)境管理機(jī)制缺失或不完善建筑環(huán)境設(shè)施V013物理環(huán)境建筑物抗震、颶風(fēng)能力不完善建筑環(huán)境設(shè)施V014物理環(huán)境建筑物防雨及排水能力不完善建筑環(huán)境設(shè)施V015物理環(huán)境建筑物選址不當(dāng)建筑環(huán)境設(shè)施V016物理環(huán)境機(jī)房選址不當(dāng)建筑環(huán)境設(shè)施V017物理環(huán)境機(jī)房出入管理機(jī)制缺失或不完善建筑環(huán)境設(shè)施V018物理環(huán)境機(jī)房出入缺乏專人管理建筑環(huán)境設(shè)施V019物理環(huán)境機(jī)房缺乏門禁系統(tǒng)控制建筑環(huán)境設(shè)施V020物理環(huán)境機(jī)房人員出入缺乏記錄建筑環(huán)境設(shè)施V021物理環(huán)境機(jī)房訪問(wèn)審批流程缺乏或不完善外部人員;建筑環(huán)境設(shè)施V022物理環(huán)境外來(lái)人員未采取身份鑒別措施且沒(méi)有與內(nèi)部人員進(jìn)行區(qū)別外部人員;建筑環(huán)境設(shè)施V023物理環(huán)境外來(lái)人員在機(jī)房活動(dòng)無(wú)人員陪同外部人員;建筑環(huán)境設(shè)施V024物理環(huán)境未劃分區(qū)域進(jìn)行管理建筑環(huán)境設(shè)施V025物理環(huán)境不同區(qū)域之間未進(jìn)行物理隔離或隔離不徹底建筑環(huán)境設(shè)施V026物理環(huán)境重要區(qū)域前未設(shè)置交付或安裝等過(guò)渡區(qū)域建筑環(huán)境設(shè)施V027物理環(huán)境重要區(qū)域未設(shè)置門禁系統(tǒng)建筑環(huán)境設(shè)施V028物理環(huán)境重要區(qū)域人員出入記錄缺失內(nèi)部人員-運(yùn)維人員;外部人員;建筑環(huán)境設(shè)施;內(nèi)部人員-開(kāi)發(fā)人員V029物理環(huán)境設(shè)備或主要部件物理防護(hù)缺乏或不完善（未良好固定、機(jī)柜門未關(guān)閉等）硬件保障設(shè)施;安全設(shè)備;主機(jī)設(shè)備;網(wǎng)絡(luò)設(shè)備V030物理環(huán)境設(shè)備或主要部件未設(shè)置明顯的不易除去的標(biāo)記傳輸介質(zhì);存儲(chǔ)設(shè)備;主機(jī)設(shè)備;網(wǎng)絡(luò)設(shè)備V031物理環(huán)境通信線纜保護(hù)措施缺乏或不完善傳輸介質(zhì)V032物理環(huán)境機(jī)房防盜報(bào)警系統(tǒng)缺失或不完善環(huán)境監(jiān)控設(shè)施V033物理環(huán)境機(jī)房監(jiān)控系統(tǒng)缺失或不完善環(huán)境監(jiān)控設(shè)施V034物理環(huán)境監(jiān)控記錄保存時(shí)間過(guò)短環(huán)境監(jiān)控設(shè)施V035物理環(huán)境機(jī)房建筑防避雷裝置缺失或不完善建筑環(huán)境設(shè)施V036物理環(huán)境機(jī)房建筑避雷裝置未進(jìn)行定期檢查和維護(hù)建筑環(huán)境設(shè)施V037物理環(huán)境機(jī)房交流電源的地線鋪設(shè)缺失或不完善建筑環(huán)境設(shè)施V038物理環(huán)境機(jī)房自動(dòng)消防系統(tǒng)缺失或不完善建筑環(huán)境設(shè)施V039物理環(huán)境機(jī)房及相關(guān)的工作房間的建筑材料缺乏耐火能力建筑環(huán)境設(shè)施V040物理環(huán)境機(jī)房區(qū)域隔離防火措施缺失或不完善建筑環(huán)境設(shè)施V041物理環(huán)境機(jī)房屋頂和活動(dòng)地板下有水管穿過(guò)建筑環(huán)境設(shè)施V042物理環(huán)境未采取措施防止雨水通過(guò)機(jī)房窗戶、屋頂和墻壁滲透V043物理環(huán)境機(jī)房水敏感的檢測(cè)儀表或元件缺失或不完善建筑環(huán)境設(shè)施V044物理環(huán)境設(shè)備防靜電措施缺失或不完善硬件保障設(shè)施V045物理環(huán)境機(jī)房未采用防靜電地板建筑環(huán)境設(shè)施V046物理環(huán)境機(jī)房環(huán)境缺乏靜電消除器等裝置硬件保障設(shè)施V047物理環(huán)境機(jī)房空氣凈化設(shè)施缺失或不完善硬件保障設(shè)施V048物理環(huán)境機(jī)房溫、濕度自動(dòng)調(diào)節(jié)設(shè)施缺失或不完善硬件保障設(shè)施V049