ISO27001信息安全管理體系信息安全風(fēng)險(xiǎn)評(píng)估表【ISMS信息安全風(fēng)險(xiǎn)評(píng)估】

文件編號(hào)：IT-I4-013ISO27001信息安全管理體系信息安全風(fēng)險(xiǎn)評(píng)估表【ISMS信息安全風(fēng)險(xiǎn)評(píng)估】評(píng)估日期：2019.12.18類別編號(hào)資產(chǎn)編號(hào)資產(chǎn)名稱功能描述威脅內(nèi)容(威脅源、動(dòng)機(jī)）脆弱性影響后果資產(chǎn)重要程度現(xiàn)行控制方式威脅發(fā)率脆弱被利用率風(fēng)險(xiǎn)值風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)處理方式改善措施資產(chǎn)重要程度威脅發(fā)生的評(píng)率脆弱性被利用率殘余風(fēng)險(xiǎn)值風(fēng)險(xiǎn)等級(jí)是否接受文檔

與

數(shù)據(jù)SL-DATA-001解決方案針對(duì)客戶需求提出的信息安全解決方案被競爭對(duì)手獲取人員道德缺乏文件被競爭對(duì)手獲取，影響業(yè)務(wù)開展5數(shù)據(jù)加密系統(tǒng)控制12101接受未經(jīng)授權(quán)使用、訪問、復(fù)制人員缺乏安全意識(shí)文件信息外泄5進(jìn)行員工信息安全意識(shí)培訓(xùn)12101接受不正確的廢棄人員缺乏安全意識(shí)文件信息外泄5進(jìn)行員工信息安全意識(shí)培訓(xùn)，12101接受電子存儲(chǔ)媒體故障設(shè)備損壞資料丟失，影響項(xiàng)目進(jìn)度5使用數(shù)據(jù)備份系統(tǒng)，對(duì)數(shù)據(jù)實(shí)時(shí)備份12101接受手工誤刪操作不小心資料丟失，影響項(xiàng)目進(jìn)度5使用數(shù)據(jù)備份系統(tǒng)，對(duì)數(shù)據(jù)實(shí)時(shí)備份12101接受網(wǎng)絡(luò)傳輸中被竊取未使用密碼技術(shù)文件信息外泄5使用加密系統(tǒng)控制23303接受瘟疫、火災(zāi)、爆炸、雷擊、恐怖襲擊等缺乏應(yīng)急機(jī)制客戶信息丟失，業(yè)務(wù)開展產(chǎn)生困難5設(shè)置必要的放火，放雷機(jī)制12101接受自然災(zāi)難：地震、洪水、臺(tái)風(fēng)缺乏應(yīng)急機(jī)制客戶信息丟失，業(yè)務(wù)開展產(chǎn)生困難5對(duì)重要數(shù)據(jù)進(jìn)行定期移動(dòng)硬盤備份12101接受SL-DATA-003

SL-DATA-004

SL-DATA-018體系文件

管理制度

各項(xiàng)規(guī)章制度公司管理類文檔未經(jīng)授權(quán)使用、訪問、復(fù)制人員缺乏安全意識(shí)文件信息外泄5進(jìn)行員工信息安全意識(shí)培訓(xùn)12101接受不正確的廢棄人員缺乏安全意識(shí)文件信息外泄5進(jìn)行員工信息安全意識(shí)培訓(xùn)，12101接受電子存儲(chǔ)媒體故障設(shè)備損壞資料丟失，影響項(xiàng)目進(jìn)度5使用數(shù)據(jù)備份系統(tǒng)，對(duì)數(shù)據(jù)實(shí)時(shí)備份12101接受手工誤刪操作不小心資料丟失，影響項(xiàng)目進(jìn)度5使用數(shù)據(jù)備份系統(tǒng)，對(duì)數(shù)據(jù)實(shí)時(shí)備份12101接受網(wǎng)絡(luò)傳輸中被竊取未使用密碼技術(shù)文件信息外泄5使用加密系統(tǒng)控制12101接受瘟疫、火災(zāi)、爆炸、雷擊、恐怖襲擊等缺乏應(yīng)急機(jī)制文件信息丟失，業(yè)務(wù)缺乏指導(dǎo)5設(shè)置必要的放火，放雷機(jī)制23303接受自然災(zāi)難：地震、洪水、臺(tái)風(fēng)缺乏應(yīng)急機(jī)制文件信息丟失，業(yè)務(wù)缺乏指導(dǎo)5對(duì)重要數(shù)據(jù)進(jìn)行定期移動(dòng)硬盤備份12101接受SL-DATA-008

SL-DATA-010在職員工個(gè)人信息

員工勞動(dòng)合同人事檔案信息未經(jīng)授權(quán)使用、訪問、復(fù)制缺乏物理防護(hù)機(jī)制員工個(gè)人信息資料丟失或泄密4人事資料放在人事文件柜中14162避免員工檔案資料文件柜應(yīng)上鎖，防止非授權(quán)的獲取41281接受瘟疫、火災(zāi)、爆炸、雷擊、恐怖襲擊等缺乏應(yīng)急機(jī)制文件信息丟失，人事工作開展困難5設(shè)置必要的放火，放雷機(jī)制23303接受自然災(zāi)難：地震、洪水、臺(tái)風(fēng)缺乏應(yīng)急機(jī)制文件信息丟失，人事工作開展困難5對(duì)重要數(shù)據(jù)進(jìn)行定期移動(dòng)硬盤備份12101接受SL-DATA-013

SL-DATA-016

SL-DATA-021

SL-DATA-022供應(yīng)商合作協(xié)議書

采購合同

代理合同

廠商報(bào)價(jià)合同未經(jīng)授權(quán)使用、訪問、復(fù)制缺乏物理防護(hù)機(jī)制供應(yīng)商信息被客戶或競爭對(duì)手獲得，供應(yīng)商投訴或業(yè)務(wù)無法開展5合同報(bào)價(jià)等資料放在上鎖的文件柜中12101接受瘟疫、火災(zāi)、爆炸、雷擊、恐怖襲擊等缺乏應(yīng)急機(jī)制文件信息丟失，人事工作開展困難5設(shè)置必要的放火，放雷機(jī)制23303接受網(wǎng)絡(luò)傳輸中被竊取未使用密碼技術(shù)文件信息外泄5使用加密系統(tǒng)控制23303接受自然災(zāi)難：地震、洪水、臺(tái)風(fēng)缺乏應(yīng)急機(jī)制文件信息丟失，人事工作開展困難5對(duì)重要數(shù)據(jù)進(jìn)行定期移動(dòng)硬盤備份12101接受盜竊存放缺乏保護(hù)合同丟失，影響后續(xù)服務(wù)或收款等內(nèi)容5合同報(bào)價(jià)等資料放在上鎖的文件柜中12101接受SL-DATA-014

SL-DATA-015

SL-DATA-023

SL-DATA-024

SL-DATA-033報(bào)價(jià)、合同樣本

銷售合同

客戶報(bào)價(jià)

