風(fēng)險評估分析報告

上海ERIC數(shù)據(jù)系統(tǒng)有限公司記錄編號IMSF-005信息安全風(fēng)險評估報告創(chuàng)立日期4月16日文檔密級秘密更改記錄時間更改內(nèi)容更改人項目名稱：4月16日風(fēng)險評估報告被評估公司單位：上海ERIC數(shù)據(jù)系統(tǒng)有限公司參加評估部門：信息安全綜合管理委員會一、風(fēng)險評估項目概述1.1工程項目概況1.1.1建設(shè)項目基本信息風(fēng)險評估版本3日5日更新資產(chǎn)清單及評估項目完畢時間3月5日項目試運(yùn)營時間2-3月1.2風(fēng)險評估實行單位基本狀況評估單位名稱上海ERIC數(shù)據(jù)系統(tǒng)有限公司二、風(fēng)險評估活動概述2.1風(fēng)險評估工作組織管理描述本次風(fēng)險評估工作組織體系（含評估人員構(gòu)成）、工作原則和采用保密辦法。2.2風(fēng)險評估工作過程本次評估供耗時2天，采用抽樣方式結(jié)合現(xiàn)場評估，涉及了公司所有部門及所有產(chǎn)品，已經(jīng)涉及了位于公司地址位置有關(guān)產(chǎn)品。2.3根據(jù)技術(shù)原則及有關(guān)法規(guī)文獻(xiàn)本次評估根據(jù)法律法規(guī)條款有：序號法律、法規(guī)及其她規(guī)定名稱頒布時間實行時間頒布部門1全國人大常委會關(guān)于維護(hù)互聯(lián)網(wǎng)安全決定.12.28.12.28全國人大常委會2中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例1994.02.181994.02.18國務(wù)院第147號令3中華人民共和國計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定1996.02.011996.02.01國務(wù)院第195號令4中華人民共和國計算機(jī)軟件保護(hù)條例.12.20.01.01國務(wù)院第339號令5中華人民共和國信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例.05.10.07.01國務(wù)院第468號令6中華人民共和國計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實行辦法1998.03.061998.03.06國務(wù)院信息化工作領(lǐng)導(dǎo)小組7計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法1997.12.161997.12.30公安部第33號令8計算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測和銷售允許證管理辦法1997.06.281997.12.12公安部第32號令9計算機(jī)病毒防治管理辦法.03.30.04.26公安部第51號令10惡意軟件定義．06.27．06.27中華人民共和國互聯(lián)網(wǎng)協(xié)會11抵制惡意軟件自律公約．06.27．