物理環(huán)境機(jī)房供電線路上電壓防護(hù)設(shè)施缺失或不完善硬件保障設(shè)施V050物理環(huán)境計(jì)算機(jī)系統(tǒng)冗余供電能力缺失硬件保障設(shè)施V051物理環(huán)境備用供電系統(tǒng)缺失或不完善硬件保障設(shè)施V052物理環(huán)境防電磁干擾措施缺失或不完善存儲(chǔ)介質(zhì);介質(zhì)保障設(shè)施V053物理環(huán)境電源線和通信線纜未隔離鋪設(shè)建筑環(huán)境設(shè)施;傳輸介質(zhì)V054物理環(huán)境辦公輔助設(shè)備等缺少安全提示標(biāo)識(shí)辦公輔助設(shè)備V055物理環(huán)境信息的物理防護(hù)措施缺乏或不完善管理文檔;業(yè)務(wù)信息;實(shí)體信息;源程序;系統(tǒng)配置信息V056人員管理關(guān)鍵崗位職責(zé)缺失或不完善內(nèi)部人員-運(yùn)維人員;內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-開(kāi)發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員V057人員管理關(guān)鍵崗位人員缺乏內(nèi)部人員-運(yùn)維人員;內(nèi)部人員-開(kāi)發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員V058人員管理重要或敏感的部門組織沒(méi)有專職安全員內(nèi)部人員-運(yùn)維人員;內(nèi)部人員-開(kāi)發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-支撐人員V059人員管理關(guān)鍵崗位沒(méi)有配備多人共同管理內(nèi)部人員-運(yùn)維人員;內(nèi)部人員-開(kāi)發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員V060人員管理關(guān)鍵崗位沒(méi)有實(shí)行定期輪崗內(nèi)部人員-運(yùn)維人員;內(nèi)部人員-開(kāi)發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員V061人員管理人員錄用管理機(jī)制缺失或不完善內(nèi)部人員-運(yùn)維人員;內(nèi)部人員-開(kāi)發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-支撐人員V062人員管理人員審查或背景調(diào)查記錄缺失或不完善內(nèi)部人員-運(yùn)維人員;內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-開(kāi)發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-支撐人員V063人員管理安全考核機(jī)制缺失或制定后未有效執(zhí)行內(nèi)部人員-運(yùn)維人員;內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-開(kāi)發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-支撐人員V064人員管理崗位安全協(xié)議缺失或不完善內(nèi)部人員-運(yùn)維人員;內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-開(kāi)發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-支撐人員V065人員管理未簽署保密協(xié)議和承諾書(shū)內(nèi)部人員-運(yùn)維人員;內(nèi)部人員-開(kāi)發(fā)人員V066人員管理人員離崗管理機(jī)制缺失或未有效執(zhí)行內(nèi)部人員-運(yùn)維人員;內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-開(kāi)發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-支撐人員V067人員管理安全意識(shí)教育及技能培訓(xùn)計(jì)劃缺失或未有效執(zhí)行內(nèi)部人員-運(yùn)維人員;外部人員;內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-開(kāi)發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-支撐人員V068人員管理信息安全意識(shí)缺乏內(nèi)部人員-運(yùn)維人員;外部人員;內