研发部ISO27001信息安全体系风险评估记录
ISO27001信息安全管理体系内部审核检查记录表
30
是否对网络服务的安全进行了控制
1.Web访问服务的安全
2.Mail 服务的安全
□符合 □不符合
31
是否有移动介质清单的管理
1.是否有管理清单
2.记录重要信息的外部存贮介质(例如:外置
硬盘,CD,DVD,U盘,PCMCIA移动存储卡,存储
备份资料用的备份设备等),是否被保管在带锁
的文件柜中?
邮件用户是否清除了?
抽查是否有离职人员的用户权限没有被清除
□符合 □不符合
10
门禁权限是否清除了?
□符合 □不符合
11
是否制订规则划分了安全区域?
确认风险评估时是否划分了安全区域等级
□符合 □不符合
12
是否执行了安全区域划分规则?
对不同等级的区域是否有相应措施,措施是否被执行
□符合 □不符合
13
是否制订安全区域出入规则?
2.从隔离区外是否可以访问区内网络资源
□符合 □不符合
48
是否对网络连接实施了控制
接入网络前是否经过IM或者ISM的安全检查
□符合 □不符合
49
是否制订了信息访问限制策略
访问策略定义文件
□符合 □不符合
50
是否执行了信息访问限制策略
对照文件实地观察实施情况
□符合 □不符合
51
是否对访问策略进行了审核
2. 搬运方法合理性
□符合 □不符合
37
是否按照公司规程实施了电子信息交换
确认是否有电子邮件使用规则,和实施情况(如发送重要文件时是否有文件加密等)
□符合 □不符合
38
是否按照公司规程实施业务信息互联
1.互联网使用的检查。
ISO27001:2013信息安全风险处理计划检查记录表
部门经理
2015-6-24
5
项目文档
各部门
员工盗取
易携带
控制
公司重要文件有相应人员保管,重要文件不随便放置在公共场合,放置加密文件柜、有门禁
各部门
部门经理
2015-6-24
6
所有人员
各部门
工作中断
离职或突发事件
控制
责任分离、合同约束、离职前培训新员工
所有部门
部门经理
2015-6-24
XX科技股份有限公司
信息安全管理体系
信息安全风险处理计划检查记录
(XX-D-01-06)
编 制:杨雪梅
批 准:钟永胜
2015年6月24日
序号
资产名称
责任部门
威胁
薄弱点
处理
方式
风险处理措施
措施责任部门
责任人
检查实施日期
1
公司各类数据
综合部
搬迁遗失或失窃
意外事件
控制
采用移动硬盘、服务器双备份、移动硬盘备份在工作场所外
综合部
刘文惠
2015-6-24
2
服务器
工程部
非授权者入侵
没有设定访问权限
控制
加密设屏保、设置混合口令
工程部
周贵川
2015-6-24
3
管理层电脑
总经办
疏忽或其他因素
不小心遗失
控制
设置混合复杂口令、外出时不携带重要数据、减少外带频次
总经办
钟永胜201Βιβλιοθήκη -6-244存储设备
各部门
病毒攻击
携带病毒
控制
减少使用频次、使用前杀毒扫描、携带机密数据的设备严禁在外部使用
ISO27001-2013信息安全管理体系风险和机遇识别评价分析及应对措施控制程序
ISO27001-2013信息安全管理体系风险和机遇识别评价分析及应对措施控制程序1.目的和范围为了规定公司所采用的信息安全风险评估方法。
通过识别信息资产、风险等级评估本公司的信息安全风险,选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持业务持续性发展,以满足信息安全管理方针的要求,特制订本制度。
本制度适用信息安全管理体系范围内信息安全风险评估活动。
2.引用文件1)下列文件中的条款通过本制度的引用而成为本制度的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本制度,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本制度。
2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)ISO/IEC 27005:2008《信息技术-安全技术-风险管理》5)《GB/T 20984-2007信息安全风险评估指南》3.职责和权限1)信息安全管理领导小组:负责汇总确认《信息安全风险评估表》,并根据评估结果形成《信息安全风险评估报告》和《残余风险批示报告》。
2)公司全体员工:在信息安全管理领导小组协调下,负责本部门使用或管理的资产的识别和风险评估;负责本部门所涉及的资产的具体安全控制工作。
信息安全管理员在本部门信息资产发生变更时,需要及时清点和评估,并报送信息安全管理领导小组更新《信息安全风险评估表》。
4.风险管理方法通过定义风险管理方法,明确风险接受准则与等级,确保能产生可比较且可重复的风险评估结果。
(如图1)风险管理流程图图1风险管理流程图4.1.风险识别通过进行风险识别活动,识别了以下内容:1)识别了信息安全管理体系范围内的资产及其责任人;2)识别了资产所面临的威胁;3)识别了可能被威胁利用的脆弱点;4)识别了丧失保密性、完整性和可用性可能对资产造成的影响。
ISO27001文件-信息安全风险评审报告.
