ISO27001：2013风险评估原则.pdfVIP

XXXXXX软件有限公司 人性化科技提升业绩 风险评估原则 目 录 一、资产分类参考目录 2 二、重要信息资产判断标准 2 三、信息资产 CIAB 分级标准 4 四、威胁分级标准 5 五、脆弱性漏洞分级标准 5 六、风险等级标准 5 七、威胁来源列表 6 八、威胁种类与描述 6 九、脆弱性列表 6 第 1 页 共 9 页 内部公开 【风险评估原则】 F4-C- 总经办 -001-V1.0 一、资产分类参考目录 资产大类 资产小类 描述 主机设备 大型机、小型机、 PC 服务器等 终端设备 台式机、 KVM 、笔记本、移动终端等 网络设备 路由器、交换机、 HUB 、负载均衡设备等 传输介质 光纤、双绞线、同轴电缆、卫星线路等 防火墙、防毒墙、安全网关、入侵检测设备、扫 硬件 安全设备 描设备、加密机、 VPN 、网闸、堡垒主机等 存储介质 磁带、光盘、 U 盘、移动硬盘等 存储设备 磁盘阵列、磁带库、 NAS/SAN/ 存储设备等 传真机、碎纸机、打印机、扫描仪、复印机、刻 办公辅助设备 录机、照相机等 源程序 源代码、软件安装包、 License 等 Windows Server 、Linux 、Unix 、AIX 、Solaris 服务器操作系 等，虚拟化系统 （Hyper 、ESX/ESXi 、XenServer 统 等） 终端操作系统 Windows XP/7 、Mac iOS 等 数据库 Oracle 、DB2 、Sqlserver 、Mysql 等 Websphere 、Weblogic 、应用服务器、消息中 中间件 间件、对象中间件等 软件 office 、通讯软件、媒体编辑软件、软件开发工 工具应用软件 具、测试工具、版本控制软件、设计建模工具， 终端杀毒软件、防篡改、终端管理系统客户端等 OA 系