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-開(kāi)發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-支撐人員V069人員管理桌面缺乏清理（資料使用后沒(méi)有及時(shí)鎖進(jìn)柜子、人員離開(kāi)后沒(méi)有及時(shí)鎖屏等）內(nèi)部人員-運(yùn)維人員;外部人員;內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-開(kāi)發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-支撐人員V070人員管理管制區(qū)域出入管理不當(dāng)內(nèi)部人員-運(yùn)維人員;基礎(chǔ)保障服務(wù);外部人員;業(yè)務(wù)支持服務(wù);內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-開(kāi)發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-支撐人員V071人員管理安全責(zé)任和懲戒措施缺失或未有效執(zhí)行內(nèi)部人員-運(yùn)維人員;基礎(chǔ)保障服務(wù);外部人員;業(yè)務(wù)支持服務(wù);內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-開(kāi)發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-支撐人員V072人員管理外部服務(wù)商或人員安全責(zé)任合同書(shū)或保密協(xié)議缺失或沒(méi)有簽訂基礎(chǔ)保障服務(wù);外部人員;業(yè)務(wù)支持服務(wù)V073人員管理外部人員訪問(wèn)管理機(jī)制缺失或不完善基礎(chǔ)保障服務(wù);外部人員;業(yè)務(wù)支持服務(wù)V074人員管理外部人員訪問(wèn)登記記錄缺失或不完善基礎(chǔ)保障服務(wù);外部人員;業(yè)務(wù)支持服務(wù)V075人員管理崗位職責(zé)分離缺失或不完善內(nèi)部人員-運(yùn)維人員;內(nèi)部人員-開(kāi)發(fā)人員V076人員管理人員流動(dòng)頻繁內(nèi)部人員-運(yùn)維人員;外部人員;內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-開(kāi)發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-支撐人員V077人員管理不熟悉業(yè)務(wù)系統(tǒng)內(nèi)部人員-業(yè)務(wù)人員V078人員管理對(duì)公司支撐管理系統(tǒng)不熟悉內(nèi)部人員-支撐人員V079人員管理運(yùn)維人員不熟悉業(yè)務(wù)知識(shí)內(nèi)部人員-運(yùn)維人員V080人員管理IT相關(guān)知識(shí)缺乏內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-支撐人員V081人員管理領(lǐng)導(dǎo)未遵守公司制度規(guī)范內(nèi)部人員-中高層領(lǐng)導(dǎo)V082人員管理領(lǐng)導(dǎo)知識(shí)產(chǎn)權(quán)意識(shí)缺乏內(nèi)部人員-中高層領(lǐng)導(dǎo)V083人員管理領(lǐng)導(dǎo)風(fēng)險(xiǎn)管理意識(shí)缺乏內(nèi)部人員-中高層領(lǐng)導(dǎo)V084人員管理安全開(kāi)發(fā)的意識(shí)和能力缺乏內(nèi)部人員-開(kāi)發(fā)人員V085開(kāi)發(fā)安全軟件開(kāi)發(fā)管理機(jī)制缺失或不完善開(kāi)發(fā)測(cè)試系統(tǒng)V086開(kāi)發(fā)安全代碼編寫安全機(jī)制缺失或不完善開(kāi)發(fā)測(cè)試系統(tǒng)V087開(kāi)發(fā)安全軟件設(shè)計(jì)未引入安全措施開(kāi)發(fā)測(cè)試系統(tǒng)V088開(kāi)發(fā)安全軟件開(kāi)發(fā)測(cè)試機(jī)制缺失或不完善開(kāi)發(fā)測(cè)試系統(tǒng)V089開(kāi)發(fā)安全沒(méi)有在軟件安裝之前檢測(cè)軟件包開(kāi)發(fā)測(cè)試系統(tǒng)V090開(kāi)發(fā)安全沒(méi)有審查軟件中可能存在的后門和隱蔽信道開(kāi)發(fā)測(cè)試系統(tǒng);應(yīng)用系統(tǒng)V091開(kāi)發(fā)安全系統(tǒng)測(cè)試驗(yàn)收管理機(jī)制缺失或不完善開(kāi)發