信息安全风险评估表

《信息安全风险评估表》由会员分享，可在线阅读，更多相关《信息安全风险评估表（9页珍藏版）》请在装配图网上搜索。

1、选择控制目标和控制措施控制后残余风险剩余风险评估序号资产名称（标识）资产类别功能描述所属部门责任人资产重要性值保密性（C）完整性（I）可用性法律与法规符合性（L）威胁表现威胁程度脆弱性表现度脆弱程固有风险值固有风险等级现有控制措施描述威胁程度脆弱程度现有风险值1总经理LB1001主导公司业务王二165443人身意外4可能遭受环境灾害或其他意外事故53204提高自身安全442562总经理LB1001主导公司业务王二165443无意泄露公司机密3缺乏相关安全操作流程和法律意识52403制定操作流程;制定了一些安全控制措施,但措施不够和增强法律意识341923总经理PCLB5001一般办公王二134

2、333恶意代码（如病毒、逻辑炸弹、木马）5缺乏安全意识53254安装防杀毒软件542604总经理PCLB5001一般办公王二134333系统漏洞4缺乏安全意识52603设置自动更新补丁服务442085总经理PCLB5001一般办公王二134333系统入侵4缺乏安全意识52603加强员工教育。442086总经理PCLB5001一般办公王二134333未经授权的系统访问4弱的密码管理42083权限设置须申请;审批431567总经理PCLB5001一般办公综合管理部王二134333意外断电3缺乏意识41562无331178总经理PCLB5001一般办公综合管理部王二134333丢失3丢失31172专

3、人专有场所保管。32789总经理PCLB5001一般办公综合管理部王二134333遭盗用3被不法分子利用31专人保管设置权限加强安全教育327810公司法人章财务专用章LB5002LB5003公司法人章财务专用章综合管理部/财务部王一/张一134333丢失4丢失42083专人专有场所保管。4315611公司法人章财务专用章LB5002LB5003公司法人章财务专用章综合管理部/财务部王一/张一134333遭盗用3被不法分子利用31172专人保管设置权限加强安全教育327812经理LB1001负责公司技术研发工作软件研发中心王三165443人员流动4被其他更高薪水或职位的公司所聘请42563保密

4、协议、合同、法律的约束。4319213经理LB1001负责公司技术研发工作软件研发中心王三165443兜售公司其重要信息3可能被其他公司所利用导致人员被挖走31442增强员工法律、安全意识培训329614电子邮件数据LB2001一般办公软件研发中心王三124332设备故障4缺乏定期更换计划52403环境控制4314415电子邮件数据LB2001一般办公软件研发中心王三124332软件本身存在的漏洞4缺乏定期更换计划41922设置自动更新补丁服务4314416电子邮件数据LB2001一般办公软件研发中心王三124332丢失3丢失31082加强员工教育。327217电子邮件数据LB2001一般办公

5、软件研发中心王三124332遭盗用3被不法分子利用41442专人保管设置权限加强安全教育3310818程序源代码LB2002一般办公软件研发中心王三205555设备故障4缺乏定期更换计划54004环境控制4324019程序源代码LB2002一般办公软件研发中心王三205555软件本身存在的漏洞4缺乏定期更换计划43204设置自动更新补丁服务4324020程序源代码LB2002一般办公软件研发中心王三205555丢失3丢失31802加强员工教育。3212021程序源代码LB2002一般办公软件研发中心王三205555遭盗用3被不法分子利用42403专人保管设置权限加强安全教育3318022设计文

6、档LB2003一般办公软件研发中心王三165443设备故障4缺乏定期更换计划53204环境控制4319223设计文档LB2003一般办公软件研发中心王三165443软件本身存在的漏洞4缺乏定期更换计划42563设置自动更新补丁服务4319224设计文档LB2003一般办公软件研发中心王三165443丢失3丢失31442加强员工教育。329625设计文档LB2003一般办公软件研发中心王三165443遭盗用3被不法分子利用41922专人保管设置权限加强安全教育3314426SVNLB3002配置管理软件研发中心王三165443恶意代码（如病毒、逻辑炸弹、木马）5缺乏安全意识54004安装防杀毒软

