風(fēng)險評估原則

XXX信息安全科技有限公司XXX信息安全科技有限公司第#頁共w9頁內(nèi)部公開第第1頁共9頁內(nèi)部公開風(fēng)險評估原則目錄TOC\o"1-5"\h\z一、資產(chǎn)分類參考目錄2.二、重要信息資產(chǎn)判斷標準2.三、信息資產(chǎn)CIAB分級標準4四、威脅分級標準4..五、脆弱性漏洞分級標準5六、風(fēng)險等級標準5七、威脅來源列表5..八、威脅種類與描述5.九、脆弱性列表6.

一、資產(chǎn)分類參考目錄資產(chǎn)大類資產(chǎn)小類描述硬件主機設(shè)備大型機、小型機、PC服務(wù)器等終端設(shè)備臺式機、KVM、筆記本、移動終端等網(wǎng)絡(luò)設(shè)備路由器、交換機、HUB、負載均衡設(shè)備等傳輸介質(zhì)光纖、雙絞線、同軸電纜、衛(wèi)星線路等安全設(shè)備防火墻、防毒墻、安全網(wǎng)關(guān)、入侵檢測設(shè)備、掃描設(shè)備、加密機、VPN、網(wǎng)閘、堡壘主機等存儲介質(zhì)磁帶、光盤、U盤、移動硬盤等存儲設(shè)備磁盤陣列、磁帶庫、NAS/SAN/存儲設(shè)備等辦公輔助設(shè)備傳真機、碎紙機、打印機、掃描儀、復(fù)印機、刻錄機、照相機等軟件源程序源代碼、軟件安裝包、License等服務(wù)器操作系統(tǒng)WindowsServer、Linux、Unix、AIX、Solaris等，虛擬化系統(tǒng)（Hyper、ESX/ESXi、XenServer等）終端操作系統(tǒng)WindowsXP/7、MaciOS等數(shù)據(jù)庫Oracle、DB2、Sqlserver、Mysql等中間件Websphere、Weblogic、應(yīng)用服務(wù)器、消息中間件、對象中間件等工具應(yīng)用軟件office、通訊軟件、媒體編輯軟件、軟件開發(fā)工具、測試工具、版本控制軟件、設(shè)計建模工具，終端殺毒軟件、防篡改、終端管理系統(tǒng)客戶端等應(yīng)用系統(tǒng)OA系統(tǒng)、郵件系統(tǒng)、業(yè)務(wù)處理系統(tǒng)、ERP、交易系統(tǒng)、門戶網(wǎng)站、終端官理系統(tǒng)、文檔加密系統(tǒng)、視頻監(jiān)控管理系統(tǒng)、IT服務(wù)管理系統(tǒng)、IT資源監(jiān)控管理系統(tǒng)等開發(fā)測試系統(tǒng)正在測試且未上線或部分上線的系統(tǒng)以及正在開發(fā)的系統(tǒng)數(shù)據(jù)業(yè)務(wù)信息財務(wù)/人力信息、合同信息、項目信息、采購信息、客戶信息、市場資料、業(yè)務(wù)數(shù)據(jù)、交易數(shù)據(jù)等系統(tǒng)配置信息配置、日志、帳戶權(quán)限口令信息、軟證書等文檔管理文檔管理制度文檔、運維資料、培訓(xùn)資料、收發(fā)文、工作報告、軟件開發(fā)文檔、法律法規(guī)等實體信息印章、證照、硬證書/令牌、其它實體信息等人員內(nèi)部人員-中高層領(lǐng)導(dǎo)公司重事會層面相關(guān)成員或者大部門領(lǐng)導(dǎo)級成員、部門領(lǐng)導(dǎo)或者部門模塊科室領(lǐng)導(dǎo)內(nèi)部人員-支撐人員行政、財務(wù)、人力資源等員工內(nèi)部人員-業(yè)務(wù)人員公司業(yè)務(wù)人員

