风险评估原则.docx

《风险评估原则.docx》由会员分享，可在线阅读，更多相关《风险评估原则.docx（3页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、风险评估原则一脆弱性参考列表商密密级：内部公开管 理类组织VP01IT管理机制不够完善VP02缺乏总体IT规划VP03缺乏平安方针VP04缺乏组织范围内统一的平安策略VP05缺乏可执行性的平安程序VP06平安技术与管理措施不能有效结合VP07资产缺乏全部者VP08没有跨部门的协调组织VP09没有负责平安管理部门VP10没有建立完善的沟通沟通机制VP11组织的重要纪录没有得到爱护VP12业务流程存在缺陷引发风险人员VH01人员学问水平缺乏VH02人员技能缺乏VH03人员平安意识缺乏VH04人员敬业精神不够VH05不能遵守操作规程VH06道德风险VH07人员流淌频繁VH08没有签订合同VH09没有

2、背景调查VI110岗位职责中没有平安要求VH11平安无法与员工绩效挂钩VH12人员缺乏职责分别VH13没有人员备份机制VH14缺乏对员工行为的审计技术类场所VE01电力单路VE02线路暴露VE03场所很简洁进入VE04场所受温湿影响大VE05场所易受雷击VE06场所易进水VE07场所易燃烧VE08场所不抗震VE09电力容量不够VE10场地不够硬件VM01设施易受电力变化影响VM02设施、介质易损坏VM03电源开关没有限制未经授权的使用VM04存储空间不够VM05运算力量不够VM06信号辐射VM07设施性能差VM08存在单点故障VM09口令更改周期较长VM10线路辐射VM11合同开放VM12明文

3、传输VM13随便接入VM14令简洁VM15合同漏洞VM16带宽不够VM17很简洁进入VM18可用性差VM19SNMP的Community值为缺省VM20无网络流量监控管理措施VM21缺少处置、报废规定软件VS01系统没有准时更新补丁VS02系统开放默认服务和端口VS03系统存在可疑服务和端口VS04系统管理员和用户弱口令或空口令VS05系统存在可疑用户VS06系统没有开放审计日志功能VS07系统没有启用平安选项VS08系统没有启用帐户密码平安策略VS09系统使用默认共享VS10系统无权限掌握措施VS11特权账户没有掌握VS12版本较低VS13存在弱密码或空密码VS14系统漏洞VS15配置漏洞VS16存在后门VS17没有数据加密功能VS18软件架构缺陷VS19很简洁变更服务VR01缺乏服务水平合同VR02服务不符合业务需求VR03服务响应不准时VR04服务易中断VR05没有根据法律规范执行VR06服务成本太高其他法规法规VL01没有识别相应的法律、法规VL02不符合法律法规要求信息类V101信息缺乏精确性VI02信息缺乏准时性VI03信息简洁传播VI04信息简洁毁损VI05信息简洁丢失无形资产类VT01恢复困难VT02简洁受到损害