客戶合同

報(bào)價(jià)單合同未經(jīng)授權(quán)使用、訪問、復(fù)制缺乏物理防護(hù)機(jī)制供應(yīng)商信息被客戶或競爭對(duì)手獲得，供應(yīng)商投訴或業(yè)務(wù)無法開展5合同報(bào)價(jià)等資料放在上鎖的文件柜中12101接受不正確的廢棄人員缺乏安全意識(shí)文件信息外泄5進(jìn)行員工信息安全意識(shí)培訓(xùn)，12101接受瘟疫、火災(zāi)、爆炸、雷擊、恐怖襲擊等缺乏應(yīng)急機(jī)制文件信息丟失，人事工作開展困難5設(shè)置必要的放火，放雷機(jī)制23303接受自然災(zāi)難：地震、洪水、臺(tái)風(fēng)缺乏應(yīng)急機(jī)制文件信息丟失，人事工作開展困難5對(duì)重要數(shù)據(jù)進(jìn)行定期移動(dòng)硬盤備份12101接受盜竊存放缺乏保護(hù)合同丟失，影響后續(xù)服務(wù)或收款等內(nèi)容5合同報(bào)價(jià)等資料放在上鎖的文件柜中SL-DATA-026客戶資料供開票及聯(lián)系未經(jīng)授權(quán)使用、訪問、復(fù)制缺乏物理防護(hù)機(jī)制客戶信息被客戶或競爭對(duì)手獲得，供應(yīng)商投訴或業(yè)務(wù)無法開展5合同報(bào)價(jià)等資料放在上鎖的文件柜中瘟疫、火災(zāi)、爆炸、雷擊、恐怖襲擊等缺乏應(yīng)急機(jī)制文件信息丟失，人事工作開展困難5設(shè)置必要的放火，放雷機(jī)制23303接受網(wǎng)絡(luò)傳輸中被竊取未使用密碼技術(shù)文件信息外泄5使用加密系統(tǒng)控制23303接受自然災(zāi)難：地震、洪水、臺(tái)風(fēng)缺乏應(yīng)急機(jī)制文件信息丟失，人事工作開展困難5對(duì)重要數(shù)據(jù)進(jìn)行定期移動(dòng)硬盤備份12101接受盜竊存放缺乏保護(hù)合同丟失，影響后續(xù)服務(wù)或收款等內(nèi)容5合同報(bào)價(jià)等資料放在上鎖的文件柜中12101接受SL-DATA-027CRME和快普數(shù)據(jù)庫ERP系統(tǒng)數(shù)據(jù)未經(jīng)授權(quán)使用、訪問、復(fù)制訪問權(quán)限沒有控制數(shù)據(jù)被刪除，修改或泄密5通過域控，系統(tǒng)密碼控制，嚴(yán)格控制訪問權(quán)限23303控制增加準(zhǔn)入設(shè)備，對(duì)訪問權(quán)限和訪問區(qū)域進(jìn)行規(guī)定51151接受未經(jīng)授權(quán)更改訪問權(quán)限沒有控制公司業(yè)務(wù)無法開展5通過域控，系統(tǒng)密碼控制，嚴(yán)格控制訪問權(quán)限23303控制增加準(zhǔn)入設(shè)備，對(duì)訪問權(quán)限和訪問區(qū)域進(jìn)行規(guī)定51151接受電子存儲(chǔ)媒體故障存放缺乏保護(hù)數(shù)據(jù)丟失業(yè)務(wù)無法開展5通過服務(wù)器備份數(shù)據(jù)23303控制增加專門數(shù)據(jù)備份系統(tǒng)，對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)備份51151接受瘟疫、火災(zāi)、爆炸、雷擊、恐怖襲擊等缺乏應(yīng)急機(jī)制文件信息丟失，人事工作開展困難5對(duì)重要數(shù)據(jù)進(jìn)行定期移動(dòng)硬盤備份，設(shè)置放雷機(jī)制12101接受自然災(zāi)難：地震、洪水、臺(tái)風(fēng)缺乏應(yīng)急機(jī)制文件信息丟失，人事工作開展困難5對(duì)重要數(shù)據(jù)進(jìn)行定期移動(dòng)硬盤備份12101接受SL-DATA-028公司辦公租賃合同合同未經(jīng)授權(quán)使用、訪問、復(fù)制缺乏物理防護(hù)機(jī)制供應(yīng)商信息被客戶或競爭對(duì)手獲得，供應(yīng)商投訴或業(yè)務(wù)無法開展5合同報(bào)價(jià)等資料放在上鎖的文件柜中12101接受瘟疫、火災(zāi)、爆炸、雷擊、恐怖襲擊等缺乏應(yīng)急機(jī)制文件信息丟失，人事工作開展困難5設(shè)置必要的放火，放雷機(jī)制23303接受網(wǎng)絡(luò)傳輸中被竊取未使用密碼技術(shù)文件信息外泄5使用加密系統(tǒng)控制23303接受自然災(zāi)難：地震、洪水、臺(tái)風(fēng)缺乏應(yīng)急機(jī)制文件信息丟失，人事工作開展困難5對(duì)重要數(shù)據(jù)進(jìn)行定期移動(dòng)硬盤備份12101接受盜竊存放缺乏保護(hù)合同丟失，影響后續(xù)服務(wù)或收款等內(nèi)容5合同報(bào)價(jià)等資料放在上鎖的文件柜中12101接受SL-DATA-030

SL-DATA-032公司各類財(cái)務(wù)數(shù)據(jù)及報(bào)表

公司經(jīng)營相關(guān)數(shù)據(jù)及資料財(cái)務(wù)數(shù)據(jù)未經(jīng)授權(quán)使用、訪問、復(fù)制訪問權(quán)限沒有控制數(shù)據(jù)被刪除，修改或泄密5通過域控，系統(tǒng)密碼控制，嚴(yán)格控制訪問權(quán)限23303控制增加準(zhǔn)入設(shè)備，對(duì)訪問權(quán)限和訪問區(qū)域進(jìn)行規(guī)定51151接受未經(jīng)授權(quán)更改訪問權(quán)限沒有控制公司業(yè)務(wù)無法開展5通過域控，系統(tǒng)密碼控制，嚴(yán)格控制訪問權(quán)限23303控制增加準(zhǔn)入設(shè)備，對(duì)訪問權(quán)限和訪問區(qū)域進(jìn)行規(guī)定51151接受電子存儲(chǔ)媒體故障存放缺乏保護(hù)數(shù)據(jù)丟失業(yè)務(wù)無法開展5通過服務(wù)器備份數(shù)據(jù)23303控制增加專業(yè)數(shù)據(jù)備份系統(tǒng)，對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)備份51151接受瘟疫、火災(zāi)、爆炸、雷擊、恐怖襲擊等缺乏應(yīng)急機(jī)制文件信息丟失，人事工作開展困難5對(duì)重要數(shù)據(jù)進(jìn)行定期移動(dòng)硬盤備份，設(shè)置放雷機(jī)制12101接受自然災(zāi)難：地震、洪水、臺(tái)風(fēng)缺乏應(yīng)急機(jī)制文件信息丟失，人事工作開展困難5對(duì)重要數(shù)據(jù)進(jìn)行定期移動(dòng)硬盤備份12101接受SL-DATA-031公司資質(zhì)文件及認(rèn)證證書資質(zhì)資料未經(jīng)授權(quán)使用、訪問、復(fù)制人員缺乏安全意識(shí)文件信息外泄5進(jìn)行員工信息安全意識(shí)培訓(xùn)12101接受不正確的廢棄人員缺乏安全意識(shí)文件信息外泄5進(jìn)行員工信息安全意識(shí)培訓(xùn)，12101接受SL-DATA-036