7、件5432027OA系统服务器LB5001一般办公软件研发中心王三165443恶意代码（如病毒、逻辑炸弹、木马）5缺乏安全意识54004安装防杀毒软件5432028经理PCLB5001一般办公软件研发中心王三165443系统漏洞4缺乏安全意识53204设置自动更新补丁服务4425629经理PCLB5001一般办公软件研发中心王三165443系统入侵4缺乏安全意识53204加强员工教育。4425630经理PCLB5001一般办公软件研发中心王三165443未经授权的系统访问4弱的密码管理42563权限设置须申请;审批4319231经理PCLB5001一般办公软件研发中心王三165443意外断电3

8、缺乏意识41922无3314432经理PCLB5001一般办公软件研发中心王三165443丢失3丢失31442专人专有场所保管。3296资产资产重要性固有风险评估现有控制措施现有风险等级ISO27001附录A条款ISO27001附录A控制措施资产责任部门/责任人控制措施实施责任部门控制措施实施责任人计划开始时间计划完成时间实际开始时间实际完成时间相关体系文件威胁程度脆弱性表现风险值实际实施控制措施有效性残余风险等级是否接受34425643YES2应实施恶意代码的监3419242YES3A.10.4.1测、预防和恢复的控制措施，以及适当的软件研发中峰二2013/3/282013/4/72013/

9、4/12013/4/7见SOA5213042YES提高用户安全意识的应建立对新的信息系0心3A.10.3.2统、升级及新版本的验收准则，并且在开软件研发中峰二2013/3/282013/4/72013/4/12013/4/7见SOA4315642YES发中和验收前对系统应实施恶意代码的监0心3A.10.4.1测、预防和恢复的控制措施，以及适当的软件研发中峰二2013/3/282013/4/72013/4/12013/4/7见SOA4315642YES提高用户安全意识的访问控制策略应建立0心2A.11.1.1、形成文件，并基于业务和访问的安全要软件研发中峰二2013/3/282013/4/720

10、13/4/12013/4/7见SOA4210442YES求进行评审。应保护设备使其免于0心2A.9.2.2由支持性设施的失效而引起的电源故障和软件研发中峰二2013/3/282013/4/72013/4/12013/4/7见SOA327841YES其他中断。综合管理部心1327841YES1327841YES24315642YES1327841YES24319242YES1329641YES2212441YES2133641YES1212441YES2133641YES3214041YES3136041YES2214041YES2136041YES2213241YES2134841YES121

11、3241YES2应实施恶意代码的监134841YES4A.10.4.1测、预防和恢复的控制措施，以及适当的软件研发中软件研发中峰二2013/3/282013/4/72013/4/12013/4/7见SOA5216042YES提高用户安全意识的应实施恶意代码的监心心4A.10.4.1测、预防和恢复的控制措施，以及适当的软件研发中软件研发中峰二2013/3/282013/4/72013/4/12013/4/7见SOA5216042YES提高用户安全意识的应建立对新的信息系心心3A.10.3.2统、升级及新版本的验收准则，并且在开软件研发中软件研发中峰二2013/3/282013/4/72013/4

12、/12013/4/7见SOA4319242YES发中和验收前对系统应实施恶意代码的监心心3A.10.4.1测、预防和恢复的控制措施，以及适当的软件研发中软件研发中峰二2013/3/282013/4/72013/4/12013/4/7见SOA4319242YES提高用户安全意识的访问控制策略应建立心心2A.11.1.1、形成文件，并基于业务和访问的安全要软件研发中软件研发中峰二2013/3/282013/4/72013/4/12013/4/7见SOA4212842YES求进行评审。应保护设备使其免于心心2A.9.2.2由支持性设施的失效而引起的电源故障和软件研发中软件研发中峰二2013/3/28

13、2013/4/72013/4/12013/4/7见SOA329641YES其他中断。心心1329641YESVCCTCMCCl、TAnA5443遭盗用3被不法分子利用31442一般办公软件研发中心程序开发员PC-A程序开发员LB5002PC-BLB5003程序开发员LB5004PC-CLB5005程序开发员PC-D程序开发员PC-A程序开发员LB5002PC-BLB5003程序开发员LB5004PC-CLB5005程序开发员PC-D程序开发员PC-A程序开发员LB5002PC-BLB5003程序开发员LB5004PC-CLB5005程序开发员PC-D程序开发员PC-A程序开发员LB5002PC

