风险评估原则脆弱性参考列表.docVIP

风险评估原则_脆弱性参考列表 商密密级：内部公开 管理类 组织 VP01 IT管理机制不够完善 VP02 缺乏总体IT规划 VP03 缺乏安全方针 VP04 缺乏组织范围内统一的安全策略 VP05 缺乏可执行性的安全程序 VP06 安全技术与管理措施不能有效结合 VP07 资产缺乏所有者 VP08 没有跨部门的协调组织 VP09 没有负责安全管理部门 VP10 没有建立完善的沟通交流机制 VP11 组织的重要记录没有得到保护 VP12 业务流程存在缺陷引发风险 人员 VH01 人员知识水平缺乏 VH02 人员技能缺乏 VH03 人员安全意识缺乏 VH04 人员敬业精神不够 VH05 不能遵守操作规程 VH06 道德风险 VH07 人员流动频繁 VH08 没有签订协议 VH09 没有背景调查 VH10 岗位职责中没有安全要求 VH11 安全无法与员工绩效挂钩 VH12 人员缺乏职责分离 VH13 没有人员备份机制 VH14 缺乏对员工行为的审计 技术类 场所 VE01 电力单路 VE02 线路暴露 VE03 场所很容易进入 VE04 场所受温湿影响大 VE05 场所易受雷击 VE06 场所易进水 VE07 场所易燃烧 VE08 场所不抗震 VE09 电力容量不够 VE10 场地不够 硬件 VM01 设备易受电力变化影响 VM02 设备、介质易损坏 VM03 电源开关没有限制未经授权的使用 VM04 存储空间不够 VM05 运算能力不够 VM06 信号辐射 VM07 设备性能差 VM08 存在单点故障 VM09 口令更改周期较长 VM10 线路辐射 VM11 协议开放 VM12 明文传输 VM13 随意接入 VM14 口令简单 VM15 协议漏洞 VM16 带宽不够 VM17 很容易进入 VM18 可用性差 VM19 SNMP的Community值为缺省 VM20 无网络流量监控管理措施 VM21 缺少处置、报废规定 软件 VS01 系统没有及时更新补丁 VS02 系统开放默认服务和端口 VS03 系统存在可疑服务和端口 VS04 系统管理员和用户弱口令或空口令 VS05 系统存在可疑用户 VS06 系统没有开放审计日志功能 VS07 系统没有启用安全选项 VS08 系统没有启用帐户密码安全策略 VS09 系统使用默认共享 VS10 系统无权限控制措施 VS11 特权账户没有控制 VS12 版本较低 VS13 存在弱密码或空密码 VS14 系统漏洞 VS15 配置漏洞 VS16 存在后门 VS17 没有数据加密功能 VS18 软件架构缺陷 VS19 很容易变更 服务 VR01 缺乏服务水平协议 VR02 服务不符合业务需求 VR03 服务响应不及时 VR04 服务易中断 VR05 没有按照规范执行 VR06 服务成本太高 其他 法规法规 VL01 没有识别相应的法律、法规 VL02 不符合法律法规要求 信息类 VI01 信息缺乏准确性 VI02 信息缺乏及时性 VI03 信息容易传播 VI04 信息容易毁损 VI05 信息容易丢失 无形资产类 VT01 恢复困难 VT02 容易受到损害