1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 经济/贸易/财会
  5. 市场分析

01风险评估方法与准则.xlsVIP

01风险评估方法与准则.xls

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    常见脆弱性

    常见威胁

    资产评估准则

    要素

    准则

    可以忽略

    人员资产

    实体资产

    文件资产

    数据资产

    赋值

    岗位范围

    一般员工

    轻微

    严重

    非常严重

    完整性

    影响程度

    一般

    自有软件/外购软件/服务/形象

    文件类别

    实体/服务资产

    人员资产

    不允许

    形象资产

    相对价值范围

    等级

    标识

    很高

    很低

    发生的频率

    标识

    级别

    风险值范围

    一般风险

    低风险

    可接受准则

    风险级别

    风险评估准则

    保密性

    对公司及外部都是公开的

    对公司内部所有员工是公开的

    一般

    只限于公司某个部门或职能可以访问的信息

    访问权限

    只限于公司中层管理人员以上可以访问的信息

    只限于公司高层管理人员或少数关键人员可以访问的信息

    实习员工\外聘临时工

    允许离岗时间

    16次以上或全部工作时间中断

    9-15次或1/2工作时间中断

    3-8次或1/4工作时间中断

    1-2次或1/8工作时间中断

    使用频次

    每天都要使用至少1次

    每周都要使用至少1次

    每个月都要使用至少1次

    每个季度都要使用至少1次

    每年都要使用至少1次

    6-9工作日

    10个工作日及以上

    3-5个工作日

    2个工作日

    1个工作日

    资产等级

    资产价值计算方法:资产价值=保密性赋值+完整性赋值+可用性赋值

    风险值计算方法:风险值=资产等级+威胁性赋值+脆弱性赋值

    资产等级、风险等级评定方法:见下

    脆弱性被威胁利用后的严重性

    威胁利用弱点导致危害的可能性

    风险可以接受,但需要采取进一步措施降低风险

    风险不可接受,必须立即采取有效的措施降低风险

    风险可以接受

    严重程度

    要素

    标识

    等级

    很高

    如果被威胁利用,将对公司重要资产造成重大损害

    如果被威胁利用,将对重要资产造成一般损害

    如果被威胁利用,将对一般资产造成重要损害

    如果被威胁利用,将对一般资产造成一般损害

    很低

    如果被威胁利用,将对资产造成的损害可以忽略

    出现的频率很高(或≥1次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过

    出现的频率较高(或≥1次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过

    出现的频率中等(或1次/半年);或在某种情况下可能会发生;或被证实曾经发生过

    出现的频率较小;或一般不太可能发生;或没有被证实发生过

    威胁几乎不可能发生;仅可能在非常罕见和例外的情况下发生

    可用性

    只限于公司中层管理人员以上或部门少数关键人员可以访问的信息

    只限于公司高层管理人员或公司少数关键人员可以访问的信息

    按信息的访问权限等级或信息的存储、传输及处理设施/人员涉及信息的访问权限等级来评估资产保密性的要求等级

    存储、传输及处理信息的访问权限

    岗位接触信息的访问权限

    按资产的准确性或完整性受损,而造成组织的业务持续或形象声誉受影响的严重程度来评估

    中层管理人员

    高层管理人员

    技术、管理、财务等方面的骨干人员

    按资产使用或允许中断的时间次数来评估

    每个季度都要使用至少1次

    每年都要使用至少1次

    3天以上

    1-3天

    12小时-1天

    3小时-12小时

    每次中断允许时间

    0-3小时

    每天都要使用至少1次

    每周都要使用至少1次

    每个月都要使用至少1次

    赋值

    使用频次要求

    数据存储、传输及处理设施在一个工作日内允许中断的次数或时间比例

    文件/软件资产

    3,5,7,9

    23,25,27

    17,19,21

    11,13,15

    3~5

    12~14

    高风险

    较风险

    9~11

    6~8

    ID

    威胁

    威胁方

    影响资产

    利用弱点

    可能性

    影响

    风险

    篡改

    恶意人员

    业务数据

    系统缺陷,网络缺陷

    网络线路

    维护人员

    应用系统,业务数据

    冒名访问

    运行管理流程缺陷、帐户口令泄漏

    病毒感染

    维护人员、用户

    业务数据,应用系统

    系统缺陷、运行管理缺陷

    业务信息泄漏

    用户

    运行管理流程缺陷

    攻击

    操作抵赖

    维护人员,用户

    操作记录

    越权访问

    系统配置缺陷

    设备物理破坏

    设备物理安全漏洞

    种类

    描述

    威胁子类

    对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题

    设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等

    对信息系统正常运行造成影响的物理环境问题和自然灾害

    断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等

    应该执行而没有执行相应的操作,或无意执行了错误的操作

    维护错误、操作失误等

    安全管理无法落实或不到位,从而破坏信息系统正常有序运行

    管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等

    故意在计算机系统上执行恶意任务的程序代码

    病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等

    通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自己的权限,做出破坏信息系统的行为

    非授权访问网络资源、非授权访问

    您可能关注的文档

    最近下载

    文档评论(0)

    152****3299 + 关注
    实名认证
    文档贡献者

    四川省南充市人,在重庆汽车行业从事质量工程师一职

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >