風(fēng)險評估控制程序（ISO27001-2013）適用其他行業(yè)

風(fēng)險評估控制程序TOC\o"1-3"\h\z1. 目的和范圍 22. 引用文件 23. 職責(zé)和權(quán)限 24. 風(fēng)險管理方法 34.1.風(fēng)險識別 44.2.風(fēng)險估計與評價 44.3.選擇風(fēng)險處置方式 444.4.殘余風(fēng)險接受 455. 風(fēng)險評估描述 455.1.風(fēng)險評估前準(zhǔn)備 455.2.確定重要業(yè)務(wù)過程和活動 455.3.信息資產(chǎn)的識別 465.4.重要信息資產(chǎn)風(fēng)險等級評估 505.5.不可接受風(fēng)險的確定和處理 515.6.風(fēng)險定期評估 525.7.風(fēng)險評估評審 526. 相關(guān)記錄 52

目的和范圍為了規(guī)定公司所采用的信息安全風(fēng)險評估方法。通過識別信息資產(chǎn)、風(fēng)險等級評估本公司的信息安全風(fēng)險，選擇合適控制目標(biāo)和控制方式將信息安全風(fēng)險控制在可接受的水平，保持業(yè)務(wù)持續(xù)性發(fā)展，以滿足信息安全管理方針的要求，特制訂本制度。本制度適用信息安全管理體系范圍內(nèi)信息安全風(fēng)險評估活動。引用文件下列文件中的條款通過本制度的引用而成為本制度的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本制度，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本制度。GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求GB/T22081-2016/ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實施細(xì)則ISO/IEC27005:2008《信息技術(shù)-安全技術(shù)-風(fēng)險管理》《GB/T20984-2007信息安全風(fēng)險評估指南》職責(zé)和權(quán)限信息安全管理領(lǐng)導(dǎo)小組：負(fù)責(zé)匯總確認(rèn)《信息安全風(fēng)險評估表》，并根據(jù)評估結(jié)果形成《信息安全風(fēng)險評估報告》和《殘余風(fēng)險批示報告》。公司全體員工：在信息安全管理領(lǐng)導(dǎo)小組協(xié)調(diào)下，負(fù)責(zé)本部門使用或管理的資產(chǎn)的識別和風(fēng)險評估；負(fù)責(zé)本部門所涉及的資產(chǎn)的具體安全控制工作。信息安全管理員在本部門信息資產(chǎn)發(fā)生變更時，需要及時清點和評估，并報送信息安全管理領(lǐng)導(dǎo)小組更新《信息安全風(fēng)險評估表》。風(fēng)險管理方法通過定義風(fēng)險管理方法，明確風(fēng)險接受準(zhǔn)則與等級，確保能產(chǎn)生可比較且可重復(fù)的風(fēng)險評估結(jié)果。（如圖1）風(fēng)險管理流程圖圖1風(fēng)險管理流程圖風(fēng)險識別通過進(jìn)行風(fēng)險識別活動，識別了以下內(nèi)容：識別了信息安全管理體系范圍內(nèi)的資產(chǎn)及其責(zé)任人；識別了資產(chǎn)所面臨的威脅；識別了可能被威脅利用的脆弱點；識別了喪失保密性、完整性和可用性可能對資產(chǎn)造成的影響。風(fēng)險估計與評價通過對資產(chǎn)的保密性（C）、完整性（I）、可用性（A）及業(yè)務(wù)影響度（BI）賦值對公司資產(chǎn)喪失CIA（BI）所造成的后果進(jìn)行了判斷。資產(chǎn)賦值常常是很困難的，因為需要對某些資產(chǎn)進(jìn)行客觀的賦值，但不同的人員可能做出不同的判斷。應(yīng)該用明確的術(shù)語，通過書面形式描述作為每一資產(chǎn)賦值基礎(chǔ)的準(zhǔn)則。用于判斷資產(chǎn)價值的可能準(zhǔn)則包括：資產(chǎn)的原始價值；替代或重建的成本；資產(chǎn)的抽象價值，如組織聲譽的價值；由事件導(dǎo)致資產(chǎn)喪失保密性、完整性和可用性所帶來的成本。如果適用、還應(yīng)該考慮不可否認(rèn)性、可審計性、真實性和可靠性；資產(chǎn)的其他資產(chǎn)依賴性價值。資產(chǎn)價值計算方法：資產(chǎn)價值=ROUND(SQRT(SUM(C+I+A)/3*BI),0)，其中：C：保密性賦值標(biāo)識定義5很高包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運，對組織根本利益有著決定性的影響，如果泄露會造成災(zāi)難性的損害4高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴(yán)重?fù)p害3中等組織的一般性秘密，其泄露會使組織的安全和利益受到損害2低僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴散有可能對組織的利益造成輕微損害1很低可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等I：完整性賦值標(biāo)識定義5很高完整性價值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法接受的影響，對業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補。4高完整性價值較高，未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響，對業(yè)務(wù)沖擊嚴(yán)重，較難彌補。3中等完整性價值中等，未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務(wù)沖擊明顯，但可以彌補。2低完整性價值較低，未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影響，對業(yè)務(wù)沖擊輕微，容易彌補。1很低完整性價值非常低，未經(jīng)授權(quán)的修改或破壞對組織造成的影響可以忽略，對業(yè)務(wù)沖擊可以忽略。A：可用性賦值標(biāo)識定義5很高可用性價值非常高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上，或系統(tǒng)不允許中斷。4高可用性價值較高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到每天90%以上，或系統(tǒng)允許中斷時間小于10分鐘。