信息資產(chǎn)風(fēng)險評估報告

【最新資料,Word版，可自由編輯！】文檔信息*行動類別：批準(zhǔn)、復(fù)審、通知、存檔、需要采取行動、參加會議、其他（請指明）版本歷史版本版本日期 修改人說明號draf2008/07/文檔創(chuàng)建t01V1.2008/07/修訂003V1.2008/07/修訂307版本版本日期 修改人號說明產(chǎn)權(quán)說明本文檔中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬XX有限公司咨詢事業(yè)部和XX有限公司所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個人、機(jī)構(gòu)未經(jīng)XX有限公司咨詢事業(yè)部和XX有限公司的書面授權(quán)許可，不得復(fù)制或引用本文檔的任何片斷，無論通過電子形式或非電子形式。目錄文檔說明4文檔結(jié)構(gòu)4適用范圍413定義、縮略語、縮寫5定義5縮略語5TOC\o"1-5"\h\z信息資產(chǎn)風(fēng)險評估方法、范圍與過程 6風(fēng)險評估方法6風(fēng)險評估范圍6風(fēng)險評估過程7信息資產(chǎn)風(fēng)險評估綜述 8XX信息資產(chǎn)組識別與登記9XX風(fēng)險評估結(jié)果綜述19主要信息資產(chǎn)風(fēng)險和處置措施建議 20各部門信息資產(chǎn)風(fēng)險評估結(jié)果28TOC\o"1-5"\h\z信息技術(shù)部風(fēng)險評估結(jié)果 28風(fēng)險評估結(jié)果統(tǒng)計 29主要風(fēng)險列表 29文檔說明信息資產(chǎn)風(fēng)險評估是XX信息安全咨詢項目的第二階段的主要工作，xx有限公司和XX公司信息安全咨詢項目相關(guān)人員通過信息資產(chǎn)分類分組、信息資產(chǎn)登記、信息資產(chǎn)組威脅和脆弱性識別、風(fēng)險分析和風(fēng)險評價等過程，進(jìn)行了詳細(xì)的信息資產(chǎn)安全風(fēng)險評估，評估范圍為總部17個部門、山東分公司和廣東分公司。本文檔是信息安全風(fēng)險評估階段的交付物，目的是描述XX的信息資產(chǎn)中存在的風(fēng)險，并提出了改善建議，為下一階段具體風(fēng)險處置措施的實施打好基礎(chǔ)。文檔結(jié)構(gòu)第1章文檔說明對本文檔的目的，結(jié)構(gòu)，適用范圍，術(shù)語等進(jìn)行了定義和說明。第2章信息安全風(fēng)險評估過程描述XX信息資產(chǎn)風(fēng)險評估的內(nèi)容與步驟。第3章信息資產(chǎn)風(fēng)險評估結(jié)果綜述對XX信息資產(chǎn)風(fēng)險評估的結(jié)果進(jìn)行分析，對重要風(fēng)險提出處置建議。第4章各部門信息資產(chǎn)風(fēng)險評估結(jié)果說明XX總部各部門和山東、廣東兩個分公司的重要風(fēng)險評估結(jié)果。適用范圍本文檔為內(nèi)部文檔，適用于XX的信息安全工作相關(guān)部門的管理層以及信息安全工作人員：總部業(yè)務(wù)部門車險部、水險部、非水險部、再保部、戰(zhàn)略管理部、產(chǎn)品精算部、綜合開拓部、客戶服務(wù)部、銷售管理部、深圳聯(lián)系中心總部IT部門信息技術(shù)部總部支撐部門計劃財務(wù)部、投資部、人力資源部、審計部、辦公室、黨委辦公室分公司廣東分公司、山東分公司

定義、縮略語、縮寫定義名詞定義風(fēng)險管理Riskmanagement風(fēng)險管理是以可接受成本識別、評估、控制、降低可能影響信息系統(tǒng)風(fēng)險的過程，通過風(fēng)險評估識別風(fēng)險，通過制定信息安全方針，米取適當(dāng)?shù)目刂颇繕?biāo)與控制方式對風(fēng)險進(jìn)行控制，使風(fēng)險被避免、轉(zhuǎn)移或降低到一個可以被接受的水平，同時考慮控制費用與風(fēng)險之間的平衡；風(fēng)險管理包括風(fēng)險評估和風(fēng)險處置兩部分.資產(chǎn)Asset即信息資產(chǎn)，對組織具有價值的信息或資源，是安全策略保護(hù)的對象。資產(chǎn)組Assetgroup又稱資產(chǎn)組合，是指具有相同或相近的業(yè)務(wù)功能的資產(chǎn)組合，如由硬件、軟件、配置信息等組成的應(yīng)用系統(tǒng)資產(chǎn)組，由電子文件、紙質(zhì)文檔組成的信息資產(chǎn)組。資產(chǎn)價值A(chǔ)ssetvalue資產(chǎn)的重要程度或敏感程度的表征。資產(chǎn)價值是資產(chǎn)的屬性，也是進(jìn)行資產(chǎn)識別的主要內(nèi)容。機(jī)密性Confidentiality數(shù)據(jù)所具有的特性，即表示數(shù)據(jù)所達(dá)到的未提供或未泄露給未授權(quán)的個人、過程或其他實體的程度。完整性Integrity保證信息及信息系統(tǒng)不會被非授權(quán)更改或破壞的特性。包括數(shù)據(jù)完整性和系統(tǒng)完整性?？捎眯訟vailability數(shù)據(jù)或資源的特性，被授權(quán)實體按要求能訪問和使用數(shù)據(jù)或資源。殘余風(fēng)險Residualrisk米取了安全措施后，仍然可能存在的風(fēng)險。威脅Threat可能導(dǎo)致對系統(tǒng)或組織造成危害的、不希望發(fā)生的事故的潛在原因。脆弱性Vulnerability是指可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的弱點，又稱弱點。和資產(chǎn)本身的特別和性能有關(guān)。資產(chǎn)組AssetTeam是具有相同或相近的業(yè)務(wù)功能的資產(chǎn)的組合?？s略語

XXXX有限公司XXXX有限公司風(fēng)險評估信息資產(chǎn)風(fēng)險評估信息技術(shù)部XX信息技術(shù)部信息資產(chǎn)風(fēng)險評估方法、范圍與過程風(fēng)險評估方法根據(jù)ISMS項目組為XX所設(shè)計的風(fēng)險評估方法，并結(jié)合風(fēng)險評估量化參數(shù)標(biāo)準(zhǔn)，實施了詳細(xì)了風(fēng)險評估，具體方法請參見文檔：1） 《XX信息資產(chǎn)風(fēng)險評估方法》2） 《XX信息資產(chǎn)風(fēng)險評估量化參數(shù)標(biāo)準(zhǔn)》風(fēng)險評估范圍本次信息資產(chǎn)風(fēng)險評估是由各部門在XX顧問指導(dǎo)下進(jìn)行的自評估，風(fēng)險評估組織由項目組成員和各部門的信息安全管理員和業(yè)務(wù)骨干組成。參與本次風(fēng)險評估工作的各部門（分公司）和人員如下：序號部門人員123456789101112131415

16171819參與本次風(fēng)險評估工作的項目組成員如下序號公司人員1XX2XX風(fēng)險評估過程完整的風(fēng)險管理過程包括風(fēng)險評估和風(fēng)險處置兩個主要部分，在xx信息資產(chǎn)風(fēng)險評估過程中我們完成了風(fēng)險評估所涵蓋的以下過程：信息資產(chǎn)識別、分組；資產(chǎn)和資產(chǎn)資產(chǎn)組賦值；風(fēng)險識別與分析；風(fēng)險評估；確定風(fēng)險可接受標(biāo)準(zhǔn)；風(fēng)險控制控制措施建議；鑒于完整的風(fēng)險管理過程考慮，建議XX在本項目的后續(xù)階段和信息安全管理體系的試運(yùn)行和正式運(yùn)行階段完成風(fēng)險控制措施的實施、控制措施的有效性測量，并建議在信息安全管理體系試運(yùn)行結(jié)束后進(jìn)行一次風(fēng)險評估更新，詳見下表：序號風(fēng)險管理過程過程內(nèi)容說明1信息資產(chǎn)識別、分組與登記根據(jù)資產(chǎn)分類表，對評估范圍內(nèi)的資產(chǎn)進(jìn)行識別、分組和登記；信息資產(chǎn)分組一般分為系統(tǒng)、信息、人員、環(huán)境設(shè)施、外購服務(wù)和無形資產(chǎn)6種。在風(fēng)險評估階段已完成2資產(chǎn)和資產(chǎn)組賦值從保密性、完整性和可用性三個方面對信息資產(chǎn)進(jìn)行賦值。根據(jù)組內(nèi)資產(chǎn)價值的最高值確定整個資產(chǎn)組的價值。在風(fēng)險評估階段已完成