SL-DATA-042報(bào)價(jià)（給渠道）

渠道合同合同，報(bào)價(jià)信息未經(jīng)授權(quán)使用、訪問、復(fù)制缺乏物理防護(hù)機(jī)制供應(yīng)商信息被客戶或競爭對(duì)手獲得，供應(yīng)商投訴或業(yè)務(wù)無法開展5合同報(bào)價(jià)等資料放在上鎖的文件柜中12101接受不正確的廢棄人員缺乏安全意識(shí)文件信息外泄5進(jìn)行員工信息安全意識(shí)培訓(xùn)，12101接受瘟疫、火災(zāi)、爆炸、雷擊、恐怖襲擊等缺乏應(yīng)急機(jī)制文件信息丟失，人事工作開展困難5設(shè)置必要的放火，放雷機(jī)制23303接受自然災(zāi)難：地震、洪水、臺(tái)風(fēng)缺乏應(yīng)急機(jī)制文件信息丟失，人事工作開展困難5對(duì)重要數(shù)據(jù)進(jìn)行定期移動(dòng)硬盤備份12101接受盜竊存放缺乏保護(hù)合同丟失，影響后續(xù)服務(wù)或收款等內(nèi)容5合同報(bào)價(jià)等資料放在上鎖的文件柜中SL-DATA-037報(bào)價(jià)（廠家供貨價(jià)）合同，報(bào)價(jià)信息未經(jīng)授權(quán)使用、訪問、復(fù)制缺乏物理防護(hù)機(jī)制供應(yīng)商信息被客戶或競爭對(duì)手獲得，供應(yīng)商投訴或業(yè)務(wù)無法開展5合同報(bào)價(jià)等資料放在上鎖的文件柜中12101接受不正確的廢棄人員缺乏安全意識(shí)文件信息外泄5進(jìn)行員工信息安全意識(shí)培訓(xùn)，12101接受瘟疫、火災(zāi)、爆炸、雷擊、恐怖襲擊等缺乏應(yīng)急機(jī)制文件信息丟失，人事工作開展困難5設(shè)置必要的放火，放雷機(jī)制23303接受自然災(zāi)難：地震、洪水、臺(tái)風(fēng)缺乏應(yīng)急機(jī)制文件信息丟失，人事工作開展困難5對(duì)重要數(shù)據(jù)進(jìn)行定期移動(dòng)硬盤備份12101接受盜竊存放缺乏保護(hù)合同丟失，影響后續(xù)服務(wù)等內(nèi)容5合同報(bào)價(jià)等資料放在上鎖的文件柜中SL-DATA-040銷售部管理周報(bào)未經(jīng)授權(quán)使用、訪問、復(fù)制訪問權(quán)限沒有控制公司銷售信息被競爭對(duì)手獲得，業(yè)務(wù)無法開展5通過域控，系統(tǒng)密碼控制，嚴(yán)格控制訪問權(quán)限23303控制增加準(zhǔn)入設(shè)備，對(duì)訪問權(quán)限和訪問區(qū)域進(jìn)行規(guī)定51151接受SL-DATA-043用友OA日志文件日志未經(jīng)授權(quán)使用、訪問、復(fù)制弱密碼日志信息被刪除，無法追溯系統(tǒng)的信息5通過員工自己定義密碼進(jìn)行控制23303控制使用密碼策略，嚴(yán)禁使用弱密碼51151接受日志數(shù)據(jù)被修改，刪除訪問權(quán)限沒有控制公司銷售信息被競爭對(duì)手獲得，業(yè)務(wù)無法開展5通過域控，系統(tǒng)密碼控制，嚴(yán)格控制訪問權(quán)限23303控制增加準(zhǔn)入設(shè)備，對(duì)訪問權(quán)限和訪問區(qū)域進(jìn)行規(guī)定51151接受SL-DATA-044快普ERP日志文件日志未經(jīng)授權(quán)使用、訪問、復(fù)制弱密碼日志信息被刪除，無法追溯系統(tǒng)的信息5通過員工自己定義密碼進(jìn)行控制23303控制使用密碼策略，嚴(yán)禁使用弱密碼51151接受日志數(shù)據(jù)被修改，刪除訪問權(quán)限沒有控制公司銷售信息被競爭對(duì)手獲得，業(yè)務(wù)無法開展5通過域控，系統(tǒng)密碼控制，嚴(yán)格控制訪問權(quán)限23303控制增加準(zhǔn)入設(shè)備，對(duì)訪問權(quán)限和訪問區(qū)域進(jìn)行規(guī)定51151接受SL-DATA-045豪創(chuàng)日志文件日志未經(jīng)授權(quán)使用、訪問、復(fù)制弱密碼日志信息被刪除，無法追溯系統(tǒng)的信息5通過員工自己定義密碼進(jìn)行控制23303控制使用密碼策略，嚴(yán)禁使用弱密碼51151接受日志數(shù)據(jù)被修改，刪除訪問權(quán)限沒有控制公司銷售信息被競爭對(duì)手獲得，業(yè)務(wù)無法開展5通過域控，系統(tǒng)密碼控制，嚴(yán)格控制訪問權(quán)限23303控制增加準(zhǔn)入設(shè)備，對(duì)訪問權(quán)限和訪問區(qū)域進(jìn)行規(guī)定51151接受SL-DATA-046管家婆日志文件日志未經(jīng)授權(quán)使用、訪問、復(fù)制弱密碼日志信息被刪除，無法追溯系統(tǒng)的信息5通過員工自己定義密碼進(jìn)行控制23303控制使用密碼策略，嚴(yán)禁使用弱密碼51151接受日志數(shù)據(jù)被修改，刪除訪問權(quán)限沒有控制公司銷售信息被競爭對(duì)手獲得，業(yè)務(wù)無法開展5通過域控，系統(tǒng)密碼控制，嚴(yán)格控制訪問權(quán)限23303控制增加準(zhǔn)入設(shè)備，對(duì)訪問權(quán)限和訪問區(qū)域進(jìn)行規(guī)定51151接受SL-DATA-047SSLvpn日志文件日志未經(jīng)授權(quán)使用、訪問、復(fù)制弱密碼日志信息被刪除，無法追溯系統(tǒng)的信息5通過員工自己定義密碼進(jìn)行控制23303控制使用密碼策略，嚴(yán)禁使用弱密碼51151接受日志數(shù)據(jù)被修改，刪除訪問權(quán)限沒有控制公司銷售信息被競爭對(duì)手獲得，業(yè)務(wù)無法開展5通過域控，系統(tǒng)密碼控制，嚴(yán)格控制訪問權(quán)限23303控制增加準(zhǔn)入設(shè)備，對(duì)訪問權(quán)限和訪問區(qū)域進(jìn)行規(guī)定51151接受SL-DATA-048廣域網(wǎng)加速設(shè)備日志文件日志未經(jīng)授權(quán)使用、訪問、復(fù)制弱密碼日志信息被刪除，無法追溯系統(tǒng)的信息5通過員工自己定義密碼進(jìn)行控制23303控制使用密碼策略，嚴(yán)禁使用弱密碼51151接受日志數(shù)據(jù)被修改，刪除訪問權(quán)限沒有控制公司銷售信息被競爭對(duì)手獲得，業(yè)務(wù)無法開展5通過域控，系統(tǒng)密碼控制，嚴(yán)格控制訪問權(quán)限23303控制增加準(zhǔn)入設(shè)備，對(duì)訪問權(quán)限和訪問區(qū)域進(jìn)行規(guī)定51151接受SL-DATA-049準(zhǔn)入系統(tǒng)日志文件日志未經(jīng)授權(quán)使用、訪問、復(fù)制弱密碼日志信息被刪除，無法追溯系統(tǒng)的信息5通過員工自己定義密碼進(jìn)行控制23303控制使用密碼策略，嚴(yán)禁使用弱密碼51151接受日志數(shù)據(jù)被修改，刪除訪問權(quán)限沒有控制公司銷售信息被競爭對(duì)手獲得，業(yè)務(wù)無法開展5通過域控，系統(tǒng)密碼控制，嚴(yán)格控制訪問權(quán)限23303控制增加準(zhǔn)入設(shè)備，對(duì)訪問權(quán)限和訪問區(qū)域進(jìn)行規(guī)定51151接受SL-DATA-050愛數(shù)備份日志文件日志未經(jīng)授權(quán)使用、訪問、復(fù)制弱密碼日志信息被刪除，無法追溯系統(tǒng)的信息5通過員工自己定義密碼進(jìn)行控制23303控制使用密碼策略，嚴(yán)禁使用弱密碼51151接受日志數(shù)據(jù)被修改，刪除訪問權(quán)限沒有控制公司銷售信息被競爭對(duì)手獲得，業(yè)務(wù)無法開展5通過域控，系統(tǒng)密碼控制，嚴(yán)格控制訪問權(quán)限23303控制增加準(zhǔn)入設(shè)備，對(duì)訪問權(quán)限和訪問區(qū)域進(jìn)行規(guī)定51151接受SL-DATA-051趨勢(shì)防毒日志文件日志未經(jīng)授權(quán)使用、訪問、復(fù)制弱密碼日志信息被刪除，無法追溯系統(tǒng)的信息5通過員工自己定義密碼進(jìn)行控制23303控制使用密碼策略，嚴(yán)禁使用弱密碼51151接受日志數(shù)據(jù)被修改，刪除訪問權(quán)限沒有控制公司銷售信息被競爭對(duì)手獲得，業(yè)務(wù)無法開展5通過域控，系統(tǒng)密碼控制，嚴(yán)格控制訪問權(quán)限23303控制增加準(zhǔn)入設(shè)備，對(duì)訪問權(quán)限和訪問區(qū)域進(jìn)行規(guī)定51151接受SL-DATA-052守內(nèi)安日志文件日志未經(jīng)授權(quán)使用、訪問、復(fù)制弱密碼日志信息被刪除，無法追溯系統(tǒng)的信息5通過員工自己定義密碼進(jìn)行控制23303控制使用密碼策略，嚴(yán)禁使用弱密碼51151接受日志數(shù)據(jù)被修改，刪除訪問權(quán)限沒有控制公司銷售信息被競爭對(duì)手獲得，業(yè)務(wù)無法開展5通過域控，系統(tǒng)密碼控制，嚴(yán)格控制訪問權(quán)限23303控制增加準(zhǔn)入設(shè)備，對(duì)訪問權(quán)限和訪問區(qū)域進(jìn)行規(guī)定51151接受SL-DATA-053上網(wǎng)行為管理日志文件日志未經(jīng)授權(quán)使用、訪問、復(fù)制弱密碼日志信息被刪除，無法追溯系統(tǒng)的信息5通過員工自己定義密碼進(jìn)行控制23303控制使用密碼策略，嚴(yán)禁使用弱密碼51151接受日志數(shù)據(jù)被修改，刪除訪問權(quán)限沒有控制公司銷售信息被競爭對(duì)手獲得，業(yè)務(wù)無法開展5通過域控，系統(tǒng)密碼控制，嚴(yán)格控制訪問權(quán)限23303控制增加準(zhǔn)入設(shè)備，對(duì)訪問權(quán)限和訪問區(qū)域進(jìn)行規(guī)定51151接受SL-DATA-054視屏監(jiān)控日志文件日志未經(jīng)授權(quán)使用、訪問、復(fù)制弱密碼日志信息被刪除，無法追溯系統(tǒng)的信息5通過員工自己定義密碼進(jìn)行控制23303控制使用密碼策略，嚴(yán)禁使用弱密碼51151接受日志數(shù)據(jù)被修改，刪除訪問權(quán)限沒有控制公司銷售信息被競爭對(duì)手獲得，業(yè)務(wù)無法開展5通過域控，系統(tǒng)密碼控制，嚴(yán)格控制訪問權(quán)限23303控制增加準(zhǔn)入設(shè)備，對(duì)訪問權(quán)限和訪問區(qū)域進(jìn)行規(guī)定51151接受SL-DATA-055電話錄音日志文件日志未經(jīng)授權(quán)使用、訪問、復(fù)制弱密碼日志信息被刪除，無法追溯系統(tǒng)的信息5通過員工自己定義密碼進(jìn)行控制23303控制使用密碼策略，嚴(yán)禁使用弱密碼51151接受日志數(shù)據(jù)被修改，刪除訪問權(quán)限沒有控制公司銷售信息被競爭對(duì)手獲得，業(yè)務(wù)無法開展5通過域控，系統(tǒng)密碼控制，嚴(yán)格控制訪問權(quán)限23303控制增加準(zhǔn)入設(shè)備，對(duì)訪問權(quán)限和訪問區(qū)域進(jìn)行規(guī)定51151接受SL-DATA-056考勤機(jī)日志文件日志未經(jīng)授權(quán)使用、訪問、復(fù)制弱密碼日志信息被刪除，無法追溯系統(tǒng)的信息5通過員工自己定義密碼進(jìn)行控制23303控制使用密碼策略，嚴(yán)禁使用弱密碼51151接受日志數(shù)據(jù)被修改，刪除訪問權(quán)限沒有控制公司銷售信息被競爭對(duì)手獲得，業(yè)務(wù)無法開展5通過域控，系統(tǒng)密碼控制，嚴(yán)格控制訪問權(quán)限23303控制增加準(zhǔn)入設(shè)備，對(duì)訪問權(quán)限和訪問區(qū)域進(jìn)行規(guī)定51151接受SL-DATA-057路由日志文件日志未經(jīng)授權(quán)使用、訪問、復(fù)制弱密碼日志信息被刪除，無法追溯系統(tǒng)的信息5通過員工自己定義密碼進(jìn)行控制23303控制使用密碼策略，嚴(yán)禁使用弱密碼51151接受日志數(shù)據(jù)被修改，刪除訪問權(quán)限沒有控制公司銷售信息被競爭對(duì)手獲得，業(yè)務(wù)無法開展5通過域控，系統(tǒng)密碼控制，嚴(yán)格控制訪問權(quán)限23303控制增加準(zhǔn)入設(shè)備，對(duì)訪問權(quán)限和訪問區(qū)域進(jìn)行規(guī)定51151接受SL-DATA-058交換機(jī)日志文件日志未經(jīng)授權(quán)使用、訪問、復(fù)制弱密碼日志信息被刪除，無法追溯系統(tǒng)的信息5通過員工自己定義密碼進(jìn)行控制23303控制使用密碼策略，嚴(yán)禁使用弱密碼51151接受日志數(shù)據(jù)被修改，刪除訪問權(quán)限沒有控制公司銷售信息被競爭對(duì)手獲得，業(yè)務(wù)無法開展5通過域控，系統(tǒng)密碼控制，嚴(yán)格控制訪問權(quán)限23303控制增加準(zhǔn)入設(shè)備，對(duì)訪問權(quán)限和訪問區(qū)域進(jìn)行規(guī)定51151接受SL-DATA-059趨勢(shì)殺毒日志文件日志未經(jīng)授權(quán)使用、訪問、復(fù)制弱密碼日志信息被刪除，無法追溯系統(tǒng)的信息5通過員工自己定義密碼進(jìn)行控制23303控制使用密碼策略，嚴(yán)禁使用弱密碼51151接受日志數(shù)據(jù)被修改，刪除訪問權(quán)限沒有控制公司銷售信息被競爭對(duì)手獲得，業(yè)務(wù)無法開展5通過域控，系統(tǒng)密碼控制，嚴(yán)格控制訪問權(quán)限23303控制增加準(zhǔn)入設(shè)備，對(duì)訪問權(quán)限和訪問區(qū)域進(jìn)行規(guī)定51151接受SL-DATA-060