06.27中華人民共和國互聯(lián)網(wǎng)協(xié)會12計算機(jī)信息系統(tǒng)保密管理暫行規(guī)定1998.2.261998.02.26國家保密局13計算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定.01.01.01.01國家保密局14軟件產(chǎn)品管理辦法.10.08.10.08中華人民共和國工業(yè)和信息化部15互聯(lián)網(wǎng)等信息系統(tǒng)網(wǎng)絡(luò)傳播視聽節(jié)目管理辦法.06.15.10.11國家廣播電影電視總局16互聯(lián)網(wǎng)電子公示服務(wù)管理規(guī)定.10.08.10.08信息產(chǎn)業(yè)部17信息系統(tǒng)工程監(jiān)理工程師資格管理辦法頒布.03.26信息產(chǎn)業(yè)部18信息系統(tǒng)工程監(jiān)理單位資質(zhì)管理辦法.03.26.04.01信息產(chǎn)業(yè)部19電子認(rèn)證服務(wù)管理辦法.02.04.03.31信息產(chǎn)業(yè)部20關(guān)于印發(fā)《國家電子信息產(chǎn)業(yè)基地和產(chǎn)業(yè)園認(rèn)定管理辦法（試行）》告知.03.04.03.04中華人民共和國信息產(chǎn)業(yè)部21計算機(jī)軟件著作權(quán)登記收費(fèi)項目和原則1992.03.161992.04.01機(jī)電部計算機(jī)軟件登記辦公室22中華人民共和國互聯(lián)網(wǎng)絡(luò)域名管理辦法.11.05.12.20信息產(chǎn)業(yè)部23中華人民共和國專利法.01.09.02.01全國人民代表大會常務(wù)委員24中華人民共和國技術(shù)合同法1987.06.231987.06.23國務(wù)院科學(xué)技術(shù)部25關(guān)于電子專利申請規(guī)定.08.27.10.01國家知識產(chǎn)權(quán)局26中華人民共和國著作權(quán)法.02.26.02.26全國人大常委會27中華人民共和國著作權(quán)法實行條例.08.02.9.15國務(wù)院第359號令28科學(xué)技術(shù)保密規(guī)定1995.01.061995.01.06國家科委、國家保密局29互聯(lián)網(wǎng)安全保護(hù)技術(shù)辦法規(guī)定.12.13.03.01公安部發(fā)布30中華人民共和國認(rèn)證承認(rèn)條例.09.03.11.1國務(wù)院第390號令31中華人民共和國保守國家秘密法.04.29.10.01全國人大常委會32中華人民共和國國家安全法1993.02.221993.02.22全國人大常委會33中華人民共和國商用密碼管理條例1999.10.071999.10.07國務(wù)院第273號令34消防監(jiān)督檢查規(guī)定.4.30.5.1公安部第107號35倉庫防火安全管理規(guī)則1990.03.221994.04.10中華人民共和國公安部令第6號36地質(zhì)災(zāi)害防治條例.11.24.03.01國務(wù)院3９4號37《電力安全生產(chǎn)監(jiān)管辦法》.03.09.03.09國家電力監(jiān)管委員會第2號38中華人民共和國勞動法.06.29.1.1華人民共和國主席令第二十八號39失業(yè)保險條例1998.12.261999.01.22國務(wù)院40失業(yè)保險金申領(lǐng)發(fā)放.10.26.01.01勞動和社會保障部41中華人民共和國公司勞動爭議解決條例1993.06.111993.08.01國務(wù)院2.4保障與限制條件需要被評估單位提供文檔、工作條件和配合人員等必要條件，以及也許限制條件。三、評估對象3.1評估對象構(gòu)成與定級3.1.1網(wǎng)絡(luò)構(gòu)造依照提供網(wǎng)絡(luò)拓?fù)鋱D，進(jìn)行構(gòu)造化審核。3.1.2業(yè)務(wù)應(yīng)用我司涉及數(shù)據(jù)中心運(yùn)營及服務(wù)活動。