3風(fēng)險識別與分析識別并登記與資產(chǎn)組相關(guān)的主要威脅、脆弱性和現(xiàn)有控制措施。在風(fēng)險評估階段已完成4風(fēng)險評價根據(jù)預(yù)先定義的賦值標(biāo)準(zhǔn)，對風(fēng)險發(fā)生可能性和風(fēng)險影響賦值，并通過資產(chǎn)組價值、風(fēng)險發(fā)生可能性和風(fēng)險影響計算出風(fēng)險值在風(fēng)險評估階段已完成5確定風(fēng)險可接受標(biāo)準(zhǔn)根據(jù)風(fēng)險計算結(jié)果，確定風(fēng)險級級別，確定企業(yè)可接受的風(fēng)險值。一般來說，風(fēng)險可接受標(biāo)準(zhǔn)為中、低風(fēng)險的分界線。在風(fēng)險評估階段已完成6風(fēng)險控制措施的選擇和實施對于超過風(fēng)險可接受標(biāo)準(zhǔn)的風(fēng)險，企業(yè)要選擇和實施管理或技術(shù)控制措施，以減少或降低風(fēng)險發(fā)生的可能性或影響程度。選擇風(fēng)險控制措施要考慮預(yù)估的殘余風(fēng)險值。在風(fēng)險評估階段已完成控制措施的選擇。實施工作建議在項目的后續(xù)階段和體系試運(yùn)行中進(jìn)行。7控制措施有效性測量制訂或利用一定的測量方法，對米取的全部或部分控制措施進(jìn)行測量，以判斷控制措施的有效性，并無效或效果不明顯的進(jìn)行整改。建議在體系試運(yùn)行階段進(jìn)行。控制措施有效性測量方式將在策略的編寫階段完成。8風(fēng)險評估更新根據(jù)風(fēng)險評估周期，周期性進(jìn)行風(fēng)險評估與處置建議在體系試運(yùn)行結(jié)束后進(jìn)行。9殘余風(fēng)險的處置對于風(fēng)險評估更新后，對于仍超過可接受標(biāo)準(zhǔn)的風(fēng)險可以采取新的控制措施，也可以接受風(fēng)險。建議在風(fēng)險評估更新后進(jìn)行。信息資產(chǎn)風(fēng)險評估綜述根據(jù)項目實施計劃，在各部門的大力配合下，自 2008年5月中到6月底，ISMS項目組完成了對XX總部17個部門和2個分公司信息資產(chǎn)的識別、分類分組、登記和風(fēng)險評估工作，并確定的XX風(fēng)險可接受標(biāo)準(zhǔn)，對于超過風(fēng)險可接受標(biāo)準(zhǔn)的風(fēng)險，提出了控制措施建議。確定風(fēng)險數(shù)值的大小不是本次風(fēng)險評估的最終目的，重要的是明確不同威脅對資產(chǎn)所產(chǎn)生的風(fēng)險高低，要確定不同風(fēng)險處置的優(yōu)先次序，對于風(fēng)險級別高的信息資產(chǎn)應(yīng)被優(yōu)先分配資源進(jìn)行保護(hù)，優(yōu)先進(jìn)行解決。各部門反映出的中高風(fēng)險并不僅僅是該部門存在的風(fēng)險，有些是XX公司層面普遍存在的問題和風(fēng)險?，F(xiàn)將本次風(fēng)險評估的總體情況報告如下：XX信息資產(chǎn)組識別與登記根據(jù)對XX信息資產(chǎn)的識別與登記的統(tǒng)計結(jié)果，XX總部和山東、廣東兩個分公司共有系統(tǒng)資產(chǎn)組、信息資產(chǎn)組、環(huán)境設(shè)施資產(chǎn)組、外購服務(wù)資產(chǎn)組、人員資產(chǎn)組和無形資產(chǎn)組等6大類217個資產(chǎn)組。具體名稱與分布如下：總部/分公司資產(chǎn)組類別資產(chǎn)組類別資產(chǎn)組數(shù)量XX總部系統(tǒng)資產(chǎn)組33139:信息資產(chǎn)組92:環(huán)境設(shè)施資產(chǎn)組1外購服務(wù)資產(chǎn)組8人員資產(chǎn)組4:無形資產(chǎn)1廣分系統(tǒng)資產(chǎn)組241］信息資產(chǎn)組31環(huán)境設(shè)施資產(chǎn)組1外購服務(wù)資產(chǎn)組2人員資產(chǎn)組4無形資產(chǎn)1山分:系統(tǒng)資產(chǎn)組242信息資產(chǎn)組31環(huán)境設(shè)施資產(chǎn)組1外購服務(wù)資產(chǎn)組2人員資產(chǎn)組4無形資產(chǎn)1

合計221XX總部系統(tǒng)資產(chǎn)組名稱:資產(chǎn)組編號XX總部系統(tǒng)資產(chǎn)組名稱部門資產(chǎn)組價值1業(yè)務(wù)系統(tǒng)資產(chǎn)組信息技術(shù)部52財務(wù)系統(tǒng)資產(chǎn)組信息技術(shù)部53車險理賠系統(tǒng)資產(chǎn)組信息技術(shù)部54再保系統(tǒng)資產(chǎn)組信息技術(shù)部55開發(fā)測試資產(chǎn)組信息技術(shù)部46銀保通資產(chǎn)組信息技術(shù)部47反洗錢系統(tǒng)資產(chǎn)組信息技術(shù)部38E-Cargo系統(tǒng)資產(chǎn)組信息技術(shù)部39人力資源培訓(xùn)系統(tǒng)資產(chǎn)組信息技術(shù)部310資金管理系統(tǒng)資產(chǎn)組信息技術(shù)部511OA資產(chǎn)組信息技術(shù)部512網(wǎng)站系統(tǒng)資產(chǎn)組信息技術(shù)部413電銷資產(chǎn)組（待建）信息技術(shù)部5

14協(xié)作服務(wù)資產(chǎn)組信息技術(shù)部315CC域控資產(chǎn)組信息技術(shù)部516CC域成員服務(wù)器資產(chǎn)組信息技術(shù)部417數(shù)據(jù)倉庫資產(chǎn)組（待建）信息技術(shù)部518總公司域控資產(chǎn)組信息技術(shù)部519總公司域成員服務(wù)器資產(chǎn)組信息技術(shù)部420分公司域控資產(chǎn)組信息技術(shù)部521分公司域成員服務(wù)器資產(chǎn)組信息技術(shù)部422總公司辦公資產(chǎn)組信息技術(shù)部323安全資產(chǎn)組信息技術(shù)部524中心機(jī)房資產(chǎn)組信息技術(shù)部425辦公機(jī)房資產(chǎn)組信息技術(shù)部326備份與存儲資產(chǎn)組信息技術(shù)部527DMZ基礎(chǔ)服務(wù)資產(chǎn)組信息技術(shù)部528視頻資產(chǎn)組信息技術(shù)部329網(wǎng)絡(luò)管理資產(chǎn)組信息技術(shù)4

部30中心機(jī)房網(wǎng)絡(luò)設(shè)備資產(chǎn)組信息技術(shù)部531深圳呼叫中心網(wǎng)絡(luò)設(shè)備資產(chǎn)組信息技術(shù)部532分公司網(wǎng)絡(luò)設(shè)備資產(chǎn)組信息技術(shù)部433支公司網(wǎng)絡(luò)設(shè)備資產(chǎn)組信息技術(shù)部3小計33XX總部信息類資產(chǎn)組名稱如下:資產(chǎn)組編號XX總部信息類資產(chǎn)組名稱部門資產(chǎn)組價值1印章車險部42保險法律法規(guī)和監(jiān)管部門通知發(fā)文車險部2.73公司保險政策車險部54公司保險制度車險部3.75現(xiàn)有險種信息車險部3.76新險種信息車險部47大項目信息車險部58承保理賠和相關(guān)業(yè)務(wù)數(shù)據(jù)（車險）車險部59般業(yè)務(wù)信息（車險）車險部3.710印章非水險部411保險法律法規(guī)和監(jiān)管部門通知發(fā)文非水險部2.712公司保險政策非水險部513公司保險制度非水險部3.614現(xiàn)有險種信息非水險部3.715新險種信息非水險部416大項目信息非水險部5