SL-DATA-061

SL-DATA-062

SL-DATA-063

SL-DATA-064

SL-DATA-065

SL-DATA-066

SL-DATA-067

SL-DATA-068

SL-DATA-069

SL-DATA-070用友OA數(shù)據(jù)

快普ERP數(shù)據(jù)

豪創(chuàng)數(shù)據(jù)

管家婆數(shù)據(jù)

準(zhǔn)入系統(tǒng)數(shù)據(jù)

愛數(shù)備份數(shù)據(jù)

守內(nèi)安數(shù)據(jù)

上網(wǎng)行為管理數(shù)據(jù)

視屏監(jiān)控?cái)?shù)據(jù)

電話錄音數(shù)據(jù)

考勤機(jī)數(shù)據(jù)系統(tǒng)數(shù)據(jù)資料未經(jīng)授權(quán)使用、訪問、復(fù)制訪問權(quán)限沒有控制系統(tǒng)信息被訪問，泄露公司相關(guān)數(shù)據(jù)信息5實(shí)施密碼策略22202控制使用準(zhǔn)入系統(tǒng)，對(duì)可以使用系統(tǒng)的人員進(jìn)行控制51151接受電子存儲(chǔ)媒體故障設(shè)備損壞資料丟失，業(yè)務(wù)無法開展5使用數(shù)據(jù)備份系統(tǒng)，對(duì)數(shù)據(jù)實(shí)時(shí)備份23303控制增加專業(yè)數(shù)據(jù)備份系統(tǒng)，對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)備份51151接受手工誤刪操作不小心資料丟失，影響項(xiàng)目進(jìn)度5使用數(shù)據(jù)備份系統(tǒng)，對(duì)數(shù)據(jù)實(shí)時(shí)備份12101避免增加專業(yè)數(shù)據(jù)備份系統(tǒng)，對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)備份51151接受網(wǎng)絡(luò)傳輸中被竊取未使用密碼技術(shù)文件信息外泄5使用加密系統(tǒng)控制13151接受瘟疫、火災(zāi)、爆炸、雷擊、恐怖襲擊等缺乏應(yīng)急機(jī)制客戶信息丟失，業(yè)務(wù)開展產(chǎn)生困難5設(shè)置必要的放火，放雷機(jī)制12101接受惡意軟件缺乏安全意識(shí)；處理時(shí)不小心，惡意軟件防范未控制數(shù)據(jù)丟失5信息安全意識(shí)培訓(xùn)22202控制使用殺毒軟件進(jìn)行控制，在公司安裝殺毒軟件，并控制軟件安裝權(quán)限5115接受自然災(zāi)難：地震、洪水、臺(tái)風(fēng)缺乏應(yīng)急機(jī)制客戶信息丟失，業(yè)務(wù)開展產(chǎn)生困難5使用數(shù)據(jù)備份系統(tǒng)，對(duì)數(shù)據(jù)實(shí)時(shí)備份12101接受SL-DATA-071公司網(wǎng)頁人為破損，服務(wù)商丟失，病毒攻擊被黑客攻擊不能宣傳公司形象4與供應(yīng)商簽訂協(xié)議22162控制進(jìn)行上網(wǎng)檢查，備份42151接受未經(jīng)授權(quán)更改弱的密碼管理網(wǎng)站被該，不能宣傳公司形象4無22162控制制定密碼策略42151接受硬件SL-HARD-001

SL-HARD-002

SL-HARD-041

SL-HARD-042深信服SG上網(wǎng)優(yōu)化設(shè)備

交換機(jī)