3中等可用性價值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達(dá)到70%以上，或系統(tǒng)允許中斷時間小于30分鐘。2低可用性價值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達(dá)到25%以上，或系統(tǒng)允許中斷時間小于60分鐘。1很低可用性價值可以忽略，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間低于25%。BI：業(yè)務(wù)影響度賦值標(biāo)識定義5很高此信息系統(tǒng)/關(guān)鍵活動對組織的重要性很高，一旦此信息系統(tǒng)/關(guān)鍵活動中斷給組織帶來很高的沖擊與影響4高此信息系統(tǒng)/關(guān)鍵活動對組織的重要性較高，一旦此信息系統(tǒng)/關(guān)鍵活動中斷給組織帶來較高的沖擊與影響3中等此信息系統(tǒng)/關(guān)鍵活動對組織的重要性中等，一旦此信息系統(tǒng)/關(guān)鍵活動中斷給組織帶來中等的沖擊與影響2低此信息系統(tǒng)/關(guān)鍵活動對組織的重要性一般，一旦此信息系統(tǒng)/關(guān)鍵活動中斷給組織帶來一般的沖擊與影響1很低此信息系統(tǒng)/關(guān)鍵活動對組織的重要性很低，一旦此信息系統(tǒng)/關(guān)鍵活動中斷給組織帶來的沖擊與影響可以忽略識別了主要威脅和脆弱性導(dǎo)致安全失誤的現(xiàn)實可能性、對資產(chǎn)的影響以及當(dāng)前所實施的控制措施。威脅來源參考：來源描述環(huán)境因素由于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境條件或自然災(zāi)害，意外事故或軟件、硬件、數(shù)據(jù)、通訊線路方面的故障。人為因素惡意人員不滿的或有預(yù)謀的內(nèi)部人員對信息系統(tǒng)進(jìn)行惡意破壞；采用自主或內(nèi)外勾結(jié)的方式盜竊機密信息或進(jìn)行篡改，獲取利益。外部人員利用信息系統(tǒng)的脆弱性，對網(wǎng)絡(luò)或系統(tǒng)的機密性、完整性和可用性進(jìn)行破壞，以獲取利益或炫耀能力。非惡意人員內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)心和不專注，或者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞；內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊。威脅類別參考：威脅編號類別威脅項對應(yīng)的資產(chǎn)類別T001操作性威脅操作失誤應(yīng)用系統(tǒng);系統(tǒng)配置信息;源程序;環(huán)境監(jiān)控設(shè)施;終端設(shè)備;安全設(shè)備;辦公輔助設(shè)備;業(yè)務(wù)信息;管理文檔;實體信息;主機設(shè)備;網(wǎng)絡(luò)設(shè)備;存儲設(shè)備;服務(wù)器操作系統(tǒng)T002操作性威脅越權(quán)或濫用辦公輔助設(shè)備;應(yīng)用系統(tǒng);系統(tǒng)配置信息;環(huán)境監(jiān)控設(shè)施;存儲設(shè)備;存儲介質(zhì);服務(wù)器操作系統(tǒng);業(yè)務(wù)信息;實體信息;網(wǎng)絡(luò)設(shè)備T003人員危險黑客入侵或網(wǎng)絡(luò)攻擊應(yīng)用系統(tǒng);網(wǎng)絡(luò)設(shè)備;數(shù)據(jù)庫;工具應(yīng)用軟件;安全設(shè)備T004人員危險外部人員（外部來訪、外包、第三方人員等）攻擊終端設(shè)備;傳輸介質(zhì);存儲介質(zhì);服務(wù)器操作系統(tǒng);數(shù)據(jù)庫;應(yīng)用系統(tǒng);開發(fā)測試系統(tǒng);管理文檔;實體信息;環(huán)境監(jiān)控設(shè)施;主機設(shè)備;網(wǎng)絡(luò)設(shè)備;安全設(shè)備;存儲設(shè)備;終端操作系統(tǒng);中間件;工具應(yīng)用軟件;業(yè)務(wù)信息;系統(tǒng)配置信息;源程序;硬件保障設(shè)施;建筑環(huán)境設(shè)施T005操作性威脅惡意代碼服務(wù)器操作系統(tǒng);工具應(yīng)用軟件;終端操作系統(tǒng)T006物理環(huán)境火災(zāi)存儲介質(zhì);辦公輔助設(shè)備;硬件保障設(shè)施;建筑環(huán)境設(shè)施;終端設(shè)備;傳輸介質(zhì);存儲設(shè)備;實體信息;環(huán)境監(jiān)控設(shè)施;介質(zhì)保障設(shè)施;主機設(shè)備;網(wǎng)絡(luò)設(shè)備;安全設(shè)備T007操作性威脅過載(overload)或拒絕服務(wù)網(wǎng)絡(luò)設(shè)備;存儲介質(zhì);服務(wù)器操作系統(tǒng);應(yīng)用系統(tǒng);主機設(shè)備;安全設(shè)備;存儲設(shè)備;數(shù)據(jù)庫T008組織管理威脅業(yè)務(wù)環(huán)境變化環(huán)境監(jiān)控設(shè)施;終端設(shè)備;傳輸介質(zhì);存儲介質(zhì);辦公輔助設(shè)備;主機設(shè)備;網(wǎng)絡(luò)設(shè)備;安全設(shè)備;存儲設(shè)備T009組織管理威脅舞弊或抵賴服務(wù)器操作系統(tǒng);業(yè)務(wù)信息;應(yīng)用系統(tǒng);環(huán)境監(jiān)控設(shè)施T010操作性威脅軟硬件故障或失效服務(wù)器操作系統(tǒng);數(shù)據(jù)庫;應(yīng)用系統(tǒng);開發(fā)測試系統(tǒng);主機設(shè)備;網(wǎng)絡(luò)設(shè)備;安全設(shè)備;存儲設(shè)備;辦公輔助設(shè)備;終端操作系統(tǒng);中間件;工具應(yīng)用軟件;終端設(shè)備;傳輸介質(zhì);存儲介質(zhì)T011信息泄密或損毀盜竊或丟失存儲介質(zhì);環(huán)境監(jiān)控設(shè)施;終端設(shè)備;實體信息;介質(zhì)保障設(shè)施T012操作性威脅蓄意破壞或篡改存儲介質(zhì);系統(tǒng)配置信息;源程序;硬件保障設(shè)施;建筑環(huán)境設(shè)施;終端設(shè)備;業(yè)務(wù)信息;管理文檔;實體信息;環(huán)境監(jiān)控設(shè)施;介質(zhì)保障設(shè)施T013人員危險社會工程學(xué)或欺騙內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-開發(fā)人員;建筑環(huán)境設(shè)施;內(nèi)部人員-支撐人員;內(nèi)部人員-運維人員;外部人員T014人員危險內(nèi)部人員攻擊介質(zhì)保障設(shè)施T015物理環(huán)境自然災(zāi)害（地震、火山、颶風(fēng)、水災(zāi)）介質(zhì)保障設(shè)施;主機設(shè)備;網(wǎng)絡(luò)設(shè)備;安全設(shè)備;存儲設(shè)備;實體信息;環(huán)境監(jiān)控設(shè)施;終端設(shè)備;傳輸介質(zhì);存儲介質(zhì);辦公輔助設(shè)備;硬件保障設(shè)施;建筑環(huán)境設(shè)施T016物理環(huán)境滲水介質(zhì)保障設(shè)施;環(huán)境監(jiān)控設(shè)施T017信息泄密或損毀竊聽內(nèi)部人員-支撐人員;內(nèi)部人員-運維人員;外部人員;內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-開發(fā)人員T018物理環(huán)境電磁輻射傳輸介質(zhì);建筑環(huán)境設(shè)施;存儲介質(zhì);介質(zhì)保障設(shè)施T019物理環(huán)境鼠、蟲害傳輸介質(zhì);介質(zhì)保障設(shè)施T020物理環(huán)境雷擊或靜電硬件保障設(shè)施;建筑環(huán)境設(shè)施T021物理環(huán)境溫濕度環(huán)境超常介質(zhì)保障設(shè)施;環(huán)境監(jiān)控設(shè)施T022物理環(huán)境灰塵、污染物硬件保障設(shè)施T023物理環(huán)境電源故障（電壓不穩(wěn)、大面積停電等）主機設(shè)備;安全設(shè)備;辦公輔助設(shè)備;環(huán)境監(jiān)控設(shè)施;網(wǎng)絡(luò)設(shè)備;存儲設(shè)備;硬件保障設(shè)施T024人員危險員工不可用（疾病、技能不足、人力資源短缺）應(yīng)用系統(tǒng);服務(wù)器操作系統(tǒng);存儲設(shè)備;內(nèi)部人員-支撐人員;內(nèi)部人員-運維人員;內(nèi)部人員-中高層領(lǐng)導(dǎo);外部人員;開發(fā)測試系統(tǒng);網(wǎng)絡(luò)設(shè)備;主機設(shè)備;內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-開發(fā)人員T025組織管理威脅無作為基礎(chǔ)保障服務(wù);應(yīng)用系統(tǒng);內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-開發(fā)人員;外部人員;業(yè)務(wù)支持服務(wù);開發(fā)測試系統(tǒng);內(nèi)部人員-支撐人員;內(nèi)部人員-運維人員T026信息泄密或損毀泄密內(nèi)部人員-支撐人員;內(nèi)部人員-運維人員;外部人員;業(yè)務(wù)支持服務(wù);內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-開發(fā)人員;基礎(chǔ)保障服務(wù);內(nèi)部人員-中高層領(lǐng)導(dǎo)T027信息泄密或損毀版權(quán)濫用或使用未授權(quán)軟件服務(wù)器操作系統(tǒng);數(shù)據(jù)庫;應(yīng)用系統(tǒng);開發(fā)測試系統(tǒng);終端操作系統(tǒng);中間件;工具應(yīng)用軟件T028信息泄密或損毀非法數(shù)據(jù)處理應(yīng)用系統(tǒng);開發(fā)測試系統(tǒng)T029物理環(huán)境通訊網(wǎng)絡(luò)故障（如因特網(wǎng)運營商故障）主機設(shè)備;存儲設(shè)備;應(yīng)用系統(tǒng);網(wǎng)絡(luò)設(shè)備;服務(wù)器操作系統(tǒng);開發(fā)測試系統(tǒng)T030操作性威脅盜用權(quán)限開發(fā)測試系統(tǒng);應(yīng)用系統(tǒng);服務(wù)器操作系統(tǒng);數(shù)據(jù)庫;硬件保障設(shè)施;網(wǎng)絡(luò)設(shè)備;終端操作系統(tǒng);中間件T031信息泄密或損毀數(shù)據(jù)損毀存儲設(shè)備;業(yè)務(wù)信息;管理文檔;應(yīng)用系統(tǒng);數(shù)據(jù)庫;源程序;存儲介質(zhì);系統(tǒng)配置信息;終端操作系統(tǒng);開發(fā)測試系統(tǒng);中間件T032信息泄密或損毀循環(huán)利用廢棄介質(zhì)存儲介質(zhì);實體信息T033物理環(huán)境社會災(zāi)難網(wǎng)絡(luò)設(shè)備;內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-開發(fā)人員;主機設(shè)備;存儲設(shè)備;內(nèi)部人員-支撐人員;內(nèi)部人員-運維人員;外部人員T034信息泄密或損毀來自非信任源的數(shù)據(jù)服務(wù)器操作系統(tǒng);數(shù)據(jù)庫;應(yīng)用系統(tǒng);網(wǎng)絡(luò)設(shè)備;終端操作系統(tǒng);中間件;開發(fā)測試系統(tǒng)脆弱性參考：脆弱項編號分類脆弱項對應(yīng)的資產(chǎn)類別V001服務(wù)流程變更管理機制缺失或不完善中間件;數(shù)據(jù)庫;存儲設(shè)備;服務(wù)器操作系統(tǒng);安全設(shè)備;主機設(shè)備;網(wǎng)絡(luò)設(shè)備;應(yīng)用系統(tǒng)V003服務(wù)流程安全事件管理機制缺失或不完善存儲設(shè)備;服務(wù)器操作系統(tǒng);網(wǎng)絡(luò)設(shè)備V004服務(wù)流程沒有對主要系統(tǒng)和設(shè)備進(jìn)行處理能力、系統(tǒng)瓶頸、存儲容量及其它資源要求分析安全設(shè)備;主機設(shè)備;網(wǎng)絡(luò)設(shè)備V005服務(wù)流程對外包服務(wù)商的風(fēng)險評估機制缺乏或不完善基礎(chǔ)保障服務(wù);業(yè)務(wù)支持服務(wù)V006服務(wù)流程外包服務(wù)水平協(xié)議缺乏或不完善基礎(chǔ)保障服務(wù);業(yè)務(wù)支持服務(wù)V007服務(wù)流程外包服務(wù)水