16承保理賠和相關(guān)業(yè)務(wù)數(shù)據(jù)信息（非水險）非水險部518一般業(yè)務(wù)信息（非水險）非水險部3.719印章水險部420保險法律法規(guī)和監(jiān)管部門通知發(fā)文水險部2.721公司保險政策水險部522公司保險制度水險部3.723現(xiàn)有險種信息水險部3.724新險種信息水險部425大項目信息水險部526承保理賠和相關(guān)業(yè)務(wù)數(shù)據(jù)信息（水險）水險部527一般業(yè)務(wù)信息（水險）水險部3.728印章再保部429保險法律法規(guī)和監(jiān)管部門通知發(fā)文再保部2.730公司保險政策制度再保部3.731數(shù)據(jù)庫數(shù)據(jù)和下載到個人電腦上的數(shù)據(jù)庫數(shù)據(jù)（再保）再保部532再保其它核心數(shù)據(jù)和相關(guān)文件再保部533再保一般數(shù)據(jù)和相關(guān)文件再保部334保險法律法規(guī)、監(jiān)管部門通知發(fā)文和內(nèi)部規(guī)章制度（深圳聯(lián)系中心）深圳聯(lián)系中心2.735客戶報案和相關(guān)信息深圳聯(lián)系中心536其它日常業(yè)務(wù)和工作信息深圳聯(lián)系中心337公司證照辦公室4.638印章辦公室539內(nèi)部規(guī)章制度辦公室2.740重要文件報告和會議紀(jì)要辦公室541采購信息和合同辦公室3.742收發(fā)文辦公室5

43宣傳材料和印刷品辦公室3.544其它工作信息辦公室345印章黨委446會議準(zhǔn)備材料和會議紀(jì)要黨委447印章審計部448內(nèi)部規(guī)章制度審計部2.749稽核方案報告和底稿審計部450電子證書計劃財務(wù)部551重要口令信息計劃財務(wù)部552法律法規(guī)和公司內(nèi)部規(guī)章制度（計劃財務(wù)部）計劃財務(wù)部2.753大項目信息計劃財務(wù)部554數(shù)據(jù)庫數(shù)據(jù)（財務(wù)/資金/銀保通）計劃財務(wù)部555預(yù)算信息計劃財務(wù)部556應(yīng)用系統(tǒng)管理資料計劃財務(wù)部357財務(wù)報告報表計劃財務(wù)部4.458財務(wù)憑證計劃財務(wù)部459內(nèi)部規(guī)章制度（綜合開拓部）綜合開拓部2.760大項目信息綜合開拓部561其它綜合開拓相關(guān)信息綜合開拓部3.762內(nèi)部規(guī)章制度（客戶服務(wù)部）客戶服務(wù)部2.763客戶服務(wù)相關(guān)信息客戶服務(wù)部564印章/證件/考勤卡人力資源部465內(nèi)部規(guī)章制度（人力資源）人力資源部2.766人力資源數(shù)據(jù)庫數(shù)據(jù)人力資源部467員工基本信息和合同人力資源部4.768人員招聘與人力發(fā)展規(guī)劃人力資源部469培訓(xùn)相關(guān)信息人力資源部370績效考核信息人力資源部471薪酬福利信息人力資源部4

72考勤信息人力資源部3.773其它人力資源信息人力資源部374黨建信息人力資源部3.775印章銷售管理部476內(nèi)部規(guī)章制度（銷售管理部）銷售管理部2.777銷售管理信息銷售管理部378印章投資部4.779內(nèi)部規(guī)章制度（投資部）投資部2.780投資資料投資部4.481保險法律法規(guī)和內(nèi)部規(guī)章制度（戰(zhàn)略發(fā)展部）戰(zhàn)略發(fā)展部2.782戰(zhàn)略規(guī)劃信息戰(zhàn)略發(fā)展部583合規(guī)性管理資料戰(zhàn)略發(fā)展部3.484清算信息產(chǎn)品精算部585內(nèi)部規(guī)早制度（信息技術(shù)部）信息技術(shù)部2.786收發(fā)文信息技術(shù)部4.487源代碼和安裝包信息技術(shù)部588軟件開發(fā)文檔信息技術(shù)部489IT運(yùn)維資料（運(yùn)維室）信息技術(shù)部4.490大項目信息信息技術(shù)部3.791IT規(guī)劃與預(yù)算等信息信息技術(shù)部492備份存儲數(shù)據(jù)信息技術(shù)部5小計92XX總部其它資產(chǎn)組:資產(chǎn)組編號XX總部其它資產(chǎn)組名稱部門資產(chǎn)組價值1總部辦公職場環(huán)境設(shè)施辦公室52外購的重要服務(wù)（辦公室）辦公室4.43外購的重要服務(wù)（信息技術(shù)部）信息技術(shù)部4.4

4外購的重要服務(wù)（產(chǎn)品精算部）信息技術(shù)部4.45外購的重要服務(wù)（車險部）車險部4.46外購的重要服務(wù)（水險部）水險部4.47外購的重要服務(wù)（非水險部）非水險部4.48外購的重要服務(wù)（綜合開拓部）綜合開拓部4.49外購的一般性服務(wù)辦公室1.910內(nèi)部人員-公司領(lǐng)導(dǎo)人員人力資源部511內(nèi)部人員-關(guān)鍵崗位人員人力資源部512其他內(nèi)部人員人力資源部4.413外部人員人力資源部4.414無形資產(chǎn)辦公室4.4小計14廣東分公司資產(chǎn)組名稱如下:資產(chǎn)組編號廣分資產(chǎn)組名稱部門資產(chǎn)組價值1廣分總部辦公設(shè)備資產(chǎn)組綜合管理部42廣分機(jī)房環(huán)境設(shè)施資產(chǎn)組綜合管理部4.43公司證照綜合管理部4.64印章綜合管理部4.55員工基本信息和合同綜合管理部4.76人員招聘與人力發(fā)展規(guī)劃綜合管理部47培訓(xùn)相關(guān)信息綜合管理部38績效考核信息綜合管理部49:薪酬福利信息綜合管理部410考勤信息綜合管理部3.711IT運(yùn)維資料綜合管理部4.412重要文件報告和會議紀(jì)要綜合管理部513采購信息和合同綜合管理部3.714:收發(fā)文綜合管理部5

15宣傳材料和印刷品綜合管理部3.516其它綜合管理信息綜合管理部■317保險法律法規(guī)和保險監(jiān)管部門通知發(fā)文業(yè)務(wù)部門2.718公司保險政策業(yè)務(wù)部門519公司保險制度業(yè)務(wù)部門3.620現(xiàn)有險種信息業(yè)務(wù)部門3.721新險種信息業(yè)務(wù)部門422承保理賠和相關(guān)業(yè)務(wù)數(shù)據(jù)業(yè)務(wù)部門523其它數(shù)據(jù)庫數(shù)據(jù)業(yè)務(wù)部門524客戶投保索賠資料和保險單證業(yè)務(wù)部門3.725其它承保信息業(yè)務(wù)部門326銷售管理報告報表業(yè)務(wù)部門527大項目信息業(yè)務(wù)部門528其它綜合開拓相關(guān)信息業(yè)務(wù)部門3.729電子證書計財部530重要財務(wù)口令信息計財部531預(yù)算信息計財部532f財務(wù)報告報表計財部4.433財務(wù)憑證計財部434內(nèi)部人員-廣分領(lǐng)導(dǎo)人員綜合管理部535內(nèi)部人員-廣分關(guān)鍵崗位綜合管理部536內(nèi)部人員-廣分其他人員綜合管理部4.437外部人員-廣分綜合管理部4.438外購的重要服務(wù)綜合管理部4.439外購的一般性服務(wù)綜合管理部1.940無形資產(chǎn)綜合管理部4.441:職場環(huán)境設(shè)施資產(chǎn)組綜合管理部5小計41山東分公司資產(chǎn)組名稱如下:

資產(chǎn)組編號山分資產(chǎn)組名稱部門資產(chǎn)組價值1綜合管理部42綜合管理部4.43公司證照綜合管理部4.64印章綜合管理部4.55員工基本信息和合同綜合管理部4.76人員招聘與人力發(fā)展規(guī)劃綜合管理部47培訓(xùn)相關(guān)信息綜合管理部38績效考核信息綜合管理部49薪酬福利信息綜合管理部410考勤信息綜合管理部3.711IT運(yùn)維資料（運(yùn)維室）綜合管理部4.412重要文件報告和會議紀(jì)要綜合管理部513采購信息和合同綜合管理部3.714，收發(fā)文綜合管理部515宣傳材料和印刷品綜合管理部3.516其它綜合管理信息綜合管理部317［呆險法律法規(guī)和保險監(jiān)管部門通知發(fā)文業(yè)務(wù)部門2.718公司保險政策業(yè)務(wù)部門519公司保險制度業(yè)務(wù)部門3.620現(xiàn)有險種信息業(yè)務(wù)部門3.721新險種信息業(yè)務(wù)部門422承保理賠和相關(guān)業(yè)務(wù)數(shù)據(jù)業(yè)務(wù)部門523其它數(shù)據(jù)庫數(shù)據(jù)業(yè)務(wù)部門524客戶投保索賠資料和保險單證業(yè)務(wù)部門3.725其它承保信息業(yè)務(wù)部門326銷售管理報告報表業(yè)務(wù)部門527大項目信息業(yè)務(wù)部門528其它綜合開拓相關(guān)信息業(yè)務(wù)部門3.7

