信息技术风险管理与控制手册（执行版）.docxVIP

信息技术风险管理与控制手册（执行版）

第1章风险识别与评估方法

1.1信息技术风险分类体系概述

信息技术风险分类体系旨在将复杂的IT威胁按性质划分为七大核心类别，即自然灾害、人为因素、系统故障、网络攻击、数据泄露、第三方供应商风险以及合规与法律风险，为后续的风险识别提供清晰的逻辑框架。②在自然灾害类别下，需具体涵盖地震、洪水、火灾及电力中断等物理环境破坏，例如某数据中心因2023年夏季台风导致服务器机房进水而被迫停摆的案例，属于典型的物理环境风险。人为因素风险主要涉及内部员工违规操作、恶意攻击或内部腐败行为，如一名员工误删核心业务数据库或黑客利用社会工程学手段窃取凭证，均