內(nèi)部人員-運維人員IT運維人員（主機管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、安全管理員）內(nèi)部人員-開發(fā)人員開發(fā)人員、測試人員等外部人員業(yè)務(wù)外包人員、開發(fā)外包人員、運維外包人員、物業(yè)保安人員等物理環(huán)境硬件保障設(shè)施空調(diào)、UPS、發(fā)電機、門禁設(shè)施、消防設(shè)施、機柜機架等環(huán)境監(jiān)控設(shè)施CCTV、報警設(shè)施、溫濕度監(jiān)控建筑環(huán)境設(shè)施設(shè)備間、機房、辦公大廈介質(zhì)保障設(shè)施保險柜、檔案室、文件柜等第二方月服務(wù)基礎(chǔ)保障服務(wù)供電、物業(yè)、寶潔、保安監(jiān)控、供水、辦公設(shè)備維保、大廈空調(diào)、物流快遞、打印等服務(wù)業(yè)務(wù)支持服務(wù)包括主機硬件支持、開放平臺硬件支持、機房設(shè)備設(shè)施支持、存儲設(shè)備支持、云計算支持、軟件和硬件的研發(fā)、IT咨詢（安全咨詢）、財務(wù)審計、法律咨詢、人力資源支持、公關(guān)媒體、寶潔、物流快遞、打印、保安監(jiān)控等服務(wù)外包服務(wù)產(chǎn)品推廣EMGL業(yè)務(wù)大數(shù)據(jù)客探業(yè)務(wù)無形資產(chǎn)專利專利技術(shù)著作著作權(quán)二、重要信息資產(chǎn)判斷標準分類評判標準硬件1、產(chǎn)生或保存的信息屬于秘密的設(shè)備或媒體。2、處理方法不當或設(shè)備故障，對公司活動、管理、商業(yè)信譽、形象直接產(chǎn)生不良影響。3、本部門認為重要的信息資產(chǎn)。軟件1、屬于企業(yè)秘密的程序。2、如果被修改或失效，對公司活動、管理、商業(yè)信譽、形象直接產(chǎn)生不良影響。3、本部門認為重要的信息資產(chǎn)。數(shù)據(jù)1、屬于公司機密。2、被修改、不正當使用或缺失，對公司活動、管理、商業(yè)信譽、形象直接產(chǎn)生不良影響。3、本部門認為重要的信息資產(chǎn)。文檔1、屬于公司機密。2、被修改、不正當使用或缺失，對公司活動、管理、商業(yè)信譽、形象直接產(chǎn)生不良影響。3、本部門認為重要的信息資產(chǎn)。

人員1、產(chǎn)生或保存企業(yè)秘密信息的人員或特殊技能的人員。2、本部門認為重要的信息資產(chǎn)。物理環(huán)境1、產(chǎn)生或保存企業(yè)秘密信息或運行重要程序、完成重要業(yè)務(wù)的場所。2、本部門認為重要的信息資產(chǎn)。第二方服務(wù)1、影響業(yè)務(wù)流程及運營的關(guān)鍵服務(wù)，無形資產(chǎn)。2、本部門認為重要的信息資產(chǎn)。外包服務(wù)1、產(chǎn)生或保存第二方企業(yè)秘密信息或運行支撐第二方業(yè)務(wù)的重要程序、完成第三方重要業(yè)務(wù)的環(huán)境、場地、系統(tǒng)等信息資產(chǎn)。2、本部門認為重要的信息資產(chǎn)。無形資產(chǎn)1、影響業(yè)務(wù)流程及運營的無形資產(chǎn)。2、本部門認為重要的信息資產(chǎn)。三、信息資產(chǎn)CIAB分級標準A機9ftIF■性a-wmb滬業(yè)芳■董注咒傘當高）BL祝的催瑰叫餓環(huán)盒可fl剋點成重上前-可底池広更的需響.刈業(yè)尋種擊五上，并可IWI-■ij'-：＜tfr{r..11.■-；u.%丄也由岳制怙J6決I&2S読囪可niAiJ.njq：ij^..9t6wr.毗備匯仝蔽“■喪仁□追嚴11Vi匕可咀二:a-'斯..1fi川陀讖旳卜上MW堂嚴區(qū)拗吿￡老母說梶1：人瞬町總業(yè)爭需応嚴童,H!9?5ffU?Wt可屮社毎陌1丈芮.合濁囲U1時心息■如m嘉翌射門-；S遲刃毎r.TIF“L砸毎可逡館息欣產(chǎn)低遂引1總！、.國南“.」“訃味:?“浙導(dǎo)舐牛產(chǎn)耀人端下除廈V4、危再到*iTJr柯創(chuàng)沖盡縱忖展壯施宙，Ait簡MM叩縱iFi安嚀n*|；,■■忸s屮尊static的峰比或就環(huán)強用爼筑如耳響，討畳寡沖諱彌顯"初■■I譏驚fi-可■川桂刑1屮尊.各注崔開苛?xí)r他息忑曲-息籍俐可朋圧在正第丄忙吋同赴醐丁曲nI-業(yè)嘉V旻限"辿話息矗F躲同吋保持嫌有工作圧性產(chǎn)橫式"可口廈吋H■冗譚信.S5r赳舍僅覽璉tflSH阿他尿勺齟累?m.ii>j^rnu「訕弼樂現(xiàn)的*」五潔琥拒害圧盟禮％俱恂限，丸違15抿的峰厲或畔拆吉禹塩迪我輕誼當響*可LJ15S，詞業(yè)務(wù)沖擊輅緞，事辭沁可屮性卅頂?魯汪修期首引仙忠禺」H哥說叫縄環(huán)i-^.il利丄fT吋fi也為粗nI-就躅為削曲，業(yè)霽斗罷叢原有力或進行盤旳的軍息吐耳歸占廉殺統(tǒng)H整11細忙』怎恆“說址授利1;犠坤誓2-們罔遲認對「:軒尸,|,'.aw可umw'ffiarum?徉吐N]j-；Ji/i:.r-flr..Mi7W；-業(yè)越ft卓莊接囲杠MtlS政惟息巽嚴’駅祁編■r-.r-jnii槪ii配q11t/.Jj四、威脅分級標準