29電子證書計財部530重要財務(wù)口令信息計財部531預(yù)算信息計財部532財務(wù)報告報表計財部4.433財務(wù)憑證計財部434內(nèi)部人員-山分公司領(lǐng)導(dǎo)綜合管理部535內(nèi)部人員-山分關(guān)鍵崗位綜合管理部536內(nèi)部人員-山分其他人員綜合管理部4.437外部人員-山分綜合管理部4.438外購的重要服務(wù)綜合管理部4.439外購的一般性服務(wù)綜合管理部1.940無形資產(chǎn)綜合管理部4.441職場環(huán)境設(shè)施資產(chǎn)組綜合管理部5小計41各部門的信息資產(chǎn)識別與登記的情況詳見各部門的《信息資產(chǎn)登記表》XX風(fēng)險評估結(jié)果綜述對本次XX信息資產(chǎn)風(fēng)險評估結(jié)果進(jìn)行統(tǒng)計，統(tǒng)計結(jié)果顯示：高風(fēng)險有 164項，中風(fēng)險有309項，低風(fēng)險有444項，共有風(fēng)險917項。圖5XX信息資產(chǎn)風(fēng)險分布圖太平保險信息資產(chǎn)風(fēng)險評估統(tǒng)計低風(fēng)險(<16),444,48%

低風(fēng)險(<16),444,48%表2XX各部門風(fēng)險統(tǒng)計表序號部門咼風(fēng)險(>=32)中風(fēng)險16-32)低風(fēng)險(0-16)總計1信息技術(shù)部80793219127112431012294911285512236271072033548279919101018163711358121781312517114010101566121674111733618621041881962104188合計164309444917各部門的具體風(fēng)險評估情況詳見各部門的《信息資產(chǎn)風(fēng)險管理表》。主要信息資產(chǎn)風(fēng)險和處置措施建議在此風(fēng)險評估報告中，我們將XX的系統(tǒng)、信息、人員、環(huán)境設(shè)施、外購服務(wù)、無形資產(chǎn)等6大類信息資產(chǎn)所面臨的主要風(fēng)險和建議的處置措施列表如下：

系統(tǒng)資產(chǎn)組主要風(fēng)險和處置措施建議:序號責(zé)任部門資產(chǎn)組風(fēng)險風(fēng)險值風(fēng)險等級處置建議1信息技術(shù)部業(yè)務(wù)系統(tǒng)資產(chǎn)組/財務(wù)系/統(tǒng)資產(chǎn)組因HA備份主機(jī)能力不足，用于HA熱備的1個CPU無法承擔(dān)生產(chǎn)用的15個CPU的負(fù)荷”，當(dāng)發(fā)生“服務(wù)器發(fā)生硬件故障或多個cpu故障時，導(dǎo)致“業(yè)務(wù)系統(tǒng)受影響或中斷”80高增加冗余或負(fù)載均衡主機(jī)，集中為業(yè)務(wù)系統(tǒng)、財務(wù)系統(tǒng)、再保系統(tǒng)做HA2信息技術(shù)部業(yè)務(wù)系統(tǒng)資產(chǎn)組/財務(wù)系統(tǒng)資產(chǎn)組因“業(yè)務(wù)系統(tǒng)用戶訪問權(quán)限不夠細(xì)化（尤其是報表查詢權(quán)限），權(quán)限審核制度不完善，審核周期較長，實際使用的權(quán)限與角色應(yīng)具有的權(quán)限不符”，當(dāng)發(fā)生“帳戶的越權(quán)使用、混用”時，導(dǎo)致“信息泄密”75高細(xì)化業(yè)務(wù)系統(tǒng)用戶權(quán)限設(shè)置，提高系統(tǒng)權(quán)限評審的效率3信息技術(shù)部業(yè)務(wù)系統(tǒng)資產(chǎn)組/財務(wù)系統(tǒng)資產(chǎn)組/車險理賠系統(tǒng)資產(chǎn)組/再保系統(tǒng)資產(chǎn)組因“系統(tǒng)用戶弱口令，對帳戶制度缺乏有效執(zhí)行”，當(dāng)“業(yè)務(wù)賬戶被非法獲取和使用”時，導(dǎo)致“業(yè)務(wù)系統(tǒng)數(shù)據(jù)被非授權(quán)訪問、泄漏和篡改”75高技術(shù)上加強(qiáng)口令密碼策略；完善帳號、口令制度，加強(qiáng)制度的執(zhí)行；規(guī)定禁止帳號混用，或通過系統(tǒng)限制相同帳號的登錄

4信息技術(shù)部業(yè)務(wù)系統(tǒng)資產(chǎn)組/財務(wù)系統(tǒng)資產(chǎn)組/車險理賠系統(tǒng)資產(chǎn)組因“互聯(lián)網(wǎng)訪問業(yè)務(wù)系統(tǒng)存在單因素認(rèn)證”，當(dāng)“業(yè)務(wù)系統(tǒng)口令策略沒有有效執(zhí)行時”時，導(dǎo)致“系統(tǒng)數(shù)據(jù)被惡意人員從互聯(lián)網(wǎng)非授權(quán)訪問、泄漏和篡改”75高加強(qiáng)業(yè)務(wù)系統(tǒng)用戶強(qiáng)口令的要求，清理系統(tǒng)中的弱口令帳號；增加其他的身份驗證方式5信息技術(shù)部開發(fā)測試資產(chǎn)組因“測試環(huán)境與生產(chǎn)環(huán)境有一疋區(qū)別，操作系統(tǒng)、應(yīng)用系統(tǒng)上線或升級時測試不夠充分，上線后還會出現(xiàn)Bug”，當(dāng)發(fā)生“生產(chǎn)系統(tǒng)軟件變更”時，導(dǎo)致“系統(tǒng)宕機(jī)或用戶體驗變差”64高建立與生產(chǎn)環(huán)境相一致的測試環(huán)境，保證系統(tǒng)測試的準(zhǔn)確和有效6信息技術(shù)部安全資產(chǎn)組因“SSLVPN存在軟件Bug;VPN服務(wù)商服務(wù)能力有缺陷”，導(dǎo)致“SSLVPN經(jīng)常需要重啟，工作不穩(wěn)定，且無法快速恢復(fù)”64高協(xié)調(diào)廠商修改bug7信息技術(shù)部網(wǎng)絡(luò)管理資產(chǎn)組因“ACS數(shù)據(jù)庫備份到本地，無法做到遠(yuǎn)程人工備份或自動備份”，當(dāng)發(fā)生“硬件、操作系統(tǒng)故障”時，導(dǎo)致“數(shù)據(jù)庫內(nèi)數(shù)據(jù)丟失，恢復(fù)困難，網(wǎng)絡(luò)設(shè)備無法遠(yuǎn)程登錄”64高將ACS數(shù)據(jù)庫數(shù)據(jù)備份到專用的存儲設(shè)備上8信息技術(shù)部業(yè)務(wù)系統(tǒng)資產(chǎn)組/財務(wù)系統(tǒng)資產(chǎn)組/因“生產(chǎn)系統(tǒng)、數(shù)據(jù)庫的部分開發(fā)、測試和生產(chǎn)環(huán)境未完全分開”，當(dāng)發(fā)生“誤操作”時，導(dǎo)致“生60高將開發(fā)、測試、生產(chǎn)系統(tǒng)分開