3.1.3子系統(tǒng)構(gòu)成及定級N/A3.2評估對象級別保護(hù)辦法按照工程項目安全域劃分和保護(hù)級別定級狀況，分別描述不同保護(hù)級別保護(hù)范疇內(nèi)子系統(tǒng)各自所采用安全保護(hù)辦法，以及級別保護(hù)測評成果。依照需要，如下子目錄按照子系統(tǒng)重復(fù)。XX子系統(tǒng)級別保護(hù)辦法依照級別測評成果，XX子系統(tǒng)級別保護(hù)管理辦法狀況見附表一。依照級別測評成果，XX子系統(tǒng)級別保護(hù)技術(shù)辦法狀況見附表二。四、資產(chǎn)辨認(rèn)與分析4.1資產(chǎn)類型與賦值4.1.1資產(chǎn)類型按照評估對象構(gòu)成，分類描述評估對象資產(chǎn)構(gòu)成。詳細(xì)資產(chǎn)分類與賦值，以附件形式附在評估報告背面，見附件3《資產(chǎn)類型與賦值表》。4.1.2資產(chǎn)賦值填寫《資產(chǎn)賦值表》。大類詳細(xì)分類舉例文檔和數(shù)據(jù)經(jīng)營規(guī)劃中長期規(guī)劃等經(jīng)營籌劃等組織狀況組織變更方案等組織機(jī)構(gòu)圖等組織變更告知等組織手冊等規(guī)章制度各項規(guī)程、業(yè)務(wù)手冊等人事制度人事方案等人事待遇資料等錄取籌劃等離職資料等中期人員籌劃等人員構(gòu)成等人事變動告知等培訓(xùn)籌劃等培訓(xùn)資料等財務(wù)信息預(yù)決算（各類投資預(yù)決算)等業(yè)績（財務(wù)報告)等中期財務(wù)狀況等資金籌劃等成本等財務(wù)數(shù)據(jù)解決辦法（成本計算辦法和系統(tǒng)，會計管理審查等經(jīng)營分析系統(tǒng)，減稅辦法、規(guī)程)等營業(yè)信息市場調(diào)查報告（市場動向，顧客需求，其他我司動向及對這些狀況分析辦法和成果)等商談內(nèi)容、合同等報價等客戶名單等營業(yè)戰(zhàn)略（關(guān)于和其他我司合伙銷售、銷售途徑擬定及變更，對代理商政策等情報)等退貨和投訴解決（退貨品名、數(shù)量、因素及對投訴解決辦法)等供應(yīng)商信息等技術(shù)信息實驗/分析數(shù)據(jù)（我司或者委托其他單位進(jìn)行試驗/分析)等研究成果（我司或者和其他單位合伙研究開發(fā)技術(shù)成果)等科技創(chuàng)造內(nèi)容（專利申請書以及關(guān)于資料/實驗數(shù)據(jù))等開發(fā)籌劃書等新產(chǎn)品開發(fā)體制、組織（新品開發(fā)人員構(gòu)成，業(yè)務(wù)分擔(dān)，技術(shù)人員配備等)技術(shù)協(xié)助關(guān)于內(nèi)容（協(xié)作方，協(xié)作內(nèi)容，協(xié)作時間等)教誨資料等技術(shù)備忘錄等軟件信息生產(chǎn)管理系統(tǒng)等技術(shù)解析系統(tǒng)等籌劃財務(wù)系統(tǒng)等設(shè)計書等流程等編碼、密碼系統(tǒng)等源程序表等其她訴訟或其她有爭議案件內(nèi)容（民事、無形資產(chǎn)、工傷等糾紛內(nèi)容)我司基本設(shè)施狀況（涉及動力設(shè)施)等董事會資料（新投資領(lǐng)域、設(shè)備投資籌劃等)我司電話簿等我司安全保衛(wèi)實行狀況及突發(fā)事件對策等軟件操作系統(tǒng)Windows、Linux等應(yīng)用軟件/系統(tǒng)開發(fā)工具、辦公軟件、網(wǎng)站平臺、財務(wù)系統(tǒng)等數(shù)據(jù)庫MSSQLServer、MySQL等硬件設(shè)備通訊工具傳真等傳播