平的考核機制缺乏或不完善基礎(chǔ)保障服務(wù);業(yè)務(wù)支持服務(wù)V008服務(wù)流程外包服務(wù)資料的安全保障措施缺乏或不完善基礎(chǔ)保障服務(wù);業(yè)務(wù)支持服務(wù);源程序V009服務(wù)流程服務(wù)的業(yè)務(wù)連續(xù)性管理機制缺乏或不完善基礎(chǔ)保障服務(wù);業(yè)務(wù)支持服務(wù)V010物理環(huán)境物理安全管理機制缺失或不完善建筑環(huán)境設(shè)施V011物理環(huán)境機房安全管理機制缺失或不完善建筑環(huán)境設(shè)施V012物理環(huán)境辦公環(huán)境管理機制缺失或不完善建筑環(huán)境設(shè)施V013物理環(huán)境建筑物抗震、颶風(fēng)能力不完善建筑環(huán)境設(shè)施V014物理環(huán)境建筑物防雨及排水能力不完善建筑環(huán)境設(shè)施V015物理環(huán)境建筑物選址不當(dāng)建筑環(huán)境設(shè)施V016物理環(huán)境機房選址不當(dāng)建筑環(huán)境設(shè)施V017物理環(huán)境機房出入管理機制缺失或不完善建筑環(huán)境設(shè)施V018物理環(huán)境機房出入缺乏專人管理建筑環(huán)境設(shè)施V019物理環(huán)境機房缺乏門禁系統(tǒng)控制建筑環(huán)境設(shè)施V020物理環(huán)境機房人員出入缺乏記錄建筑環(huán)境設(shè)施V021物理環(huán)境機房訪問審批流程缺乏或不完善外部人員;建筑環(huán)境設(shè)施V022物理環(huán)境外來人員未采取身份鑒別措施且沒有與內(nèi)部人員進(jìn)行區(qū)別外部人員;建筑環(huán)境設(shè)施V023物理環(huán)境外來人員在機房活動無人員陪同外部人員;建筑環(huán)境設(shè)施V024物理環(huán)境未劃分區(qū)域進(jìn)行管理建筑環(huán)境設(shè)施V025物理環(huán)境不同區(qū)域之間未進(jìn)行物理隔離或隔離不徹底建筑環(huán)境設(shè)施V026物理環(huán)境重要區(qū)域前未設(shè)置交付或安裝等過渡區(qū)域建筑環(huán)境設(shè)施V027物理環(huán)境重要區(qū)域未設(shè)置門禁系統(tǒng)建筑環(huán)境設(shè)施V028物理環(huán)境重要區(qū)域人員出入記錄缺失內(nèi)部人員-運維人員;外部人員;建筑環(huán)境設(shè)施;內(nèi)部人員-開發(fā)人員V029物理環(huán)境設(shè)備或主要部件物理防護缺乏或不完善（未良好固定、機柜門未關(guān)閉等）硬件保障設(shè)施;安全設(shè)備;主機設(shè)備;網(wǎng)絡(luò)設(shè)備V030物理環(huán)境設(shè)備或主要部件未設(shè)置明顯的不易除去的標(biāo)記傳輸介質(zhì);存儲設(shè)備;主機設(shè)備;網(wǎng)絡(luò)設(shè)備V031物理環(huán)境通信線纜保護措施缺乏或不完善傳輸介質(zhì)V032物理環(huán)境機房防盜報警系統(tǒng)缺失或不完善環(huán)境監(jiān)控設(shè)施V033物理環(huán)境機房監(jiān)控系統(tǒng)缺失或不完善環(huán)境監(jiān)控設(shè)施V034物理環(huán)境監(jiān)控記錄保存時間過短環(huán)境監(jiān)控設(shè)施V035物理環(huán)境機房建筑防避雷裝置缺失或不完善建筑環(huán)境設(shè)施V036物理環(huán)境機房建筑避雷裝置未進(jìn)行定期檢查和維護建筑環(huán)境設(shè)施V037物理環(huán)境機房交流電源的地線鋪設(shè)缺失或不完善建筑環(huán)境設(shè)施V038物理環(huán)境機房自動消防系統(tǒng)缺失或不完善建筑環(huán)境設(shè)施V039物理環(huán)境機房及相關(guān)的工作房間的建筑材料缺乏耐火能力建筑環(huán)境設(shè)施V040物理環(huán)境機房區(qū)域隔離防火措施缺失或不完善建筑環(huán)境設(shè)施V041物理環(huán)境機房屋頂和活動地板下有水管穿過建筑環(huán)境設(shè)施V042物理環(huán)境未采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透V043物理環(huán)境機房水敏感的檢測儀表或元件缺失或不完善建筑環(huán)境設(shè)施V044物理環(huán)境設(shè)備防靜電措施缺失或不完善硬件保障設(shè)施V045物理環(huán)境機房未采用防靜電地板建筑環(huán)境設(shè)施V046物理環(huán)境機房環(huán)境缺乏靜電消除器等裝置硬件保障設(shè)施V047物理環(huán)境機房空氣凈化設(shè)施缺失或不完善硬件保障設(shè)施V048物理環(huán)境機房溫、濕度自動調(diào)節(jié)設(shè)施缺失或不完善硬件保障設(shè)施V049物理環(huán)境機房供電線路上電壓防護設(shè)施缺失或不完善硬件保障設(shè)施V050物理環(huán)境計算機系統(tǒng)冗余供電能力缺失硬件保障設(shè)施V051物理環(huán)境備用供電系統(tǒng)缺失或不完善硬件保障設(shè)施V052物理環(huán)境防電磁干擾措施缺失或不完善存儲介質(zhì);介質(zhì)保障設(shè)施V053物理環(huán)境電源線和通信線纜未隔離鋪設(shè)建筑環(huán)境設(shè)施;傳輸介質(zhì)V054物理環(huán)境辦公輔助設(shè)備等缺少安全提示標(biāo)識辦公輔助設(shè)備V055物理環(huán)境信息的物理防護措施缺乏或不完善管理文檔;業(yè)務(wù)信息;實體信息;源程序;系統(tǒng)配置信息V056人員管理關(guān)鍵崗位職責(zé)缺失或不完善內(nèi)部人員-運維人員;內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-開發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員V057人員管理關(guān)鍵崗位人員缺乏內(nèi)部人員-運維人員;內(nèi)部人員-開發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員V058人員管理重要或敏感的部門組織沒有專職安全員內(nèi)部人員-運維人員;內(nèi)部人員-開發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