車險理賠系統(tǒng)資產(chǎn)組產(chǎn)系統(tǒng)受影響”9信息技術(shù)部業(yè)務(wù)系統(tǒng)資產(chǎn)組/財務(wù)系統(tǒng)資產(chǎn)組/車險理賠系統(tǒng)資產(chǎn)組/再保系統(tǒng)資產(chǎn)組因“操作人員可直接修改數(shù)據(jù)庫”，當(dāng)發(fā)生“誤操作”時，導(dǎo)致“修改了數(shù)據(jù)庫中不該被修改數(shù)據(jù)”60高加強(qiáng)審計和記錄，使用工具記錄操作數(shù)據(jù)庫的修改語句10信息技術(shù)部業(yè)務(wù)系統(tǒng)資產(chǎn)組/財務(wù)系統(tǒng)資產(chǎn)組/車險理賠系統(tǒng)資產(chǎn)組/再保系統(tǒng)資產(chǎn)組因“缺少業(yè)務(wù)系統(tǒng)和關(guān)鍵Windows服務(wù)器用于補(bǔ)丁測試的測試機(jī)”，當(dāng)發(fā)生“沒有嚴(yán)格測試后就更新系統(tǒng)補(bǔ)丁”時，導(dǎo)致“生產(chǎn)系統(tǒng)和重要Windows服務(wù)器服務(wù)中斷”60高建立專用的windows系統(tǒng)補(bǔ)丁測試服務(wù)器11信息技術(shù)部車險理賠系統(tǒng)資產(chǎn)組因“作為重要業(yè)務(wù)系統(tǒng)，車險理賠系統(tǒng)與其他域成員服務(wù)器使用同樣的組策略和補(bǔ)丁更新策略”，當(dāng)”對生產(chǎn)系統(tǒng)和普通系統(tǒng)執(zhí)行同樣的策略”時，導(dǎo)致“強(qiáng)制執(zhí)行了不合適的策略或者強(qiáng)制安裝了沒有經(jīng)過測試的補(bǔ)丁，操作系統(tǒng)、應(yīng)用工作不穩(wěn)定或宕機(jī)”60高詳細(xì)規(guī)劃組策略的制定，根據(jù)不同安全級別要求的設(shè)備和系統(tǒng)組制定不同的組策略

12信息技術(shù)部開發(fā)測試資產(chǎn)組因“開發(fā)、運(yùn)維人員沒有完全分開”，導(dǎo)致“不符合規(guī)范的管理方式”60高逐步完善管理規(guī)范，并加強(qiáng)在人員混用過程中的行為操作審計工作13信息技術(shù)部DMZ區(qū)基礎(chǔ)服務(wù)資產(chǎn)組/網(wǎng)站系統(tǒng)資產(chǎn)組因“缺少DMZ區(qū)互聯(lián)網(wǎng)服務(wù)（如DNS、業(yè)務(wù)代理服務(wù)器）的應(yīng)急響應(yīng)計戈，當(dāng)發(fā)生“黑客攻擊”時，導(dǎo)致“服務(wù)中斷或網(wǎng)站不同程度地被控制”60高建立網(wǎng)站和互聯(lián)網(wǎng)服務(wù)的應(yīng)急響應(yīng)計劃14信息技術(shù)部DMZ區(qū)基礎(chǔ)服務(wù)資產(chǎn)組因“業(yè)務(wù)代理服務(wù)器無HA”，當(dāng)發(fā)生“硬件、軟件故障”時，導(dǎo)致“通過代理服務(wù)器的互聯(lián)網(wǎng)業(yè)務(wù)受影響”60高增加HA服務(wù)器15信息技術(shù)部總部、分公司、CC、分公司域控資產(chǎn)組（含資產(chǎn)組15、18、26）因“域內(nèi)服務(wù)器缺乏有效的管理和監(jiān)控工具”，導(dǎo)致管理員負(fù)擔(dān)過重，無法有效識別、解決域服務(wù)器的問題”60高采用自動化監(jiān)控工具，針對服務(wù)器性能、網(wǎng)絡(luò)狀態(tài)進(jìn)行監(jiān)控人員資產(chǎn)組主要風(fēng)險和處置措施建議:序號責(zé)任部門信息資產(chǎn)組風(fēng)險風(fēng)險值風(fēng)險等級處置建議1管理層/人力資源部內(nèi)部人員-公司領(lǐng)導(dǎo)成員因“對薪資不滿意/個人價值不能很好體現(xiàn)/工作業(yè)績不佳”，當(dāng)“人員離職”發(fā)生時，離職人員帶走業(yè)務(wù)團(tuán)隊，導(dǎo)40高接受？

致公司業(yè)務(wù)受到較大沖擊2管理層/人力資源部內(nèi)部人員-公司領(lǐng)導(dǎo)成員因“思維模式/性格缺陷”，當(dāng)“決策失誤”發(fā)生時，會導(dǎo)致公司業(yè)務(wù)受到較大沖擊30中接受？3管理層/人力資源部內(nèi)部人員-公司領(lǐng)導(dǎo)成員因“非IT專業(yè)或無相關(guān)工作經(jīng)歷”，當(dāng)“未接受完善的IT培訓(xùn)”發(fā)生時，會對本公司IT資源了解不足20中建立針對公司不同層次人員的完善的培訓(xùn)機(jī)制4管理層/人力資源部內(nèi)部人員-公司領(lǐng)導(dǎo)成員因“人類軀體結(jié)構(gòu)對抗外來撞擊能力很差”，當(dāng)“交通事故/空難”發(fā)生時，會對本公司經(jīng)營運(yùn)作造成影響20中領(lǐng)導(dǎo)層成員外出時盡可能不搭乘同一架/輛交通工具環(huán)境設(shè)施資產(chǎn)組主要風(fēng)險和處置措施建議:序號責(zé)任部門信息資產(chǎn)組風(fēng)險風(fēng)險值風(fēng)險等級處置建議1辦公室總部辦公職場環(huán)境設(shè)施資產(chǎn)組因“領(lǐng)導(dǎo)離開辦公室，未上鎖”，當(dāng)發(fā)生“人員故意或非故意行為”時，造成信息丟失或泄30中領(lǐng)導(dǎo)人員離開辦公室要及時鎖門/鎖屏或辦公桌面不要擺放重要

密的資料2辦公室/安全檢杳小組總部辦公職場環(huán)境設(shè)施資產(chǎn)組因“員工辦公桌面擺放在重要資料”，當(dāng)發(fā)生“人員故意或非故意行為時，造成信息丟失或泄密20中及時進(jìn)行桌面清理/鎖屏，安全小組定期檢查3辦公室總部辦公職場環(huán)境設(shè)施資產(chǎn)組因“職場門禁在關(guān)門時有延遲”，當(dāng)發(fā)生“外來人員尾隨進(jìn)入職場”時，對職場內(nèi)人員、設(shè)備和資料造成安全風(fēng)險20中通過安全意識培訓(xùn)，明確內(nèi)部人員進(jìn)入職場時，拒絕不認(rèn)識人員尾隨4辦公室總部辦公職場環(huán)境設(shè)施資產(chǎn)組因“職場耐火燒性很差”，當(dāng)“火災(zāi)”發(fā)生時，人員、設(shè)備、設(shè)施、資料會受到不同程度的破壞25中定期進(jìn)行消防演練5辦公室總部辦公職場環(huán)境設(shè)施資產(chǎn)組因“消防設(shè)置超過有效期未及時發(fā)現(xiàn)”，當(dāng)“火災(zāi)”發(fā)生時，人員、設(shè)備、設(shè)施、資料會受到不同程度的破壞25中定期進(jìn)行消防演練外購服務(wù)資產(chǎn)組主要風(fēng)險和處置措施建議:序號責(zé)任部門信息資產(chǎn)組風(fēng)險風(fēng)險值風(fēng)險等級處置建議1辦公室外購的重要服務(wù)（辦公室）因“對供應(yīng)商評選或監(jiān)控工作做的不足”，當(dāng)“外包商公司管理混亂/外包人員職業(yè)道德問題”發(fā)生時，會導(dǎo)致信息丟失或泄密35中加強(qiáng)對快遞/物流供應(yīng)商的評選和監(jiān)控工作

2辦公室外購的重要服務(wù)（辦公室）因“與宣傳產(chǎn)品印刷供應(yīng)商間在資料交接上缺乏控制（如登記簽收）”，當(dāng)“供應(yīng)商保管不善/版本管理混亂”發(fā)生時，會導(dǎo)致印刷錯誤或延期交貨18中與印刷供應(yīng)商間傳遞資料要進(jìn)行登記3信息技術(shù)部外購的重要服務(wù)（信息技術(shù)部）因“對涉及機(jī)密信息的服務(wù)外包未進(jìn)行風(fēng)險評估”，當(dāng)“對于可能涉及公司機(jī)密信息的服務(wù)進(jìn)行外包發(fā)生時，會導(dǎo)致信息丟失或泄密26中由辦公室牽頭，對所有外包的服務(wù)進(jìn)行評估，對于涉及公司機(jī)密的服務(wù)不要外包4信息技術(shù)部外購的重要服務(wù)（信息技術(shù)部）因“公司未自備發(fā)電機(jī)”，當(dāng)“電力設(shè)備故障或損壞，包括備用供電線路”發(fā)生時，會造成職場電力供應(yīng)中斷22中接受？5信息技術(shù)部外購的重要服務(wù)（信息技術(shù)部）因“空調(diào)老化”，當(dāng)“監(jiān)控管理不到位”發(fā)生時，會造成機(jī)房或職場溫度驟然升高，甚至影響業(yè)務(wù)運(yùn)行22中設(shè)定設(shè)備壽命周期，對于超過壽命周期的設(shè)備及時進(jìn)行報廢；在日常運(yùn)維中明確監(jiān)控責(zé)任人和監(jiān)控頻率6信息技術(shù)部

