当前位置:文档之家 › 信息安全评估表

信息安全评估表

  • 格式:doc
  • 大小:421.50 KB
  • 文档页数:28

下载文档原格式

  / 28

合集下载

信息安全风险评估记录表

信息安全风险评估记录表
5
10
4
3
7
70
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
Windows 2003
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
代码控制CVS配置软件
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
0ffice
5
运行错误,无法使用
未及时打补丁
4
4
3
3
6
24
开发人员
10
数据泄密
安全意识欠缺,安全技能欠缺
无杀毒软件
3
6
2
3
5
30
10
无日常维护,打补丁
无法使用
2
4
3
4
7
28
10
硬件以外损坏
无法使用
2
4
3
4
7
28
10
机房不规范
服务器损坏无法使用
5
10
3
1
4
40
10
盗窃
机房不规范
5
10
4
5
9
90
笔记本
10
公司开发软件代码泄密
无拷贝控制
3
6
4
4
8
48
10
人为破环
硬件损坏系统无法正常运行
2
4
3
5
8
32
10
盗窃
10
数据丢失\损坏\篡改
无访问控制

信息安全风险评估调查表

信息安全风险评估调查表
10.安全研发。
5.人员资产情况
.1、信息系统人员情况
岗位名称
岗位描述
人数
兼任人数
填写说明
岗位名称:1、数据录入员;2、软件开发员;3、桌面管理员;4、系统管理员;5、安全管理员;6、数据库管理员;7、网络管理员;8、质量管理员。
6.
文档资产情况
6.1.信息系统安全文档列表
文档类别
文档名称
填写说明
信息系统文档类别:信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档;系统开发程序文件、资料等。
2.2.安全设备情况
安全设备名称
型号(软件/硬件)
物理位置
所属网络区域
IP地址/掩码/网关
系统及运行平台
端口类型及数量
主要用途
是否热备
重要程度
2.3.服务器设备情况
设备名称
型号
物理位置
所属网络区域
IP地址/掩码/网关
操作系统版本/补丁
安装应用系统软件名称
主要业务应用
涉及数据
是否热备
2.4.终端设备情况
检查项
结果
备注
1
信息安全策略
□明确信息安全策略,包括总体目标、范围、原则和安全框架等内容。
□包括相关文件,但内容覆盖不全面。
终端设备名地址/掩码/网关
操作系统
安装应用系统软件名称
涉及数据
主要用途
填写说明
网络设备:路由器、网关、交换机等。
安全设备:防火墙、入侵检测系统、身份鉴别等。
服务器设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等。
终端设备:办公计算机、移动存储设备。
7.
信息系统情况

供应商信息安全风险评估检查表

供应商信息安全风险评估检查表

All areas covered by the **** project must be
2
identified, including but not limited to sensitive raw
materials and equipment areas, storage areas and
warehouse areas, access and transportation routes,
s供ec应ur商ity须po建lic立ie人s, 员reg离ul职ati处on理s a流nd程ot,he至rs,少an要d 关the闭信
息系统帐号和权限,回收存储介质(包含电脑)

2.5
The suppliers must establish a process for employee
1
termination, at least to disable the information
access, such as implement data encryption or data
总得分
leakage prevention.
Subtotal 得分率
Percentage %
1
1 4
50.00%
4、物理与环境安全 4. Physical and environment security
总得分
system accounts and permissions, and return the
Subtotal 得分率
Percentage %
9 90.00%
3、数据和介质管理 3. Data and media management
序号# S/N 3.1

信息安全风险评估表

信息安全风险评估表

信息安全风险评估表序号:日期:项目名称:评估人员:评估范围:版本:风险级别:评估结果:评估目的:信息安全风险评估的目的是为了全面了解项目或组织的信息安全现状,识别可能存在的安全风险,制定合理的安全措施和应对策略,保护信息系统和数据的机密性、完整性和可用性。

评估范围:本次信息安全风险评估涵盖了以下方面:1. 网络基础设施安全2. 服务器和终端设备安全3. 数据库安全4. 应用程序安全5. 身份认证和授权安全6. 信息传输和存储安全7. 业务运作安全8. 内部控制和安全策略9. 外部威胁和风险因素评估方法:本次评估采用了定性和定量相结合的方法,涉及用户调研、系统漏洞扫描、安全策略分析、风险评估模型等多个方面。