-支撐人員V059人員管理關(guān)鍵崗位沒有配備多人共同管理內(nèi)部人員-運維人員;內(nèi)部人員-開發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員V060人員管理關(guān)鍵崗位沒有實行定期輪崗內(nèi)部人員-運維人員;內(nèi)部人員-開發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員V061人員管理人員錄用管理機制缺失或不完善內(nèi)部人員-運維人員;內(nèi)部人員-開發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-支撐人員V062人員管理人員審查或背景調(diào)查記錄缺失或不完善內(nèi)部人員-運維人員;內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-開發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-支撐人員V063人員管理安全考核機制缺失或制定后未有效執(zhí)行內(nèi)部人員-運維人員;內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-開發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-支撐人員V064人員管理崗位安全協(xié)議缺失或不完善內(nèi)部人員-運維人員;內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-開發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-支撐人員V065人員管理未簽署保密協(xié)議和承諾書內(nèi)部人員-運維人員;內(nèi)部人員-開發(fā)人員V066人員管理人員離崗管理機制缺失或未有效執(zhí)行內(nèi)部人員-運維人員;內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-開發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-支撐人員V067人員管理安全意識教育及技能培訓(xùn)計劃缺失或未有效執(zhí)行內(nèi)部人員-運維人員;外部人員;內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-開發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-支撐人員V068人員管理信息安全意識缺乏內(nèi)部人員-運維人員;外部人員;內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-開發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-支撐人員V069人員管理桌面缺乏清理（資料使用后沒有及時鎖進(jìn)柜子、人員離開后沒有及時鎖屏等）內(nèi)部人員-運維人員;外部人員;內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-開發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-支撐人員V070人員管理管制區(qū)域出入管理不當(dāng)內(nèi)部人員-運維人員;基礎(chǔ)保障服務(wù);外部人員;業(yè)務(wù)支持服務(wù);內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-開發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-支撐人員V071人員管理安全責(zé)任和懲戒措施缺失或未有效執(zhí)行內(nèi)部人員-運維人員;基礎(chǔ)保障服務(wù);外部人員;業(yè)務(wù)支持服務(wù);內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-開發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-支撐人員V072人員管理外部服務(wù)商或人員安全責(zé)任合同書或保密協(xié)議缺失或沒有簽訂基礎(chǔ)保障服務(wù);外部人員;業(yè)務(wù)支持服務(wù)V073人員管理外部人員訪問管理機制缺失或不完善基礎(chǔ)保障服務(wù);外部人員;業(yè)務(wù)支持服務(wù)V074人員管理外部人員訪問登記記錄缺失或不完善基礎(chǔ)保障服務(wù);外部人員;業(yè)務(wù)支持服務(wù)V075人員管理崗位職責(zé)分離缺失或不完善內(nèi)部人員-運維人員;內(nèi)部人員-開發(fā)人員V076人員管理人員流動頻繁內(nèi)部人員-運維人員;外部人員;內(nèi)部人員-中高層領(lǐng)導(dǎo);內(nèi)部人員-開發(fā)人員;內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-支撐人員V077人員管理不熟悉業(yè)務(wù)系統(tǒng)內(nèi)部人員-業(yè)務(wù)人員V078人員管理對公司支撐管理系統(tǒng)不熟悉內(nèi)部人員-支撐人員V079人員管理運維人員不熟悉業(yè)務(wù)知識內(nèi)部人員-運維人員V080人員管理IT相關(guān)知識缺乏內(nèi)部人員-業(yè)務(wù)人員;內(nèi)部人員-支撐人員V081人員管理領(lǐng)導(dǎo)未遵守公司制度規(guī)范內(nèi)部人員-中高層領(lǐng)導(dǎo)V082人員管理領(lǐng)導(dǎo)知識產(chǎn)權(quán)意識缺乏內(nèi)部人員-中高層領(lǐng)導(dǎo)V083人員管理領(lǐng)導(dǎo)風(fēng)險管理意識缺乏內(nèi)部人員-中高層領(lǐng)導(dǎo)V084人員管理安全開發(fā)的意識和能力缺乏內(nèi)部人員-開發(fā)人員V085開發(fā)安全軟件開發(fā)管理機制缺失或不完善開發(fā)測試系統(tǒng)V086開發(fā)安全代碼編寫安全機制缺失或不完善開發(fā)測試系統(tǒng)V087開發(fā)安全軟件設(shè)計未引入安全措施開發(fā)測試系統(tǒng)V088開發(fā)安全軟件開發(fā)測試機制缺失或不完善開發(fā)測試系統(tǒng)V089開發(fā)安全沒有在軟件安裝之前檢測軟件包開發(fā)測試系統(tǒng)V090開發(fā)安全沒有審查軟