無形資產(chǎn)組主要風(fēng)險和處置措施建議:序號責(zé)任部門信息資產(chǎn)組風(fēng)險風(fēng)險值風(fēng)險等級處置建議1管理層/辦公室無形資產(chǎn)組因“企業(yè)內(nèi)部管理制度僵化”，當(dāng)“員工缺乏對企業(yè)的歸屬感”發(fā)生時，會導(dǎo)致企業(yè)文化問題22中逐步完善各項內(nèi)部管理制度，尤其是與員工利益相關(guān)的制度（考勤、福利等）2管理層/審計部無形資產(chǎn)組因“在業(yè)務(wù)運(yùn)作上違規(guī)操作”，當(dāng)“內(nèi)部人員/中介人員惡意行為，或遭到監(jiān)控部門處罰”發(fā)生時，會導(dǎo)致企業(yè)經(jīng)損失、企業(yè)形象或聲譽(yù)受損44高審計部加大業(yè)務(wù)審計深度3管理層/信息技術(shù)部無形資產(chǎn)組因“缺乏定期的安全評估與加固”，當(dāng)“網(wǎng)站被黑或重要系統(tǒng)遭到攻擊”發(fā)生時，會導(dǎo)致企業(yè)形象或聲譽(yù)受損22中定期的安全評估與加固4管理層/各業(yè)務(wù)部門無形資產(chǎn)組因“重大業(yè)務(wù)危機(jī)處理預(yù)案未進(jìn)行充分演練”，當(dāng)“危機(jī)處理能力較差”發(fā)生時，會導(dǎo)致企業(yè)形象或聲譽(yù)受損22中重大業(yè)務(wù)危機(jī)處理預(yù)案演練各部門信息資產(chǎn)風(fēng)險評估結(jié)果信息技術(shù)部風(fēng)險評估結(jié)果

風(fēng)險評估結(jié)果統(tǒng)計主要風(fēng)險列表序號資產(chǎn)組風(fēng)險風(fēng)險值風(fēng)險等級處置建議1業(yè)務(wù)系統(tǒng)資產(chǎn)組/財務(wù)系統(tǒng)資產(chǎn)組因“HA備份主機(jī)能力不足，用于HA熱備的1個CPU無法承擔(dān)牛產(chǎn)用的15個CPU的負(fù)荷”，當(dāng)發(fā)生“服務(wù)器發(fā)生硬件故障或多個cpu故障時，導(dǎo)致“業(yè)務(wù)系統(tǒng)受影響或中斷”80高增加冗余或負(fù)載均衡主機(jī)，集中為業(yè)務(wù)系統(tǒng)、財務(wù)系統(tǒng)、再保系統(tǒng)做HA2業(yè)務(wù)系統(tǒng)資產(chǎn)組/財務(wù)系統(tǒng)資產(chǎn)組因“業(yè)務(wù)系統(tǒng)用戶訪問權(quán)限不夠細(xì)化（尤其是報表查詢權(quán)限），權(quán)限審核制度不完善，審核周期較長，實際使用的權(quán)限與角色應(yīng)具有的權(quán)限不符”，當(dāng)發(fā)生“帳戶的越權(quán)使用、混用”時，導(dǎo)致“信息泄密”75高細(xì)化業(yè)務(wù)系統(tǒng)用戶權(quán)限設(shè)置，提高系統(tǒng)權(quán)限評審的效率3業(yè)務(wù)系統(tǒng)資產(chǎn)組/財因“系統(tǒng)用戶弱口令，對帳戶制度缺乏有效執(zhí)行”，當(dāng)“業(yè)75高技術(shù)上加強(qiáng)口令密碼策略；完善

務(wù)系統(tǒng)資產(chǎn)組/車險理賠系統(tǒng)資產(chǎn)組/再保系統(tǒng)資產(chǎn)組務(wù)賬戶被非法獲取和使用”時，導(dǎo)致“業(yè)務(wù)系統(tǒng)數(shù)據(jù)被非授權(quán)訪問、泄漏和篡改”帳號、口令制度，加強(qiáng)制度的執(zhí)行；規(guī)定禁止帳號混用，或通過系統(tǒng)限制相同帳號的登錄4業(yè)務(wù)系統(tǒng)資產(chǎn)組/財務(wù)系統(tǒng)資產(chǎn)組/車險理賠系統(tǒng)資產(chǎn)組因“互聯(lián)網(wǎng)訪問業(yè)務(wù)系統(tǒng)存在單因素認(rèn)證”，當(dāng)“業(yè)務(wù)系統(tǒng)口令策略沒有有效執(zhí)行時”時，導(dǎo)致“系統(tǒng)數(shù)據(jù)被惡意人員從互聯(lián)網(wǎng)非授權(quán)訪問、泄漏和篡改”75高加強(qiáng)業(yè)務(wù)系統(tǒng)用戶強(qiáng)口令的要求，清理系統(tǒng)中的弱口令帳號；增加其他的身份驗證方式5開發(fā)測試資產(chǎn)組因“測試環(huán)境與生產(chǎn)環(huán)境有一定區(qū)別，操作系統(tǒng)、應(yīng)用系統(tǒng)上線或升級時測試不夠充分，上線后還會出現(xiàn)Bug”，當(dāng)發(fā)生“生產(chǎn)系統(tǒng)軟件變更”時，導(dǎo)致“系統(tǒng)宕機(jī)或用戶體驗變差”64高建立與生產(chǎn)環(huán)境相一致的測試環(huán)境，保證系統(tǒng)測試的準(zhǔn)確和有效6安全資產(chǎn)組因“SSLVPN存在軟件Bug；VPN服務(wù)商服務(wù)能力有缺陷”，導(dǎo)致“SSLVPN經(jīng)常需要重啟，工作不穩(wěn)定，且無法快速恢復(fù)”64高協(xié)調(diào)廠商修改bug7網(wǎng)絡(luò)管理資產(chǎn)組因“ACS數(shù)據(jù)庫備份到本地，無法做到遠(yuǎn)程人工備份或自動備份”，當(dāng)發(fā)生“硬件、操作系統(tǒng)故障”時，導(dǎo)致“數(shù)據(jù)庫內(nèi)數(shù)據(jù)丟失，恢復(fù)困難，網(wǎng)絡(luò)設(shè)備無法遠(yuǎn)程登錄”64高將ACS數(shù)據(jù)庫數(shù)據(jù)備份到專用的存儲設(shè)備上8業(yè)務(wù)系統(tǒng)資產(chǎn)組/財因“生產(chǎn)系統(tǒng)、數(shù)據(jù)庫的部分開發(fā)、測試和生產(chǎn)環(huán)境未完全60高將開發(fā)、測試、生產(chǎn)系統(tǒng)分開

務(wù)系統(tǒng)資產(chǎn)組/車險理賠系統(tǒng)資產(chǎn)組分開”，當(dāng)發(fā)生“誤操作”時，導(dǎo)致“生產(chǎn)系統(tǒng)受影響”9業(yè)務(wù)系統(tǒng)資產(chǎn)組/財務(wù)系統(tǒng)資產(chǎn)組/車險理賠系統(tǒng)資產(chǎn)組/再保系統(tǒng)資產(chǎn)組因“操作人員可直接修改數(shù)據(jù)庫”，當(dāng)發(fā)生“誤操作”時，導(dǎo)致“修改了數(shù)據(jù)庫中不該被修改數(shù)據(jù)”60高加強(qiáng)審計和記錄，使用工具記錄操作數(shù)據(jù)庫的修改語句10業(yè)務(wù)系統(tǒng)資產(chǎn)組/財務(wù)系統(tǒng)資產(chǎn)組/車險理賠系統(tǒng)資產(chǎn)組/再保系統(tǒng)資產(chǎn)組因“缺少業(yè)務(wù)系統(tǒng)和關(guān)鍵Windows服務(wù)器用于補(bǔ)丁測試的測試機(jī)”，當(dāng)發(fā)生“沒有嚴(yán)格測試后就更新系統(tǒng)補(bǔ)丁”時，導(dǎo)致“生產(chǎn)系統(tǒng)和重要Windows服務(wù)器服務(wù)中斷”60高建立專用的windows系統(tǒng)補(bǔ)丁測試服務(wù)器11車險理賠系統(tǒng)資產(chǎn)組因“作為重要業(yè)務(wù)系統(tǒng)，車險理賠系統(tǒng)與其他域成員服務(wù)器使用同樣的組策略和補(bǔ)丁更新策略”，當(dāng)”對生產(chǎn)系統(tǒng)和普通系統(tǒng)執(zhí)行同樣的策略”時，導(dǎo)致“強(qiáng)制執(zhí)行了不合適的策略或者強(qiáng)制安裝了沒有經(jīng)過測試的補(bǔ)丁，操作系統(tǒng)、應(yīng)用工作不穩(wěn)定或宕機(jī)”60高詳細(xì)規(guī)劃組策略的制定，根據(jù)不同安全級別要求的設(shè)備和系統(tǒng)組制定不同的組策略12開發(fā)測試資產(chǎn)組因“開發(fā)、運(yùn)維人員沒有完全分開”，導(dǎo)致“不符合規(guī)范的60高逐步完善管理規(guī)范，并加強(qiáng)在人

