原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
形象资产
服务资产
人员资产
实体资产
文件资产
软件资产
数据资产
常见脆弱性
常见威胁
资产评估准则
0-编写、批准、发布及修订页
1)有口令管理系统;
2)使用强壮密码。
2
3
8
1)平时注意维护;2)按规定进行保管。
1)专人保管;
2)环境卫生符合要求。
1)专人保管,加锁;2)非经授权不能使用。
没有口令系统;或者口令系统不强壮
1)出现故障找供应商维修;
2)日常维护
越权使用或冒用
1)注意维护;
2)注意设备检修。
打/复印机/电话/传真机
1)在办公区域内使用,装有空调;定期打扫
2)公司位于高档写字楼,有监控系统,有保安
考勤设备
1)在办公区域内使用,由供应商维护;2)注意日常检查。
制定维护计划,按规定每周定期巡检
加强人员储备
制定维护计划,按规定定期巡检
跳槽、辞职
资产编号
资产
用途
所属部门
资产负责人
资产安全属性赋值
资产价值
资产价值等级
面临威胁
存在脆弱性
现有控制措施
威胁发生可能性赋值
脆弱性被威胁利用后果严重性赋值
风险值
风险等级
将要采取的控制措施
保密性
完整性
可用性
网络攻击、病毒、ARP攻击、黑客、恶意代码
系统漏洞或对恶意代码防范不够
1)设备管理部对文件服务器每天巡检,并填写巡检记录表;
2)建立文件服务器的访问控制列表;
3)对重要数据做备份;
4)项目结项对数据做备份。
非正常数据删除
1)恶意删除数据
2)操作员误删除数据
泄密
缺少安全意识
非授权访问
1)保管不善、没有设置访问密码,访问权限设置不当
2)非法copy数据
丢失
1)没有备份;
2)电脑使用时间过长或应用软件没有定期更新或数据管理软件损坏。
篡改、损坏
1)恶意篡改或用户操作不当。
2)文档在处理和保存时保密性差;
3)电脑使用时间过长或应用软件没有定期更新。
1)设备管理部对文件服务器每天巡检,并填写巡检记录表;
2)建立文件服务器的访问控制列表;
3)对重要数据做备份;
4)项目结项对数据做备份。
未按照规范管理材料
软硬件故障
电脑使用时间过长;软件没有定期更新
恶意代码、网络攻击
缺少定期替换计划、容易受到电压不稳定的侵扰、不充分的维护/存储媒体的错误安装、存储没有保护
速达软件
税控系统、企业电子报税管理系统、通审软件、防伪税控开票子系统、建设银行无驱USBKey、中国建行签名通控件
3-文件资产
政府通知及发文
公司注册文件
公司变更、注册资料
财务发票
记账凭证、账本、财务报表
税务报表
员工工资表、收据、银行对帐单
F0008
F0009
F0010
F0011
F0012
F0013
F0014
4-实体资产
财务室铁柜
财务打印机
保险柜
办公
物理保护设施不好
盗窃
P001
P008
P011
负责处理公司后期、人事、工商等
财务人员
6-服务资产
物理环境影响、物理攻击(物理破坏或盗窃)
物理环境(温度过高、静电、灰尘、潮湿、温度、鼠蚁虫害))控制达不到要求
越权使用
没有口令系统;或者口令系统不强壮;没有采用屏幕保护措施
保存文件
部门经理
公司不能提供更好的薪酬和发展空间;员工个人原因、工作压力大,工作保密性和严谨性较高
1、企业文化建设(组织公司或是部门活动等)
2、员工满意度调查
3、薪酬、考核及福利体系等
加强人员储备
管理相关方信息,如相关方保密协议、第三方服务保密协议、第三方服务工作记录单(如供水、供电等)、相关方意见登记表。
网络
网络中断
网络不稳定
意外断网
网线老化
第三方访问
业务联系
建筑物/门以及窗户缺少物理保护
缺少监控机制
物理攻击:通过物理的接触造成对软件、硬件、数据的破坏;物理接触、物理破坏、盗窃等
泄密:信息泄露给不应了解的他人;内部信息泄露、外部信息泄露等
对外部人员和清理人员的工作不进行监督;缺少监控机制
1、按规定实行来访登记与接待、陪同;
2、涉及信息安全的服务要签定相关方保密协议。
1、签订网络使用协议时,要求电信公司提供完善网络服务;
2、定期对网线进行检查
1、企业文化建设(组织部门活动等)
2、员工满意度调查
3、薪酬、考核及福利体系等
人员有意或无意泄密
1)当天完成提交到服务器,在本机和服务器上均有备份;
2)对用户设置不同的权限
1)签保密协议;
2)进行信息安全培训
1)用户都设置访问口令;
2)制度规定非经授权不能COPY数据。
1)当天完成提交到服务器,在本机和服务器上均有备份2)每周再备份到另外一台服务器上
3)定期对设备进行维护检修
1)部门有3人有删除权限,其他人只能提交,不能删除,也不能修改;
2)对文档进行归档管理,并进行信息安全培训;
3)对设备进行定期维护,及时更新软件。
1)根据权限调取数据;
2)数据备份;
3)在使用前对操作员进
文档评论(0)