線路光纖、雙絞線等存儲媒體磁帶、光盤、軟盤、U盤等存儲設(shè)備光盤刻錄機(jī)、磁帶機(jī)等文印設(shè)備打印機(jī)、復(fù)印機(jī)、掃描儀服務(wù)器PCServer、小型機(jī)等桌面終端PC、工作站等網(wǎng)絡(luò)通信設(shè)備路由器、互換機(jī)、集線器、無線路由器等網(wǎng)絡(luò)安全設(shè)備防火墻、防水墻、IPS等支撐設(shè)施UPS、機(jī)房空調(diào)、發(fā)電機(jī)等人力資源高層管理人員高層管理人員我司總/副總經(jīng)理、總監(jiān)等中層管理人員部門經(jīng)理技術(shù)管理人員項目經(jīng)理、項目組長、安全工程師普通技術(shù)人員軟件工程師、程序員、測試工程師、界面工程師等IT服務(wù)人員系統(tǒng)管理員、網(wǎng)絡(luò)管理員、維護(hù)工程師其他人事、行政、財務(wù)等人員服務(wù)通信ADSL、光纖等房租辦公房屋租用托管服務(wù)器托管、虛擬主機(jī)、郵箱托管法律外聘律師、法律顧問供電照明電、動力電審計財務(wù)審計6.2.資產(chǎn)賦值判斷準(zhǔn)則對資產(chǎn)賦值不但要考慮資產(chǎn)經(jīng)濟(jì)價值，更重要是要考慮資產(chǎn)安全狀況對于系統(tǒng)或組織重要性，由資產(chǎn)在其三個安全屬性上達(dá)到限度決定。資產(chǎn)賦值過程也就是對資產(chǎn)在機(jī)密性、完整性和可用性上達(dá)到限度進(jìn)行分析，并在此基本上得出綜合成果過程。達(dá)到限度可由安全屬性缺失時導(dǎo)致影響來表達(dá)，這種影響也許導(dǎo)致某些資產(chǎn)損害以至危及信息系統(tǒng)，還也許導(dǎo)致經(jīng)濟(jì)效益、市場份額、組織形象損失。6.2.1.機(jī)密性賦值依照資產(chǎn)在機(jī)密性上不同規(guī)定，將其分為三個不同級別，分別相應(yīng)資產(chǎn)在機(jī)密性上應(yīng)達(dá)到不同限度或者機(jī)密性缺失時對整個組織影響。賦值標(biāo)記定義3高包括組織最重要秘密，關(guān)系將來發(fā)展前程命運(yùn)，對主線利益有著決定性影響，如果泄露會導(dǎo)致劫難性損害，例如直接損失超過100萬人民幣，或重大項目（合同）失敗，或失去重要客戶，或核心業(yè)務(wù)中斷3天。2中組織普通性秘密，其泄露會使組織安全和利益受到損害，例如直接損失超過10萬人民幣，或項目（合同）失敗，或失去客戶，或核心業(yè)務(wù)中斷超過1天。1低可在社會、組織內(nèi)部或在組織某一部門內(nèi)部公開信息，向外擴(kuò)散有可能對組織利益導(dǎo)致輕微損害或不導(dǎo)致傷害。6.2.2.完整性賦值依照資產(chǎn)在完整性上不同規(guī)定，將其分為三個不同級別，分別相應(yīng)資產(chǎn)在完整性上缺失時對整個組織影響。賦值標(biāo)記定義3高完整性價值非常核心，未經(jīng)授權(quán)修改或破壞會對組織導(dǎo)致重大或無法接受影響，對業(yè)務(wù)沖擊重大，并也許導(dǎo)致嚴(yán)重業(yè)務(wù)中斷，并且難以彌補(bǔ)。例如直接損失超過100萬人民幣，或重大項目（合同）失敗，或失去重要客戶。2中完整性價值中檔，未經(jīng)授權(quán)修改或破壞會對組織導(dǎo)致影響，對業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)。例如直接損失超過10萬人民幣，或項目（合同）失敗，或失去客戶。1低完整性價值較低，未經(jīng)授權(quán)修改或破壞會對組織導(dǎo)致輕微影響，甚至可以忽視，對業(yè)務(wù)沖擊輕微，容易彌補(bǔ)。6.2.3.可用性賦值依照資產(chǎn)在可用性上不同規(guī)定，將其分為三個不同級別，分別相應(yīng)資產(chǎn)在可用性上達(dá)到不同限度。賦值標(biāo)記定義3高可用性價值非常高，合法使用者對資產(chǎn)可用度達(dá)到年度90%以上，或系統(tǒng)不容許中斷。2中可用性價值中檔，合法使用者對資產(chǎn)可用度在正常工作時間達(dá)到50%以上，或系統(tǒng)容許中斷時間不大于8工作時。1低可用性價值較低或可被忽視，合法使用者對資產(chǎn)可用度在正常工作時間達(dá)到50%如下，或系統(tǒng)容許中斷時間不大于24工作時。6.2.4.資產(chǎn)重要性級別資產(chǎn)價值（V）＝機(jī)密性價值（C）＋完整性價值（I）＋可用性價值（A）資產(chǎn)級別：級別價值分類資產(chǎn)總價值1低3～42中5～73高8～9

4.2重要資產(chǎn)清單及闡明在分析被評估系統(tǒng)資產(chǎn)基本上，列出對評估單位十分重要資產(chǎn)，作為風(fēng)險評估重點(diǎn)對象，并以清單形式列出如下：重要資產(chǎn)列表序號資產(chǎn)編號子系統(tǒng)名稱應(yīng)用資產(chǎn)重要限度權(quán)重其她闡明F001各類公司證件其她高F002財務(wù)賬務(wù)文獻(xiàn)其她高F004發(fā)票其她高F006用友通財務(wù)軟件備份數(shù)據(jù)其她高ATSH10-007PernodRicard業(yè)務(wù)持續(xù)服務(wù)合同客戶合同高ATSH-11/001/10-007天選備份軟件維護(hù)服務(wù)合同供應(yīng)商合同高ATSH10-008VantAsia業(yè)務(wù)持續(xù)服務(wù)合同客戶合同高ATSH11-001NAB業(yè)務(wù)持續(xù)服務(wù)合同客戶合同高HW-009服務(wù)器(運(yùn)作技術(shù)部)服務(wù)器高HW-022精密空調(diào)(運(yùn)作技術(shù)部)精密空調(diào)高HW-023UPS(運(yùn)作技術(shù)部)UPS高HW-024PPDC(運(yùn)作技術(shù)部)PPDC高HW-026AVAYA(運(yùn)作技術(shù)部)通訊設(shè)備高HW-027Switch(運(yùn)作技術(shù)部)網(wǎng)絡(luò)設(shè)備高HW-028Router(運(yùn)作技術(shù)部)網(wǎng)絡(luò)設(shè)備高HW-029Firewall(運(yùn)作技術(shù)部)網(wǎng)絡(luò)設(shè)備高HW-030DVR(運(yùn)作技術(shù)部)監(jiān)控設(shè)備高HW-031客戶數(shù)據(jù)（硬盤）硬盤高HW-032柴油發(fā)電機(jī)組柴油發(fā)電機(jī)高F001etax網(wǎng)上報稅系統(tǒng)財務(wù)軟件－單機(jī)高F002用友通財務(wù)軟件財務(wù)軟件－單機(jī)高F003發(fā)票打印軟件財務(wù)軟件－單機(jī)高A-02-25-03-06-004Cowin監(jiān)控系統(tǒng)監(jiān)控系統(tǒng)高A-02-25-03-06-005General_PSS_V4.01.0.R.091112監(jiān)控系統(tǒng)高H0001梁文略高層管理人員高S0002楊英高層管理人員高S0001李海寧中層管理人員高S0006趙紅銷售人員高S0003張光輝中層管理人員高S0004劉子明IT服務(wù)人員高S0005胡捷IT服務(wù)人員高S0008張力IT服務(wù)人員高S0007唐海英其他高S0026劉影其他高server02網(wǎng)絡(luò)通信中華人民共和國聯(lián)通高server03供電物管-德必創(chuàng)意高server04房屋物管-德必創(chuàng)意高五、威脅辨認(rèn)與分析對威脅來源（內(nèi)部/外部；主觀/不可抗力等）、威脅方式、發(fā)生也許性，威脅主體能力水平等進(jìn)行列表分析。