(fā)測(cè)試系統(tǒng)V092開(kāi)發(fā)安全測(cè)試數(shù)據(jù)使用不規(guī)范開(kāi)發(fā)測(cè)試系統(tǒng)V093開(kāi)發(fā)安全沒(méi)有組織相關(guān)部門和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，并簽字確認(rèn)開(kāi)發(fā)測(cè)試系統(tǒng)V094開(kāi)發(fā)安全系統(tǒng)交付清單缺失或不完善開(kāi)發(fā)測(cè)試系統(tǒng)V095開(kāi)發(fā)安全沒(méi)有規(guī)定對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)開(kāi)發(fā)測(cè)試系統(tǒng)V096開(kāi)發(fā)安全沒(méi)有規(guī)定提供系統(tǒng)建設(shè)過(guò)程中的文檔以及指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔開(kāi)發(fā)測(cè)試系統(tǒng)V097開(kāi)發(fā)安全沒(méi)有明確系統(tǒng)交付的責(zé)任部門開(kāi)發(fā)測(cè)試系統(tǒng);應(yīng)用系統(tǒng)V098開(kāi)發(fā)安全沒(méi)有與服務(wù)商簽訂與安全相關(guān)的協(xié)議主機(jī)設(shè)備;應(yīng)用系統(tǒng)V099開(kāi)發(fā)安全通信過(guò)程中缺乏對(duì)數(shù)據(jù)完整性的保證應(yīng)用系統(tǒng)V100開(kāi)發(fā)安全未采用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證應(yīng)用系統(tǒng)V101開(kāi)發(fā)安全未對(duì)通信過(guò)程中的整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密應(yīng)用系統(tǒng)V102開(kāi)發(fā)安全系統(tǒng)軟件容錯(cuò)功能缺失或不完善應(yīng)用系統(tǒng)V103開(kāi)發(fā)安全軟件故障發(fā)生時(shí)不能夠記錄當(dāng)前狀態(tài)應(yīng)用系統(tǒng)V104開(kāi)發(fā)安全軟件缺乏遇故障自動(dòng)重啟恢復(fù)的功能應(yīng)用系統(tǒng)V105開(kāi)發(fā)安全當(dāng)用戶長(zhǎng)時(shí)間無(wú)操作和響應(yīng)時(shí)，系統(tǒng)不能自動(dòng)結(jié)束會(huì)話應(yīng)用系統(tǒng)V106開(kāi)發(fā)安全系統(tǒng)不能限制最大會(huì)話連接數(shù)應(yīng)用系統(tǒng)V107開(kāi)發(fā)安全系統(tǒng)不能對(duì)一個(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制應(yīng)用系統(tǒng)V108開(kāi)發(fā)安全系統(tǒng)不能對(duì)一個(gè)訪問(wèn)帳戶或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限額應(yīng)用系統(tǒng)V109開(kāi)發(fā)安全系統(tǒng)缺乏對(duì)性能的檢測(cè)和報(bào)警功能服務(wù)器操作系統(tǒng)V110開(kāi)發(fā)安全系統(tǒng)缺乏對(duì)服務(wù)優(yōu)先級(jí)設(shè)定功能應(yīng)用系統(tǒng)V111數(shù)據(jù)備份備份管理機(jī)制缺失或不完善存儲(chǔ)介質(zhì);存儲(chǔ)設(shè)備;終端設(shè)備V112數(shù)據(jù)備份備份恢復(fù)機(jī)制缺失或不完善管理文檔;業(yè)務(wù)信息;終端設(shè)備V113數(shù)據(jù)備份版本管理機(jī)制缺乏或不完善管理文檔;存儲(chǔ)介質(zhì);業(yè)務(wù)信息;存儲(chǔ)設(shè)備;源程序;系統(tǒng)配置信息V114數(shù)據(jù)備份信息的物理存儲(chǔ)設(shè)施缺乏防護(hù)存儲(chǔ)介質(zhì);管理文檔;業(yè)務(wù)信息;實(shí)體信息;介質(zhì)保障設(shè)施;源程序;系統(tǒng)配置信息V115數(shù)據(jù)備份信息的處理機(jī)制缺乏或不完善存儲(chǔ)介質(zhì);管理文檔;業(yè)務(wù)信息;實(shí)體信息;源程序;系統(tǒng)配置信息V116數(shù)據(jù)備份備份設(shè)備操作流程機(jī)制缺失或不完善中間件;數(shù)據(jù)庫(kù);存儲(chǔ)設(shè)備;應(yīng)用系統(tǒng)V117數(shù)據(jù)備份介質(zhì)標(biāo)識(shí)分類不合理或缺失存儲(chǔ)介質(zhì)V118數(shù)據(jù)備份介質(zhì)未存儲(chǔ)在介質(zhì)庫(kù)或檔案室存儲(chǔ)介質(zhì);介質(zhì)保障設(shè)施V119數(shù)據(jù)備份介質(zhì)安全管理機(jī)制缺失或不完善存儲(chǔ)介質(zhì)V120數(shù)據(jù)備份備份的數(shù)據(jù)未進(jìn)行驗(yàn)證管理文檔;業(yè)務(wù)信息;中間件;數(shù)據(jù)庫(kù);源程序;應(yīng)用系統(tǒng);系統(tǒng)配置信息V121數(shù)據(jù)備份數(shù)據(jù)的保護(hù)設(shè)施缺乏或不完善業(yè)務(wù)信息;系統(tǒng)配置信息V122數(shù)據(jù)備份存儲(chǔ)的數(shù)據(jù)未進(jìn)行加密管理文檔;業(yè)務(wù)信息;數(shù)據(jù)庫(kù);應(yīng)用系統(tǒng);終端設(shè)備;系統(tǒng)配置信息V123數(shù)據(jù)備份未使用專用的通信協(xié)議或通道進(jìn)行數(shù)據(jù)通信中間件;數(shù)據(jù)庫(kù);應(yīng)用系統(tǒng)V124數(shù)據(jù)備份備份介質(zhì)未進(jìn)行異地存儲(chǔ)存儲(chǔ)介質(zhì)V125應(yīng)急災(zāi)備備份存儲(chǔ)能力不足存儲(chǔ)設(shè)備V128應(yīng)急災(zāi)備應(yīng)急響應(yīng)機(jī)制缺失或不完善存儲(chǔ)設(shè)備;主機(jī)設(shè)備;服務(wù)器操作系統(tǒng);網(wǎng)絡(luò)設(shè)備;應(yīng)用系統(tǒng)V129應(yīng)急災(zāi)備災(zāi)難恢復(fù)計(jì)劃缺失或不完善存儲(chǔ)設(shè)備;主機(jī)設(shè)備;網(wǎng)絡(luò)設(shè)備;應(yīng)用系統(tǒng)V130訪問(wèn)控制缺乏身份標(biāo)識(shí)和鑒別機(jī)制硬件保障設(shè)施;數(shù)據(jù)庫(kù);服務(wù)器操作系統(tǒng);應(yīng)用系統(tǒng)V131訪問(wèn)控制賬號(hào)或口令過(guò)于簡(jiǎn)單數(shù)據(jù)庫(kù);服務(wù)器操作系統(tǒng);網(wǎng)絡(luò)設(shè)備;應(yīng)用系統(tǒng)V132訪問(wèn)控制未限制登錄失敗次數(shù)、連接超時(shí)等登錄安全控制措施硬件保障設(shè)施;數(shù)據(jù)庫(kù);服務(wù)器操作系統(tǒng);應(yīng)用系統(tǒng)V133訪問(wèn)控制遠(yuǎn)程管理未采取安全的連接數(shù)據(jù)庫(kù);網(wǎng)絡(luò)設(shè)備;應(yīng)用系統(tǒng)V135訪問(wèn)控制訪問(wèn)權(quán)限未符合權(quán)限分離、最小權(quán)限等原則硬件保障設(shè)施;數(shù)據(jù)庫(kù);服務(wù)器操作系統(tǒng);應(yīng)用系統(tǒng)V136訪問(wèn)控制特權(quán)用戶權(quán)限未分離數(shù)據(jù)庫(kù);服務(wù)器操作系統(tǒng)V137訪問(wèn)控制未修改、刪除默認(rèn)帳戶及其口令數(shù)據(jù)庫(kù);服務(wù)器操作系統(tǒng);網(wǎng)絡(luò)設(shè)備;應(yīng)用系統(tǒng)V138訪問(wèn)控制未及時(shí)或定期清理無(wú)效帳戶硬件保障設(shè)施;數(shù)據(jù)庫(kù);服務(wù)器操作系統(tǒng);應(yīng)用系統(tǒng)V139訪問(wèn)控制存在賬號(hào)共享數(shù)據(jù)庫(kù);服務(wù)器操作系統(tǒng)V140訪問(wèn)控制身份鑒別時(shí)傳輸通道不安全數(shù)據(jù)庫(kù);應(yīng)用系統(tǒng)V141訪問(wèn)控制用戶登錄的鑒別信息在使用后未被徹底清除數(shù)據(jù)庫(kù);服務(wù)器操作系統(tǒng)V142訪問(wèn)控制密碼管理機(jī)制缺失或不完善應(yīng)用系統(tǒng);終端設(shè)備V143訪問(wèn)控制源代碼訪問(wèn)控制措施缺乏源程序V144通信操作網(wǎng)絡(luò)邊界不能對(duì)惡意代碼進(jìn)行檢測(cè)和清除安全設(shè)備V145通信操作未對(duì)惡意代碼庫(kù)進(jìn)行升級(jí)，檢測(cè)系統(tǒng)（IDS/IPS、安全網(wǎng)關(guān