风险评估报告1.风险评估结论此次风险评估,以部门为评估单位。
评估共发现信息安全风险109个,经分析,确定109个风险中,86个为可以接受,23个为不可接受。
为消除不可接受的风险,相应的处理措施如下:1)督导风险责任部门针对流程的缺失制定切实可行的流程管理规范;2)设立责任人对风险点进行管理;3)信息安全体系负责人对识别的风险点加强监督检查;4)将风险设置为体系目标管理,并每季度进行不间断追踪;5)普及信息安全知识,加强信息安全管理制度的培训,培养信息安全管理核心人员。
2评估工作概述公司于20xx年3月16日至5月15日开展了信息安全风险自评估工作,本次风险评估工作以质量与运营管理部牵头开展,人力资源行政部、BPO业务中心、研发中心、技术中心、高管层参与了该项工作。
本次对研发中心、BPO业务中心,人力资源行政部、技术中心和质量与运营管理部五个部门进行了信息安全风险识别与评估。
3 评估依据和标准1) 信息安全技术信息安全风险评估规范(GB/T20984-2007)2) 信息技术——信息安全管理实施规范(ISO/IEC 27001:2005)3) 信息技术——信息安全管理实施细则(ISO/IEC 27002:2005)4) NK-MS-ISM-P01《信息资产管理规定》5) NK-MS-ISM-P02《风险管理过程文件》6) NK-MS-ISM-P05《法律合规性管理规定》4 风险评估4.1资产识别与评审本次以上次资产识别为基础,对涉及的部门进行了资产的更新,详见资产识别与评估表4.2识别并评价弱点弱点是资产本身存在的某种缺陷,一旦被外部威胁所利用,就可能使资产受到损害。
风险管理者需要识别每项资产本身所具有的弱点。
识别弱点之后,还需要确定弱点被利用后的严重性,严重性评价标准如下表:4.3识别并评价威胁威胁是利用弱点而侵害资产的外在因素。
威胁大致可分为人员威胁、系统威胁、环境威胁和自然威胁等几类,每一类里面都会有许多威胁形式。
ISO27001:2022风险评估记录
部门 记录者 记录日期 复审者 复审日期 当前版本
1
填表须知
2
数据
3
软件
4
实物
5
人员
6
服务
8威胁列表Fra bibliotek9弱点列表
10
威胁值-弱点值标准
11
风险级别
12
威胁库
13
弱点库
14
控制列表
15
风险处理措施
基本填表信息
目录
基本填表信息
目录
关于填写本表格的各项注意事项和提示 数据资产风险评估表(需填表) 软件资产风险评估表(需填表) 实物资产风险评估表(需填表) 人员资产风险评估表(需填表) 服务资产风险评估表(需填表) 对应各类资产的威胁列表 对应各类资产的弱点列表 威胁可能性和弱点严重性的评判标准 风险等级的评判标准 资产面临的潜在威胁清单 资产可能存在的弱点清单 ISO27001信息安全管理控制项列表 风险处理措施的选项以及介绍
ISO27001信息安全目标评审记录
客户针对信息安全事件的投诉每年不超过2次
达成
符合
12.
机密和绝密信息泄漏事件每年不超过1次
达成
符合
13.
财务中心
客户针对信息安全事件的投诉每年不超过2次
达成
符合
14.
机密和绝密信息泄漏事件每年不超过1次
达成
符合
15.
经营管理中心
客户针对信息安全事件的投诉每年不超过2次
达成
符合
16.
机密和绝密信息泄漏事件每年不超过1次
达成
符合
17.
工程中心
客户针对信息安全事件的投诉每年不超过2次
达成
符合
18.
机密和绝密信息泄漏事件每年不超过1次
达成
符合
19.
研发中心
客户针对信息安全事件的投诉每年不超过2次
达成
符合
20.
机密和绝密信息泄漏事件每年不超过1次
达成
符合
达成
符合
6.
机密和绝密信息泄漏事件每年不超过1次
达成
符合
7.
技术中心
重要信息设备丢失每年不超过1起
达成
符合
8.
机密和绝密信息泄漏事件每年不超过1次
达成
符合
9.
大面积内网(达到60%)中断时间每年累计不超过240分钟
达成
符合
10.ቤተ መጻሕፍቲ ባይዱ
大规模病毒爆发(60%的电脑中毒)每年不超过2次
达成
符合
11.
经营管理中心
信息安全目标评审记录
编号:评审日期:2019.6.23
序号
部门
目标
目标是否达成
目标评价
ISO27001信息安全风险评估报告
信息安全风险评估报告编号:SR-QP-07-5一、 风险评估目的通过信息安全风险评估能够全面的发现公司及信息系统存在的脆弱性及面临的威胁,并识别出公司存在的信息安全风险,并找到最合适的控制措施来对风险进行控制,以降低风险,达到提高公司信息安全水平的目的。
二、 风险评估范围及时间1、评估涉及的部门本次风险评估是公司组织的第一次风险评估,评估范围涉及信息安全体系范围内的所有相关部门。
2、评估涉及的流程或系统本次风险评估涉及公司研发、销售及信息管理等方面的流程和系统及其信息资产。
3、评估时间本次评估时间为:2020.6.10-2020.6.27。
三、 风险评估小组成员参与本次评估的人员包括各部门负责人、信息安全项目组成员。
四、 风险评估过程及方法评估小组采用定性和定量相结合的方法对公司各方面进行评估。
评估流程如下:1、资产识别:1) 识别在评估范围内的资产。
对于在范围内的每一项资产都要恰当统计;不在本次评估范围内的资产,也要进行记录;2)要注意资产之间的关联,有时候关联和资产本身同等重要;3)按一定的标准,将信息资产进行恰当的分类,在此基础上进行下一步的风险评估工作。
2、资产价值评估:对资产等级进行定义,并表示成相对等级的形式,详细请参见《风险评估方法与准则》。
决定资产重要度时,需要考虑:1)不仅要考虑资产的成本价格,也要考虑资产对于组织业务的安全重要性,即根据资产损失所引发的潜在的影响来决定;2)为确保资产重要度的一致性和准确性,建立一个标准的尺度,以明确如何对资产的重要度进行评估。
3)分析和评价资产受到侵害后的保密性、完整性、可用性、业务影响,通过对四个属性(保密性、完整性、可用性、业务影响)进行赋值,并求和的方式,确定出资产的重要度等级。
3、资产面临的威胁、威胁可以利用的脆弱性的评估:1)分析本公司的信息系统存在威胁。
2)综合威胁来源、种类和其他因素后得出威胁列表;3)针对每一项需要保护的信息资产,找出可能面临的威胁。
ISO27001信息安全管理体系内审检查表(含记录)
A.8.1.1
A.8.1.2
A清单
资产所有权
资产的可接受使用
资产的归还
公司对资产进行了评估。包括软件/系统、数据/文档、硬件/设施及人力资源。
对每一项信息资产,根据《信息安全风险管理程序》识别出了重要资产及高风险的项目。其中高风险的资产有公司软件源代码等。自此之后公司完成了风险处理计划、检查、残余风险评估报告,以及验证。
√
A.12.7.1
信息系统审计控制措施
——漏洞扫描工具使用JP1,只有信息系统课系统管理员有权限使用。
——内部使用360杀毒软件对个人计算机进行病毒查杀
√
A.13.1.1
A.13.1.2
A.13.1.3
网络控制
网络服务安全
网络隔离
——提供《网络拓扑图》,描述网络结构并表示网络的各组成部分之间在逻辑上和物理上的相互连接。公司内部的计算机,只有授权的可以上外网,其他的都不能访问外网,现场查连网情况未发现异常。
——没有安装实用工具。
——公司没有软件开发,只有网站服务采用托管形式,由第三方公司负责运营。
——提供《网站维护协议》,合同有效日期从2014年4月30日至2015年4月29日,条款一,规定服务方所应承担的业务与遵守的规定;条款五,规定了双方的法律责任与处理办法
√
A.10.1.1
A.10.1.2
使用密码控制的策略
各系统管理员应对被授权访问该系统的用户口令予以分配、规定不使用简单口令,口令必须至少要含有6位以上字母+数字。
查:普通用户只能访问被授权的服务,对计算机系统的访问权都被限制。
√
A.9.3.1
使用秘密鉴别信息
公司范围的计算机登录口令要求6位以上。抽查了4台PC机,口令符合要求
【完整内容】ISO27001-2013信息安全管理体系信息安全风险评估表
99
1
增强员工法律、安全意识培训
3
2
66
1
3
2
66
4
1
YES
51
需求分析书
需求分析书
项目管理部
12
4
3
3
2
设备故障
4
缺乏定期更换计划
5
240
3
环境控制
4
3
144
2
2
1
24
4
1
YES
52
需求分析书
需求分析书
项目管理部
12
4
3
3
2
软件本身存在的漏洞
4
缺乏定期更换计划
4
192
2
设置自动更新补丁服务。
4
3
软件研发中心
12
4
3
3
2
遭盗用
3
被不法分子利用
4
144
2
专人保管设置权限
加强安全教育
3
3
108
2
1
3
36
4
1
YES
18
程序源代码
一般办公
软件研发中心
20
5
5
5
5
设备故障
4
缺乏定期更换计划
5
400
4
环境控制
4
3
240
3
2
1
40
4
1
YES
19
程序源代码
一般办公
软件研发中心
20
5
5
5
5
软件本身存在的漏洞
4
缺乏定期更换计划
ISO27001-2013信息安全管理体系风险评估报告
ISO27001-2013信息安全管理体系
风险评估报告
一、实施范围和时间
本公司ISMS所涉及的相关部门以及相关业务活动。
本此风险评估的实施时间为2019年3月16日至2019年3月20日。
二、风险评估方法
参照ISO/IEC27001和ISO/IEC27002标准,以及《GB/T 20984-2007信息安全技术信息安全风险评估规范》等,依据公司的《信息系统管理制度》确定的评估方法。
三、风险评估工作组
经信息中心批准,此次风险评估工作成员如下:
评估工作组组长:xxx
评估工作组成员:xxx、xxx 、xxx、xx
四、风险评估结果
4.1 信息资产清单
各部门的信息资产清单见部门信息资产清单。
4.2重要资产面临威胁和脆弱性汇总
重要资面临的威胁和脆弱性分别见附件一和附件二。
4.3风险结果统计
本次风险评估,共识别出信息安全风险9个,不可接受的风险2个,具体如下:
五、风险处理计划
风险处理计划见附件四
附件一:重要资产面临的威胁汇总表
表1-1:重要硬件资产威胁识别表
表1-2 重要应用系统资产威胁识别表
附件二:重要资产面临的脆弱性汇总表
表 2-1 重要资产脆弱性汇总表
附件三:风险评估问题列表
附件四:风险处理计划
根据本次风险评估结果,对不可接受的风险进行处理。
在选取控制措施和方法时,结合公司的财力、物力和资产的重要度等各种因素,制定如下风险处理计划。
该计划已经信息安全领导办公室审核批准。
2019年最新的ISO27001-2018信息安全风险识别评价分析评估表(ISMS信息安全风险评估)
网络传输中被 未使用密码技术 文件信息外泄
窃取
使用加密系统控
5
2 3 30 3 接受
制
瘟疫、火灾、爆 炸、雷击、恐怖 缺乏应急机制 袭击等
客户信息丢失,业务 5
开展产生困难
设置必要的放 1 2 10 1 接受
火,放雷机制
自然灾难:地 缺乏应急机制
震、洪水、台风
客户信息丢失,业务 5
开展产生困难
对重要数据进行 1 2 10 1 接受
炸、雷击、恐怖 缺乏应急机制
5
供开票及联 袭击等
工作开展困难
系
网络传输中被
未使用密码技术 文件信息外泄
5
窃取
自然灾难:地 缺乏应急机制
震、洪水、台风
文件信息丢失,人事 5
工作开展困难
合同报价等资料 放在上锁的文件 柜中
合同报价等资料 放在上锁的文件 柜中
设置必要的放 2 3 30 3 接受
火,放雷机制
采购合同
合同
SL-DATA-021
代理合同
SL-DATA-022
厂商报价
SL-DATA-014 报价、合同样本
SL-DATA-015 销售合同 SL-DATA-023 客户报价
合同
SL-DATA-024 客户合同
瘟疫、火灾、爆 炸、雷击、恐怖 缺乏应急机制 袭击等
文件信息丢失,人事 5
工作开展困难
自然灾难:地 缺乏应急机制
使用加密系统控 2 3 30 3 接受
制 对重要数据进行 定期移动硬盘备 1 2 10 1 接受 份
盗窃
存放缺乏保护
合同丢失,影响后续 5
服务或收款等内容
未经授权使用、 访问权限没有控 数据被删除,修改或
ISO27001信息安全管理评审整套记录汇编
ISO27001信息安全管理体系管理评审整套资料汇编文件清单1管理评审计划2管理评审报告3管理评审会议记录4管理评审纠正预防措施计划表5技术部管理评审材料6销售部管理评审材料7综合管理部管理评审材料管理评审计划ISMS-0107-JL01 编号:202103为验证公司信息安全管理体系的适宜性、充分性和有效性,评价和寻求信息安全管理体系改进的机会和变更的需要(包括安全方针和安全目标),根据《信息安全管理手册》的要求,公司在2021年3月30日进行管理评审。
本次会议由总经理负责主持,管理者代表、公司各部门负责人参加。
本次管理评审的内容包括:1.信息安全管理体系审核和评审的结果;2.相关方的反馈;3.用于改进信息安全管理体系业绩和有效性的技术、产品或程序;4.预防和纠正措施的状况;5.风险评估没有充分强调的脆弱性或威胁;6.有效性测量的结果;7.内审不符合项的跟踪验证;8.任何可能影响信息安全管理体系的变更;9.改进的建议;参加管理评审的部门应该按照计划要求准备本部门在信息安全管理体系实施中有关材料,并在会议上汇报。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━编制:***审核:*** 批准:***日期:2021.03.25 日期:2021.03.25 日期:2021.03.25深圳市****科技有限公司管理评审报告ISMS-0107-JL04编制:审核:批准:2021年03月30日为验证公司信息安全管理体系的适宜性、充分性和有效性,评价和寻求信息安全管理体系改进的机会和变更的需要(包括安全方针和安全目标),根据《信息安全管理手册》和2021年度管理评审计划的要求,于2021年03月30日在公司召开了 2021年度管理评审会议。
本次会议由总经理负责主持,公司各部门负责人均参加。
本次管理评审的内容包括:1.信息安全管理体系审核和评审的结果;2.相关方的反馈;3.用于改进信息安全管理体系业绩和有效性的技术、产品或程序;4.预防和纠正措施的状况;5.风险评估没有充果;分强调的脆弱性或威胁;6.有效性测量的结7.内审不符合项的跟踪验证;8.任何可能影响信息安全管理体系的变更;9.对策略集适宜性、充分性和有效性进行评审。
ISO27001信息安全体系记录清单
ISO27001信息安全体系记录清单ISO规定了信息安全记录的分类和保存期限,具体如下:合同类记录包括合同内容确认的记录、质量保证书等,保存期限为合同结束后3年。
定单类记录包括信息安全管理文件审批表、信息安全文件一览表、文件发放一览表、文件管理的记录等,保存期限为5年。
文件类记录包括文件修改通知单、外来文件清单、文件发布通知单等,保存期限为3年。
信息安全记录类记录包括信息安全记录一览表、记录管理的记录、记录借阅登记表、记录销毁记录表等,保存期限为3年。
信息安全风险评估类记录包括信息安全风险评估计划、信息资产识别与评估表、信息安全风险管理记录等,保存期限为2年。
控制措施有效性测量记录、信息安全测量管理记录、电脑日常检查表、机房环境及设备检查表、个人电脑自检表等记录保存期限为2年。
管理评审类记录包括管理评审记录、管理评审计划、管理评审报告等,保存期限为5年。
会议类记录包括会议签到表、会议记录等,保存期限为2年。
内部审核类记录包括内部审核计划、年度内审核计划、内部审核管理记录、内审检查表、不符合项报告、内部审核实施报告书、纠正措施管理记录、预防措施管理记录、预防措施计划书等,保存期限为3年。
用款申请实施报告书、信息处理设施安装使用管理记录、验收报告、硬件设备登记表等记录保存期限为5年。
第三方服务管理类记录包括第三方保护能力核查表、第三方保密协议、知识产权协议、外部人员入网申请单、第三方工作记录单、第三方服务变更报告等,保存期限为3年。
信息资产识别类记录包括信息资产识别表(文档)、信息资产识别表(硬件)、信息资产识别表(软件)等,保存期限为3年。
信息分类管理记录包括信息安全重要岗位一览表等,保存期限为2年。
以上记录的保存期限和保管部门应严格执行,确保信息安全管理体系的有效运行。
以下是格式正确、删除明显有问题的段落、并进行小幅度改写的文章:信息安全管理制度为确保公司信息安全,保护公司和客户的利益,制定本管理制度。
企业研发部ISO信息安全体系风险评估记录
4
2
4
6
24
10
进水
硬件损坏系统无法正常运行
2
4
4
4
8
32
网线
5
无法使用
无防护措施
1
1
2
5
7
7
INTEL网络服务
10
无隔离手段
数据泄密
5
10
4
5
9
90
路由器
2
盗窃
影响工作任务
3
1
1
4
5
5
U盘
2
病毒感染
无管理制度
3
1
3
5
8
8
WINDOWS *P
2
软件运行错误
操作系统存在漏洞
2
1
5
2
7
7
源代码
10
数据丢失\损坏\篡改
企业研发部ISO信息安全体系风险评估记录
部门:研发部
资产名称
重要度
面临威胁
脆弱性
暴露
影响①
容易度
措施
可能性②
风险
有效
① * ②
台式计算机
10
病毒感染
无杀毒软件
3
6
2
3
5
30
10
数据损坏丢失
无备份策略
5
10
4
3
7
70
10
数据泄密
无口令策略
4
8
4
4
8
64
10
无法使用
无日常维护,打补丁
2
4
3
4
7
28
10
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
部门:研发部
资产名称
重要度
面临威胁
脆弱性
暴露
影响①
容易度
措施
可能性②
风险
有效
① X ②
台式计算机
10
病毒感染
无杀毒软件
3
6
2
3
5
30
10
数据损坏丢失
无备份策略
5
10
4
3
7
70
10
数据泄密
无口令策略
4
8
4
4
8
64
10
无法使用
无日常维护,打补丁
2
4
3
4
7
28
10
运算速度不够
配置低
1
2
2
5
7
14
进水
硬件损坏系统无法正常运行
2
4
4
4
8
32
网线
5
无法使用
无防护措施
1
1
2
5
7
7
INTEL网络服务
10
无隔离手段
数据ቤተ መጻሕፍቲ ባይዱ密
5
10
4
5
9
90
路由器
2
盗窃
影响工作任务
3
1
1
4
5
5
U盘
2
病毒感染
无管理制度
3
1
3
5
8
8
WINDOWS XP
2
软件运行错误
操作系统存在漏洞
2
1
5
2
7
7
源代码
10
数据丢失\损坏\篡改
无访问控制
5
10
3
5
8
80
软件
10
存储介质故障
无安全备份
4
8
3
4
7
56
概要设计说明书
5
存储介质故障
无备份安全策略
4
4
3
4
7
28
产品数据库数据
5
存储介质故障
无备份安全策略
4
4
3
4
7
28
产品用户手册
5
存储介质故障
无备份安全策略
4
4
3
4
7
28
BUG报告
5
存储介质故障
无备份安全策略
4
4
3
4
7
28
用户培训记录
2
存储介质故障
10
3
3
6
60
Windows 2003
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
代码控制CVS配置软件
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
0ffice
5
运行错误,无法使用
未及时打补丁
4
4
3
3
6
24
开发人员
10
数据泄密
安全意识欠缺,安全技能欠缺
5
10
4
3
7
70
10
盗窃
无访问控制
5
10
4
5
9
90
服务器
10
非授权访问
配置被修改
4
8
4
4
8
64
10
病毒感染
无杀毒软件
3
6
2
3
5
30
10
无日常维护,打补丁
无法使用
2
4
3
4
7
28
笔记本
10
公司开发软件代码泄密
无拷贝控制
3
6
4
4
8
48
10
人为破环
硬件损坏系统无法正常运行
2
4
3
5
8
32
10
盗窃
影响工作任务
2
4
2
4
6
24
10
无备份安全策略
4
2
3
4
7
14
开发库其他文档
5
数据泄密
无访问控制
5
5
4
4
8
40
受控库其他文档
5
数据泄密
无访问控制
5
5
4
4
8
40
产品库其他文档
5
数据泄密
无访问控制
5
5
4
4
8
40
delphi
10
运行错误,无法使用
未及时打补丁
5
10
3
3
6
60
Sql server 2000
10
运行错误,无法使用
未及时打补丁
5