件中可能存在的后門和隱蔽信道開發(fā)測試系統(tǒng);應(yīng)用系統(tǒng)V091開發(fā)安全系統(tǒng)測試驗收管理機制缺失或不完善開發(fā)測試系統(tǒng)V092開發(fā)安全測試數(shù)據(jù)使用不規(guī)范開發(fā)測試系統(tǒng)V093開發(fā)安全沒有組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗收報告進(jìn)行審定，并簽字確認(rèn)開發(fā)測試系統(tǒng)V094開發(fā)安全系統(tǒng)交付清單缺失或不完善開發(fā)測試系統(tǒng)V095開發(fā)安全沒有規(guī)定對負(fù)責(zé)系統(tǒng)運行維護的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)開發(fā)測試系統(tǒng)V096開發(fā)安全沒有規(guī)定提供系統(tǒng)建設(shè)過程中的文檔以及指導(dǎo)用戶進(jìn)行系統(tǒng)運行維護的文檔開發(fā)測試系統(tǒng)V097開發(fā)安全沒有明確系統(tǒng)交付的責(zé)任部門開發(fā)測試系統(tǒng);應(yīng)用系統(tǒng)V098開發(fā)安全沒有與服務(wù)商簽訂與安全相關(guān)的協(xié)議主機設(shè)備;應(yīng)用系統(tǒng)V099開發(fā)安全通信過程中缺乏對數(shù)據(jù)完整性的保證應(yīng)用系統(tǒng)V100開發(fā)安全未采用密碼技術(shù)進(jìn)行會話初始化驗證應(yīng)用系統(tǒng)V101開發(fā)安全未對通信過程中的整個報文或會話過程進(jìn)行加密應(yīng)用系統(tǒng)V102開發(fā)安全系統(tǒng)軟件容錯功能缺失或不完善應(yīng)用系統(tǒng)V103開發(fā)安全軟件故障發(fā)生時不能夠記錄當(dāng)前狀態(tài)應(yīng)用系統(tǒng)V104開發(fā)安全軟件缺乏遇故障自動重啟恢復(fù)的功能應(yīng)用系統(tǒng)V105開發(fā)安全當(dāng)用戶長時間無操作和響應(yīng)時，系統(tǒng)不能自動結(jié)束會話應(yīng)用系統(tǒng)V106開發(fā)安全系統(tǒng)不能限制最大會話連接數(shù)應(yīng)用系統(tǒng)V107開發(fā)安全系統(tǒng)不能對一個時間段內(nèi)可能的并發(fā)會話連接數(shù)進(jìn)行限制應(yīng)用系統(tǒng)V108開發(fā)安全系統(tǒng)不能對一個訪問帳戶或一個請求進(jìn)程占用的資源分配最大限額和最小限額應(yīng)用系統(tǒng)V109開發(fā)安全系統(tǒng)缺乏對性能的檢測和報警功能服務(wù)器操作系統(tǒng)V110開發(fā)安全系統(tǒng)缺乏對服務(wù)優(yōu)先級設(shè)定功能應(yīng)用系統(tǒng)V111數(shù)據(jù)備份備份管理機制缺失或不完善存儲介質(zhì);存儲設(shè)備;終端設(shè)備V112數(shù)據(jù)備份備份恢復(fù)機制缺失或不完善管理文檔;業(yè)務(wù)信息;終端設(shè)備V113數(shù)據(jù)備份版本管理機制缺乏或不完善管理文檔;存儲介質(zhì);業(yè)務(wù)信息;存儲設(shè)備;源程序;系統(tǒng)配置信息V114數(shù)據(jù)備份信息的物理存儲設(shè)施缺乏防護存儲介質(zhì);管理文檔;業(yè)務(wù)信息;實體信息;介質(zhì)保障設(shè)施;源程序;系統(tǒng)配置信息V115數(shù)據(jù)備份信息的處理機制缺乏或不完善存儲介質(zhì);管理文檔;業(yè)務(wù)信息;實體信息;源程序;系統(tǒng)配置信息V116數(shù)據(jù)備份備份設(shè)備操作流程機制缺失或不完善中間件;數(shù)據(jù)庫;存儲設(shè)備;應(yīng)用系統(tǒng)V117數(shù)據(jù)備份介質(zhì)標(biāo)識分類不合理或缺失存儲介質(zhì)V118數(shù)據(jù)備份介質(zhì)未存儲在介質(zhì)庫或檔案室存儲介質(zhì);介質(zhì)保障設(shè)施V119數(shù)據(jù)備份介質(zhì)安全管理機制缺失或不完善存儲介質(zhì)V120數(shù)據(jù)備份備份的數(shù)據(jù)未進(jìn)行驗證管理文檔;業(yè)務(wù)信息;中間件;數(shù)據(jù)庫;源程序;應(yīng)用系統(tǒng);系統(tǒng)配置信息V121數(shù)據(jù)備份數(shù)據(jù)的保護設(shè)施缺乏或不完善業(yè)務(wù)信息;系統(tǒng)配置信息V122數(shù)據(jù)備份存儲的數(shù)據(jù)未進(jìn)行加密管理文檔;業(yè)務(wù)信息;數(shù)據(jù)庫;應(yīng)用系統(tǒng);終端設(shè)備;系統(tǒng)配置信息V123數(shù)據(jù)備份未使用專用的通信協(xié)議或通道進(jìn)行數(shù)據(jù)通信中間件;數(shù)據(jù)庫;應(yīng)用系統(tǒng)V124數(shù)據(jù)備份備份介質(zhì)未進(jìn)行異地存儲存儲介質(zhì)V125應(yīng)急災(zāi)備備份存儲能力不足存儲設(shè)備V128應(yīng)急災(zāi)備應(yīng)急響應(yīng)機制缺失或不完善存儲設(shè)備;主機設(shè)備;服務(wù)器操作系統(tǒng);網(wǎng)絡(luò)設(shè)備;應(yīng)用系統(tǒng)V129應(yīng)急災(zāi)備災(zāi)難恢復(fù)計劃缺失或不完善存儲設(shè)備;主機設(shè)備;網(wǎng)絡(luò)設(shè)備;應(yīng)用系統(tǒng)V130訪問控制缺乏身份標(biāo)識和鑒別機制硬件保障設(shè)施;數(shù)據(jù)庫;服務(wù)器操作系統(tǒng);應(yīng)用系統(tǒng)V131訪問控制賬號或口令過于簡單數(shù)據(jù)庫;服務(wù)器操作系統(tǒng);網(wǎng)絡(luò)設(shè)備;應(yīng)用系統(tǒng)V132訪問控制未限制登錄失敗次數(shù)、連接超時等登錄安全控制措施硬件保障設(shè)施;數(shù)據(jù)庫;服務(wù)器操作系統(tǒng);應(yīng)用系統(tǒng)V133訪問控制遠(yuǎn)程管理未采取安全的連接數(shù)據(jù)庫;網(wǎng)絡(luò)設(shè)備;應(yīng)用系統(tǒng)V135訪問控制訪問權(quán)限未符合權(quán)限