14、-BLB5003程序开发员LB5004PC-CLB5005程序开发员PC-D程序开发员PC-A程序开发员LB5002PC-BLB5003程序开发员LB5004PC-CLB5005程序开发员PC-D程序开发员PC-A程序开发员LB5002PC-BLB5003程序开发员LB5004PC-CLB5005程序开发员PC-D程序开发员PC-A程序开发员LB5002PC-BLB5003程序开发员LB5004PC-CLB5005程序开发员PC-D经理PCLB5001一般办公一般办公一般办公一般办公一般办公一般办公一般办公数据采集器LB5008合同，协议软件研发中心软件研发中心软件研发中心软件研发中心软件研发

15、中心软件研发中心软件研发中心软件研发中心三二二二二二二二二王张胡曾黄张胡曾黄二二二二二二二二张胡曾黄张胡曾黄二二二二张胡曾黄二二二二二二二二张胡曾黄张胡曾黄恶意代码（如病毒、逻辑炸弹、木马）3系统漏洞3系统入侵3未经授权的系统访问3意外断电3丢失5缺乏安全意识4缺乏安全意识4缺乏安全意识4弱的密码管理3缺乏意识3丢失3遭盗用32设备故障3532545260352603420834156231172被不法分子利用缺乏定期更换计划31172390133343536373839404142434445464748495051525354555443遭盗用3被不法分子利用314425443遭盗用3被不

16、法分子利用31442数据采集器LB5008合同，协议软件研发中心马二条码打印机LB5009条码打印机软件研发中心马二条码打印机LB5009条码打印机软件研发中心马二汽车LB5010交通工具综合管理部林二汽车LB5010交通工具综合管理部林二项目经理LB1001负责公司项目实施工作项目管理部口一天一项目经理LB1001负责公司项目实施工作项目管理部口一天一信息安全管理员LB1002负责公司网络，服务器维护软件研发中心马二信息安全管理员LB1002负责公司网络，服务器维护软件研发中心马二102332丢失9233I设备故障9233I丢失10I342设备故障10I342丢失124332人员流动1243

17、32兜售公司其重要信息II3332人员流动II3332兜售公司其重要信息4丢失520023缺乏定期更换计划381I4丢失518023缺乏定期更换计划390I4丢失520024被其他更高薪水或职位的公司所聘请419223可能被其他公司所利用导致人员被挖走31082被其他更高薪水或职位的公司所聘请可能被其他公司所利用导致人员被挖走5443遭盗用3被不法分子利用314425443遭盗用3被不法分子利用31442需求分析书LB2002需求分析书项目管理部吴二124设备故障缺乏定期更换计划524035443遭盗用3被不法分子利用314425443遭盗用3被不法分子利用31442需求分析书LB2002需求

18、分析书项目管理部口一天一1243需求分析书LB2002需求分析书项目管理部口一天一1243需求分析书LB2002需求分析书项目管理部口一天一1243WindowsLB40012000windows7windowsXP360卫士office2007LB4002LB4003LB4004LB4005LB4006系统软件办公软件开发软件数据库软件软件研发中心马二1023office2003LB400732软件本身存在的漏洞4缺乏定期更换计划4192232丢失3丢失3108232遭盗用3被不法分子利用4144232设备故障3缺乏定期更换计划390I32961329641YES542603A.10.4.1

19、应实施恶意代码的监测、预防和恢复的控制措施，以及适当的提高用户安全意识的峰二2013/3/282013/4/72013/4/12013/4/7见SOA5319542YES程序。软件研发中心软件研发中心442083A.10.3.2应建立对新的信息系统、升级及新版本的验收准则，并且在开发中和验收前对系统进行适当的测试。软件研发中心软件研发中心峰二2013/3/282013/4/72013/4/12013/4/7见SOA4315642YES442083A.10.4.1应实施恶意代码的监测、预防和恢复的控制措施，以及适当的提高用户安全意识的峰二2013/3/282013/4/72013/4/12013