入網(wǎng)規(guī)范設(shè)備

電話錄音盒上網(wǎng)行為管理供電故障電力供應(yīng)不穩(wěn)設(shè)備損壞，公司業(yè)務(wù)受到影響5UPS保護(hù)01接受溫度、濕度、灰塵超限易受到溫度、濕度、灰塵和污垢影響火災(zāi)，設(shè)備溫度身高，效率降低5無22202控制定期點(diǎn)檢未經(jīng)授權(quán)更改缺乏有效的配置變更控制人員訪問權(quán)限受到影響501接受未經(jīng)授權(quán)訪問、使用或復(fù)制弱密碼人員使用權(quán)限被修改5實(shí)施密碼策略21101接受廢棄不當(dāng)處置設(shè)備上的數(shù)據(jù)被非法獲取，影響公司聲譽(yù)或資產(chǎn)損失5無22202控制所有的存儲(chǔ)設(shè)備后續(xù)均進(jìn)行物理損壞后再進(jìn)行處理51251接受故障不當(dāng)維護(hù)設(shè)備損壞，業(yè)務(wù)受到影響5無22202控制有維護(hù)能力的人方可進(jìn)行設(shè)備操作和維護(hù)51251接受人為災(zāi)難：火災(zāi)、爆炸、恐怖襲擊等缺乏防火、防雷等保護(hù)性措施火災(zāi)或其它導(dǎo)致設(shè)備損壞，業(yè)務(wù)受到影響5配置滅火器，設(shè)置放雷裝置12101接受盜竊存放缺乏保護(hù)設(shè)備丟失5設(shè)備放在機(jī)房內(nèi)，對(duì)機(jī)房績效物理防護(hù)1151接受SL-HARD-003

SL-HARD-004萬全T168

萬全T100供電故障電力供應(yīng)不穩(wěn)設(shè)備損壞，公司業(yè)務(wù)受到影響5UPS保護(hù)12101接受溫度、濕度、灰塵超限易受到溫度、濕度、灰塵和污垢影響火災(zāi)，設(shè)備溫度身高，效率降低51、處于獨(dú)立的機(jī)房中

2，有中央空調(diào)，未監(jiān)控溫濕度

3，定期清理灰塵和污垢12101接受容量超載負(fù)載過高在服務(wù)器上運(yùn)行的系統(tǒng)無法正常運(yùn)行5未做容量規(guī)劃與容量監(jiān)控22202控制未經(jīng)授權(quán)更改缺乏有效的配置變更控制可能導(dǎo)致服務(wù)器運(yùn)行不順暢5無文檔化的變更控制程序，但有工作慣例（變更需求提出，獲得部門主管的批準(zhǔn)后開發(fā)運(yùn)營部實(shí)施）22202接受對(duì)變更管理進(jìn)行規(guī)定，并按照文件規(guī)定執(zhí)行51151YES未經(jīng)授權(quán)訪問、使用或復(fù)制物理訪問控制不充分或不仔細(xì)服務(wù)器物理或者數(shù)據(jù)損壞或數(shù)據(jù)被非法竊取5處于獨(dú)立機(jī)房內(nèi)，物理防護(hù)1151接受廢棄不當(dāng)處置數(shù)據(jù)被非法竊取5無設(shè)備的處置策略22202控制建立設(shè)備處置管理規(guī)定，對(duì)儲(chǔ)存設(shè)備的處理需要經(jīng)過高級(jí)格式化或者物理破壞后再處理。51151YES故障不當(dāng)維護(hù)設(shè)備損壞，公司業(yè)務(wù)受到影響5有資格的人員方可機(jī)進(jìn)行設(shè)備維護(hù)1151接受人為災(zāi)難：火災(zāi)、爆炸、恐怖襲擊等缺乏防火、防雷等保護(hù)性措施設(shè)備損壞，公司業(yè)務(wù)受到影響51，機(jī)房內(nèi)無防火器材，但機(jī)房門口外有滅火器12101接受自然災(zāi)難：地震、洪水、臺(tái)風(fēng)、雷擊處于易受到威脅的場(chǎng)所，例如洪水、地震設(shè)備損壞，公司業(yè)務(wù)受到影響5建筑物抗震性能良好，所在30年內(nèi)無洪水爆發(fā)記錄12101接受盜竊物理保護(hù)的缺乏：建筑物、門、窗等設(shè)備丟失，公司業(yè)務(wù)受到影響5處于獨(dú)立封閉的機(jī)房中，有房門保護(hù)22202接受SL-HARD-007

SL-HARD-008

SL-HARD-009

SL-HARD-032辦公臺(tái)式機(jī)電腦

辦公筆記本電腦

財(cái)務(wù)電腦

筆記本聯(lián)想G460病毒，資料丟失遭竊，硬件或軟件損壞維護(hù)不善；蓄意破壞；軟件本身缺陷不能正常辦公435604控制定期進(jìn)行軟件更新及電腦殺毒，不亂裝各類非工作類軟件，不蓄意破壞電腦4218YES未經(jīng)授權(quán)訪問、使用或復(fù)制物理訪問控制不充分或不仔細(xì)數(shù)據(jù)被刪除，修改或泄密433363控制對(duì)物理區(qū)域的訪問進(jìn)行控制，建立相關(guān)制度4218YES廢棄不當(dāng)處置數(shù)據(jù)涉密433363控制建立設(shè)備處置管理規(guī)定，對(duì)儲(chǔ)存設(shè)備的處理需要經(jīng)過高級(jí)格式化或者物理破壞后再處理。41151YES故障不當(dāng)維護(hù)無法正常工作4建立供應(yīng)商聯(lián)系清單，有故障時(shí)請(qǐng)供應(yīng)商維護(hù)1281接受SL-HARD-038考勤機(jī)故障不當(dāng)維護(hù)無法正常工作4建立供應(yīng)商聯(lián)系清單，有故障時(shí)請(qǐng)供應(yīng)商維護(hù)1281接受SL-HARD-040愛數(shù)備份磁盤柜供電故障電力供應(yīng)不穩(wěn)設(shè)備損壞，公司業(yè)務(wù)受到影響5UPS保護(hù)12101接受溫度、濕度、灰塵超限易受到溫度、濕度、灰塵和污垢影響火災(zāi)，設(shè)備溫度身高，效率降低51、處于獨(dú)立的機(jī)房中

2，有中央空調(diào)，未監(jiān)控溫濕度

3，定期清理灰塵和污垢12101接受容量超載負(fù)載過高在服務(wù)器上運(yùn)行的系統(tǒng)無法正常運(yùn)行5未做容量規(guī)劃與容量監(jiān)控22202控制未經(jīng)授權(quán)更改缺乏有效的配置變更控制可能導(dǎo)致服務(wù)器運(yùn)行不順暢5無文檔化的變更控制程序，但有工作慣例（變更需求提出，獲得部門主管的批準(zhǔn)后開發(fā)運(yùn)營部實(shí)施）22202接受對(duì)變更管理進(jìn)行規(guī)定，并按照文件規(guī)定執(zhí)行51151YES未經(jīng)授權(quán)訪問、使用或復(fù)制物理訪問控制不充分或不仔細(xì)服務(wù)器物理或者數(shù)據(jù)損壞或數(shù)據(jù)被非法竊取5處于獨(dú)立機(jī)房內(nèi)，物理防護(hù)1151接受廢棄不當(dāng)處置數(shù)據(jù)被非法竊取5無設(shè)備的處置策略22202控制建立設(shè)備處置管理規(guī)定，對(duì)儲(chǔ)存設(shè)備的處理需要經(jīng)過高級(jí)格式化或者物理破壞后再處理。51151YES故障不當(dāng)維護(hù)設(shè)備損壞，公司業(yè)務(wù)受到影響5有資格的人員方可機(jī)進(jìn)行設(shè)備維護(hù)1151接受人為災(zāi)難：火災(zāi)、爆炸、恐怖襲擊等缺乏防火、防雷等保護(hù)性措施設(shè)備損壞，公司業(yè)務(wù)受到影響51，機(jī)房內(nèi)無防火器材，但機(jī)房門口外有滅火器12101接受自然災(zāi)難：地震、洪水、臺(tái)風(fēng)、雷擊處于易受到威脅的場(chǎng)所，例如洪水、地震設(shè)備損壞，公司業(yè)務(wù)受到影響5建筑物抗震性能良好，所在30年內(nèi)無洪水爆發(fā)記錄12101接受盜竊物理保護(hù)的缺乏：建筑物、門、窗等設(shè)備丟失，公司業(yè)務(wù)受到影響5處于獨(dú)立封閉的機(jī)房中，有房門保護(hù)22202接受SL-HARD-011手機(jī)卡不能接通人員服務(wù)意識(shí)不足客戶不能聯(lián)系到公司人員，客戶抱怨4公司制度要求員工手機(jī)處于一直開機(jī)狀態(tài)，并進(jìn)行抽查，對(duì)不能接通的進(jìn)行處罰2181接受SL-HARD-012打印機(jī)設(shè)備故障或損壞；人員缺失安全意識(shí)隨手拿取打印資料以致泄密維護(hù)不善；蓄意破壞不能打印3控制打印權(quán)限，打印后資料隨手拿走22121接受SL-HARD-013傳真機(jī)設(shè)備故障或損壞；人員缺失安全意識(shí)隨手拿取打印資料以致泄密缺乏安全意識(shí)文件丟失3控制打印權(quán)限，打印后資料隨手拿走2161接受SL-HARD-014復(fù)印機(jī)設(shè)備故障或損壞；人員缺失安全意識(shí)隨手拿取打印資料以致泄密維護(hù)不善；蓄意破壞；軟件本身缺陷不能正常辦公3控制打印權(quán)限，打印后資料隨手拿走1261接受SL-HARD-030掃描儀資料丟失遭竊，硬件或軟件損壞維護(hù)不善；蓄意破壞；軟件本身缺陷不能正常辦公3與維護(hù)廠商建立聯(lián)系1261控制SL-HR-001~SL-HR-023所有人員公司日常運(yùn)作人為災(zāi)害：火災(zāi)、爆炸、雷擊、恐怖襲擊安全訓(xùn)練不完備影響正常工作，對(duì)業(yè)務(wù)造成困擾5安全應(yīng)急培訓(xùn)1151接受5115YES缺乏應(yīng)急機(jī)制公司無法正常運(yùn)作5建立應(yīng)急機(jī)制1151接受5115YES自然災(zāi)難：地震、洪水、臺(tái)風(fēng)安全訓(xùn)練不完備影響正常工作，對(duì)業(yè)務(wù)造成困擾5安全應(yīng)急培訓(xùn)1151接受5115YES缺乏應(yīng)急機(jī)制公司無法正常運(yùn)作5建立應(yīng)急機(jī)制1151接受51210YES內(nèi)部人員泄密缺乏安全意識(shí)公司重要機(jī)密泄露，給公司造成重大損失5數(shù)據(jù)加密，上網(wǎng)行為管控12101控制編制培訓(xùn)計(jì)劃，進(jìn)行信息安全相關(guān)培訓(xùn)，人事不定期發(fā)送安全提醒郵件5115YES道德缺失公司重要機(jī)密泄露，給公司造成重大損失5無22202控制編制培訓(xùn)計(jì)劃，進(jìn)行職業(yè)道德培訓(xùn)，招聘前對(duì)員工進(jìn)行崗前背景調(diào)查，簽訂保密協(xié)議51210YES不公證待遇缺乏員工關(guān)懷/申訴政策員工離職，公司信息泄露，人員資產(chǎn)流失5無33454控制建立員工溝通渠道，建立保密協(xié)議51210YES軟件SL-SOFT-001用友OA軟件未經(jīng)授權(quán)訪問、使用或復(fù)制訪問權(quán)限的錯(cuò)誤配置數(shù)據(jù)被刪除，修改或泄密533454控制權(quán)限審核52110YESSL-SOFT-002快普ERP軟件缺乏身份鑒別機(jī)制易被攻擊，修改或泄密533454控制制定相關(guān)網(wǎng)絡(luò)訪問策略52110YESSL-SOFT-003豪創(chuàng)軟件離開工作場(chǎng)所未注銷非授權(quán)的修改，泄密533454控制統(tǒng)一設(shè)置，最多5分鐘密保52110YESSL-SOFT-004管家婆軟件缺乏（文件）共享安全策略數(shù)據(jù)被刪除，修改或泄密533454控制制定相關(guān)共享策略52110YESSL-SOFT-005愛數(shù)備份軟件缺乏服務(wù)/端口安全策略數(shù)據(jù)被刪除，修改或泄密533454控制對(duì)端口進(jìn)行掃描封堵52110YESSL-SOFT-006守內(nèi)安軟件惡意軟件眾所周知的軟件缺陷，易受病毒等攻擊感染病毒，無法正常提供服務(wù)533454控制應(yīng)實(shí)施惡意代碼的監(jiān)測(cè)、預(yù)防和恢復(fù)的控制措施，以及適當(dāng)?shù)奶岣哂脩舭踩庾R(shí)的程序。52110YES抵賴缺乏審核蹤跡無法追查信息安全事件533454控制定期審核日志黑客攻擊眾所周知的軟件缺陷數(shù)據(jù)被刪除，修改或泄密533454控制應(yīng)實(shí)施惡意代碼的監(jiān)測(cè)、預(yù)防和恢復(fù)的控制措施，以及適當(dāng)?shù)奶岣哂脩舭踩庾R(shí)的程序。密碼強(qiáng)度太弱易被攻擊，修改或泄密533454控制建立密碼策略，明確密碼強(qiáng)度并定期修改密碼系統(tǒng)管理員權(quán)限濫用訪問權(quán)限的錯(cuò)誤配置非授權(quán)的修改，泄密533454控制權(quán)限審核未經(jīng)授權(quán)更改缺乏補(bǔ)丁管理機(jī)制易被攻擊，修改或泄密533454控制制定補(bǔ)丁策略缺乏有效的變更控制易被攻擊，修改或泄密533454控制建立更改管理程序違背知識(shí)產(chǎn)權(quán)相關(guān)法律、法規(guī)安裝使用盜版軟件法律訴訟533454控制建立文件，規(guī)定使用正版軟件SL-SOFT-015WINSERVER2003服務(wù)器操作系統(tǒng)惡意軟件眾所周知的軟件缺陷，易受病毒等攻擊感染病毒，無法正常提供服務(wù)533454控制應(yīng)實(shí)施惡意代碼的監(jiān)測(cè)、預(yù)防和恢復(fù)的控制措施，以及適當(dāng)?shù)奶岣哂脩舭踩庾R(shí)的程序。52110YES未經(jīng)授權(quán)訪問、使用或復(fù)制訪問權(quán)限的錯(cuò)誤配置數(shù)據(jù)被刪除，修改或泄密533454控制權(quán)限審核52110YES缺乏身份鑒別機(jī)制易被攻擊，修改或泄密533454控制制定相關(guān)網(wǎng)絡(luò)訪問策略52110YES離開工作場(chǎng)所未注銷非授權(quán)的修改，泄密533454控制統(tǒng)一設(shè)置，最多5分鐘密保52110YES缺乏（文件）共享安全策略數(shù)據(jù)被刪除，修改或泄密533454控制制定相關(guān)共享策略52110YES缺乏服務(wù)/端口安全策略數(shù)據(jù)被刪除，修改或泄密533454控制對(duì)端口進(jìn)行掃描封堵52110YES抵賴缺乏審核蹤跡無法追查信息安全事件533454控制定期審核日志52110YES黑客攻擊眾所周知的軟件缺陷數(shù)據(jù)被刪除，修改或泄密533454控制應(yīng)實(shí)施惡意代碼的監(jiān)測(cè)、預(yù)防和恢復(fù)的控制措施，以及適當(dāng)?shù)奶岣哂脩舭踩庾R(shí)的程序。52110YES密碼強(qiáng)度太弱易被攻擊，修改或泄密533454控制建立密碼策略，明確密碼強(qiáng)度并定期修改密碼52110YES系統(tǒng)管理員權(quán)限濫用訪問權(quán)限的錯(cuò)誤配置非授權(quán)的修改，泄密533454控制權(quán)限審核52110YES未經(jīng)授權(quán)更改缺乏補(bǔ)丁管理機(jī)制易被攻擊，修改或泄密533454控制制定補(bǔ)丁策略52110YES缺乏有效的變更控制易被攻擊，修改或泄密533454控制建立更改管理程序52110YES違背知識(shí)產(chǎn)權(quán)相關(guān)法律、法規(guī)安裝使用盜版軟件法律訴訟533454控制建立文件，規(guī)定使用正版軟件52110YESSL-SOFT-009