分離、最小權(quán)限等原則硬件保障設(shè)施;數(shù)據(jù)庫;服務(wù)器操作系統(tǒng);應(yīng)用系統(tǒng)V136訪問控制特權(quán)用戶權(quán)限未分離數(shù)據(jù)庫;服務(wù)器操作系統(tǒng)V137訪問控制未修改、刪除默認(rèn)帳戶及其口令數(shù)據(jù)庫;服務(wù)器操作系統(tǒng);網(wǎng)絡(luò)設(shè)備;應(yīng)用系統(tǒng)V138訪問控制未及時或定期清理無效帳戶硬件保障設(shè)施;數(shù)據(jù)庫;服務(wù)器操作系統(tǒng);應(yīng)用系統(tǒng)V139訪問控制存在賬號共享數(shù)據(jù)庫;服務(wù)器操作系統(tǒng)V140訪問控制身份鑒別時傳輸通道不安全數(shù)據(jù)庫;應(yīng)用系統(tǒng)V141訪問控制用戶登錄的鑒別信息在使用后未被徹底清除數(shù)據(jù)庫;服務(wù)器操作系統(tǒng)V142訪問控制密碼管理機制缺失或不完善應(yīng)用系統(tǒng);終端設(shè)備V143訪問控制源代碼訪問控制措施缺乏源程序V144通信操作網(wǎng)絡(luò)邊界不能對惡意代碼進(jìn)行檢測和清除安全設(shè)備V145通信操作未對惡意代碼庫進(jìn)行升級，檢測系統(tǒng)（IDS/IPS、安全網(wǎng)關(guān)等）未進(jìn)行未更新V146通信操作系統(tǒng)設(shè)備加固方案缺失或不完善服務(wù)器操作系統(tǒng);網(wǎng)絡(luò)設(shè)備V147通信操作系統(tǒng)操作手冊缺失或不完善應(yīng)用系統(tǒng)V148通信操作沒有生成系統(tǒng)審計日志服務(wù)器操作系統(tǒng);應(yīng)用系統(tǒng)V149通信操作惡意代碼防范管理機制缺失或不完善服務(wù)器操作系統(tǒng);終端設(shè)備V150通信操作用戶敏感信息在使用后未被清除開發(fā)測試系統(tǒng);應(yīng)用系統(tǒng)V151通信操作未部署入侵檢測設(shè)備網(wǎng)絡(luò)設(shè)備;應(yīng)用系統(tǒng)V152通信操作未對重要的信息進(jìn)行完整性檢測應(yīng)用系統(tǒng)V153通信操作系統(tǒng)安裝或開啟不需要的服務(wù)組件和應(yīng)用程序數(shù)據(jù)庫;服務(wù)器操作系統(tǒng)V154通信操作未及時更新軟件工具應(yīng)用軟件;中間件;數(shù)據(jù)庫;終端操作系統(tǒng);開發(fā)測試系統(tǒng);服務(wù)器操作系統(tǒng);應(yīng)用系統(tǒng)V155通信操作未安裝惡意代碼防護軟件服務(wù)器操作系統(tǒng);終端設(shè)備V156通信操作未限制終端設(shè)備登錄服務(wù)器數(shù)據(jù)庫;服務(wù)器操作系統(tǒng);終端設(shè)備V157通信操作未設(shè)置登錄終端超時鎖定數(shù)據(jù)庫;服務(wù)器操作系統(tǒng);終端設(shè)備V158通信操作未定期對網(wǎng)絡(luò)進(jìn)行安全檢測網(wǎng)絡(luò)設(shè)備V159通信操作業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間缺失安全的訪問路徑應(yīng)用系統(tǒng)V160通信操作未繪制網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖或拓?fù)浣Y(jié)構(gòu)圖與實際情況不符網(wǎng)絡(luò)設(shè)備V161通信操作網(wǎng)絡(luò)區(qū)域未劃分或不合理網(wǎng)絡(luò)設(shè)備V162通信操作重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處網(wǎng)絡(luò)設(shè)備V163通信操作重要網(wǎng)段與其他網(wǎng)段之間缺失隔離措施網(wǎng)絡(luò)設(shè)備V164通信操作網(wǎng)絡(luò)邊界未部署訪問控制設(shè)備或未啟用訪問控制功能網(wǎng)絡(luò)設(shè)備V165通信操作未禁止遠(yuǎn)程撥號訪問功能主機設(shè)備V166監(jiān)控審計安全監(jiān)控管理缺失或不完善基礎(chǔ)保障服務(wù);業(yè)務(wù)支持服務(wù);數(shù)據(jù)庫;存儲設(shè)備;服務(wù)器操作系統(tǒng);安全設(shè)備;網(wǎng)絡(luò)設(shè)備;應(yīng)用系統(tǒng)V167監(jiān)控審計重要系統(tǒng)和設(shè)備未開啟日志功能數(shù)據(jù)庫;服務(wù)器操作系統(tǒng);安全設(shè)備;主機設(shè)備;應(yīng)用系統(tǒng)V168監(jiān)控審計無法對私自聯(lián)網(wǎng)用戶的行為進(jìn)行監(jiān)控、定位和阻斷安全設(shè)備V169監(jiān)控審計不能及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為（端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等）安全設(shè)備V171監(jiān)控審計系統(tǒng)軟件缺失審計功能應(yīng)用系統(tǒng)V172開發(fā)安全沒有禁止使用未授權(quán)軟件，未授權(quán)軟件中可能綁有后門、木馬、病毒；工具應(yīng)用軟件;終端設(shè)備威脅賦值表：等級標(biāo)識定義5很高出現(xiàn)的頻率很高（或≥1次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實經(jīng)常發(fā)生過；4高出現(xiàn)的頻率較高（或≥1次/月）；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實多次發(fā)生過3中出現(xiàn)的頻率中等(或>1次/半年)；或在某種情況下可能會發(fā)生；或被證實曾經(jīng)發(fā)生過2低出現(xiàn)的頻率較小；或一般不太可能發(fā)生；或沒有被證實發(fā)生過1很低威脅幾乎不可能發(fā)生；僅可能在非常罕見和例外的情況下發(fā)生脆弱性賦值表：等級標(biāo)識定義5很高如果被威脅利用，將對資產(chǎn)造成完全損害，其功能/作用完全喪失4高如果被威脅利用，將對資產(chǎn)造成重大損害，致使其損失主要功能/作用3中如果被威脅利用，將對資產(chǎn)造成一般損害，致使其損失次要功能/作用2低如果被威脅利用，將對資產(chǎn)造成較小損害，致使其損失小的功能/作用1很低如果被威脅利用，將對資產(chǎn)造成的損害可以忽略，幾乎沒有功能/作用損失通過計算資產(chǎn)的CIA（BI）、主要威脅和脆弱等相關(guān)賦值得出風(fēng)險的等級。