標識EX.5出現(xiàn)泊頻率很碼〔或耳丨抉/周〉：或旳匚務(wù)數(shù)情況卜'JL乎不J澤免；或iJW計機經(jīng)常發(fā)生過。4出現(xiàn)泊扳率較訕'(或31S/J):或比大名數(shù)情況卜仏有iJgfe合境生；或可以證實賽祝發(fā)生過.31'出現(xiàn)射頻率網(wǎng)f或〉1祝/半心：或血昭小情出卜可罷法境生;或被汕實曾經(jīng)境T.過“2出現(xiàn)泊麵率St?。换蛞还?丸叮能揑生:或沒仃被讓實劉汕L:忽略O(shè)J1.平十町能發(fā)T?僅叮能在*常甲見和例外的情況卜發(fā)"L五、脆弱性漏洞分級標準按術(shù)■逼徨1M謝需控彌応科性雖M朝用的J*島觀度1(PTS4技術(shù)方IW打珀益賀悴軸躺屈如、的2IK礎(chǔ)利出耐」皮擊舌衰說,讖|'電取半rLf'I'll.戎誓審1屮曲辛禺：、俎糧呼^屮芒Mil綽呵11刪種1呑規(guī)定.嚴倚技*EB奇注曲I忒燉利出時于加4示睪矗i濟抵法械口(期沈:IL恤陽葉兀件』制飆嚇屮逢MH時解漢節(jié)，用吼械PJ'd寺初定??inftmii.有專人曲丸卷杳執(zhí)右荷電as,有己錄哇餓咸再口NJ憶屮｝H+ult-'/./i,:.狀備腳jM＜左可4JEfiJi|J如如飛&p]II.i'k^i^MfflflifiJilJ3.LPJ^U粗悝帕屮卍h明⑻曲稠酒節(jié)，可以蔽f'J'J.SW.LS5＞5^＜：-仃丄*iiJLifejONH?|訃：悄術(shù)方両育在臂嚴叩1」vnsM?.可燦枕垃曲昔加風(fēng)片找利朗.甦若盤湖的科用有…宜組織館那屮帝圧右將朗呻W比我洋刑哋酒毎執(zhí)仃II:比客園査或射』||」僅卅方iW打珀i:iIIJS嚴武的技陷,腹窖馬畝II窗蹄肚””吐蠱rill応a議哲im諮|爼駅轉(zhuǎn)外屮打芒苕陽挾鬥沖駛J*T，71-IIU辟i；轉(zhuǎn)；W乩\.'.Jlfj六、風(fēng)險等級標準址|:嘩級Li啪述iT怖53fl-：!a如I艮岌■■I.將址系刪愛遠上取壞.蛆埶利曲空別極犬:殞艮i"1口」電論鳳險41.1-L9高刃I黑圾'I:務(wù)址忝統(tǒng)逍逼嚴朮蔭壞，陽跟利益逼劉嚴:址捌火不町按雯鳳險XIII1-11:1發(fā)花話將硬系址唸判較用附戌壞，陽跟利益曼踰先-般不可糕蚯鳳險25~9授1--用將他系St受和射盛壞理度filf'ISffi火?般詒1呵護受鳳險｛需夏其沁)1D-可黑略|!|川代T只仝便毎級受別很：'間觀壞“:搖蛍鳳睦七、威脅來源列表曲于晰電1樹血、沁、翻宓、媼蟲r鼠畑U吉t屯嵐干按r祇夾.火龍.坦焦巧-岡■厲■爭杵和口然史雪】帝艸單議取由于鞍碎.便曲=、刼拊.捕日孝略R瀏旳欣卑無肆定內(nèi)耶m內(nèi)鄒人旳由寸祇乏門門心-J'j^iffiirj=交心冃1小、泊.農(nóng)斤漢片遵ns辺■-■■ikjjs和操忤說理血曲佛^Fta*.山君.瓦員由于吐乏isiii.者量技龍不足，不具缶曲■樁卻B理熏函■導(dǎo)致潔宜垂統(tǒng)放16戊也》1擊出意內(nèi)耶人航出灑瓚有髀軍的內(nèi)卻人曲珅倩總利當If?理奪硝壞msM白一主「些內(nèi)冷公曲的白.4詼心從密卞Q我辿匚垃u-昨H第三mi^frirufwe呂話咖伯.桿動、證秀、杭務(wù)警畳務(wù)卄和恢陣“皿較忤幵發(fā)令悴妝律、寧醜卻t應(yīng).脈務(wù)■苗和尹母蛋應(yīng)商=邑括第三力幽jfeil：」FllA1.S■直的打為外祁心1希用1EJ&■殺礁肝圖稱性』JH冏Sfr昶棗焼耐L密性＞.云劭世和拭了峨壞■丄獲恥利蛍」JH3g?ER八、威脅種類與描述

