风险处置计划.xlsVIP

风险处理计划 处理类型 紧急程度 编号 管理 长期 所有部门 管理 所有部门 所有部门 管理+技术 设备管理 信息交换 变更管理 管理 管理+技术 数据备份 管理 处理方式 责任人 投入资源 风险描述 弱点管理 容量与监控管理 处理措施 降低 降低 降低 由于缺乏对员工的管理,员工在入职时未进行背景检查,在转岗与离岗时,未有效地回收信息资产,存在非授权访问下的泄露风险 由于员工缺乏安全意识,用户可能将帐户主动借予他人使用或遭受社会工程攻击或使用弱口令或随意共享等,从而导致非授权访问的风险 规避 用户使用移动介质，可以在瞬时将公司全部核心资料带出，也可能因为使用移动介质而传播病毒 由于缺乏对设备的管理，设备无法进行安全送修与报废，也无法预知设备可能要发生的故障，对用户的软件使用行为也无法预知，可能导致法律上的风险 由于没有规定用户对信息的交换，存在用户通过公司无法监控与管控的方式将敏感信息泄露出去，还有可能感染病毒的风险 降低与规避 由于缺乏对物理区域的管控，还存在尾随现象，仍存在水、火等安全隐患，或环境等方面的安全隐患及进入办公区域可访问敏感信息的风险 由于缺乏对软件使用的管理，存在用户任意下载安全软件的行为，有可能因使用盗版而导致法律风险，也有可能下载安装感染病毒 操作手册 由于目前采用的推送方式来升级补丁与病毒，存在用户关机或出差时无法升级的情况，也存在未加入AD域中的用户无法及时升级的情况 第三方管理 网络安全 由于缺乏变更管理，无法预知变更时的风险和对业务与系统的影响，更没有制定回通计划，当变更失败时，可能影响业务的正常开展 技术： 通过NTOP与ZENOSS加强对网络流量、异常的监控 缺乏对容量与网络的监控，无法及时发现网络中的异常情况，也无法准确及时进行定位，当风险发生时，无法及时隔离威胁源 由于缺乏数据管理，当灾难发生时，业务数据将无法恢复，业务将中断 上网安全 笔记本电脑 安全意识与培养 人员管理 由于缺乏应用系统的操作手册，新接替员工将无法执行公司统一配置，其配置可能与公司安全策略不符 软件管理 权限管理 移动介质 物理环境 风险类别 风险二级分类 访问控制 帐户与口令管理 用户权限无法进行审计,无法了解使用哪些应用，享有哪些权限，因而无法及时移除,则于没有规范与监控管理员行为、操作员行为，这些特权人员可能利用自己的权限来非授权访问敏感信息 由于缺乏帐户与口令的管理，用户可使用弱口令，存在扫描弱口令访问敏感信息的风险 管理+技术 管理 设备管理 系统监控 体系/流程/合规性 恶意软件 网络安全管理 业务连续性管理 物理安全 人员管理 管理： 《物理环境安全管理规定》 管理： 《访问控制与信息交换》 技术： 通过WEBCENSE管控用户的信息交换的行为 管理： 《介质安全管理规定》 技术： 采用LANDESK来对避免用户对移动介质的使用 管理： 《IT资源管理过程》 《信息资产管理过程》 《IT变更管理》 《设备维护管理过程》 技术： 采用LANDESK来对全员的IT资产进行管理 状态 由于缺乏对第三方的管理,第三方可能接入公司网络扫描敏感信息,并可能传染病毒 应急管理 降低 管理 业务连续性管理 由于缺乏应急计划,当灾难或中断发生时,无法通过快速的方式恢复系统,无法将中断造成的损失降低到最低 管理: 《应急响应计划》 由于缺乏业务连续性计划,当灾难发生时,企业无法让业务持续运营，无法在一定期限内恢复业务 管理: 《第三方与协力员工管理过程》 签订必要的《第三方协议》 技术: 通过划分VLAN,对第三方进行区域隔离 通过LANDESK的准入控制功能管控第三方的接入 系统冗余 由于系统可用性要求很高，而实际使用的系统在技术上有很多弱点，当系统因某些原因不断时，因没有热备援而导致服务中断，从而导致业务中断 管理： 《软件使用管理过程》 《法律符合性评估过程》 技术： 通过LANDESK管控用户对软件的使用 通过WEBCENSE管控用户下载行为 管理： 《访问控制方针》 《帐号与口令管理过程》 技术: 启用AD域的安全管理功能,制定口令策略 软件开发 管理+技术 降低+规避 缺乏对网络的安全的管理,黑客可以入侵,内网可以相互访问，可以将其它部门敏感信息泄露，也可能感染病毒导致全网爆发，无法发现威胁源来自内部还是外部等，带宽容量不够，网速慢，影响业务正常开展 缺乏对员工上网行为进行管控，员工可能会将敏感信息通过网络传输出去，也可能感染病毒导致全网不可用，更可能大量下载，占用网络带宽 在“编程规约”中未涉及到安全编码规范 某些项目中已应用安全架构设计的技术，但未在公司范围内推广，缺乏安全编码规范可能会导致软件产品质量下降，产品可能不安全 管理： 《安全需求分析与管理规范》 《软件开发变更管理规范》 《软件开发配置管理规范