管理方式”員混用過程中的行為操作審計工作13DMZ區(qū)基礎(chǔ)服務(wù)資產(chǎn)組/網(wǎng)站系統(tǒng)資產(chǎn)組因“缺少DMZ區(qū)互聯(lián)網(wǎng)服務(wù)（如DNS、業(yè)務(wù)代理服務(wù)器）的應(yīng)急響應(yīng)計劃”，當(dāng)發(fā)生“黑客攻擊”時，導(dǎo)致“服務(wù)中斷或網(wǎng)站不同程度地被控制”60高建立網(wǎng)站和互聯(lián)網(wǎng)服務(wù)的應(yīng)急響應(yīng)計劃14DMZ區(qū)基礎(chǔ)服務(wù)資產(chǎn)組因“業(yè)務(wù)代理服務(wù)器無HA”，當(dāng)發(fā)生“硬件、軟件故障”時，導(dǎo)致“通過代理服務(wù)器的互聯(lián)網(wǎng)業(yè)務(wù)受影響”60高增加HA服務(wù)器15總部、分公司、CC、分公司域控資產(chǎn)組（含資產(chǎn)組15、18、26）因“域內(nèi)服務(wù)器缺乏有效的管理和監(jiān)控工具”，導(dǎo)致“管理員負(fù)擔(dān)過重，無法有效識別、解決域服務(wù)器的問題”60高采用自動化監(jiān)控工具，針對服務(wù)器性能、網(wǎng)絡(luò)狀態(tài)進(jìn)行監(jiān)控16總部、分公司、CC、分公司域控資產(chǎn)組（含資產(chǎn)組15、18、28）因“缺乏有效的軟件分發(fā)工具”，導(dǎo)致“管理員負(fù)擔(dān)過重，無法有效管理終端電腦的軟件分發(fā)”60高使用終端管理軟件，加強(qiáng)在軟件分發(fā)和終端管理方面的能力17總部、分公司、CC、分公司域控資產(chǎn)組（含資產(chǎn)因“補(bǔ)丁服務(wù)缺乏的有效管理”，導(dǎo)致“域內(nèi)服務(wù)器和終端補(bǔ)丁更新沒有有效測試或更新不及時”60高建立完善的補(bǔ)丁更新策略；升級WSUS或采購相應(yīng)的補(bǔ)丁管理軟件

組15、18、29)18總部、分公司、CC、分公司域控資產(chǎn)組（含資產(chǎn)組15、18、30）因“缺乏專職的Windows管理員，當(dāng)前的管理員對有效的組策略管理、補(bǔ)丁管理、服務(wù)器和終端監(jiān)控、備份等缺乏足夠的專業(yè)技能；對外包服務(wù)商管控不足”，導(dǎo)致“無法分別制定有效管理”60高增設(shè)專門的windows系統(tǒng)管理員或加強(qiáng)現(xiàn)有管理員專業(yè)技能的培訓(xùn)19深圳呼叫中心網(wǎng)絡(luò)設(shè)備資產(chǎn)組深圳呼叫中心到上海雖然有備份線路，由于應(yīng)用的原因，運(yùn)營商鏈路中斷仍舊會影響業(yè)務(wù)60高調(diào)整線路通信的模式，利用雙線路實現(xiàn)鏈路負(fù)載均衡和冗余備份20OA資產(chǎn)組因“目前文件服務(wù)器容量不足，且文件服務(wù)器存在病毒”，導(dǎo)致“不能穩(wěn)定地提供文件服務(wù)”60高增加文件服務(wù)器容量，并進(jìn)行全面的病毒清理工作21OA資產(chǎn)組因“OA系統(tǒng)無法對用戶口令的復(fù)雜度和更改周期等賬戶策略進(jìn)行控制”，當(dāng)發(fā)生“帳號被他人使用，非授權(quán)訪問OA資源”時，導(dǎo)致“在全公司范圍內(nèi)信息泄露給未授權(quán)的人員”60高部署SS0,使用域帳戶信息驗證方式登錄0A系統(tǒng)22開發(fā)測試資產(chǎn)組因“源代碼缺少有效的安全管理，VSS和開發(fā)人員電腦中都存放有源代碼，VSS中存放的可能不是最新版本”，導(dǎo)致“源代碼版本混亂，源代碼泄漏和丟失”48高建立規(guī)范的源代碼制度并且有效地執(zhí)行23開發(fā)測試資產(chǎn)組因“開發(fā)、測試、上線流程不完善，實際操作不按照流程執(zhí)48高制9定完善的開發(fā)、測試、上線

行”，導(dǎo)致“不符合規(guī)范的管理方式”流程，嚴(yán)格執(zhí)行24網(wǎng)站系統(tǒng)資產(chǎn)組因“缺少周期性針對網(wǎng)站的系統(tǒng)級和應(yīng)用級評估和加固”，當(dāng)發(fā)生“黑客攻擊”時，導(dǎo)致“服務(wù)中斷或網(wǎng)站不同程度地被控制”48高增加周期性針對網(wǎng)站和互聯(lián)網(wǎng)服務(wù)的系統(tǒng)級和應(yīng)用級評估和加固25網(wǎng)站系統(tǒng)資產(chǎn)組因“網(wǎng)站服務(wù)器性能不足，缺少備機(jī)”，當(dāng)發(fā)生“硬件、軟件故障”時，導(dǎo)致“服務(wù)中斷，涉及影響較大”48高升級現(xiàn)有網(wǎng)站設(shè)備性能，同時配備冗余備份服務(wù)器提咼網(wǎng)站的可用性26協(xié)作服務(wù)資產(chǎn)組因“RTX系統(tǒng)沒有備份的機(jī)制”，當(dāng)發(fā)生“硬件、軟件故障”時，導(dǎo)致“用戶數(shù)據(jù)無法恢復(fù)”48高建立RTX系統(tǒng)的備份機(jī)制，將系統(tǒng)數(shù)據(jù)備份到專用存儲設(shè)備上27總公司辦公資產(chǎn)組/全公司終端組因“缺之對終端有效的管理機(jī)制包括移動存儲介質(zhì)的使用、補(bǔ)丁升級、防病毒、非公司軟件、私連互聯(lián)網(wǎng)、未加入域等”，導(dǎo)致“對終端管理復(fù)雜度高，效率低”48高通過使用終端管理軟件控制辦公終端的移動介質(zhì)接入；同時制定公司規(guī)定進(jìn)行要求28車險理賠系統(tǒng)資產(chǎn)組因“缺之針對使用Raid方式的服務(wù)器系統(tǒng)備份的有效工具”，當(dāng)發(fā)生“軟件或者硬件故障”時，導(dǎo)致“系統(tǒng)服務(wù)中斷，操作系統(tǒng)配置數(shù)據(jù)丟失，系統(tǒng)恢復(fù)周期較長”45高購買備份軟件，建立測試流程或制度，增加用于測試的備機(jī)29車險理賠系統(tǒng)資產(chǎn)組/再保系因“系統(tǒng)缺少版本同步控制和流程”，當(dāng)“更新版本時，修改過的生產(chǎn)系統(tǒng)代碼被覆蓋”，45高建立元善的代碼變更流程，確保修改的代碼能夠