L-SOFT-010

SL-SOFT-011

SL-SOFT-012

SL-SOFT-013

SL-SOFT-014

SL-SOFT-015

SL-SOFT-016

SL-SOFT-017

SL-SOFT-018

SL-SOFT-019

SL-SOFT-020WINXP

SL-SOFT-010

OFFICE

TeamViewer

AdobeReader

WindowsXP

Office2003

Windows2003

Office2007

SQLServer2005

360安全衛(wèi)士

趨勢(shì)殺毒

盈高桌面管理軟件個(gè)人操作系統(tǒng)等未經(jīng)授權(quán)訪問、使用或復(fù)制訪問權(quán)限的錯(cuò)誤配置數(shù)據(jù)被刪除，修改或泄密533454控制權(quán)限審核52110YES缺乏身份鑒別機(jī)制易被攻擊，修改或泄密533454控制制定相關(guān)網(wǎng)絡(luò)訪問策略52110YES離開工作場(chǎng)所未注銷非授權(quán)的修改，泄密533454控制統(tǒng)一設(shè)置，最多5分鐘密保52110YES缺乏（文件）共享安全策略數(shù)據(jù)被刪除，修改或泄密533454控制制定相關(guān)共享策略52110YES缺乏服務(wù)/端口安全策略數(shù)據(jù)被刪除，修改或泄密533454控制對(duì)端口進(jìn)行掃描封堵52110YES抵賴缺乏審核蹤跡無法追查信息安全事件533454控制定期審核日志52110YES黑客攻擊眾所周知的軟件缺陷數(shù)據(jù)被刪除，修改或泄密533454控制應(yīng)實(shí)施惡意代碼的監(jiān)測(cè)、預(yù)防和恢復(fù)的控制措施，以及適當(dāng)?shù)奶岣哂脩舭踩庾R(shí)的程序。52110YES密碼強(qiáng)度太弱易被攻擊，修改或泄密533454控制建立密碼策略，明確密碼強(qiáng)度并定期修改密碼52110YES系統(tǒng)管理員權(quán)限濫用訪問權(quán)限的錯(cuò)誤配置非授權(quán)的修改，泄密533454控制權(quán)限審核52110YES未經(jīng)授權(quán)更改缺乏補(bǔ)丁管理機(jī)制易被攻擊，修改或泄密533454控制制定補(bǔ)丁策略52110YES缺乏有效的變更控制易被攻擊，修改或泄密533454控制建立更改管理程序52110YES違背知識(shí)產(chǎn)權(quán)相關(guān)法律、法規(guī)安裝使用盜版軟件法律訴訟533454控制建立文件，規(guī)定使用正版軟件52110YES惡意軟件眾所周知的軟件缺陷，易受病毒等攻擊感染病毒，無法正常提供服務(wù)533454控制應(yīng)實(shí)施惡意代碼的監(jiān)測(cè)、預(yù)防和恢復(fù)的控制措施，以及適當(dāng)?shù)奶岣哂脩舭踩庾R(shí)的程序。52110YESSL-SEVER-01中國電信服務(wù)通信通信服務(wù)故障不恰當(dāng)?shù)姆?wù)故障響應(yīng)不能連線客戶進(jìn)行服務(wù)4技術(shù)部負(fù)責(zé)同通信服務(wù)供應(yīng)商聯(lián)系22162接受41281YESSL-SEVER-02中國網(wǎng)通服務(wù)容量超載負(fù)載過高網(wǎng)速慢，遠(yuǎn)程服務(wù)受到影響4未作容量規(guī)劃與監(jiān)控23242控制建立負(fù)載監(jiān)控，容量管理機(jī)制，雙線路，電信網(wǎng)通控制41281YES通信監(jiān)聽未保護(hù)的敏感信息傳輸機(jī)密信息泄露4敏感數(shù)據(jù)傳輸無控制23242控制數(shù)據(jù)加密傳輸41281YESSL-SEVER-03

SL-SEVER-04

SL-SEVER-05

SL-SEVER-06

SL-SEVER-07匯通快遞服務(wù)

S匯通快遞服務(wù)

順豐快遞服務(wù)

友通物流服務(wù)

圓通快遞服務(wù)

EMS服務(wù)快遞數(shù)據(jù)丟失泄密人員服務(wù)意識(shí)不足公司機(jī)密信息泄露，業(yè)務(wù)開展困難3簽訂保密協(xié)議2161接受SL-SEVER-19開元物業(yè)物理防護(hù)不足缺乏防火、防雷等保護(hù)性措施公司設(shè)備資料損壞，公司業(yè)務(wù)受到影響4確認(rèn)安全防護(hù)足夠后再租用2181接受IT系