20、/4/7见SOA4315642YES程序。软件研发中心软件研发中心156访问控制策略应建立人I11、形成文件，并基于业务和访问的安全要求进行评审。软件研发中软件研发中心心峰二2013/3/282013/4/72013/4/12013/4/7见SOA4210442YES331172应保护设备使其免于AQ99由支持性设施的失效而引起的电源故障和其他中断。软件研发中软件研发中心心峰二2013/3/282013/4/72013/4/12013/4/7见SOA327841YES278127841YES32781327841YES32601326041YES4416024312042YES32541325

21、441YES4414424310842YES32601326041YES4416024312042YES4314424314442YES32721327241YES4313224313242YES32661326641YES431442212441YES431442133641YES32721212441YES331082133641YES32601326021YESVCCTCMCPinaWindowsLB40012000LB4002windows7LB4003windowsXPLB4004360卫士LB4005office2007LB4006office2003实施用PC测试用PC实施经理P

22、C信息安全管理员PC实施用PC测试用PC实施经理PC信息安全管理员PC实施用PC测试用PC实施经理PC信息安全管理员PC实施用PC测试用PC实施经理PC信息安全管理员PC实施用PC测试用PC实施经理PC信息安全管理员PC实施用PC测试用PC实施经理PC信息安全管理员PC实施用PC测试用PC实施经理PC信息安全管理员PCLB4007LB5001LB5002LB5003LB5003LB5001LB5002LB5003LB5003LB5001LB5002LB5003LB5003LB5001LB5002LB5003LB5003LB5001LB5002LB5003LB5003LB5001LB5002LB

23、5003LB5003LB5001LB5002LB5003LB5003系统软件办公软件开发软件数据库软件一般办公一般办公一般办公一般办公一般办公一般办公一般办公数据览服务Lb5005工程登记表器数据畫服务LB5005工程登记表数据畫服务LB5005工程登记表数据览服务Lb5005工程登记表器软件研发中马二心一软件研发中马二心一软件研发中心软件研发中心软件研发中马二心一软件研发中马二心一软件研发中心软件研发中马二心一软件研发中心软件研发中马二心一软件研发中马二心一软件研发中心195195195195332软件本身存在的漏洞3332恶意代码（如病毒、逻辑炸弹、木马）5332系统漏洞4332系统入侵4

24、332未经授权的系统访问4332意外断电3332丢失3332遭盗用3缺乏定期更换计划设置自动更新补丁服务缺乏安全意识53003安装防杀毒软件缺乏安全意识52403设置自动更新补丁服务缺乏安全意识52403加强员工教育。弱的密码管理缺乏意识丢失被不法分子利用41922权限设置须申请；审批4144231082专人专有场所保管。专人保管设置权限加强安全教育恶意代码（如病毒、逻辑炸弹、木马）缺乏安全意识54755安装防杀毒软件系统漏洞系统入侵54未经授权的系统访问4缺乏安全意识缺乏安全意识弱的密码管理设置自动更新补丁服务53804加强员工教育。43044权限设置须申请；审批56575859606162

25、6364656667686970717273747576777879808182数据库服务TR,nnf-tt0LB5005器工程登记表软件研发中心马二195554数据库服务TRf-nnf-aaLB5005器工程登记表软件研发中心马二195554意外断电3缺乏意识42283无丢失3丢失31712专人专有场所保管。数据库服务器LB5005工程登记表软件研发中心马二195554调制解调器路由器LB5006LB5007一般办公软件研发中心马二92322HubLB5008调制解调器路由器Hub程控电话交LB5006LB5007LB5008LB5009一般办公软件研发中心马二92322移鵲盘LB5010U

26、盘激光打印机发票打印机LB5011LB5012LB5013一般办公软件研发中心马二102332盧馳西U盘激光打印机发票打印机LB5011LB5012LB5013一般办公软件研发中心马二102332复印机LB5016机柜UPSLB5018LB5019一般办公软件研发中心马二91332机柜UPSLB5018LB5019一般办公软件研发中心马二91332网络服务协议LB6001第三方服务综合管理部林二143443厦门263邮箱服务LB6002第三方服务综合管理部林二143443中国电信电话服务LB6003第三方服务综合管理部林二102332铁通电话服务LB6004第三方服务综合管理部林二102332