虞■■述RQQhii就備喚和騰.亂只漲即:憫.拿統(tǒng)本甘啞較件心U副?川務(wù)雷時任:ij邑百的託即樹」m”專鯽斷仏芳仏捉塵、潮溟’血.員縱直亂電at干擢*祺農(nóng).販地霍學(xué)環(huán)境冋題朝II然先言ICO；；處為說吐fTh浬ill1應(yīng)味擠L」沒有執(zhí)仃相應(yīng)的拗1,或無意地｝叮.，鏤哄的拗n.射泵硼融*Kol許理不于用宣空骨理無注輕氓，不JJftr適戚室仝譽璨不甥祜，貫音會璨JftJL.從仙眥坤「」&殺吒ll衛(wèi)jl吁狂帀rws悲之代啊和￡iU■■^ru^sia...『1氐汕播隹你.時仁也甌統(tǒng)擋觸?e討占：」沁泊匚HKC-Ei越収或汚ria:i<jn小引；諾”超越口己的找眞技問」-牛*槪止問呻膏*!白己的郴.懂出砒壞苗息廂蜻前竹為KC-7上客頂擊利川需岔「ML譏幾-例血陽按?■?科措割巧hh-規(guī)Ml：和山口/,.應(yīng)唳h訂丨.哽採、詢適11：總嚅?施朝恥爵耳丄弟扌：用則佯總乘舞二ri^.lifl：AG7CO3收理上上物暉幔址一樹理砒壞、潘奮ITOGfits機寄信鳥譏並蛉皿人hli.l&L<非建律醴口恵破±1注總前尼護性roinmf4tu.ifcillI：j信點和斫杵忙用件W交鼎IC12?刊丿；、^H'iJ.-'.L九、脆弱性列表

n:ciiHi]/:乏口悻口T握劃\rd/-nrii■yfiit；^ri.iptsr晴匚牛苗山1i(15缺近可tfvrifct的世仝程序'■FUb螢嚇JvX1可律PF州it車睦有效敲r?■i(i?ft/牡壬h1Ki：.'沒門『?爾主/TtE"；陽」1liiJ沒n連j'.ydTT:r-j幻血范IM;UJ1I切啟的重理記云璽仃毎判血IP'.lij刪UVfM眾（&引瑩熬監(jiān)■ini人打切說木平博'■■Iiij■in：.A.打左八總馭處'■■Ini扎上謚僵:精沖不齒1IH：3'■■hib■<rrin?丿」1庇汕哦雅■■in；-.31肓養(yǎng)訂博說rin：jniinH悅期哥屮at廳賓心輕出ri11安住疋注與1」丄9HWF鉤rm嗟rii：.沒肯扎閃鈿肌制niii理乏LMJ肝為的前n;xii電燦B*n：jp\4KIS\Hjg-i疑岡豆汨.七滋響A.\HKih\RirAHflR\HKI!jIt；」客冷d-WIIIMlMl竺讓缶、斤頂品簡坤口帖應(yīng)幵:K：訐"IB制罠iff潛敗的忖viirM佇開十冋十垢口帖在沖能刀1-W吃譽嚴燒甞r:/￡TiT.-^i[1冷疋C用HI轉(zhuǎn)陸njnuft齢眾謝MlElk技■術(shù)黑VNIH■J'-1L幣ruit詛就舅詛入MJIK丄11比tMJl!J<\'川的ConjniL*粘巾攀卄Ml1「網(wǎng)販竝背珅樣誅ZHI訣心疋優(yōu)-?卑尿氓疋Til程割亡訂歴時史新神TL班刪幵怏頸認需吟WI\VIS琨St廿雀叫筆廂務(wù)4WI\丸1筑凱？T珅址乩山門丙I［審曲空口雀I*1;、底at疔柱可麻耳i戶ISflh程割亡訂開秋審：i曰恵功域rsfl?崔鬣沒IJnill^-V匠』牟和￡仃啟陽用戶務(wù)硏穽亍策略'■-=(!!.■■SllJ集St無覆磁劇描JfiglnK^i'.-'iTdrsUilIm股本険F在屈悟円啓即爭円応11■Sl：>配宣測舸rsit<-H-■J■-Si7盤育鏈tftmEM桂軌TI架徇牡幅岳l!.'