ISMS风险评估报告修改.docVIP

ISMS（信息安全管理体系识别出信息安全风险风险等级种类个数  附件一：重要资产面临的威胁汇总表 表重要硬件资产威胁识别表重要资产威胁识别表－－硬件资产操作失误滥用权限 攻击设备硬件故障社会工程威胁 维护错误未授权访问系统资源 高温宕机 系统负载过载操作失误滥用权限 攻击设备硬件故障社会工程威胁 维护错误未授权访问系统资源 高温宕机 系统负载过载木马后门攻击 设备硬件故障 网络病毒传播 未授权访问资源 木马后门攻击 设备硬件故障 网络病毒传播 未授权访问资源  表 重要资产威胁识别表重要资产威胁识别表－－业务系统篡改用户或业务数据信息 控制和破坏用户或业务数据 滥用权限泄漏秘密信息 数据篡改 探测窃密 未授权访问 未授权访问系统资源 用户或业务数据的窃取 操作失误 访问控制策略管理不当 维护错误 未授权访问资源 原发抵赖表 重要文档和数据资产威胁识别表重要资产威胁识别表－－文档和数据滥用权限未授权访问资源滥用权限未授权访问资源滥用权限未授权访问资源表 重要人力资源资产威胁识别表重要资产威胁识别表－－人力资源社会工程威胁社会工程威胁  附件二：重要资产面临的脆弱性汇总表 表 -1 重要资产脆弱性汇总表 台式机（网关服务器） 台式机（银联服务器） 安装与维护缺乏管理操作系统补丁未安装操作系统存在弱口令操作系统的口令策略没有启用 操作系统的帐户锁定策略没有启用 操作系统开放多余服务 缺少电磁防护 安装与维护缺乏管理操作系统补丁未安装操作系统存在弱口令操作系统的口令策略没有启用 操作系统的帐户锁定策略没有启用 操作系统开放多余服务 缺少电磁防护 3 笔记本电脑 操作系统补丁未安装 操作系统开放多余服务 操作系统存在弱口令操作系统的口令策略没有启用 操作系统的帐户锁定策略没有启用 操作系统补丁未安装 操作系统开放多余服务 业务系统未设置用户登录失败门限与超过门限后的处理措施 无法保证用户使用的口令达到一定的质量要求 无法检测存储的重要信息、数据是否出现完整性错误 重要信息、数据无加密措施，以明文传输 安全保障设备的其它配置不当 安装与维护缺乏管理 缺少操作规程和职责管理 未启用日志功能 没有访问控制策略或未实施 信息资产没有清晰的分类标志 没有访问控制策略或未实施 信息资产没有清晰的分类标志 没有访问控制策略或未实施 信息资产没有清晰的分类标志 没有适当的奖惩规则 没有正式的保密协议 没有适当的奖惩规则 没有正式的保密协议 没有适当的奖惩规则 没有正式的保密协议 附件三：风险评估问题列表 分类 风险评估发现 改进建议 信息安全 公司用户密码安全策略尚待完善，未通过系统强制手段对NC系统及其操作系统及数据库用户密码策略（如密码长度、复杂度、有效期等）进行合理设置。 建立完善的密码策略，对密码长度、复杂度、有效期、错误登陆的次数等进行合理的规定，并在实际工作中通过系统手段对用友NC系统及其操作系统和数据库层面密码策略进行设置。 信息安全 公司尚未针对信息系统超级用户建立完善的管理制度，实际工作中，由于制度的缺失，出现了如下问题：1）未对NC系统及其操作系统和数据库层面的管理员进行有效的职责分离；2）NC系统及其操作系统层面存在超级用户共享现象；3）未对NC系统及其操作系统和数据库层面的超级用户操作进行有效的监控和记录。 建立完善的用户账号管理制度，明确对超级用户的管理规定；同时，建立针对用友NC系统及其操作系统和数据库层面管理员的职责分离机制，并禁止共享超级用户。 信息安全 公司尚未对NC系统及其操作系统和数据库层面的用户账号和操作权限进行定期审阅。 指派专人定期审阅用友NC系统及其操作系统和数据库层面的用户账号和操作权限，重点复核换岗及离职人员的账号删除、禁用及权限变更情况，并对复核结果进行记录。 信息安全 审计期间内公司未按制度要求外来人员访问机房前进行登记并得到相关管理层的授权。 所有外来人员访问机房须经过IT部门领导的审批，由专人陪同，并做好登记工作。 信息安全 公司计算机机房的物理安全措施尚待完善：机房内部未安装必要的烟感探测器和灭火器。 针对计算机机房配以必要的物理安全措施，安装烟感探测器和自动灭火装置（非液体）等设备。 运行维护 公司尚未妥善保存NC系统数据备份结果的检查记录。 建立备份复核机制，指派专人对用友NC系统的备份结果进行检查，并妥善保留检查记录。 运行维护 公司尚未制定正式的灾难恢复计划并定期演练。 制定正式的灾难恢复计划，定期（至少每年一次）演练，并保留相关的书面记录。 运行维护 公司尚未制定正式的批处理程序管理流程，未