27、项目投标标书LB2001一般办公市场部川二113332项目投标标书LB2001一般办公市场部川二113332遭盗用3被不法分子利用31712专人保管设置权限加强安全教育设备故障3缺乏定期更换计划3811环境控制丢失4丢失51802专人专有场所保管。设备故障3缺乏定期更换计划3901环境控制丢失4丢失52002专人专有场所保管。设备故障3缺乏定期更换计划3811环境控制丢失4丢失51802专人专有场所保管。服务中断3公司设备依赖于保障资源31262签定第三方安全协议服务中断3公司设备依赖于保障资源31262签定第三方安全协议服务中断3公司设备依赖于保障资源3901签定第三方安全协议服务中断3公司

28、设备依赖于保障资源3901签定第三方安全协议设备故障4缺乏定期更换计划52203环境控制木身存在的漏洞4缺乏定期更换计划41762设置自动更新补丁服务2601326021YES35444333544433334343433334442403A.10.4.1应实施恶意代码的监测、预防和恢复的控制措施，以及适当的提高用户安全意识的程序。软件研发中心软件研发中心峰二2013/3/2841922A.10.3.2应建立对新的信息系统、升级及新版本的验收准则，并且在开发中和验收前对系统进行适当的测试。软件研发中心软件研发中心峰二2013/3/2841922A.10.4.1应实施恶意代码的监测、预防和恢复的

29、控制措施，以及适当的提高用户安全意识的程序。软件研发中心软件研发中心峰二2013/3/2831442A.11.1.1访问控制策略应建立、形成文件，并基于业务和访问的安全要求进行评审。软件研发中心软件研发中心峰二2013/3/2831082A.9.2.2应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。软件研发中心软件研发中心峰二2013/3/282013/4/72013/4/12013/4/7见S0A5318042YES2013/4/72013/4/12013/4/7见S0A4314442YES2013/4/72013/4/12013/4/7见S0A4314442YES2013/

30、4/72013/4/12013/4/7见S0A429641YES2013/4/72013/4/12013/4/7见S0A327241YESVCCTCMCPina2601326021YESVCCTCMCPina2601326021YES272127241YES272127241YESVCCTCMCPina2601326021YESVCCTCMCPina2601326021YES应实施恶意代码的监测、预防和恢复的控43804A.10.4.1制措施，以及适当的提高用户安全意识的软件研发中软件研发中峰二2013/3/28程序。心心应建立对新的信息系统、升级及新版本的43044A.10.3.2验收准则，

31、并且在开发中和验收前对系统软件研发中软件研发中峰二2013/3/28进行适当的测试。应实施恶意代码的监测、预防和恢复的控心心43044A.10.4.1制措施，以及适当的提高用户安全意识的软件研发中软件研发中峰二2013/3/28程序。心心访问控制策略应建立32283A.11.1.1、形成文件，并基于业务和访问的安全要软件研发中软件研发中峰二2013/3/28求进行评审。心心应保护设备使其免于31712A.9.2.2由支持性设施的失效而引起的电源故障和软件研发中软件研发中峰二2013/3/28其他中断。心心2013/4/72013/4/12013/4/7见S0A5219042YES2013/4/

32、72013/4/12013/4/7见S0A4215242YES2013/4/72013/4/12013/4/7见S0A417641YES2013/4/72013/4/12013/4/7见S0A4215242YES2013/4/72013/4/12013/4/7见S0A3211442YESVCCTCMCPina2601326021YESVCCTCMCPina2601326021YES21142211442YES21142211442YESVCCTCMCPina2601326021YESVCCTCMCPina2601326021YES2541325441YES414424310842YES2601

33、326041YES416024312042YES2541325441YES414424310842YES2841328441YES2841328441YES2601326041YES2601326041YES31322212241YES31322133341YESVCCTCMCPina83项目投标标书LB2001一般办公市场部川二113332丢失3丢失3991加强员工教育。84项目投标标书LB2001一般办公市场部川二113332遭盗用3被不法分子利用41322专人保管设置权限加强安全教育85销售代表PCLB5001一般办公市场部川二113332恶意代码（如病毒、逻辑炸弹、木马）5缺乏安全意识