评估结果:根据对评估范围内各项安全控制措施的分析和评估,得出以下结果:1. 网络基础设施安全:- 网络设备配置安全性较高,未发现明显漏洞。

- 网络设备的访问控制措施较为完善,但存在一定的改进空间。

- 网络带宽和流量监测不够,可能影响网络性能和安全事件响应能力。

2. 服务器和终端设备安全:- 服务器操作系统补丁更新及时,系统安全性较高。

- 终端设备使用的安全工具和防护措施不够完善,容易受到恶意软件的攻击。

3. 数据库安全:- 数据库访问权限控制基本合理,但存在授权不规范的情况。

- 数据库的备份和恢复策略需要加强,以防止数据丢失和不可用性。

4. 应用程序安全:- 应用程序的代码审查和安全测试工作尚未完善,可能存在安全漏洞。

- 未对应用程序的输入进行充分验证和过滤,容易受到输入验证绕过攻击。

5. 身份认证和授权安全:- 身份认证机制相对安全,但密码策略不够严格,容易被猜解或暴力破解。

- 授权机制较为薄弱,需要加强对访问权限的控制和审计。

6. 信息传输和存储安全:- 信息传输采用了加密手段,保证了传输过程中的机密性。

- 存储介质的加密措施不足,可能导致数据泄露的风险。

7. 业务运作安全:- 业务流程中的安全风险评估和控制不够完善,存在潜在的风险。

信息安全风险评估表

信息安全风险评估表

信息安全风险评估表
精心整理
表1:基本信息调查
1.硬件资产情况
1.1.网络设备情况
网络设备名称、型号、物理位置、所属网络区域、IP地
址/掩码/网关、系统软件及版本、端口类型及数量、主要用途、是否热备、重要程度。

1.2.安全设备情况
安全设备名称、型号、软件/硬件位置、所属网络区域、
IP地址/掩码/网关、操作系统版本/补丁、安装应用系统软件名称、主要业务应用、涉及数据、是否热备。

1.3.服务器设备情况
服务器设备型号、物理位置。

1.4.终端设备情况
终端设备名称、型号、物理位置、所属网络、设备数量、IP地址/掩码/网关、操作系统版本。

2.软件资产情况
2.1.系统软件情况
系统软件名称、版本、开发商、软件厂商、硬件/软件平台、C/S或B/S模式、B/S硬件平台、涉及数据、涉及应用系统、现有用户数量、主要用户角色。

2.2.应用软件情况
应用系统软件名称、涉及数据。

3.文档资产情况
3.1.信息系统安全文档列表
信息系统文档类别、文档名称。

4.信息系统情况
4.1、系统网络拓扑图
网络结构图要求:标识网络设备、服务器设备和主要终端设备及其名称;标识服务器设备的IP地址;标识网络区域划分等情况。

信息安全风险评估表

信息安全风险评估表
资产的类型、赋值、所处位置相同时,可合在一起进行风险评估。 2.威胁、脆弱性统一赋值原则
资产的类型、所处位置相同,但资产赋值不同时,若采取的控制措施相 同,威胁及脆弱性的赋值基本保持一致。 3.残余风险赋值原则
如果风险可接受,暂不采取除现有控制措施以外的控制措施时,残余风 险与风险值一致。
的参考说明。
附录2-威胁、脆弱性对照表 附录3-风险等级对照表
按照资产类别排序的威胁、脆弱性对照表,用于资产风险 识风别险。计算结果对应风险等级的参照表,用于确定风险级别 。
资产识别 资产赋值 风险评估
注意事项
信息系统包含的资产主要指与信息系统直接相关的资产,如 信息:信息系统上传输的数据、信息系统的设计开发文档 软件:信息系统正常运行所需的应用、中间件、数据库、操作系统等 硬件:信息系统正常运行所需的服务器、小型机、磁盘柜等 关键活动包含的资产主要指活动进行所必须的6类资产,如 硬件:各部门用于存储、处理、传输日常办公及客户信息的各种设备和介 质,例 如移动硬盘、台式机、计算机等。 软件:各种本部门安装使用的软件,包括操作系统、中间件、数据库、应用 软件、工具应用软件、终端安全软件等。 信息:括各种业务相关的电子类及纸质的文件资料,可按照部门现有文件明 细列举。 人员:本部门各种对信息资产进行使用、操作和支持的人员角色,含为部门 提供各种服务的外部人员(例如长期驻场外包人员)。 物理环境:承载硬件资产和信息资产的设施。非计算机硬件类的实体。 服务:各种本部门通过购买方式获取的,或者需要支持部门特别提供的,支 持或协助日常业务进行的服务。
信息安全风险评估清单
编 号1 步骤1-业务影响分析
2 步骤2-资产清单 3 步骤3-风险清单 4 步骤4-风险处置计划
文档目录及说明