統(tǒng)資產(chǎn)組導(dǎo)致“生產(chǎn)系統(tǒng)部分功能被破壞”及時同步30業(yè)務(wù)系統(tǒng)資產(chǎn)組/財務(wù)系統(tǒng)資產(chǎn)組/車險理賠系統(tǒng)資產(chǎn)組/再保系統(tǒng)資產(chǎn)組因“缺少生產(chǎn)主機(jī)服役淘汰機(jī)制，目前生產(chǎn)主機(jī)一直用到不能再用為止”，當(dāng)發(fā)生“硬件故障”時，導(dǎo)致“業(yè)務(wù)中斷，硬件維修較困難”45高制定牛產(chǎn)主機(jī)和核心網(wǎng)絡(luò)設(shè)備的淘汰機(jī)制31OA資產(chǎn)組因“0A系統(tǒng)沒有針數(shù)據(jù)庫或應(yīng)用服務(wù)器的雙機(jī)熱備”，當(dāng)發(fā)生“硬件、軟件故障，系統(tǒng)性能問題”時，導(dǎo)致“系統(tǒng)中斷或用戶使用0A應(yīng)用不暢”45高增加備份冗余設(shè)備32OA資產(chǎn)組因“分公司對0A系統(tǒng)中的帳號和權(quán)限缺乏定期審核、清理機(jī)制”，當(dāng)發(fā)生“帳號被他人使用，非授權(quán)訪問0A資源”時，導(dǎo)致“在全公司范圍內(nèi)信息泄露給未授權(quán)的人員”45高建立系統(tǒng)帳號的定期檢查的機(jī)制，嚴(yán)格要求分公司的執(zhí)行情況33OA資產(chǎn)組因“使用0A系統(tǒng)點到點傳遞文件”，當(dāng)發(fā)生“使用量增大”時，導(dǎo)致“系統(tǒng)資源浪費，增加系統(tǒng)負(fù)荷”45高建議根據(jù)當(dāng)前情況限制文件的傳輸或限制文件大小和文件數(shù)量或接受風(fēng)險34總部、分公司、CC、分公司域控資產(chǎn)組（含資產(chǎn)因“域控制器缺少系統(tǒng)備份，部分域控在本地硬盤備份，沒有完善的備份制度”，當(dāng)發(fā)生“硬件、軟件故障，黑客攻擊，病毒和蠕蟲時，導(dǎo)致主機(jī)45高建立域服務(wù)器安全管理備份制度

組15、18、21)不同程度的被控制，提供的服務(wù)中斷”35總部、分公司、CC、分公司域控資產(chǎn)組（含資產(chǎn)組15、18、22）因“域控制器擔(dān)任角色過多，同時擔(dān)當(dāng)補(bǔ)丁服務(wù)器和文件服務(wù)器角色”，當(dāng)發(fā)生“病毒、負(fù)載過重”時，導(dǎo)致“域控制器提供的關(guān)鍵服務(wù)中斷，如DNS和用戶登錄”45高將文件服務(wù)和補(bǔ)丁服務(wù)分離出來，使用單獨的服務(wù)器處理36總部、分公司、CC、分公司域控資產(chǎn)組（含資產(chǎn)組15、18、24）因“賬戶缺乏的有效管理，部分離職員工沒有及時刪除或禁用”，當(dāng)發(fā)生“黑客攻擊，越權(quán)和濫用離職員工原來帳號”時，導(dǎo)致“服務(wù)器不同程度被控制，信息泄密等”45高加強(qiáng)離職員工帳號審查和刪除的流程，并加強(qiáng)執(zhí)行和檢杳37總部、分公司、CC、分公司域控資產(chǎn)組（含資產(chǎn)組15、18、25）因“域控制器間信息同步的故障不能及時發(fā)現(xiàn)”，當(dāng)發(fā)生“分公司域控制器同步故障”時，導(dǎo)致“域內(nèi)用戶信息不準(zhǔn)確，用戶無法登陸”45高加強(qiáng)人工巡檢或采用工具檢查；協(xié)調(diào)服務(wù)商解決同步問題38總部、分公司、CC、分公司域控資產(chǎn)組（含資產(chǎn)組15、18、27）因域內(nèi)客戶端缺乏有效的管理和監(jiān)控工具”，導(dǎo)致“管理員負(fù)擔(dān)過重，無法有效識別、解決域中客戶端的問題”45高使用終端管理軟件，加強(qiáng)在軟件分發(fā)和終端管理方面的能力39總部、分公因“CC接口服務(wù)器10.0.16.245高基于業(yè)務(wù)需要米

司、CC、分公司域控資產(chǎn)組（含資產(chǎn)組15、18、34）使用空口令接入車險理賠系統(tǒng)”，當(dāng)“使用接口服務(wù)器做跳板攻擊車險理賠系統(tǒng)”時，導(dǎo)致“服務(wù)器不同程度被控制，信息泄密等”取控制40總部、分公司、CC、分公司域控資產(chǎn)組（含資產(chǎn)組15、18、32）因“目前SymanteclO.1版本防病毒有效性差，尤其在互聯(lián)網(wǎng)訪問安全和移動介質(zhì)安全方面；部分終端電腦性能差，無法安裝最新版本防病毒軟件；防病毒服務(wù)器的日志和報表缺之有效地監(jiān)控”，當(dāng)發(fā)生“病毒和蠕蟲”時，導(dǎo)致“不能有效識別、防護(hù)和清除”45高協(xié)調(diào)廠商優(yōu)化軟件的資源占用或升級公司辦公終端的性能41中心機(jī)房網(wǎng)絡(luò)設(shè)備資產(chǎn)組因中心機(jī)房用于連接主機(jī)、服務(wù)器的接入交換機(jī)（列頭柜交換機(jī)）沒有冷備交換機(jī)以防備突發(fā)故障”，當(dāng)發(fā)生“硬件故障”時，導(dǎo)致“該交換機(jī)連接的系統(tǒng)服務(wù)中斷”45高增加備份網(wǎng)絡(luò)設(shè)備42車險理賠系統(tǒng)資產(chǎn)組因“作為重要業(yè)務(wù)系統(tǒng)，車險理賠系統(tǒng)缺少必要的熱備或冷備機(jī)”，當(dāng)發(fā)生“硬件或軟件故障”時，導(dǎo)致“系統(tǒng)服務(wù)中斷”40高增加冗余備份設(shè)備43車險理賠系統(tǒng)資產(chǎn)組因“作為重要業(yè)務(wù)系統(tǒng)，缺少針對車險理賠系統(tǒng)的專項加固和例行安全檢查”，當(dāng)發(fā)生“黑客攻擊、病毒、蠕蟲時，導(dǎo)致系統(tǒng)服務(wù)中斷或者不同程度40高制定安全檢查的標(biāo)準(zhǔn)，對系統(tǒng)進(jìn)行定期的安全檢查

被非法控制44業(yè)務(wù)系統(tǒng)資產(chǎn)組/財務(wù)系統(tǒng)資產(chǎn)組/再保系統(tǒng)資產(chǎn)組因“再保系統(tǒng)缺少備份主機(jī)”，當(dāng)發(fā)生“硬件故障”時，導(dǎo)致“業(yè)務(wù)中斷”40高額外增加主機(jī)，集中為業(yè)務(wù)系統(tǒng)、財務(wù)系統(tǒng)、再保系統(tǒng)做HA45資金管理資產(chǎn)組因“管理責(zé)任分配、定義不明確，對口單位不同出問題不好解決溝通；責(zé)任不明確，培訓(xùn)無法實施”，當(dāng)發(fā)生“硬件、軟件故障，系統(tǒng)性能問題”時，導(dǎo)致“無法及時解決問題，影響業(yè)務(wù)運(yùn)行”40高建議集團(tuán)明確資金管理系統(tǒng)的人員和職責(zé)，制定事件處理方法或流程46DMZ區(qū)基礎(chǔ)服務(wù)資產(chǎn)組因“缺少DMZ區(qū)互聯(lián)網(wǎng)服務(wù)（如DNS、業(yè)務(wù)代理服務(wù)器）的補(bǔ)丁管理流程和（系統(tǒng)、數(shù)據(jù)）備份流程”，當(dāng)發(fā)生“黑客攻擊”時，導(dǎo)致“服務(wù)中斷或網(wǎng)站不同程度地被控制”40高建立網(wǎng)站和互聯(lián)網(wǎng)服務(wù)的補(bǔ)丁管理流程和（系統(tǒng)、數(shù)據(jù)）備份流程47DMZ區(qū)基礎(chǔ)服務(wù)資產(chǎn)組因“互聯(lián)網(wǎng)業(yè)務(wù)與員工上網(wǎng)使用相同的互聯(lián)網(wǎng)出口”，當(dāng)發(fā)生員工上網(wǎng)感染病毒和蠕蟲時，導(dǎo)致“互聯(lián)網(wǎng)業(yè)務(wù)受影響，如代理點無法通過互聯(lián)網(wǎng)報單”40高員工上網(wǎng)和互聯(lián)網(wǎng)業(yè)務(wù)使用不同的網(wǎng)絡(luò)出口，避免辦公流量影響網(wǎng)站業(yè)務(wù)流里48總部、分公司、CC、分公司域控資產(chǎn)組（含資產(chǎn)因“組策略缺之有效管理。目前依舊延續(xù)以前的組策略，組策略的設(shè)置缺少根據(jù)現(xiàn)狀的定期規(guī)劃和評審，對生產(chǎn)系統(tǒng)沒有采取單獨的策略”，導(dǎo)致“無40高重新優(yōu)化組策略，根據(jù)業(yè)務(wù)和系統(tǒng)的現(xiàn)狀制定策略

組15、18、23)法通過組策略對域內(nèi)的服務(wù)器和