風(fēng)險計算：風(fēng)險值=A*T*V其中：T：威脅發(fā)生頻率V：脆弱性嚴(yán)重程度A：資產(chǎn)價值風(fēng)險等級標(biāo)準(zhǔn)參考風(fēng)險等級等級描述上限下限高風(fēng)險必須處理：風(fēng)險值在該區(qū)間內(nèi)的風(fēng)險，必須采取控制措施處理該風(fēng)險。12576中風(fēng)險待定：風(fēng)險值在該區(qū)間內(nèi)的風(fēng)險，由相關(guān)部門討論待定，管理層審批需要處理的風(fēng)險。7527低風(fēng)險暫不需處理：風(fēng)險值在該區(qū)間內(nèi)的風(fēng)險，由于發(fā)生的可能性很低，或發(fā)生后對業(yè)務(wù)的影響較低，因此可選擇暫不進(jìn)行處理261確定了風(fēng)險接受的準(zhǔn)則：公司可接受發(fā)生后使系統(tǒng)受到的破壞程度和利益損失較小或可忽略不計的風(fēng)險（風(fēng)險等級≤低）。選擇風(fēng)險處置方式依據(jù)風(fēng)險評估結(jié)果，對風(fēng)險采取了以下管控措施：風(fēng)險接受、風(fēng)險降低、風(fēng)險轉(zhuǎn)移和風(fēng)險規(guī)避。風(fēng)險接受：接受特定風(fēng)險帶來的損失或收益。風(fēng)險降低：采取行動降低風(fēng)險發(fā)生的可能性或減輕負(fù)面后果，或同時降低風(fēng)險發(fā)生的可能性和減輕負(fù)面后果。制定風(fēng)險處置計劃并執(zhí)行相應(yīng)的整改措施。內(nèi)容包括：管理措施（流程、方針、規(guī)定）；技術(shù)設(shè)置（參數(shù)、功能設(shè)置）；技術(shù)產(chǎn)品（安全設(shè)備、軟件）；計劃完成日期；完成日期；責(zé)任部門；措施落實狀況；整改后風(fēng)險評估等。風(fēng)險轉(zhuǎn)移：與其它組織分擔(dān)風(fēng)險的損失或收益。風(fēng)險規(guī)避：決定不陷入風(fēng)險，或從風(fēng)險處境中撤離的行為。殘余風(fēng)險接受信息安全管理領(lǐng)導(dǎo)小組作為公司信息安全最高管理機構(gòu)批準(zhǔn)接受殘余風(fēng)險，形成《殘余風(fēng)險批示報告》文件。風(fēng)險評估描述風(fēng)險評估前準(zhǔn)備信息安全管理領(lǐng)導(dǎo)小組：負(fù)責(zé)組織各部門參加風(fēng)險評估的人員進(jìn)行資產(chǎn)識別和風(fēng)險評估方法的培訓(xùn)。信息安全管理領(lǐng)導(dǎo)小組：向各部門發(fā)放《信息安全風(fēng)險評估表》。同時提出進(jìn)行資產(chǎn)識別和風(fēng)險評估的要求。確定重要業(yè)務(wù)過程和活動各部門確定本部門所有業(yè)務(wù)相關(guān)重要過程和活動，識別、確定各業(yè)務(wù)過程及跨部門業(yè)務(wù)過程中的各個角色及其職責(zé)。業(yè)務(wù)相關(guān)重要過程和活動包括：部門的主要業(yè)務(wù)過程；一旦喪失或降格將導(dǎo)致不能執(zhí)行組織使命的過程；保密處理或?qū)Ｓ屑夹g(shù)的過程；如果被修改，可能對公司產(chǎn)生極大影響的過程。信息資產(chǎn)的識別各評估人員根據(jù)部門所有業(yè)務(wù)相關(guān)重要過程和活動，參考《信息安全風(fēng)險評估表》中的《資產(chǎn)類別庫》識別本部門信息資產(chǎn)，根據(jù)《信息安全風(fēng)險評估表》中的《賦值說明》填寫《資產(chǎn)清單》，經(jīng)部門負(fù)責(zé)人審核后提交信息安全管理領(lǐng)導(dǎo)小組審核匯總，確保沒有遺漏信息資產(chǎn)并存檔。信息資產(chǎn)包括九類見下表：資產(chǎn)大類資產(chǎn)小類描述硬件主機設(shè)備大型機、小型機、PC服務(wù)器等終端設(shè)備臺式機、KVM、筆記本、移動終端等網(wǎng)絡(luò)設(shè)備路由器、交換機、HUB、負(fù)載均衡設(shè)備等傳輸介質(zhì)光纖、雙絞線、同軸電纜、衛(wèi)星線路等安全設(shè)備防火墻、防毒墻、安全網(wǎng)關(guān)、入侵檢測設(shè)備、掃描設(shè)備、加密機、VPN、網(wǎng)閘、堡壘主機等存儲介質(zhì)磁帶、光盤、U盤、移動硬盤等存儲設(shè)備磁盤陣列、磁帶庫、NAS/SAN/存儲設(shè)備等辦公輔助設(shè)備傳真機、碎紙機、打印機、掃描儀、復(fù)印機、刻錄機、照相機等軟件源程序源代碼、軟件安裝包、License等服務(wù)器操作系統(tǒng)WindowsServer、Linux、Unix、AIX、Solaris等，虛擬化系統(tǒng)（Hyper、ESX/ESXi、XenServer等）終端操作系統(tǒng)WindowsXP/7、MaciOS等數(shù)據(jù)庫Oracle、DB2、Sqlserver、Mysql等中間件Websphere、Weblogic、應(yīng)用服務(wù)器、消息中間件、對象中間件等工具應(yīng)用軟件office、通訊軟件、媒體編輯軟件、軟件開發(fā)工具、測試工具、版本控制軟件、設(shè)計建模工具，終端殺毒軟件、防篡改、終端管理系統(tǒng)客戶端等應(yīng)用系統(tǒng)OA系統(tǒng)、郵件系統(tǒng)、業(yè)務(wù)處理系統(tǒng)、ERP、交易系統(tǒng)、門戶網(wǎng)站、終端管理系統(tǒng)、文檔加密系統(tǒng)、視頻監(jiān)控管理系統(tǒng)、IT服務(wù)管理系統(tǒng)、IT資源監(jiān)控管理系統(tǒng)等開發(fā)測試系統(tǒng)正在測試且未上線或部分上線的系統(tǒng)以及正在開發(fā)的系統(tǒng)數(shù)據(jù)業(yè)務(wù)信息財務(wù)/人力信息、合同信息、項目信息、采購信息、客戶信息、市場資料、業(yè)務(wù)數(shù)據(jù)、交易數(shù)據(jù)等系統(tǒng)配置信息配置、日志、帳戶權(quán)限口令信息、軟證書等文檔管理文檔管理制度文檔、運維資料、培訓(xùn)資料、收發(fā)文、工作報告、軟件開發(fā)文檔、法律法規(guī)等實體信息印章、證照、硬證書/令牌、其它實體信息等人員內(nèi)部人員-中高層領(lǐng)導(dǎo)公司董事會層面相關(guān)成員或者大部門領(lǐng)