)等）未進(jìn)行未更新V146通信操作系統(tǒng)設(shè)備加固方案缺失或不完善服務(wù)器操作系統(tǒng);網(wǎng)絡(luò)設(shè)備V147通信操作系統(tǒng)操作手冊(cè)缺失或不完善應(yīng)用系統(tǒng)V148通信操作沒(méi)有生成系統(tǒng)審計(jì)日志服務(wù)器操作系統(tǒng);應(yīng)用系統(tǒng)V149通信操作惡意代碼防范管理機(jī)制缺失或不完善服務(wù)器操作系統(tǒng);終端設(shè)備V150通信操作用戶敏感信息在使用后未被清除開(kāi)發(fā)測(cè)試系統(tǒng);應(yīng)用系統(tǒng)V151通信操作未部署入侵檢測(cè)設(shè)備網(wǎng)絡(luò)設(shè)備;應(yīng)用系統(tǒng)V152通信操作未對(duì)重要的信息進(jìn)行完整性檢測(cè)應(yīng)用系統(tǒng)V153通信操作系統(tǒng)安裝或開(kāi)啟不需要的服務(wù)組件和應(yīng)用程序數(shù)據(jù)庫(kù);服務(wù)器操作系統(tǒng)V154通信操作未及時(shí)更新軟件工具應(yīng)用軟件;中間件;數(shù)據(jù)庫(kù);終端操作系統(tǒng);開(kāi)發(fā)測(cè)試系統(tǒng);服務(wù)器操作系統(tǒng);應(yīng)用系統(tǒng)V155通信操作未安裝惡意代碼防護(hù)軟件服務(wù)器操作系統(tǒng);終端設(shè)備V156通信操作未限制終端設(shè)備登錄服務(wù)器數(shù)據(jù)庫(kù);服務(wù)器操作系統(tǒng);終端設(shè)備V157通信操作未設(shè)置登錄終端超時(shí)鎖定數(shù)據(jù)庫(kù);服務(wù)器操作系統(tǒng);終端設(shè)備V158通信操作未定期對(duì)網(wǎng)絡(luò)進(jìn)行安全檢測(cè)網(wǎng)絡(luò)設(shè)備V159通信操作業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間缺失安全的訪問(wèn)路徑應(yīng)用系統(tǒng)V160通信操作未繪制網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖或拓?fù)浣Y(jié)構(gòu)圖與實(shí)際情況不符網(wǎng)絡(luò)設(shè)備V161通信操作網(wǎng)絡(luò)區(qū)域未劃分或不合理網(wǎng)絡(luò)設(shè)備V162通信操作重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處網(wǎng)絡(luò)設(shè)備V163通信操作重要網(wǎng)段與其他網(wǎng)段之間缺失隔離措施網(wǎng)絡(luò)設(shè)備V164通信操作網(wǎng)絡(luò)邊界未部署訪問(wèn)控制設(shè)備或未啟用訪問(wèn)控制功能網(wǎng)絡(luò)設(shè)備V165通信操作未禁止遠(yuǎn)程撥號(hào)訪問(wèn)功能主機(jī)設(shè)備V166監(jiān)控審計(jì)安全監(jiān)控管理缺失或不完善基礎(chǔ)保障服務(wù);業(yè)務(wù)支持服務(wù);數(shù)據(jù)庫(kù);存儲(chǔ)設(shè)備;服務(wù)器操作系統(tǒng);安全設(shè)備;網(wǎng)絡(luò)設(shè)備;應(yīng)用系統(tǒng)V167監(jiān)控審計(jì)重要系統(tǒng)和設(shè)備未開(kāi)啟日志功能數(shù)據(jù)庫(kù);服務(wù)器操作系統(tǒng);安全設(shè)備;主機(jī)設(shè)備;應(yīng)用系統(tǒng)V168監(jiān)控審計(jì)無(wú)法對(duì)私自聯(lián)網(wǎng)用戶的行為進(jìn)行監(jiān)控、定位和阻斷安全設(shè)備V169監(jiān)控審計(jì)不能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為（端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等）安全設(shè)備V171監(jiān)控審計(jì)系統(tǒng)軟件缺失審計(jì)功能應(yīng)用系統(tǒng)V172開(kāi)發(fā)安全沒(méi)有禁止使用未授權(quán)軟件，未授權(quán)軟件中可能綁有后門、木馬、病毒；工具應(yīng)用軟件;終端設(shè)備威脅賦值表：等級(jí)標(biāo)識(shí)定義5很高出現(xiàn)的頻率很高（或≥1次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