信息安全风险评估表汇总
信息安全风险评估调查表
5.人员资产情况
.1、信息系统人员情况
岗位名称
岗位描述
人数
兼任人数
填写说明
岗位名称:1、数据录入员;2、软件开发员;3、桌面管理员;4、系统管理员;5、安全管理员;6、数据库管理员;7、网络管理员;8、质量管理员。
6.
文档资产情况
6.1.信息系统安全文档列表
文档类别
文档名称
填写说明
信息系统文档类别:信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档;系统开发程序文件、资料等。
2.2.安全设备情况
安全设备名称
型号(软件/硬件)
物理位置
所属网络区域
IP地址/掩码/网关
系统及运行平台
端口类型及数量
主要用途
是否热备
重要程度
2.3.服务器设备情况
设备名称
型号
物理位置
所属网络区域
IP地址/掩码/网关
操作系统版本/补丁
安装应用系统软件名称
主要业务应用
涉及数据
是否热备
2.4.终端设备情况
检查项
结果
备注
1
信息安全策略
□明确信息安全策略,包括总体目标、范围、原则和安全框架等内容。
□包括相关文件,但内容覆盖不全面。
终端设备名地址/掩码/网关
操作系统
安装应用系统软件名称
涉及数据
主要用途
填写说明
网络设备:路由器、网关、交换机等。
安全设备:防火墙、入侵检测系统、身份鉴别等。
服务器设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等。
终端设备:办公计算机、移动存储设备。
7.
信息系统情况
04信息安全风险评估汇总表
3
2
2
4
8
2
是
2
数据业务部
5.
人员
管理人员
部门经理
5
信息泄露泄露
人为泄露
未采取控制措施
4
5
4
4
16
4
否
行政部
6.
文档
合同
项目服务合同
5
数据丢失、泄露
未设置备份方案
未采取控制措施
4
5
4
4
16
4
否
行政部
7.
文档
项目数据
源代码
测试计划/方案
测试用例
测试报告
验收报告
接口开发设计文档
5
数据丢失、泄露
5
未建立台式机电脑口令安全策略
未采取控制措施
4
5
4
4
16
4
否
数据业务部
5
不足够的安全培训
定期对人员进行培训
3
2
2
4
8
2
是
3
行政部
5
防火墙未定期及时更新升级
员工自觉更新升级
3
2
2
4
8
2
是
2
数据业务部
5
操作系统变更未做记录,操作系统、应用软件未定期及时更新
负责人定期检查操作系统并及时更新
3
2
2
4
8
2
是
3
数据业务部
5
对移动代码的使用未监管
未采取控制措施
4
5
4
4
16
4
否
数据业务部
最新信息技术安全风险及其防范措施评估指标及分值表资料
最新信息技术安全风险及其防范措施评估指标及分值表资料一、背景随着科技的迅速发展,信息技术在各行各业中扮演着至关重要的角色。
然而,随之而来的信息技术安全风险也日益增加,威胁到组织的安全和可持续发展。
因此,评估信息技术安全风险并采取相应的防范措施变得迫在眉睫。
二、评估指标及分值表为了帮助组织进行全面而有效的信息技术安全风险评估,以下是最新的评估指标及其相应的分值表。
这些指标和分值表将帮助组织了解当前风险状况,并采取适当的防范措施。
以上评估指标和分值表仅作为参考,组织可以根据自身情况进行调整和补充。
三、防范措施基于评估结果,组织可以采取以下防范措施来降低信息技术安全风险:1. 加强网络安全措施,包括防火墙、入侵检测系统等;2. 建立完善的数据保护机制,包括数据备份、加密等;3. 采用多因素身份验证,加强用户身份验证和授权;4. 控制远程访问权限,限制外部访问;5. 定期对应用程序进行安全检查和漏洞修复;6. 加强设备和设施的物理安全措施,如监控、访问控制等;7. 组织定期进行员工信息安全培训和提升意识;8. 建立安全审计和实时监测机制,及时发现和应对安全威胁;9. 制定和测试灾难恢复计划,以确保业务连续性。
以上防范措施应根据具体情况进行适度调整和实施,确保信息技术安全风险得到有效控制。
四、结论通过评估指标和分值表以及相应的防范措施,组织能够全面评估和防范信息技术安全风险。
然而,随着技术的不断发展,风险形势也会不断变化,组织需要不断更新和完善安全措施,以保护信息资产的安全。
> 注意:本文档提供的信息仅供参考,具体的信息技术安全防范需要依据组织自身情况和法律要求进行确定。
信息安全风险评估表
资产的类型、所处位置相同,但资产赋值不同时,若采取的控制措施相 同,威胁及脆弱性的赋值基本保持一致。 3.残余风险赋值原则
如果风险可接受,暂不采取除现有控制措施以外的控制措施时,残余风 险与风险值一致。
的参考说明。
附录2-威胁、脆弱性对照表 附录3-风险等级对照表
按照资产类别排序的威胁、脆弱性对照表,用于资产风险 识风别险。计算结果对应风险等级的参照表,用于确定风险级别 。
资产识别 资产赋值 风险评估
注意事项
信息系统包含的资产主要指与信息系统直接相关的资产,如 信息:信息系统上传输的数据、信息系统的设计开发文档 软件:信息系统正常运行所需的应用、中间件、数据库、操作系统等 硬件:信息系统正常运行所需的服务器、小型机、磁盘柜等 关键活动包含的资产主要指活动进行所必须的6类资产,如 硬件:各部门用于存储、处理、传输日常办公及客户信息的各种设备和介 质,例 如移动硬盘、台式机、计算机等。 软件:各种本部门安装使用的软件,包括操作系统、中间件、数据库、应用 软件、工具应用软件、终端安全软件等。 信息:括各种业务相关的电子类及纸质的文件资料,可按照部门现有文件明 细列举。 人员:本部门各种对信息资产进行使用、操作和支持的人员角色,含为部门 提供各种服务的外部人员(例如长期驻场外包人员)。 物理环境:承载硬件资产和信息资产的设施。非计算机硬件类的实体。 服务:各种本部门通过购买方式获取的,或者需要支持部门特别提供的,支 持或协助日常业务进行的服务。
