1、编号:ST/ISMS-JL060风险评估记录部门:运营部措施 风险资产名称 重要度 面临威胁 脆弱性 暴露 影响 容易度 有效可能性 X 台式计算机 10 病毒感染 无杀毒软件 3 6 2 3 5 3010 数据损坏丢失 无备份策略 5 10 4 3 7 7010 数据泄密 无口令策略 4 8 4 4 8 64服务器 10 非授权访问 配置被修改 4 8 4 4 8 6410 病毒感染 无杀毒软件 3 6 2 3 5 3010 无日常维护,打补丁 无法使用 2 4 3 4 7 2810 硬件以外损坏 无法使用 2 4 3 4 7 2810 机房不规范 服务器损坏无法使用 5 10 3 1 4
2、4010 盗窃 机房不规范 5 10 4 5 9 90笔记本 10 公司开发软件代码泄密 无拷贝控制 3 6 4 4 8 4810 人为破环 硬件损坏系统无法正常运行 2 4 3 5 8 3210 盗窃 影响工作任务 2 4 2 4 6 2410 进水 硬件损坏系统无法正常运行 2 4 4 4 8 32网线 5 无法使用 无防护措施 1 1 2 5 7 7INTEL 网络服务 10 无隔离手段 数据泄密 5 10 4 5 9 90路由器 2 盗窃 影响工作任务 3 1 1 4 5 5U 盘 2 病毒感染 无管理制度 3 1 3 5 8 8WINDOWS XP 2 软件运行错误 操作系统存在漏洞
3、 2 1 5 2 7 7源代码 10 数据丢失损坏篡改 无访问控制 5 10 3 5 8 80软件 10 存储介质故障 无安全备份 4 8 3 4 7 56概要设计说明书 5 存储介质故障 无备份安全策略 4 4 3 4 7 28产品数据库数据 5 存储介质故障 无备份安全策略 4 4 3 4 7 28产品用户手册 5 存储介质故障 无备份安全策略 4 4 3 4 7 28BUG 报告 5 存储介质故障 无备份安全策略 4 4 3 4 7 28用户培训记录 2 存储介质故障 无备份安全策略 4 2 3 4 7 14开发库其他文档 5 数据泄密 无访问控制 5 5 4 4 8 40受控库其他文档
4、 5 数据泄密 无访问控制 5 5 4 4 8 40产品库其他文档 5 数据泄密 无访问控制 5 5 4 4 8 40delphi 10 运行错误,无法使用 未及时打补丁 5 10 3 3 6 60Sql server 2000 10 运行错误,无法使用 未及时打补丁 5 10 3 3 6 60Windows 2003 10 运行错误,无法使用 未及时打补丁 5 10 3 3 6 60代码控制 CVS 配置软件 10 运行错误,无法使用 未及时打补丁 5 10 3 3 6 600ffice 5 运行错误,无法使用 未及时打补丁 4 4 3 3 6 24开发人员 10 数据泄密 安全意识欠缺,安全技能欠缺 5 10 4 3 7 70
