风险评估原则-脆弱性参考列表

风险评估准则资产价值计算方法：资产价值 = 保密性赋值＋完整性赋值＋可用性赋值风险值计算方法： 风 险 值 = 资产等级＋威胁性赋值＋脆弱性赋值资产等级、风险等级评定方法：见下要素准则数据资产实体资产软件资产文件资产服务资产人员资产保密性按信息的访问权限等级或信息的存储、传输及处理设施/人员涉及信息的访问权限等级来评估资产保密性的要求等级访问权限赋值存储、传输及处理信息的访问权限赋值存储、传输及处理信息的访问权限赋值存储、传输及处理信息的访问权限赋值存储、传输及处理信息的访问权限赋值岗位接触信息的访问权限赋值对公司及外部都是公开的1对公司及外部都是公开的1对公司及外部都是公开的1对公司及外部都是公开的1对公司及外部都是公开的1对公司及外部都是公开的1对公司内部所有员工是公开的2对公司内部所有员工是公开的2对公司内部所有员工是公开的2对公司内部所有员工是公开的2对公司内部所有员工是公开的2对公司内部所有员工是公开的2只限于公司某个部门或职能可以访问的信息3只限于公司某个部门或职能可以访问的信息3只限于公司某个部门或职能可以访问的信息3只限于公司某个部门或职能可以访问的信息3只限于公司某个部门或职能可以访问的信息3只限于公司某个部门或职能可以访问的信息3只限于公司中层管理人员以上或部门少数关键人员可以访问的信息4只限于公司中层管理人员以上或部门少数关键人员可以访问的信息4只限于公司中层管理人员以上或部门少数关键人员可以访问的信息4只限于公司中层管理人员以上或部门少数关键人员可以访问的信息4只限于公司中层管理人员以上或部门少数关键人员可以访问的信息4只限于公司中层管理人员以上可以访问的信息4只限于公司高层管理人员或公司少数关键人员可以访问的信息5只限于公司高层管理人员或公司少数关键人员可以访问的信息5只限于公司高层管理人员或公司少数关键人员可以访问的信息5只限于公司高层管理人员或公司少数关键人员可以访问的信息5只限于公司高层管理人员或公司少数关键人员可以访问的信息5只限于公司高层管理人员或少数关键人员可以访问的信息5要素准则数据资产实体资产软件资产文件资产服务资产人员资产完整性按资产的准确性或完整性受损，而造成组织的业务持续或形象声誉受影响的严重程度来评估影响程度赋值影响程度赋值影响程度赋值文件类别赋值影响程度赋值岗位范围赋值可以忽略1可以忽略1可以忽略1可以忽略1可以忽略1实习员工\外聘临时工1轻微2轻微2轻微2轻微2轻微2一般员工2一般3一般3一般3一般3一般3技术、管理、财务等方面的骨干人员3严重4严重4严重4严重4严重4中层管理人员4非常严重5非常严重5非常严重5非常严重5非常严重5高层管理人员5要素准则数据资产实体资产软件资产文件资产服务资产人员资产可用性按资产使用或允许中断的时间次数来评估数据存储、传输及处理设施在一个工作日内允许中断的次数或时间比例赋值每次中断允许时间赋值使用频次要求赋值使用频次赋值使用频次要求赋值允许离岗时间赋值16次以上或全部工作时间中断13天以上1每年都要使用至少1次1每年都要使用至少1次1每年都要使用至少1次110个工作日及以上1 9-15次或1/2工作时间中断21－3天2每个季度都要使用至少1次2每个季度都要使用至少1次2每个季度都要使用至少1次26-9工作日2 3-8次或1/4工作时间中断312小时－1天3每个月都要使用至少1次3每个月都要使用至少1次3每个月都要使用至少1次33-5个工作日3 1-2次或1/8工作时间中断43小时－12小时4每周都要使用至少1次4每周都要使用至少1次4每周都要使用至少1次42个工作日4不允许50－3小时5每天都要使用至少1次5每天都要使用至少1次5每天都要使用至少1次51个工作日5要素标识相对价值范围等级资产重要程度资产等级很高23,25,274重要资产高17,19,213一般资产一般11,13,152一般资产低3,5,7,91一般资产要素标识发生的频率等级威胁利用弱点导致危害的可能性很高出现的频率很高（或≥1 次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过5高出现的频率较高（或≥ 1 次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过4一般出现的频率中等（或> 1 次/半年）；或在某种情况下可能会发生；或被证实曾经发生过3低出现的频率较小；或一般不太可能发生；或没有被证实发生过2很低威胁几乎不可能发生；仅可能在非常罕见和例外的情况下发生1要素标识严重程度等级脆弱性被威胁利用后的严重性很高如果被威胁利用，将对公司重要资产造成重大损害5高如果被威胁利用，将对重要资产造成一般损害4一般如果被威胁利用，将对一般资产造成重要损害 3低如果被威胁利用，将对一般资产造成一般损害2很低如果被威胁利用，将对资产造成的损害可以忽略1常见威胁ID威胁威胁方影响资产利用弱点可能性影响风险R01篡改恶意人员业务数据系统缺陷，网络缺陷低高低R02传输信息泄漏恶意人员业务数据网络线路中高中R03配置错误维护人员应用系统，业务数据运行管理流程缺陷中中低低高高R04冒名访问恶意人员业务数据运行管理流程缺陷、帐户口令泄漏R05病毒感染维护人员、用户业务数据，应用系统系统缺陷、运行管理缺陷低高低R06业务信息泄漏用户业务数据运行管理流程缺陷低高低R07攻击恶意人员应用系统，业务数据系统缺陷，网络缺陷中高高R08操作抵赖维护人员，用户应用系统，业务数据操作记录低中低R09越权访问用户应用系统，业务数据系统配置缺陷中低低R10设备物理破坏恶意人员应用系统，业务数据设备物理安全漏洞低高低威胁分类表常见脆弱性脆弱性识别内容表。