信息安全风险评估清单
编 号1 步骤1-业务影响分析
2 步骤2-资产清单 3 步骤3-风险清单 4 步骤4-风险处置计划
文档目录及说明
信息安全风险评估记录表
信息安全风险评估记录表XXX信息安全风险评估记录表部门:XX部资产名称:1.台式计算机2.服务器3.笔记本4.网线5.INTEL网络服务6.路由器7.U盘8.WINDOWS XP9.源代码10.软件11.概要设计说明书12.产品数据库数据13.产品用户手册14.BUG报告15.用户培训记录重要度面临威胁脆弱性措施有效可能性风险1.台式计算机 6 10 3 3 5 302.服务器 10 10 5 3 7 703.笔记本 8 8 4 4 8 644.网线 8 8 4 4 8 645.INTEL网络服务 6 6 3 3 5 306.路由器 4 4 4 4 7 287.U盘 4 4 4 4 7 288.WINDOWS XP 10 1 1 1 4 49.源代码 10 5 5 5 9 4510.软件 6 4 4 4 8 3211.概要设计说明书 4 4 4 5 6 2412.产品数据库数据 4 4 4 4 8 3213.产品用户手册 4 4 4 4 7 2814.BUG报告 1 5 5 5 9 4515.用户培训记录 10 3 2 5 8 40存在的问题:1.台式计算机:无杀毒软件,无备份策略,无口令策略,配置被修改,无法使用。
2.服务器:无杀毒软件,服务器损坏无法使用。
3.笔记本:无法使用。
4.网线:无防护措施,数据泄密。
5.XXX网络服务:无管理制度。
6.路由器:操作系统存在漏洞,无访问控制,无安全备份。
7.U盘:无备份安全策略。
8.WINDOWS XP:暴露。
9.源代码:人为破环,盗窃。
10.软件:数据丢失/损坏/篡改,存储介质故障。
11.概要设计说明书:无拷贝控制,存储介质故障。
12.产品数据库数据:无备份安全策略,存储介质故障。
13.产品用户手册:无备份安全策略,存储介质故障。
14.BUG报告:存储介质故障。
15.用户培训记录:无访问控制。
措施:1.台式计算机:安装杀毒软件,制定备份策略,设置口令策略,修复配置,恢复使用。
2019年最新的ISO27001-2018信息安全风险评估表(ISMS信息安全风险评估)
通过服务器备份数据
2
3
30
3
控制
增加专业数据备份系统,对数据进行实时备份
5
1
1
5
1
接受
瘟疫、火灾、爆炸、雷击、恐怖袭击等
缺乏应急机制
文件信息丢失,人事工作开展困难
5
对重要数据进行定期移动硬盘备份,设置放雷机制
1
2
10
1
接受
自然灾难:地震、洪水、台风
缺乏应急机制
文件信息丢失,人事工作开展困难
5
对重要数据进行定期移动硬盘备份
不正确的废弃
人员缺乏安全意识
文件信息外泄
5
进行员工信息安全意识培训,
1
2
10
1
接受
瘟疫、火灾、爆炸、雷击、恐怖袭击等
缺乏应急机制
文件信息丢失,人事工作开展困难
5
设置必要的放火,放雷机制
2
3
30
3
接受
自然灾难:地震、洪水、台风
缺乏应急机制
文件信息丢失,人事工作开展困难
5
对重要数据进行定期移动硬盘备份
1
公司销售信息被竞争对手获得,业务无法开展
5
通过域控,系统密码控制,严格控制访问权限
SL-DATA-022
供应商合作协议书
采购合同
代理合同
厂商报价
合同
未经授权使用、访问、复制
缺乏物理防护机制
供应商信息被客户或竞争对手获得,供应商投诉或业务无法开展
5
合同报价等资料放在上锁的文件柜中
1
2
10
1
接受
瘟疫、火灾、爆炸、雷击、恐怖袭击等
缺乏应急机制
信息安全风险评估表
功能描述
1 电脑终端
2 应用软件
3 系统软件 4 5 6 7 8 9 10 11 12 13 14
编制:
公司业务处理 公司业务处理 信息处理
所属部门 IT部 IT部 IT部
信息安全风险评估表
资产重要度等级
资产重要性
资产完整性
资产可用性
得 分
固有风险评估
4
3
3
10
1、非法使用 2、发生故障
4
3
3
10
应用软件出错而 中断使用
4
3
3
10
系统软件运行出 错而中断使用
影响等级
破坏程 度
得分 现场控制措施
发生可能性等级
控制措施 发生容易
有效性
度
得分
风险 等级
风险 等级
计划控制 责任部
措施
门
1、使用域进行管理权
100% 10 限、密码
2
2
4 40 中
IT部
2、定期维护
100% 10 1、购买优质应用软件
1
2
3 30 中
IT部
100% 100%
10 1、定期系统维护 0
1
2
3 30 中
IT部
1000% 0
100% 0
100% 0
100% 0
100% 0
100% 0
审核:
批准:
信息安全风险评估表格
信息安全风险评估表格
风险类型风险描述
影响程
度
发生概
率
风险级
别
建议控制措施
1 数据泄露高中高加强访问控制、加密敏感数
据
2 病毒感染中高高安装有效的防病毒软件、定
期更新
3 员工错误中中中提供培训、建立标准操作流
程
4 物理入侵高低中使用安全门禁系统、视频监
控
5 网络攻击高中高实施防火墙、入侵检测和预
防系统
6 不当使用
权限
中中中角色分离、最小权限原则... ... ... ... ... ...
在表格中,每一行代表一个特定的风险。
各列的含义如下:
风险类型:对风险进行分类或编号,方便跟踪和识别。
风险描述:简要描述风险的具体情况,例如数据泄露、病毒感染等。
影响程度:评估风险发生后可能对组织造成的影响程度,如高、中、低等级。
发生概率:评估风险发生的概率,通常使用高、中、低等级或百分比表示。
风险级别:根据影响程度和发生概率综合评估的风险级别,可以通过计算得出或根据经验判断。
建议控制措施:提供针对该风险的建议控制措施,用于降低风险的发生和影响。
ISO27001:2013信息安全风险评估表(含附属全套表单)
5 6 7
附录1-赋值说明
本文档使用过程中进行赋值的参考说明。
附录2-威胁、脆弱性对照表 附录3-风险等级对照表
按照资产类别排序的威胁、脆弱性对照表,用于资产风险 风识险别计。算结果对应风险等级的参照表,用于确定风险级别 。
资产的资产主要指与信息系统直接相关的资产,如 信息:信息系统上传输的数据、信息系统的设计开发文档 软件:信息系统正常运行所需的应用、中间件、数据库、操作系统等 硬件:信息系统正常运行所需的服务器、小型机、磁盘柜等 关键活动包含的资产主要指活动进行所必须的6类资产,如 硬件:各部门用于存储、处理、传输日常办公及客户信息的各种设备和介 质,例 如移动硬盘、台式机、计算机等。 软件:各种本部门安装使用的软件,包括操作系统、中间件、数据库、应 用软件、工具应用软件、终端安全软件等。 信息:括各种业务相关的电子类及纸质的文件资料,可按照部门现有文件 明细列举。 人员:本部门各种对信息资产进行使用、操作和支持的人员角色,含为部 门提供各种服务的外部人员(例如长期驻场外包人员)。 物理环境:承载硬件资产和信息资产的设施。非计算机硬件类的实体。 服务:各种本部门通过购买方式获取的,或者需要支持部门特别提供的, 支持或协助日常业务进行的服务。
资产的类型、赋值、所处位置相同时,可合在一起进行风险评估。 2.威胁、脆弱性统一赋值原则
资产的类型、所处位置相同,但资产赋值不同时,若采取的控制措施相 同,威胁及脆弱性的赋值基本保持一致。 3.残余风险赋值原则
如果风险可接受,暂不采取除现有控制措施以外的控制措施时,残余风 险与风险值一致。
信息安全风险评估清单
编 号1 步骤1-业务影响分析
2 步骤2-资产清单 3 步骤3-风险清单 4 步骤4-风险处置计划
《信息安全风险评估表》
《信息安全风险评估表》
信息安全风险评估表是用于评估一个组织或者系统中存在的信息安全风险的工具。
这份评估表帮助组织或个人识别和分析潜在的威胁和漏洞,并确定哪些风险对其业务最具威胁性以及需要优先处理。
以下是一个可能包含的信息安全风险评估表的一些示例条目:
1. 风险类型:列出不同类型的信息安全风险,例如网络安全风险、数据泄露风险、恶意软件风险、物理安全风险等。
2. 风险描述:对每种风险进行具体描述,包括其可能的原因、后果以及潜在的受影响范围。
3. 风险级别:根据风险的潜在严重性和可能性,对每个风险进行级别评估,例如高、中、低。
4. 风险影响:列出每种风险对业务的可能影响,如数据丢失、服务中断、声誉损害等。
5. 风险频率:评估每种风险发生的可能频率,例如每天、每周、每月等。
6. 风险控制措施:列出针对每种风险采取的措施,如加强网络安全防护、加密敏感数据、制定备份策略等。
7. 责任人:指定每种风险的责任人,确保风险得到及时、有效
地管理和缓解。
8. 优先级:根据风险的严重性和可能性,为每个风险确定优先级,以便在维护计划中制定相应的优先处理策略。
在填写信息安全风险评估表时,可以根据实际情况进行调整和定制,以确保最适合组织的需求和目标。
同时,定期更新和审查评估表是确保信息安全风险管理持续有效的重要步骤。
ISO20000-2018信息技术服务管理体系信息安全风险评估表
ISO20000-2018信息技术服务管理体系信息安全风险评估表类别编号资产编号资产名称功能描述威胁内容(威胁源、动机)脆弱性影响后果资产重要程度现行控制方式威胁发率脆弱被利用率风险值风险等级风险处理方式改善措施资产重要程度威胁发生的评率脆弱性被利用率残余风险值风险等级是否接受文档与数据SL-DATA-001解决方案针对客户需求提出的信息安全解决方案被竞争对手获取人员道德缺乏文件被竞争对手获取,影响业务开展5数据加密系统控制1 2 10 1 接受未经授权使用、访问、复制人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训,1 2 10 1 接受电子存储媒体故障设备损坏资料丢失,影响项目进度5使用数据备份系统,对数据实时备份1 2 10 1 接受手工误删操作不小心资料丢失,影响项目进度5使用数据备份系统,对数据实时备份1 2 10 1 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制2 3 30 3 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制客户信息丢失,业务开展产生困难5设置必要的放火,放雷机制1 2 10 1 接受自然灾难:地缺乏应急机客户信息丢失,业 5 对重要数据 1 2 10 1 接受震、洪水、台风制务开展产生困难进行定期移动硬盘备份SL-DATA-003SL-DATA-00 4SL-DATA-01 8 体系文件管理制度各项规章制度公司管理类文档未经授权使用、访问、复制人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训,1 2 10 1 接受电子存储媒体故障设备损坏资料丢失,影响项目进度5使用数据备份系统,对数据实时备份1 2 10 1 接受手工误删操作不小心资料丢失,影响项目进度5使用数据备份系统,对数据实时备份1 2 10 1 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,业务缺乏指导5设置必要的放火,放雷机制2 3 30 3 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,业务缺乏指导5对重要数据进行定期移动硬盘备份1 2 10 1 接受SL-DATA-00 8SL-DATA-01 0 在职员工个人信息员工劳动合同人事档案信息未经授权使用、访问、复制缺乏物理防护机制员工个人信息资料丢失或泄密4人事资料放在人事文件柜中1 4 162 避免员工档案资料文件柜应上锁,防止非授权的获取4 1 2 8 1 接受瘟疫、火灾、爆缺乏应急机文件信息丢失,人 5 设置必要的 2 3 30 3 接受炸、雷击、恐怖袭击等制事工作开展困难放火,放雷机制自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受SL-DATA-013SL-DATA-01 6SL-DATA-02 1SL-DATA-02 2 供应商合作协议书采购合同代理合同厂商报价合同未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得,供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,人事工作开展困难5设置必要的放火,放雷机制2 3 30 3 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制2 3 30 3 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失,影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中1 2 10 1 接受SL-DATA-01 4SL-DATA-01 5SL-DATA-02 3SL-DATA-02报价、合同样本销售合同客户报价客户合同报价单合同未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得,供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训,1 2 10 1 接受4SL-DATA-03 3 瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,人事工作开展困难5设置必要的放火,放雷机制2 3 30 3 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失,影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中SL-DATA-02 6 客户资料供开票及联系未经授权使用、访问、复制缺乏物理防护机制客户信息被客户或竞争对手获得,供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,人事工作开展困难5设置必要的放火,放雷机制2 3 30 3 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制2 3 30 3 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失,影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中1 2 10 1 接受SL-DATA-02 7 CRME和快普数据库ERP系统数据未经授权使用、访问、复制访问权限没有控制数据被删除,修改或泄密5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受未经授权更改访问权限没有控制公司业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受电子存储媒体故障存放缺乏保护数据丢失业务无法开展5通过服务器备份数据2 3 30 3 控制增加专门数据备份系统,对数据进行实时备份5 1 1 5 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份,设置放雷机制1 2 10 1 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受SL-DATA-02 8 公司办公租赁合同合同未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得,供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,人事工作开展困难5设置必要的放火,放雷机制2 3 30 3 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制2 3 30 3 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失,影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中1 2 10 1 接受SL-DATA-03 0SL-DATA-03 2 公司各类财务数据及报表公司经营相关数据及资料财务数据未经授权使用、访问、复制访问权限没有控制数据被删除,修改或泄密5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受未经授权更改访问权限没有控制公司业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受电子存储媒体故障存放缺乏保护数据丢失业务无法开展5通过服务器备份数据2 3 30 3 控制增加专业数据备份系统,对数据进行实时备份5 1 1 5 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份,设置放雷机制1 2 10 1 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受SL-DATA-03 1 公司资质文件及认资质资料未经授权使用、访问、复制人员缺乏安全意识文件信息外泄 5进行员工信息安全意识1 2 10 1 接受证证书培训不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训,1 2 10 1 接受SL-DATA-036SL-DATA-042 报价(给渠道)渠道合同合同,报价信息未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得,供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训,1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,人事工作开展困难5设置必要的放火,放雷机制2 3 30 3 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失,影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中SL-DATA-037 报价(厂家供货价)合同,报价信息未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得,供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训,1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失,人事工作开展困难5设置必要的放火,放雷机制2 3 30 3 接受自然灾难:地震、洪水、台风缺乏应急机制文件信息丢失,人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失,影响后续服务等内容5合同报价等资料放在上锁的文件柜中SL-DATA-04 0 销售部管理周报未经授权使用、访问、复制访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 3 用友OA日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 4 快普ERP日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 5 豪创日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 6 管家婆日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 7 SSLvpn日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 8 广域网加速设备日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 9 准入系统日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 0 爱数备份日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 1 趋势防毒日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 2 守内安日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 3 上网行为管理日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 4 视屏监控日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 5 电话录音日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 6 考勤机日志文件日志未经授权使用、访问、复制弱密码日志信息被删除,无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略,严禁使用弱密码5 1 1 5 1 接受日志数据被修改,删除访问权限没有控制公司销售信息被竞争对手获得,业务无法开展5通过域控,系统密码控制,严格控制访问权限2 3 30 3 控制增加准入设备,对访问权限和访问区域进行规定5 1 1 5 1 接受第11 页共36 页。
信息安全风险评估表
利用域管理,关闭相关系统的管理权限,个人无权限进行 安装程序等; ⑴ 不要随意打开来历不明的邮件现在许多木马都是通过邮 件来传播的,当用户收到来历不明的邮件时请不要打开, 应尽快删除。同时要加强邮件监控系统,拒收垃圾邮件⑵ 不要随意下载来历不明的软件最好是在一些知名的网站下 载软件,不要下载和运行那些来历不明的软件。在安装软 件的之前最好用杀毒软件查看是否含有病毒,然后才进行 信息科 安装。 ⑶ 及时修补漏洞和关闭可疑的端口一些木马都是通过漏洞 在系统上打开端口留下后门,以便上传木马文件和执行代 码,在把漏洞修补上的同时,需要对端口进行检查,把可 疑的端口关闭。运行实时监控程序 在上网时最好运行反木 马实时监控程序和个人防火墙,并定时对系统进行病毒检 查。
规行为;内部员工使用网络文
件共享或者乱用笔记本电脑造 成数据泄露;内部员工的粗心
较大可能 较大影响
大意是到目前为止企业数据安
全的最大威胁
高
特定工作的员工是否访问了超出工作范围的数据。
2、使用个人访问控制工具,保证系统记录下每一个曾经访
问过重要信息的人。此外,保存客户和员工信息的数据库
更应当对访问加以严格限制。
2.软件集中管理,按照公司要求限定所有机器只能运行必需
的办公软件。
3.环境集中管理,利用AD可以统一客户端桌面,IE,TCP/IP等 设置
信息科
4.活动目录是企业基础架构的根本,为公司整体统一管理做 基础。其它isa,exchange, 防病毒 服务 器, 补丁 分发 服务 器,文件服务器等服务依赖于域服务器
权限
FX003
用户总想多安装一些Windows 应用程序,但是,如果管理员 真的给了用户这个本地管理权 限,那么网络有可能面临严重 较大可能 较大影响 的威胁,而且,由于用户安装 应用程序产生的危险越多,网 络安全工作就越复杂。
信息安全风险评估调查表
基本信息调查1.2. 硬件资产情况网络设备:路由器、网关、交换机等。
安全设备:防火墙、入侵检测系统、身份鉴别等。
服务器设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等。
终端设备:办公计算机、移动存储设备。
重要程度:依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。
3. 软件资产情况填写说明系统软件:操作系统、系统服务、中间件、数据库管理系统、开发系统等。
应用软件:项目管理软件、网管软件、办公软件等。
4. 服务资产情况服务类型包括:1•网络服务;2•安全工程;3•灾难恢复;4•安全运维服务;5•安全应急响应;6•安全培训;7•安全咨询;8•安全风险评估;9•安全审计; 10•安全研发。
5. 人员资产情况岗位名称:1、数据录入员;2、软件开发员;3、桌面管理员;4、系统管理员;5、安全管理员;6、数据库管理员;7、网络管理员;8、质量管理员。
6. 文档资产情况填写说明信息系统文档类别:信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档;系统开发程序文件、资料等。
7•信息系统情况7.1、系统网络拓扑图网络结构图要求:1、应该标识出网络设备、服务器设备和主要终端设备及其名称;2、应该标识出服务器设备的IP地址;3、应该标识网络区域划分等情况;4、应该标识网络与外部的连接等情况;5、应该能够对照网络结构图说明所有业务流程和系统组成。
如果一张图无法表示,可以将核心部分和接入部分分别画出,或以多张图表示。
填写说明:1用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写:a)国家秘密信息;b)非密敏感信息(机构或公民的专有信息);c)可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评,请填写时间和测评机构名称。
1网络区域主要包括:服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等;2、重要程度填写非常重要、重要、一般。
【完整内容】ISO27001-2013信息安全管理体系信息安全风险评估表
99
1
增强员工法律、安全意识培训
3
2
66
1
3
2
66
4
1
YES
51
需求分析书
需求分析书
项目管理部
12
4
3
3
2
设备故障
4
缺乏定期更换计划
5
240
3
环境控制
4
3
144
2
2
1
24
4
1
YES
52
需求分析书
需求分析书
项目管理部
12
4
3
3
2
软件本身存在的漏洞
4
缺乏定期更换计划
4
192
2
设置自动更新补丁服务。
4
3
软件研发中心
12
4
3
3
2
遭盗用
3
被不法分子利用
4
144
2
专人保管设置权限
加强安全教育
3
3
108
2
1
3
36
4
1
YES
18
程序源代码
一般办公
软件研发中心
20
5
5
5
5
设备故障
4
缺乏定期更换计划
5
400
4
环境控制
4
3
240
3
2
1
40
4
1
YES
19
程序源代码
一般办公
软件研发中心
20
5
5
5
5
软件本身存在的漏洞
4
缺乏定期更换计划
信息安全评估表
信息安全评估表一、评估基本信息1. 被评估组织名称2. 评估日期3. 评估目的二、信息资产识别与分类1. 硬件资产(如服务器、计算机、网络设备等)资产描述重要性级别所在位置2. 软件资产(操作系统、应用程序等)资产描述重要性级别当前版本3. 数据资产(客户数据、业务数据等)重要性级别存储方式三、威胁评估1. 外部威胁(黑客攻击、网络钓鱼等)发生可能性潜在影响2. 内部威胁(员工误操作、恶意行为等)发生可能性潜在影响3. 自然灾害威胁(火灾、水灾等)发生可能性潜在影响四、脆弱性评估1. 网络架构脆弱性(拓扑结构、访问控制等)风险级别2. 系统漏洞(操作系统、应用软件漏洞)漏洞详情修复状态3. 人员安全意识薄弱点具体表现改进建议五、安全策略与措施评估1. 访问控制策略(用户认证、权限管理等)策略有效性执行情况2. 数据备份与恢复策略备份频率恢复测试情况3. 安全培训与教育培训内容培训效果六、合规性评估1. 法律法规符合性(如数据保护法等)符合情况差距分析2. 行业标准遵循情况相关标准达标情况七、事件响应计划评估1. 计划的完整性涵盖的事件类型具体步骤2. 演练情况演练频率演练效果八、评估结果总结1. 主要风险点与问题2. 改进建议与优先级九、后续行动计划1. 针对评估结果的具体改进措施2. 责任分配与时间。
信息安全风险评估表汇总
表1:基本信息调查1.单位基本情况2.硬件资产情况网络设备:路由器、网关、交换机等。
安全设备:防火墙、入侵检测系统、身份鉴别等。
服务器设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等。
终端设备:办公计算机、移动存储设备。
重要程度:依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。
3.软件资产情况填写说明系统软件:操作系统、系统服务、中间件、数据库管理系统、开发系统等。
应用软件:项目管理软件、网管软件、办公软件等。
4.服务资产情况服务类型包括:1.网络服务;2.安全工程;3.灾难恢复;4.安全运维服务;5.安全应急响应;6.安全培训;7.安全咨询;8.安全风险评估;9.安全审计;10.安全研发。
5.人员资产情况岗位名称:1、数据录入员;2、软件开发员;3、桌面管理员;4、系统管理员;5、安全管理员;6、数据库管理员;7、网络管理员;8、质量管理员。
6.文档资产情况填写说明信息系统文档类别:信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档;系统开发程序文件、资料等。
7.信息系统情况1、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写:a) 国家秘密信息;b) 非密敏感信息(机构或公民的专有信息) ;c) 可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评,请填写时间和测评机构名称。
1、网络区域主要包括:服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等;2、重要程度填写非常重要、重要、一般。
注:安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》表2:安全状况调查1. 安全管理机构安全组织体系是否健全,管理职责是否明确,安全管理机构岗位设置、人员配备是否充分合理。
安全策略及管理规章制度的完善性、可行性和科学性的有关规章制度的制定、发布、修订及执行情况。
ISO27000-2013信息安全风险评估表
1
生效日期
2017/11/25
信息安全风险评估表
发行与变更说明
发布
一、信息资产清单
Hale Waihona Puke 编号 1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8 1.9
类别
办公设备 IT设备
人力资源
文档资料 电子数据 第三方服务 软件与系统 支持性设备 其他资产
二、风险评估表
编号 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9
类别
办公设备 IT设备
人力资源 文档资料 电子数据 第三方服务 软件与系统 支持性设备 其他资产
安全风险评估表
说明
发行/修订人员
宋文平
核准人员
孙彬
评估表
编号 3.1 3.2 3.3 3.4
三、 配 置 项
对应表单
资产价值设定表 威胁脆弱性列表 威胁、脆弱性系数表 风险级别定义表
信息安全风险评估表汇总
表1:基本信息调查1- 2 -网络设备:路由器、网关、交换机等。
安全设备:防火墙、入侵检测系统、身份鉴别等。
服务器设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等。
终端设备:办公计算机、移动存储设备。
重要程度:依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。
- 3 -填写说明系统软件:操作系统、系统服务、中间件、数据库管理系统、开发系统等。
应用软件:项目管理软件、网管软件、办公软件等。
- 4 -服务类型包括:1.网络服务;2.安全工程;3.灾难恢复;4.安全运维服务;5.安全应急响应;6.安全培训;7.安全咨询;8.安全风险评估;9.安全审计;10.安全研发。
岗位名称:1、数据录入员;2、软件开发员;3、桌面管理员;4、系统管理员;5、安全管理员;6、数据库管理员;7、网络管理员;8、质量管理员。
- 5 -填写说明信息系统文档类别:信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档;系统开发程序文件、资料等。
- 6 -- 7 -1、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写:a) 国家秘密信息;b) 非密敏感信息(机构或公民的专有信息) ;c) 可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评,请填写时间和测评机构名称。
1、网络区域主要包括:服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等;2、重要程度填写非常重要、重要、一般。
- 8 -注:安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》- 9 -- 10 -表2:安全状况调查1. 安全管理机构安全组织体系是否健全,管理职责是否明确,安全管理机构岗位安全策略及管理规章制度的完善性、可行性和科学性的有关规章人员的安全和保密意识教育、安全技能培训情况,重点、敏感岗4. 系统建设管理关键资产采购时是否进行了安全性测评,对服务机构和人员的保密约束情况如何,在服务提供过程中是否采取了管控措施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
表1:
基本信息调查1.单位基本情况
精选文档
2.硬件资产情况
精选文档
网络设备:路由器、网关、交换机等。
安全设备:防火墙、入侵检测系统、身份鉴别等。
服务器设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等。
终端设备:办公计算机、移动存储设备。
重要程度:依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。
精选文档
3.软件资产情况
填写说明
系统软件:操作系统、系统服务、中间件、数据库管理系统、开发系统等。
应用软件:项目管理软件、网管软件、办公软件等。
精选文档
4.服务资产情况
服务类型包括:1.网络服务;2.安全工程;3.灾难恢复;4.安全运维服务;5.安全应急响应;6.安全培训;7.安全咨询;8.安全风险评估;9.安全审计;10.安全研发。
5.人员资产情况
岗位名称:1、数据录入员;2、软件开发员;3、桌面管理员;4、系统管理员;5、安全管理员;6、数据库管理员;7、网络管理员;8、质量管理员。
精选文档
6.文档资产情况
填写说明
信息系统文档类别:信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档;系统开发程序文件、资料等。
精选文档
7.信息系统情况
精选文档
1、用户分布范围栏填写全国、全省、本地区、本单位
2、业务处理信息类别一栏填写:a) 国家秘密信息;b) 非密敏感信息(机构或公民的专有信息) ;c) 可公开信息
3、重要程度栏填写非常重要、重要、一般
4、如通过测评,请填写时间和测评机构名称。
1、网络区域主要包括:服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等;
2、重要程度填写非常重要、重要、一般。
精选文档
精选文档
注:安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》
精选文档
表2:
安全状况调查
1. 安全管理机构
安全组织体系是否健全,管理职责是否明确,安全管理机构岗位设置、人员配备是否充分合理。
安全策略及管理规章制度的完善性、可行性和科学性的有关规章制度的制定、发布、修订及执行情况。
人员的安全和保密意识教育、安全技能培训情况,重点、敏感岗位人员有无特殊管理措施以及对外来人员的管理情况。
4. 系统建设管理
关键资产采购时是否进行了安全性测评,对服务机构和人员的保密约束情况如何,在服务提供过程中是否采取了管控措施。
信息系统开发过程中设计、开发和验收的管理情况。
设备、系统的操作和维护记录,变更管理,安全事件分析和报告;运行环境与开发环境的分离情况;安全审计、补丁升级管理、安全漏洞检测、网管、权限管理及密码管理等情况,重点检查系统性能的监控措施及运行状况。
6. 物理安全
机房安全管控措施、防灾措施、供电和通信系统的保障措施等。
7.网络安全
安全域划分、边界防护、内网防护、外部设备接入控制等情况。
网络和信息系统的体系结构、各类安全保障措施的组合是否合理。
8.设备和主机安全
网络交换设备、安全设备、主机和终端设备的安全性,操作系统的安全配置、病毒防护、恶意代码防范等。
1)网络设备、安全设备和终端设备防护
2)操作系统安全
9.应用安全
数据库、WEB网站、日常办公和业务系统等应用的安全设计、配置和管理情况;关键应用系统开发过程中的质量控制和安全性测试情况。
10.数据安全
数据访问控制情况,服务器、用户终端、数据库等数据加密保护能力,磁盘、光盘、U盘和移动硬盘等存储介质管理情况,数据备份与恢复手段等。
11.应急响应与灾难恢复
应急响应体系(应急组织、应急预案、应急物资)建设情况,应急演练情况;系统与数据的灾难备份措施情况,重点是要通过应急演练来检验应急响应体系的实战能力。