下面是典型威脅范本：編號威脅硬件和設(shè)施軟件和系統(tǒng)文檔和數(shù)據(jù)人力資源服務(wù)1故障★★2廢棄★★★3服務(wù)失效/中斷★4惡意軟件★5抵賴★6通信監(jiān)聽★7操作失誤★★8未經(jīng)授權(quán)更改★★★9未經(jīng)授權(quán)訪問，使用或復(fù)制★★★10被運(yùn)用傳送敏感信息★★11盜竊★★★12供電故障★★13惡意破壞★★★14電子存儲媒體故障★★15違背知識產(chǎn)權(quán)有關(guān)法律、法規(guī)★★16溫度、濕度、灰塵超限★17靜電★18黑客襲擊★★19容量超載★★★20系統(tǒng)管理員權(quán)限濫用★★21密鑰泄露、篡改★★22密鑰濫用★23個體傷害（車禍、疾病等）★24不公正待遇★25社會工程★26人為劫難：瘟疫、火災(zāi)、爆炸、恐怖襲擊等★★★★27自然劫難：地震、洪水、臺風(fēng)、雷擊等★★★★28服務(wù)供應(yīng)商泄密★5.1威脅數(shù)據(jù)采集5.2威脅描述與分析根據(jù)《威脅賦值表》，對資產(chǎn)進(jìn)行威脅源和威脅行為分析。5.2.1威脅源分析填寫《威脅源分析表》。5.2.2威脅行為分析填寫《威脅行為分析表》。5.2.3威脅能量分析5.3威脅賦值威脅發(fā)生也許性級別對照表級別說明發(fā)生也許性1低非級別2與級別3定義2中每半年至少發(fā)生一次但不及級別33高每月至少發(fā)生兩次闡明：判斷威脅浮現(xiàn)頻率是威脅辨認(rèn)重要工作，評估者應(yīng)依照經(jīng)驗和（或）關(guān)于記錄數(shù)據(jù)來進(jìn)行判斷。在風(fēng)險評估過程中，還需要綜合考慮如下三個方面，以形成在某種評估環(huán)境中各種威脅浮現(xiàn)頻率：1)以往安全事件報告中浮現(xiàn)過威脅及其頻率記錄；2)實際環(huán)境中通過檢測工具以及各種日記發(fā)現(xiàn)威脅及其頻率記錄；3)近一兩年來國際組織發(fā)布對于整個社會或特定行業(yè)威脅及其頻率記錄，以及發(fā)布威脅預(yù)警。六、脆弱性辨認(rèn)與分析按照檢測對象、檢測成果、脆弱性分析分別描述如下各方面脆弱性檢測成果和成果分析。6.1常規(guī)脆弱性描述編號大類編號小類及闡明1環(huán)境和基本設(shè)施1.1物理保護(hù)缺少：建筑物、門、窗等1.2物理訪問控制不充分或不仔細(xì)1.3電力供應(yīng)不穩(wěn)1.4處在易受到威脅場合，例如洪水、地震1.5缺少防火、防雷等保護(hù)性辦法2硬件2.1缺少周期性設(shè)備更新方案2.2易受電壓變化影響2.3易受到溫度、濕度、灰塵和污垢影響2.4易受到電磁輻射2.5媒體介質(zhì)缺少維護(hù)或錯誤安裝2.6缺少有效配備變更控制2.7缺少設(shè)施安全控制機(jī)制2.8不當(dāng)維護(hù)2.9不當(dāng)處置3軟件3.1不清晰、不完整開發(fā)規(guī)格闡明書3.2沒有、或不完備軟件測試3.3復(fù)雜顧客界面3.4缺少標(biāo)示和授權(quán)機(jī)制，例如顧客授權(quán)3