實(shí)經(jīng)常發(fā)生過(guò)；4高出現(xiàn)的頻率較高（或≥1次/月）；或在大多數(shù)情況下很有可能會(huì)發(fā)生；或可以證實(shí)多次發(fā)生過(guò)3中出現(xiàn)的頻率中等(或>1次/半年)；或在某種情況下可能會(huì)發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過(guò)2低出現(xiàn)的頻率較小；或一般不太可能發(fā)生；或沒(méi)有被證實(shí)發(fā)生過(guò)1很低威脅幾乎不可能發(fā)生；僅可能在非常罕見(jiàn)和例外的情況下發(fā)生脆弱性賦值表：等級(jí)標(biāo)識(shí)定義5很高如果被威脅利用，將對(duì)資產(chǎn)造成完全損害，其功能/作用完全喪失4高如果被威脅利用，將對(duì)資產(chǎn)造成重大損害，致使其損失主要功能/作用3中如果被威脅利用，將對(duì)資產(chǎn)造成一般損害，致使其損失次要功能/作用2低如果被威脅利用，將對(duì)資產(chǎn)造成較小損害，致使其損失小的功能/作用1很低如果被威脅利用，將對(duì)資產(chǎn)造成的損害可以忽略，幾乎沒(méi)有功能/作用損失通過(guò)計(jì)算資產(chǎn)的CIA（BI）、主要威脅和脆弱等相關(guān)賦值得出風(fēng)險(xiǎn)的等級(jí)。風(fēng)險(xiǎn)計(jì)算：風(fēng)險(xiǎn)值=A*T*V其中：T：威脅發(fā)生頻率V：脆弱性嚴(yán)重程度A：資產(chǎn)價(jià)值風(fēng)險(xiǎn)等級(jí)標(biāo)準(zhǔn)參考風(fēng)險(xiǎn)等級(jí)等級(jí)描述上限下限高風(fēng)險(xiǎn)必須處理：風(fēng)險(xiǎn)值在該區(qū)間內(nèi)的風(fēng)險(xiǎn)，必須采取控制措施處理該風(fēng)險(xiǎn)。12576中風(fēng)險(xiǎn)待定：風(fēng)險(xiǎn)值在該區(qū)間內(nèi)的風(fēng)險(xiǎn)，由相關(guān)部門討論待定，管理層審批需要處理的風(fēng)險(xiǎn)。7527低風(fēng)險(xiǎn)暫不需處理：風(fēng)險(xiǎn)值在該區(qū)間內(nèi)的風(fēng)險(xiǎn)，由于發(fā)生的可能性很低，或發(fā)生后對(duì)業(yè)務(wù)的影響較低，因此可選擇暫不進(jìn)行處理261確定了風(fēng)險(xiǎn)接受的準(zhǔn)則：公司可接受發(fā)生后使系統(tǒng)受到的破壞程度和利益損失較小或可忽略不計(jì)的風(fēng)險(xiǎn)（風(fēng)險(xiǎn)等級(jí)≤低）。選擇風(fēng)險(xiǎn)處置方式依據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，對(duì)風(fēng)險(xiǎn)采取了以下管控措施：風(fēng)險(xiǎn)接受、風(fēng)險(xiǎn)降低、風(fēng)險(xiǎn)轉(zhuǎn)移和風(fēng)險(xiǎn)規(guī)避。風(fēng)險(xiǎn)接受：接受特定風(fēng)險(xiǎn)帶來(lái)的損失或收益。風(fēng)險(xiǎn)降低：采取行動(dòng)降低風(fēng)險(xiǎn)發(fā)生的可能性或減輕負(fù)面后果，或同時(shí)降低風(fēng)險(xiǎn)發(fā)生的可能性和減輕負(fù)面后果。制定風(fēng)險(xiǎn)處置計(jì)劃并執(zhí)行相應(yīng)的整改措施。內(nèi)容包括：管理措施（流程、方針、規(guī)定）；技術(shù)設(shè)置（參數(shù)、功能設(shè)置）；技術(shù)產(chǎn)品（安全設(shè)備、軟件）；計(jì)劃完成日期；完成日期；責(zé)任部門；措施落實(shí)狀況；整改后風(fēng)險(xiǎn)評(píng)估等。風(fēng)險(xiǎn)轉(zhuǎn)移：與其它組織分擔(dān)風(fēng)險(xiǎn)的損失或收益。風(fēng)險(xiǎn)規(guī)避：決定不陷入風(fēng)險(xiǎn)，或從風(fēng)險(xiǎn)處境中撤離的行為。殘余風(fēng)險(xiǎn)接受信息安全管理領(lǐng)導(dǎo)小組作為公司信息安全最高管理機(jī)構(gòu)批準(zhǔn)接受殘余風(fēng)險(xiǎn)，形成《殘余風(fēng)險(xiǎn)批示報(bào)告》文件。風(fēng)險(xiǎn)評(píng)估描述風(fēng)險(xiǎn)評(píng)估前準(zhǔn)備信息安全管理領(lǐng)導(dǎo)小組：負(fù)責(zé)組織各部門參加風(fēng)險(xiǎn)評(píng)估的人員進(jìn)行資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估方法的培訓(xùn)。