34、52753安装防杀毒软件86销售代表PCLB5001一般办公市场部川二113332系统漏洞4缺乏安全意识52203设置自动更新补丁服务87销售代表PCLB5001一般办公市场部川二113332系统入侵4缺乏安全意识52203加强员工教育。88销售代表PCLB5001一般办公市场部川二113332未经授权的系统访问4弱的密码管理41762权限设置须申请；审批89销售代表PCLB5001一般办公市场部川二113332意外断电3缺乏意识41322无90销售代表PCLB5001一般办公市场部川二113332丢失3丢失3991专人专有场所保管。91销售代表PCLB5001一般办公市场部川二113332遭

35、盗用3被不法分子利用3991专人保管设置权限加强安全教育92综合管理部LB1001负责公司行政工作综合管理部林二113332人员流动4被其他更高薪水或职位的公司所聘请41762保密协议、合同、法律的约束。93财务主管LB1001负责公司财务工作财务部张一113332兜售公司其重要信息3可能被其他公司所利用导致人员被挖走3991增强员工法律、安全意识培训94财务报表财务凭证电子档财务数据财务报表财务凭证电子档财务数据LB2001LB2002财务报表财务凭证电子档财务部张一165443设备故障4缺乏定期更换计划53204环境控制95LB2003LB2001LB2002财务数据财务报表财务凭证电子档

36、财务部张一165443软件本身存在的漏洞4缺乏定期更换计划42563设置自动更新补丁服务LB2003财务数据96研务报妾财务凭证电子档财务数据LB2001LB2002财务报表财务凭证电子档财务部张一165443丢失3丢失31442加强员工教育。LB2003财务数据97研务报妾财务凭证电子档财务数据LB2001LB2002LB2003财务报表财务凭证电子档财务数据财务部张一165443遭盗用3被不法分子利用41922专人保管设置权限加强安全教育98项目申报资料LB2006项目申报资料综合管理部林二93222设备故障4缺乏定期更换计划51802环境控制99项目申报资料LB2006项目申报资料综合管

37、理部林二93222软件本身存在的漏洞4缺乏定期更换计划41442设置自动更新补丁服务100项目申报资料LB2006项目申报资料综合管理部林二93222丢失3丢失3811加强员工教育。101项目申报资料LB2006项目申报资料综合管理部林二93222遭盗用3被不法分子利用41082专人保管设置权限加强安全教育102人事行政数据资料LB2007人事行政数据资料综合管理部林二113332设备故障4缺乏定期更换计划52203环境控制103人事行政数据资料LB2007人事行政数据资料综合管理部林二113332软件本身存在的漏洞4缺乏定期更换计划41762设置自动更新补丁服务104人事行政数据资料LB20

38、07人事行政数据资料综合管理部林二113332丢失3丢失3991加强员工教育。105人事行政数据资料LB2007人事行政数据资料综合管理部林二113332遭盗用3被不法分子利用41322专人保管设置权限加强安全教育106财务凭证空白支票财务现金日记账LB3002LB3003财务凭证空白支票财务部张一124332丢失4丢失52403专人专有场所保管。LB3004财务现金日记账107财务凭证空白支票财务现金日记账LB3002LB3003LB3004财务凭证空白支票财务现金日记账财务部张一124332遭盗用4被不法分子利用41922专人保管设置权限加强安全教育108财务凭证空白支票财务现金日记账LB

39、3002LB3003财务凭证空白支票财务部张一124332受潮3纸张本身容易受潮41442环境控制LB3004财务现金日记账109财务凭证空白支票财务现金日记账LB3002LB3003财务凭证空白支票财务部张一124332虫咬2纸张本身容易被咬坏3721环境控制LB3004财务现金日记账no员工档案公司资质复印件LB3007LB3009员工档案公司资质复印件综合管理部林二113332丢失4丢失52203专人专有场所保管。111员工档案公司资质复印件LB3007LB3009员工档案公司资质复印件综合管理部林二113332遭盗用4被不法分子利用41762专人保管设置权限加强安全教育112员工档案公司资质复印件LB3007LB3009员工档案公司资质复印件综合管理部林二113332受潮3纸张本身容易受潮41322环境控制113员工档案公司资质复印件LB3007LB3009员工档案公司资质复印件综合管理部林二113332虫咬2纸张本身容易被咬坏3661环境控制劳动合同、