統(tǒng)配置SL-ITCF-004豪創(chuàng)管理權(quán)限密碼業(yè)務(wù)系統(tǒng)授權(quán)訪問口令明文傳輸密碼用明文傳輸口令可被未授權(quán)用戶網(wǎng)絡(luò)訪問的威脅所利用5使用數(shù)據(jù)加密系統(tǒng)1151接受離開工作場(chǎng)所未注銷屏幕保護(hù)，人員意識(shí)不足可被偽裝用戶身份的威脅所利用5按照桌面清屏策略，定時(shí)屏幕保護(hù)自動(dòng)鎖定32303接受缺乏保護(hù)的密碼表未經(jīng)保護(hù)的口令表可被偽裝用戶身份的威脅所利用5密碼分散，人工記憶31151接受弱密碼使用口令管理不力（容易猜測(cè)的口令、口令存儲(chǔ)、變更的頻次不充分）可被錯(cuò)誤人員錯(cuò)誤的威脅所利用5使用數(shù)字、字母、符號(hào)密碼復(fù)雜度策略實(shí)行32303接受越權(quán)或?yàn)E用密碼超越自己的權(quán)限訪問了本來無權(quán)訪問的資源；非授權(quán)訪問濫用權(quán)限泄露秘密信息等可被未授權(quán)用戶使用軟件的威脅所利用5進(jìn)行員工信息安全意識(shí)培訓(xùn)32303接受SL-ITCF-005管家婆管理權(quán)限密碼業(yè)務(wù)系統(tǒng)授權(quán)訪問口令明文傳輸密碼用明文傳輸口令可被未授權(quán)用戶網(wǎng)絡(luò)訪問的威脅所利用5使用數(shù)據(jù)加密系統(tǒng)1151接受離開工作場(chǎng)所未注銷屏幕保護(hù)，人員意識(shí)不足可被偽裝用戶身份的威脅所利用5按照桌面清屏策略，定時(shí)屏幕保護(hù)自動(dòng)鎖定32303接受缺乏保護(hù)的密碼表未經(jīng)保護(hù)的口令表可被偽裝用戶身份的威脅所利用5密碼分散，人工記憶31151接受弱密碼使用口令管理不力（容易猜測(cè)的口令、口令存儲(chǔ)、變更的頻次不充分）可被錯(cuò)誤人員錯(cuò)誤的威脅所利用5使用數(shù)字、字母、符號(hào)密碼復(fù)雜度策略實(shí)行32303接受越權(quán)或?yàn)E用密碼超越自己的權(quán)限訪問了本來無權(quán)訪問的資源；非授權(quán)訪問濫用權(quán)限泄露秘密信息等可被未授權(quán)用戶使用軟件的威脅所利用5進(jìn)行員工信息安全意識(shí)培訓(xùn)32303接受SL-ITCF-006SSLvpn管理權(quán)限密碼業(yè)務(wù)系統(tǒng)授權(quán)訪問口令明文傳輸密碼用明文傳輸口令可被未授權(quán)用戶網(wǎng)絡(luò)訪問的威脅所利用5使用數(shù)據(jù)加密系統(tǒng)1151接受離開工作場(chǎng)所未注銷屏幕保護(hù)，人員意識(shí)不足可被偽裝用戶身份的威脅所利用5按照桌面清屏策略，定時(shí)屏幕保護(hù)自動(dòng)鎖定32303接受缺乏保護(hù)的密碼表未經(jīng)保護(hù)的口令表可被偽裝用戶身份的威脅所利用5密碼分散，人工記憶31151接受弱密碼使用口令管理不力（容易猜測(cè)的口令、口令存儲(chǔ)、變更的頻次不充分）可被錯(cuò)誤人員錯(cuò)誤的威脅所利用5使用數(shù)字、字母、符號(hào)密碼復(fù)雜度策略實(shí)行32303接受越權(quán)或?yàn)E用密碼超越自己的權(quán)限訪問了本來無權(quán)訪問的資源；非授權(quán)訪問濫用權(quán)限泄露秘密信息等可被未授權(quán)用戶使用軟件的威脅所利用5進(jìn)行員工信息安全意識(shí)培訓(xùn)32303接受SL-ITCF-007廣域網(wǎng)加速設(shè)備管理權(quán)限密碼業(yè)務(wù)系統(tǒng)授權(quán)訪問口令明文傳輸密碼用明文傳輸口令可被未授權(quán)用戶網(wǎng)絡(luò)訪問的威脅所利用5使用數(shù)據(jù)加密系統(tǒng)1151接受離開工作場(chǎng)所未注銷屏幕保護(hù)，人員意識(shí)不足可被偽裝用戶身份的威脅所利用5按照桌面清屏策略，定時(shí)屏幕保護(hù)自動(dòng)鎖定32303接受缺乏保護(hù)的密碼表未經(jīng)保護(hù)的口令表可被偽裝用戶身份的威脅所利用5密碼分散，人工記憶31151接受弱密碼使用口令管理不力（容易猜測(cè)的口令、口令存儲(chǔ)、變更的頻次不充分）可被錯(cuò)誤人員錯(cuò)誤的威脅所利用5使用數(shù)字、字母、符號(hào)密碼復(fù)雜度策略實(shí)行32303接受越權(quán)或?yàn)E用密碼超越自己的權(quán)限訪問了本來無權(quán)訪問的資源；非授權(quán)訪問濫用權(quán)限泄露秘密信息等可被未授權(quán)用戶使用軟件的威脅所利用5進(jìn)行員工信息安全意識(shí)培訓(xùn)32303接受SL-ITCF-008準(zhǔn)入系統(tǒng)管理權(quán)限密碼業(yè)務(wù)系統(tǒng)授權(quán)訪問口令明文傳輸密碼用明文傳輸口令可被未授權(quán)用戶網(wǎng)絡(luò)訪問的威脅所利用5使用數(shù)據(jù)加密系統(tǒng)1151接受離開工作場(chǎng)所未注銷屏幕保護(hù)，人員意識(shí)不足可被偽裝用戶身份的威脅所利用5按照桌面清屏策略，定時(shí)屏幕保護(hù)自動(dòng)鎖定32303接受缺乏保護(hù)的密碼表未經(jīng)保護(hù)的口令表可被偽裝用戶身份的威脅所利用5密碼分散，人工記憶31151接受弱密碼使用口令管理不力（容易猜測(cè)的口令、口令存儲(chǔ)、變更的頻次不充分）可被錯(cuò)誤人員錯(cuò)誤的威脅所利用5使用數(shù)字、字母、符號(hào)密碼復(fù)雜度策略實(shí)行32303接受越權(quán)或?yàn)E用密碼超越自己的權(quán)限訪問了本來無權(quán)訪問的資源；非授權(quán)訪問濫用權(quán)限泄露秘密信息等可被未授權(quán)用戶使用軟件的威脅所利用5進(jìn)行員工信息安全意識(shí)培訓(xùn)32303接受SL-ITCF-009愛數(shù)備份管理權(quán)限密碼業(yè)務(wù)系統(tǒng)授權(quán)訪問口令明文傳輸密碼用明文傳輸口令可被未授權(quán)用戶網(wǎng)絡(luò)訪問的威脅所利用5使用數(shù)據(jù)加密系統(tǒng)1151接受離開工作場(chǎng)所未注銷屏幕保護(hù)，人員意識(shí)不足可被偽裝用戶身份的威脅所利用5按照桌面清屏策略，定時(shí)屏幕保護(hù)自動(dòng)鎖定32303接受缺乏保護(hù)的密碼表未經(jīng)保護(hù)的口令表可被偽裝用戶身份的威脅所利用5密碼分散，人工記憶31151接受弱密碼使用口令管理不力（容易猜測(cè)的口令、口令存儲(chǔ)、變更的頻次不充分）可被錯(cuò)誤人員錯(cuò)誤的威脅所利用5使用數(shù)字、字母、符號(hào)密碼復(fù)雜度策略實(shí)行32303接受越權(quán)或?yàn)E用密碼超越自己的權(quán)限訪問了本來無權(quán)訪問的資源；非授權(quán)訪問濫用權(quán)限泄露秘密信息等可被未授權(quán)用戶使用軟件的威脅所利用5進(jìn)行員工信息安全意識(shí)培訓(xùn)32303接受SL-ITCF-010趨勢(shì)防毒管理權(quán)限密碼業(yè)務(wù)系統(tǒng)授權(quán)訪問口令明文傳輸密碼用明文傳輸口令可被未授權(quán)用戶網(wǎng)絡(luò)訪問的威脅所利用5使用數(shù)據(jù)加密系統(tǒng)1151接受離開工作場(chǎng)所未注銷屏幕保護(hù)，人員意識(shí)不足可被偽裝用戶身份的威脅所利用5按照桌面清屏策略，定時(shí)屏幕保護(hù)自動(dòng)鎖定32303接受缺乏保護(hù)的密碼表未經(jīng)保護(hù)的口令表可被偽裝用戶身份的威脅所利用5密碼分散，人工記憶31151接受弱密碼使用口令管理不力（容易猜測(cè)的口令、口令存儲(chǔ)、變更的頻次不充分）可被錯(cuò)誤人員錯(cuò)誤的威脅所利用5使用數(shù)字、字母、符號(hào)密碼復(fù)雜度策略實(shí)行32303接受越權(quán)或?yàn)E用密碼超越自己的權(quán)限訪問了本來無權(quán)訪問的資源；非授權(quán)訪問濫用權(quán)限泄露秘密信息等可被未授權(quán)用戶使用軟件的威脅所利用5進(jìn)行員工信息安全意識(shí)培訓(xùn)32303接受SL-ITCF-011守內(nèi)安管理權(quán)限密碼業(yè)務(wù)系統(tǒng)授權(quán)訪問口令明文傳輸密碼用明文傳輸口令可被未授權(quán)用戶網(wǎng)絡(luò)訪問的威脅所利用5使用數(shù)據(jù)加密系統(tǒng)1151接受離開工作場(chǎng)所未注銷屏幕保護(hù)，人員意識(shí)不足可被偽裝用戶身份的威脅所利用5按照桌面清屏策略，定時(shí)屏幕保護(hù)自動(dòng)鎖定32303接受缺乏保護(hù)的密碼表未經(jīng)保護(hù)的口令表可被偽裝用戶身份的威脅所利用5密碼分散，人工記憶31151接受弱密碼使用口令管理不力（容易猜測(cè)的口令、口令存儲(chǔ)、變更的頻次不充分）可被錯(cuò)誤人員錯(cuò)誤的威脅所利用5使用數(shù)字、字母、符號(hào)密碼復(fù)雜度策略實(shí)行32303接受越權(quán)或?yàn)E用密碼超越自己的權(quán)限訪問了本來無權(quán)訪問的資源；非授權(quán)訪問濫用權(quán)限泄露秘密信息等可被未授權(quán)用戶使用軟件的威脅所利用5進(jìn)行員工信息安全意識(shí)培訓(xùn)32303接受SL-ITCF-012上網(wǎng)行為管理權(quán)限密碼業(yè)務(wù)系統(tǒng)授權(quán)訪問口令明文傳輸密碼用明文傳輸口令可被未授權(quán)用戶網(wǎng)絡(luò)訪問的威脅所利用5使用數(shù)據(jù)加密系統(tǒng)1151接受離開工作場(chǎng)所未注銷屏幕保護(hù)，人員意識(shí)不足可被偽裝用戶身份的威脅所利用5按照桌面清屏策略，定時(shí)屏幕保護(hù)自動(dòng)鎖定32303接受缺乏保護(hù)的密碼表未經(jīng)保護(hù)的口令表可被偽裝用戶身份的威脅所利用5密碼分散，人工記憶31151接受弱密碼使用口令管理不力（容易猜測(cè)的口令、口令存儲(chǔ)、變更的頻次不充分）可被錯(cuò)誤人員錯(cuò)誤的威脅所利用5使用數(shù)字、字母、符號(hào)密碼復(fù)雜度策略實(shí)行32303接受越權(quán)或?yàn)E用密碼超越自己的權(quán)限訪問了本來無權(quán)訪問的資源；非授權(quán)訪問濫用權(quán)限泄露秘密信息等可被未授權(quán)用戶使用軟件的威脅所利用5進(jìn)行員工信息安全意識(shí)培訓(xùn)32303接受SL-ITCF-013視屏監(jiān)控管理權(quán)限密碼業(yè)務(wù)系統(tǒng)授權(quán)訪問口令明文傳輸密碼用明文傳輸口令可被未授權(quán)用戶網(wǎng)絡(luò)訪問的威脅所利用5使用數(shù)據(jù)加密系統(tǒng)1151接受離開工作場(chǎng)所未注銷屏幕保護(hù)，人員意識(shí)不足可被偽裝用戶身份的威脅所利用5按照桌面