.5缺少審核蹤跡3.6眾所周知軟件缺陷，易受病毒等襲擊3.7密碼表未受到保護(hù)3.8密碼強(qiáng)度太弱3.9訪問權(quán)限錯誤配備3.10未經(jīng)控制下載和使用軟件3.11離開工作常所未注銷（鎖屏）3.12缺少有效變更控制3.13文檔缺少3.14缺少備份3.15處置或重用沒有對的擦除內(nèi)容存儲介質(zhì)3.16缺少加解密使用方略3.17缺少密鑰管理3.18缺少身份鑒別機(jī)制3.19缺少補(bǔ)丁管理機(jī)制3.20安裝、使用盜版軟件3.21缺少使用監(jiān)控3.22未經(jīng)授權(quán)復(fù)制或傳播軟件（允許）3.23缺少（文獻(xiàn)）共享安全方略3.24缺少服務(wù)/端口安全方略3.25缺少病毒庫升級管理機(jī)制3.26不受控發(fā)布公共信息4網(wǎng)絡(luò)與通信4.1通信線路缺少保護(hù)4.2電纜連接不牢固4.3對發(fā)送和接受方缺少辨認(rèn)與驗證4.4明文傳播口令4.5發(fā)送與接受消息時缺少證據(jù)4.6撥號線路4.7未保護(hù)敏感信息傳播4.8網(wǎng)絡(luò)管理不恰當(dāng)4.9未受保護(hù)公網(wǎng)連接4.10缺少身份鑒別機(jī)制4.11未配備或錯誤配備訪問權(quán)限5文檔5.1存儲缺少保護(hù)5.2不受控訪問或復(fù)制5.3隨意處置5.4缺少備份機(jī)制6人員6.1員工缺編6.2安全訓(xùn)練不完備6.3缺少安全意識6.4缺少控制機(jī)制6.5缺少員工關(guān)懷/申訴政策6.6不完備招聘/離職程序6.7道德缺失7服務(wù)與普通應(yīng)用弱點(diǎn)7.1單點(diǎn)故障7.2服務(wù)故障響應(yīng)不及時7.3負(fù)載過高7.4缺少安全控制機(jī)制7.5缺少應(yīng)急機(jī)制6.3脆弱性綜合列表威脅發(fā)生也許性級別對照表級別說明發(fā)生也許性1低非級別2與級別3定義2中每半年至少發(fā)生一次但不及級別33高每月至少發(fā)生兩次闡明：判斷威脅浮現(xiàn)頻率是威脅辨認(rèn)重要工作，評估者應(yīng)依照經(jīng)驗和（或）關(guān)于記錄數(shù)據(jù)來進(jìn)行判斷。在風(fēng)險評估過程中，還需要綜合考慮如下三個方面，以形成在某種評估環(huán)境中各種威脅浮現(xiàn)頻率：1)以往安全事件報告中浮現(xiàn)過威脅及其頻率記錄；2)實際環(huán)境中通過檢測工具以及各種日記發(fā)現(xiàn)威脅及其頻率記錄；3)近一兩年來國際組織發(fā)布對于整個社會或特定行業(yè)威脅及其頻率記錄，以及發(fā)布威脅預(yù)警。七、風(fēng)險分析7.1核心資產(chǎn)風(fēng)險計算成果信息安全風(fēng)險矩陣計算表威脅發(fā)生也許性低1中2高3影響限度級別低1中2高3低1中2高3低1中2高3資產(chǎn)價值1123246369224648126121833696121891827闡明：在完畢了資產(chǎn)辨認(rèn)、威脅辨認(rèn)、弱點(diǎn)辨認(rèn)，以及對已有安全辦法確認(rèn)后，將采用恰當(dāng)辦法擬定威脅運(yùn)用弱點(diǎn)導(dǎo)致安全事件發(fā)生也許性，考慮安全事件一旦發(fā)生其所作用資產(chǎn)重要性及弱點(diǎn)嚴(yán)重限度判斷安全事件導(dǎo)致?lián)p失對組織影響，即安全風(fēng)險。風(fēng)險計算方式如下，風(fēng)險值＝弱點(diǎn)被運(yùn)用也許性級別X威脅運(yùn)用弱點(diǎn)影響限度級別X資產(chǎn)價值信息安