1物理脆弱性检测主要是对场所环境 (计算机网络专用机房内部环境、外部环境和各网络终端工作间)、电磁环境(内部电磁信息泄露、外部电磁信号干扰或者冲击)、设备实体(网络设备、安全防护设备、办公设备)、路线进行检测，通过问卷调查和现场技术检测方式，得出物理方面存在的脆弱性。

1.1检查地理位置选择是否合理GB/T 20984机房技术交流、现场查看问询机房具体地址查看机房所在地是否划分主机房、辅助区、支持区、行政管理区等相应区域高中低检查主机房划分是否合理GB/T 20984机房技术交流、现场查看问询主机房划分高中低检查辅助区划分是否合理GB/T 20984机房技术交流、现场查看问询辅助区划分高中低检查支持区划分是否合理GB/T 20984机房技术交流、现场查看问询支持区划分高中低检查行政管理区划分是否合理GB/T 20984机房技术交流、现场查看问询行政管理区划分高中低检查是否远离水灾、火灾隐患区域。

GB/T 20984机房技术交流、现场查看对机房周边环境进行查看和问询高中低是否远离产生粉尘、油烟、有害气体以及生产或者贮存具有腐蚀性、易燃、易爆物品的场所。

GB/T 20984机房技术交流、现场查看对机房周边环境进行查看和问询高中低是否远离强振源和强噪声源。

GB/T 20984机房技术交流、现场查看对机房周边环境进行查看和问询高中低是否避开强电磁场干扰。

GB/T 20984机房技术交流、现场查看对机房周边环境进行查看和问询高中低检查电力供给是否稳定可靠，交通、通信是否便捷，自然环境是否清洁。

GB/T 20984机房技术交流、现场查看对机房周边环境进行查看和问询高中低是否设置了二氧化碳或者卤代烷灭火设备，摆放位置如何，有效期是否合格，是否定期检查。

GB/T 20984机房手持灭火设备技术交流、现场查看请机房管理人员带领去查看手持灭火器；每一个门口至少应有1个以上的手持灭火器；检查手持灭火器的有效期；检查手持灭火器的检查记录，若没有，需向负责人员索要。

绵竹市精神病医院灾害脆弱性分析评分表科室：时间：灾害脆弱性分析方法1.发生概率在确定事件发生的概率时，可以参考已知的数据、以往的历史数据、有关机构的统计数据、专家评价、上级应急预案的要求等。

2.人员伤害评价人员伤害时，要考虑可能造成的工作人员伤亡、病人与来访者的死亡、伤者的预后、情感和心理的影响等3.财产损失估计财产损失时，要计算更新的费用、建立临时替代设施的费用、维修的费用、恢复正常所需要的时间等。

4.服务影响要关注正常工作的中断、关键物资供应的中断、外部服务的中断、职员的减员、病人到达的受阻、不能履约的情况、不能遵守规定的情况、可能的法律纠纷、公共声誉和形象的损失、医院财务负担的增加等。

5.应急准备要注意应急预案是否完善、是否经常开展应急演练、是否对工作人员进行了必要的培训、应急物资的情况、应急支援的情况等。

6.内部反应在评级内部反应的能力时，要考虑到做出有效反应所需要的时间、目前的物资种类和数量能否满足需要、工作人员掌握相关技能的情况、对事件严重程度和持续时间的预计、有无后背机制、上一级应急预案的要求等。

7.外部反应在评价外部支持时，要考虑国家和本地的应急反应能力、有关机构签订相互援助协议的情况、与其他同类医院协调的情况、社区志愿者的情况、与物资供应机构签订的应急供应计划或合同的情况等。

绵竹市精神病医院灾害脆弱性分析评分表科室：时间：灾害脆弱性分析方法1.发生概率在确定事件发生的概率时，可以参考已知的数据、以往的历史数据、有关机构的统计数据、专家评价、上级应急预案的要求等。

2.人员伤害评价人员伤害时，要考虑可能造成的工作人员伤亡、病人与来访者的死亡、伤者的预后、情感和心理的影响等3.财产损失估计财产损失时，要计算更新的费用、建立临时替代设施的费用、维修的费用、恢复正常所需要的时间等。

4.服务影响要关注正常工作的中断、关键物资供应的中断、外部服务的中断、职员的减员、病人到达的受阻、不能履约的情况、不能遵守规定的情况、可能的法律纠纷、公共声誉和形象的损失、医院财务负担的增加等。