信息安全风险评估脆弱性识别操作系统脆弱性表格《T》

信息安全风险评估脆弱性识别操作系统脆弱性表格《T》
整性标签应随数据一起流动,系统应保证低完整性的数据不能插入、覆盖到高完整性的数据;
d 对操作系统中处理的数据,应按回退的要求设计相应的 SSOOS 安全功能模块,进行异常情况
的操作序列回退,以确保用户数据的完整性;系统应保证在处理过程中不降低数据完整性的级别;
用户数据保密性
a应确保动态分配与管理的资源,在保持信息安全的情况下被再利用,主要包括:
——自动检查文件与磁盘表面是否完好;
——将磁盘表面的问题自动记录下来;
——随时检查、诊断和修复磁盘上的错误;
——修复扇区交错和扇区流失;
——将数据移到好的扇区;
——可增加硬盘数据备份和修复程序,将硬盘中的数据压缩、备份,并在必要时恢复;
c 在操作系统内部传输的用户数据,如进程间的通信,应提供保证用户数据完整性的功能;完
开发者应针对发现的漏洞及时发布补丁;操作系统的管理者应及时获取、统一管理并及时运
用补丁对操作系统的漏洞进行修补;
SSF数据安全保护
a 实现对输出 SSF 数据可用性、保密性、和完整性保护;
b 实现 SSOOS 内 SSF 数据传输的基本保护、数据分离传输、数据完整性保护;
c 实现 SSF 间的 SSF 数据的一致性和 SSOOS 内 SSF 数据复制的一致性保护;
d 提供设置和升级配置参数的安装机制;在初始化和对与安全有关的数据结构进行保护之前,
应对用户和管理员的安全策略属性应进行定义;
e 应区分普通操作模式和系统维护模式;
f 应防止一个普通用户从未经允许的系统进入维护模式,并应防止一个普通用户与系统内维护
模式交互;从而保证在普通用户访问系统之前,系统能以一个安全的方式进行安装和配置;
改或替换系统提供的实用程序;

信息安全风险评估表

信息安全风险评估表
序号 资产名称
功能描述
1 电脑终端
2 应用软件
3 系统软件 4 5 6 7 8 9 10 11 12 13 14
编制:
公司业务处理 公司业务处理 信息处理
所属部门 IT部 IT部 IT部
信息安全风险评估表
资产重要度等级
资产重要性
资产完整性
资产可用性
得 分
固有风险评估
4
3
3
10
1、非法使用 2、发生故障
4
3
3
10
应用软件出错而 中断使用
4
3
3
10
系统软件运行出 错而中断使用
影响等级
破坏程 度
得分 现场控制措施
发生可能性等级
控制措施 发生容易
有效性

得分
风险 等级
风险 等级
计划控制 责任部
措施

1、使用域进行管理权
100% 10 限、密码
2
2
4 40 中
IT部
2、定期维护
100% 10 1、购买优质应用软件
1
2
3 30 中
IT部
100% 100%
10 1、定期系统维护 0
1
2
3 30 中
IT部
1000% 0
100% 0
100% 0
100% 0
100% 0
100% 0
审核:
批准:

信息安全性评价分表

信息安全性评价分表
无相应制度不得分,制度内容不全扣20%~50%标准分
(3)
建立数据库系统管理制度
5
查看相关(版本管理、权限管理、补丁管理、性能管理、可用性管理)制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
(4)
建立生产应用系统管理制度
5
查看相关(上线测试管理、权限管理、运行管理)制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
5
查看系统应急预案制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
2.11.1.4
计算机使用管理制度
20
(1)
制定上网行为管理制度
10
查看相关(访问内容、流量控制、下载管理、信息发布)制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
GB/T 20269-2006《信息安全技术 信息系统安全管理要求》
(5)
建立防病毒系统管理制度
5
查看相关(部署管理、策略管理、监控管理)制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
(6)
建立办公软件系统管理制度
5
查看相关(OA、MIS、MAIL、ERP、WEB)制度
无相应制度不得分,制度内容不全的酌情扣20%~50%标准分
(7)
建立各系统应急预案
10
检查网络配置、记录文档
未配置访问控制策略不得分,配置不合理的酌情扣20%~50%标准分
ቤተ መጻሕፍቲ ባይዱ(6)
重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗
5
检查设备配置、登记记录
无配置扣3分,无登记记录扣2分
(7)
安全区边界拓扑结构是否合理,不应有不经过防火墙的外联链路

《信息安全风险评估表》

《信息安全风险评估表》

《信息安全风险评估表》
信息安全风险评估表是用于评估一个组织或者系统中存在的信息安全风险的工具。

这份评估表帮助组织或个人识别和分析潜在的威胁和漏洞,并确定哪些风险对其业务最具威胁性以及需要优先处理。

以下是一个可能包含的信息安全风险评估表的一些示例条目:
1. 风险类型:列出不同类型的信息安全风险,例如网络安全风险、数据泄露风险、恶意软件风险、物理安全风险等。