信息安全管理領(lǐng)導(dǎo)小組：向各部門發(fā)放《信息安全風(fēng)險(xiǎn)評(píng)估表》。同時(shí)提出進(jìn)行資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估的要求。確定重要業(yè)務(wù)過(guò)程和活動(dòng)各部門確定本部門所有業(yè)務(wù)相關(guān)重要過(guò)程和活動(dòng)，識(shí)別、確定各業(yè)務(wù)過(guò)程及跨部門業(yè)務(wù)過(guò)程中的各個(gè)角色及其職責(zé)。業(yè)務(wù)相關(guān)重要過(guò)程和活動(dòng)包括：部門的主要業(yè)務(wù)過(guò)程；一旦喪失或降格將導(dǎo)致不能執(zhí)行組織使命的過(guò)程；保密處理或?qū)Ｓ屑夹g(shù)的過(guò)程；如果被修改，可能對(duì)公司產(chǎn)生極大影響的過(guò)程。信息資產(chǎn)的識(shí)別各評(píng)估人員根據(jù)部門所有業(yè)務(wù)相關(guān)重要過(guò)程和活動(dòng)，參考《信息安全風(fēng)險(xiǎn)評(píng)估表》中的《資產(chǎn)類別庫(kù)》識(shí)別本部門信息資產(chǎn)，根據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估表》中的《賦值說(shuō)明》填寫《資產(chǎn)清單》，經(jīng)部門負(fù)責(zé)人審核后提交信息安全管理領(lǐng)導(dǎo)小組審核匯總，確保沒(méi)有遺漏信息資產(chǎn)并存檔。信息資產(chǎn)包括九類見(jiàn)下表：資產(chǎn)大類資產(chǎn)小類描述硬件主機(jī)設(shè)備大型機(jī)、小型機(jī)、PC服務(wù)器等終端設(shè)備臺(tái)式機(jī)、KVM、筆記本、移動(dòng)終端等網(wǎng)絡(luò)設(shè)備路由器、交換機(jī)、HUB、負(fù)載均衡設(shè)備等傳輸介質(zhì)光纖、雙絞線、同軸電纜、衛(wèi)星線路等安全設(shè)備防火墻、防毒墻、安全網(wǎng)關(guān)、入侵檢測(cè)設(shè)備、掃描設(shè)備、加密機(jī)、VPN、網(wǎng)閘、堡壘主機(jī)等存儲(chǔ)介質(zhì)磁帶、光盤、U盤、移動(dòng)硬盤等存儲(chǔ)設(shè)備磁盤陣列、磁帶庫(kù)、NAS/SAN/存儲(chǔ)設(shè)備等辦公輔助設(shè)備傳真機(jī)、碎紙機(jī)、打印機(jī)、掃描儀、復(fù)印機(jī)、刻錄機(jī)、照相機(jī)等軟件源程序源代碼、軟件安裝包、License等服務(wù)器操作系統(tǒng)WindowsServer、Linux、Unix、AIX、Solaris等，虛擬化系統(tǒng)（Hyper、ESX/ESXi、XenServer等）終端操作系統(tǒng)WindowsXP/7、MaciOS等數(shù)據(jù)庫(kù)Oracle、DB2、Sqlserver、Mysql等中間件Websphere、Weblogic、應(yīng)用服務(wù)器、消息中間件、對(duì)象中間件等工具應(yīng)用軟件office、通訊軟件、媒體編輯軟件、軟件開(kāi)發(fā)工具、測(cè)試工具、版本控制軟件、設(shè)計(jì)建模工具，終端殺毒軟件、防篡改、終端管理系統(tǒng)客戶端等應(yīng)用系統(tǒng)OA系統(tǒng)、郵件系統(tǒng)、業(yè)務(wù)處理系統(tǒng)、ERP、交易系統(tǒng)、門戶網(wǎng)站、終端管理系統(tǒng)、文檔加密系統(tǒng)、視頻監(jiān)控管理系統(tǒng)、IT服務(wù)管理系統(tǒng)、IT資源監(jiān)控管理系統(tǒng)等開(kāi)發(fā)測(cè)試系統(tǒng)正在測(cè)試且未上線或部分上線的系統(tǒng)以及正在開(kāi)發(fā)的系統(tǒng)數(shù)據(jù)業(yè)務(wù)信息財(cái)務(wù)/人力信息、合同信息、項(xiàng)目信息、采購(gòu)信息、客戶信息、市場(chǎng)資料、業(yè)務(wù)數(shù)據(jù)、交易數(shù)據(jù)等系統(tǒng)配置信息配置、日志、帳戶權(quán)限口令信息、軟證書(shū)等文檔管理文檔管理制度文檔、運(yùn)維資料、培訓(xùn)資料、收發(fā)文、工作報(bào)告、軟件開(kāi)發(fā)文檔、法律法規(guī)等實(shí)體信息印章、證照、硬證書(shū)/令牌、其它實(shí)體信息等人員內(nèi)部人員-中高層領(lǐng)導(dǎo)公司董事會(huì)層面相關(guān)成員或者大部門領(lǐng)