2. 风险描述:对每种风险进行具体描述,包括其可能的原因、后果以及潜在的受影响范围。

3. 风险级别:根据风险的潜在严重性和可能性,对每个风险进行级别评估,例如高、中、低。

4. 风险影响:列出每种风险对业务的可能影响,如数据丢失、服务中断、声誉损害等。

5. 风险频率:评估每种风险发生的可能频率,例如每天、每周、每月等。

6. 风险控制措施:列出针对每种风险采取的措施,如加强网络安全防护、加密敏感数据、制定备份策略等。

7. 责任人:指定每种风险的责任人,确保风险得到及时、有效
地管理和缓解。

8. 优先级:根据风险的严重性和可能性,为每个风险确定优先级,以便在维护计划中制定相应的优先处理策略。

在填写信息安全风险评估表时,可以根据实际情况进行调整和定制,以确保最适合组织的需求和目标。

同时,定期更新和审查评估表是确保信息安全风险管理持续有效的重要步骤。

ISO20000-2018信息技术服务管理体系信息安全风险评估表

ISO20000-2018信息技术服务管理体系信息安全风险评估表

ISO20000-2018信息技术服务管理体系信息安全风险评估表类别编号资产编号资产名称功能描述威胁内容(威胁源、动机)脆弱性影响后果资产重要程度现行控制方式威胁发率脆弱被利用率风险值风险等级风险处理方式改善措施资产重要程度威胁发生的评率脆弱性被利用率残余风险值风险等级是否接受文档与数据SL-DATA-001解决方案针对客户需求提出的信息安全解决方案被竞争对手获取人员道德缺乏文件被竞争对手获取,影响业务开展5数据加密系统控制1 2 10 1 接受未经授权使用、访问、复制人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训,1 2 10 1 接受电子存储媒体故障设备损坏资料丢失,影响项目进度5使用数据备份系统,对数据实时备份1 2 10 1 接受手工误删操作不小心资料丢失,影响项目进度5使用数据备份系统,对数据实时备份1 2 10 1 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制2 3 30 3 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制客户信息丢失,业务开展产生困难5设置必要的放火,放雷机制1 2 10 1 接受自然灾难:地缺乏应急机客户信息丢失,业 5 对重要数据 1 2 10 1 接受震、洪水、台风制务开展产生困难进行定期移动硬盘备份SL-DATA-003SL-DATA-00 4SL-DATA-01 8 体系文件管理制度各项规章制度公司管理类文档未经授权使用、访问、复制人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训,1 2 10 1 接受电子存储媒体故障设备损坏资料丢失,影响项目进度5使用数据备份系统,对数据实时备份1 2 10 1 接受手工误删操作不小心资料丢失,影响项目进度5使用数据备份系统,对数据实时备份1 2 10 1 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,业务缺乏指导5设置必要的放火,放雷机制2 3 30 3 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,业务缺乏指导5对重要数据进行定期移动硬盘备份1 2 10 1 接受SL-DATA-00 8SL-DATA-01 0 在职员工个人信息员工劳动合同人事档案信息未经授权使用、访问、复制缺乏物理防护机制员工个人信息资料丢失或泄密4人事资料放在人事文件柜中1 4 162 避免员工档案资料文件柜应上锁,防止非授权的获取4 1 2 8 1 接受瘟疫、火灾、爆缺乏应急机文件信息丢失,人 5 设置必要的 2 3 30 3 接受炸、雷击、恐怖袭击等制事工作开展困难放火,放雷机制自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受SL-DATA-013SL-DATA-01 6SL-DATA-02 1SL-DATA-02 2 供应商合作协议书采购合同代理合同厂商报价合同未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得,供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,人事工作开展困难5设置必要的放火,放雷机制2 3 30 3 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制2 3 30 3 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失,影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中1 2 10 1 接受SL-DATA-01 4SL-DATA-01 5SL-DATA-02 3SL-DATA-02报价、合同样本销售合同客户报价客户合同报价单合同未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得,供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训,1 2 10 1 接受4SL-DATA-03 3 瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,人事工作开展困难5设置必要的放火,放雷机制2 3 30 3 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失,影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中SL-DATA-02 6 客户资料供开票及联系未经授权使用、访问、复制缺乏物理防护机制客户信息被客户或竞争对手获得,供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,人事工作开展困难5设置必要的放火,放雷机制2 3 30 3 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制2 3 30 3 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失,影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中1 2 10 1 接受SL-DATA-02 7 CRME和快普数据库ERP系统数据未经授权使用、访问、复制访问权限没有控制数据被删除,修改或泄密5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受未经授权更改访问权限没有控制公司业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受电子存储媒体故障存放缺乏保护数据丢失业务无法开展5通过服务器备份数据2 3 30 3 控制增加专门数据备份系统,对数据进行实时备份5 1 1 5 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份,设置放雷机制1 2 10 1 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受SL-DATA-02 8 公司办公租赁合同合同未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得,供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,人事工作开展困难5设置必要的放火,放雷机制2 3 30 3 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制2 3 30 3 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失,影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中1 2 10 1 接受SL-DATA-03 0SL-DATA-03 2 公司各类财务数据及报表公司经营相关数据及资料财务数据未经授权使用、访问、复制访问权限没有控制数据被删除,修改或泄密5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受未经授权更改访问权限没有控制公司业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受电子存储媒体故障存放缺乏保护数据丢失业务无法开展5通过服务器备份数据2 3 30 3 控制增加专业数据备份系统,对数据进行实时备份5 1 1 5 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份,设置放雷机制1 2 10 1 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受SL-DATA-03 1 公司资质文件及认资质资料未经授权使用、访问、复制人员缺乏安全意识文件信息外泄 5进行员工信息安全意识1 2 10 1 接受证证书培训不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训,1 2 10 1 接受SL-DATA-036SL-DATA-042 报价(给渠道)渠道合同合同,报价信息未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得,供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训,1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,人事工作开展困难5设置必要的放火,放雷机制2 3 30 3 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失,影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中SL-DATA-037 报价(厂家供货价)合同,报价信息未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得,供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训,1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,人事工作开展困难5设置必要的放火,放雷机制2 3 30 3 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失,影响后续服务等内容5合同报价等资料放在上锁的文件柜中SL-DATA-04 0 销售部管理周报未经授权使用、访问、复制访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 3 用友OA日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 4 快普ERP日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 5 豪创日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 6 管家婆日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 7 SSLvpn日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 8 广域网加速设备日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 9 准入系统日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 0 爱数备份日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 1 趋势防毒日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 2 守内安日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 3 上网行为管理日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 4 视屏监控日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 5 电话录音日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 6 考勤机日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受第11 页共36 页。

信息安全风险评估表

信息安全风险评估表

利用域管理,关闭相关系统的管理权限,个人无权限进行 安装程序等; ⑴ 不要随意打开来历不明的邮件现在许多木马都是通过邮 件来传播的,当用户收到来历不明的邮件时请不要打开, 应尽快删除。同时要加强邮件监控系统,拒收垃圾邮件⑵ 不要随意下载来历不明的软件最好是在一些知名的网站下 载软件,不要下载和运行那些来历不明的软件。在安装软 件的之前最好用杀毒软件查看是否含有病毒,然后才进行 信息科 安装。 ⑶ 及时修补漏洞和关闭可疑的端口一些木马都是通过漏洞 在系统上打开端口留下后门,以便上传木马文件和执行代 码,在把漏洞修补上的同时,需要对端口进行检查,把可 疑的端口关闭。运行实时监控程序 在上网时最好运行反木 马实时监控程序和个人防火墙,并定时对系统进行病毒检 查。
规行为;内部员工使用网络文
件共享或者乱用笔记本电脑造 成数据泄露;内部员工的粗心
较大可能 较大影响
大意是到目前为止企业数据安
全的最大威胁

特定工作的员工是否访问了超出工作范围的数据。
2、使用个人访问控制工具,保证系统记录下每一个曾经访
问过重要信息的人。此外,保存客户和员工信息的数据库
更应当对访问加以严格限制。
2.软件集中管理,按照公司要求限定所有机器只能运行必需
的办公软件。
3.环境集中管理,利用AD可以统一客户端桌面,IE,TCP/IP等 设置
信息科
4.活动目录是企业基础架构的根本,为公司整体统一管理做 基础。其它isa,exchange, 防病毒 服务 器, 补丁 分发 服务 器,文件服务器等服务依赖于域服务器
权限
FX003
用户总想多安装一些Windows 应用程序,但是,如果管理员 真的给了用户这个本地管理权 限,那么网络有可能面临严重 较大可能 较大影响 的威胁,而且,由于用户安装 应用程序产生的危险越多,网 络安全工作就越复杂。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息安全评估表
1 技术要求
1.2 网络安全
1.5 数据安全及备份恢复
2 管理要求
2.3 人员安全管理
若能觅得一方喜欢的山水,在空旷的风里,种上淡暖如许,清欢如许。

我愿用无尘的诗句,沾染些许晨露,轻叩那些老去的时光,让曾经的你我,重走一遍依旧开满鲜花的小径。

时光里的我们,不说话。

只是凝望着彼此旧时的模样,任凭花落清溪,任凭日暮烟霞。

曾经的往事,不提花开,不说花落。

就让那所有的喜怒哀乐,淡暖清欢,如茶般,氤氲出缕缕清香。

而你我,亦愈来愈通透,有了茶的芬芳,即使喝到无味,亦有一股回甘,令人回味留恋。

桃花酿酒,醉了光阴。

春水煎茶,赴了风雅。

我人生四季,永远是那一抹剔透的琉璃色,不必虚张,不必声势,只做安静的自己,善待生命里遇见的一切,感恩并珍重,且温柔的对待。

若有一天,我们隔着茫茫人海,穿过人流车流,你是否会一眼将我认出,并且微笑着喊出我的名字。

若有一天,经年的路口,人烟渺渺。

你是否会收集所有花香,用思念为我铺一条洒满落花的小路。

那些失落的前尘往事,你是否愿意陪我一一捡拾,然后一起装帧成流年里最美的那一册画卷。

人生云水一梦,寻一份清幽,养一颗禅心。

那些迎面而来的风景,让我们微笑着迎接,并且一一纳入流年的画卷。

愿世间美好,都是恰逢其时。

至于那些聚了又散的人或事,淡记就好。

或许,终有一天,心归宁静,从容朴素。

那么,我便在南山寻一处清幽。

春来,采一壶桃花,酿一壶三生三世。

夏来,养一池荷,掬一捧莲子醉清风。

秋来,邀一缕秋风,修篱种菊,种下一个人的浮世清欢,种下一些心悦的小情绪。

冬来,红泥小炉煮一杯绿蚁酒,邀月,邀你,浅酌,微醺,共守流年。